Piattaforma Rousseau e Data Breach

Il Garante ha emesso, il 21 dicembre 2017, il Provvedimento sul caso di Data Breach che ha coinvolto la piattaforma Rousseau utilizzata dal Movimento 5 Stelle ed i diversi siti Internet ad esso riconducibili.

Il provvedimento è stato reso ai sensi del Codice in materia di protezione dei dati personali (d.lgs. 196/2003), tenendo conto che il GDPR (Reg. UE 679/2016) sarà applicabile solamente dal 25 maggio 2018.

Di seguito si riporta il dispositivo integrale (per le motivazioni, in cui viene riportata l’analisi in punto di fatto e di diritto, si rinvia all’intero Provvedimento):

“ai sensi dell’art. 154, comma 1, lett. a), b) e c) del Codice: 

1) prescrive nei confronti dei titolari del trattamento dei siti web riferibili al Movimento 5 Stelle le misure necessarie relative ai profili concernenti la sicurezza informatica di cui al paragrafo 7 della premessa;

2) prescrive nei confronti del titolare del trattamento del sito web www.movimento5stelle.it e della piattaforma Rousseau:

a) quale misura necessaria, l’indicazione, nell’informativa resa ai sensi dell’art. 13 del Codice, dei soggetti (o categorie di soggetti) ai quali i dati sono comunicati, nei termini di cui al par. 5.1, salvo che il titolare del trattamento provveda alla loro designazione quali responsabili del trattamento ai sensi dell’art. 29 del Codice;

b) quale misura necessaria, la previsione di una informativa specifica relativa alle funzionalità della piattaforma Rousseau nei termini di cui al paragrafo 5.2.;

c) quale misura opportuna, l’adozione degli accorgimenti di cui al paragrafo 8.2.

3) prescrive nei confronti del titolare del trattamento del sito www.beppegrillo.it:

a) quale misura necessaria, l’adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria nei termini di cui al paragrafo 6;

b) quale misura necessaria, l’indicazione, nell’informativa resa ai sensi dell’art. 13 del Codice, dei soggetti (o categorie di soggetti) ai quali i dati sono comunicati, nei termini di cui al par. 5.1, salvo che il titolare del trattamento provveda alla loro designazione quali responsabili del trattamento ai sensi dell’art. 29 del Codice;

c) quale misura opportuna, una più chiara enunciazione dei flussi di dati nei confronti delle altre entità del Movimento, come rilevato nel paragrafo 5.3;

4) prescrive nei confronti del titolare del trattamento del sito www.blogdellestelle.it:

a) quale misura necessaria, l’adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria nei termini di cui al paragrafo 6;

b) quale misura necessaria, l’indicazione, nell’informativa resa ai sensi dell’art. 13 del Codice, dei soggetti (o categorie di soggetti) ai quali i dati sono comunicati, nei termini di cui al paragrafo 5.1, salvo che il titolare del trattamento provveda alla loro designazione quali responsabili del trattamento ai sensi dell’art. 29 del Codice;

5) dichiara, nei confronti dei titolari del trattamento di tutti i siti riconducibili al Movimento 5 Stelle, l’illiceità del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto;

6) dichiara, nei confronti dei medesimi titolari del trattamento, la parziale inidoneità dell’informativa resa ai sensi dell’art. 13 del Codice, nei termini di cui al paragrafo 5;

7) si riserva di verificare, con riferimento ai precedenti punti 5) e 6), la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative di cui agli artt. 161 e 162, comma 2bis del Codice;

• ai sensi dell’art. 157 del Codice, invita, altresì, i titolari del trattamento a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto al punto 1) del presente dispositivo entro 60 giorni dalla data di ricezione del presente provvedimento e che le misure necessarie di cui ai punti 2), 3) e 4) siano adottate dai rispettivi titolari del trattamento entro 30 giorni dal ricevimento del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero”

Si ricorda che la nuova disciplina del Data Breach, applicabile dal 25 maggio 2018, è disciplinata agli artt. 33 e 34 del GDPR, fermo restando l’obbligo di sicurezza di cui all’art. 32 GDPR.

La violazione di tali disposizioni è sanzionata all’art. 82, par. 4, GDPR con una sanzione amministrativa pecuniaria fino a 10.000.000 euro  (o, per le imprese, fino al 2% del fatturato totale mondiale annuo dell’esercizio precedente, se superiore).

Il Regolamento viene richiamato dal Garante, nel citato provvedimento, per ricordare, in particolare, il principio di “Privacy By Design e by Default”, che impone di approntare un sistema di trattamento conforme alle esigenze di protezione dei dati personali sin dalla sua progettazione e per impostazione predefinita (art. 25 GDPR), adottando le relative misure tecniche e organizzative.

Quanto alla sicurezza de sistema ed al voto elettronico, le considerazioni espresse dal Garante sono state le seguenti, in prospettiva anche dei futuri sviluppi del sistema informatico utilizzato dal Movimento 5 Stelle:

“(omissis)

7. Le valutazioni dell’Autorità in ordine ai profili di sicurezza informatica: misure e accorgimenti necessari.

Sulla base delle criticità tecniche accertate, si ritiene necessario prescrivere, nei confronti dei titolari del trattamento dei diversi siti web riferibili al Movimento 5 Stelle, le seguenti misure necessarie, come di seguito descritte.

A. I futuri sviluppi della piattaforma Rousseau e degli altri strumenti on-line del Movimento dovranno sempre essere validati sul piano della sicurezza informatica da adeguate azioni di vulnerability assessment attuate precedentemente alla messa in esercizio, allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico. Le verifiche sulla tenuta delle misure di sicurezza dovranno essere periodicamente rinnovate, al fine di garantire un livello costante nel tempo di protezione dei dati personali.

B. Con riferimento al sistema di autenticazione informatica degli utenti, lo stesso dovrà essere modificato in modo che le password relative alle utenze degli iscritti ai siti on-line del Movimento siano di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l’uso di password “deboli” costituite, ad esempio, da parole reperibili in dizionari o comunque facilmente individuabili. Contestualmente devono essere introdotte strette limitazioni al numero di tentativi di accesso online con password erronea, per impedire attacchi brute force interattivi.

C.  Con riferimento ai protocolli di rete, si ritiene necessario prescrivere l’adozione del protocollo https (secure hyper text transport protocol) per l’accesso a tutti i contenuti del sito www.movimento5stelle.it, basato su un certificato digitale emesso da una Certification Authority riconosciuta, dal momento che alla data odierna emerge solo una parziale adozione di questa misura di sicurezza. Infatti, sebbene l’accesso alla home page del sito avvenga tramite il protocollo https, alcuni contenuti sono ancora erogati su protocollo insicuro. Inoltre, nonostante il form di iscrizione sia accessibile tramite https, lo stesso  risulta tuttora raggiungibile anche nella modalità insicura.

D. Con riferimento al database delle utenze del sito del Movimento della piattaforma Rousseau, tenuto conto delle segnalazioni ricevute –  che hanno trovato conferma anche nell’analisi del CMS Movable Type v4.31 il cui codice sorgente è risultato liberamente disponibile -, si ritiene necessario prescrivere che le modalità di conservazione delle password degli utenti siano rafforzate adoperando algoritmi crittografici robusti in luogo delle semplici routine di cifratura accessibili tramite le funzioni native del CMS medesimo.

E. Con riferimento alle misure di auditing per la verifica della liceità dei trattamenti compiuti dagli incaricati dotati di profili di autorizzazione ampi e speciali, allo scopo di fornire maggiori garanzie a tutela degli iscritti votanti, in accordo al principio di trasparenza che dovrebbe caratterizzare un sistema di e-voting, si ritiene necessario prescrivere l’adozione di misure che consentano l’auditing informatico mediante la tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema Rousseau, attuando gli accorgimenti di cui al provvedimento generale del Garante del 27 novembre 2008 in tema di amministratori di sistema (doc. web 1577499).

F. Con specifico riferimento al sito www.beppegrillo.it – che risulta  essere stato realizzato impiegando il CMS Movable Type nella versione 3, ormai assolutamente obsoleta e affetta da un’ampia serie di vulnerabilità cui sono state esposte nel tempo le applicazioni web con essa sviluppate – allo scopo di incrementare con urgenza il livello di protezione dei dati contenuti nel database di tale sito, si prescrive:

1. l’adozione del protocollo sicuro https;

2. l’adozione di tecniche crittografiche efficaci per la conservazione delle password;

3. l’avvio di un’opera di correzione delle vulnerabilità segnalate nei report dei vulnerability assessment;

4. l’avvio di un’operazione di validazione delle utenze volta a eliminare quelle non più utilizzate da lungo tempo e, pertanto, ragionevolmente, abbandonate.

8. Il profilo della riservatezza delle operazioni di voto elettronico. 

8.1 Ferma restando la libertà di ogni associazione privata – quale appunto un movimento o partito politico – di strutturarsi con proprie regole (e a condizione che delle stesse sia fornita adeguata informazione a tutti gli associati), si evidenzia come, alla luce delle risultanze istruttorie, le misure di sicurezza connesse al controllo delle operazioni di voto destino alcune perplessità.

In particolare, mentre la scelta di associare a ogni voto espresso il numero telefonico dell’iscritto “verificato”, può avere, in astratto, motivazioni di carattere tecnico o di sicurezza relativamente all’esigenza di assicurare la “certezza” del voto, la stessa presenta delle forti criticità rispetto all’esigenza (se tale è, alla luce di quanto dichiarato a verbale) di garantire la riservatezza delle votazioni. I voti espressi tramite le funzionalità di e-voting offerte dalla piattaforma, infatti, vengono archiviati, storicizzati e restano imputabili a uno specifico elettore anche successivamente alla chiusura delle operazioni di voto, consentendo elaborazioni a ritroso con – in astratto – la possibilità di profilare costantemente gli iscritti sulla base di ogni scelta o preferenza espressa tramite il “sistema operativo” (siano esse relative alla scelta di un candidato ovvero all’approvazione di un’iniziativa politica o legislativa); ciò senza che sia previsto un meccanismo di anonimizzazione o pseudonimizzazione ex post (se non immediatamente dopo l’espressione del voto almeno alla conclusione delle votazioni e delle relative verifiche), e senza che sia previsto un termine, decorso il quale, le informazioni riferibili ad interessati vengano rimosse o trasformate in forma anonima.

8.2 In proposito, per sopperire a questa condizione di possibile violazione della riservatezza, acuita dalle vulnerabilità note e da quelle comunque residuali, perché non note e potenzialmente sfruttabili da un attaccante esterno sufficientemente esperto, sarebbe necessario che il sistema di e-voting venisse riconfigurato in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche, in accordo al principio di “data protection by default” e alle previsioni di cui all’articolo 32, par. 1, lett. a) del nuovo Regolamento 679/2016, prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati (laddove per specifiche esigenze fossero presenti), una volta terminate le operazioni di voto. A tale scopo andrà modificato lo schema del database laddove prevede l’utilizzo del numero telefonico dell’iscritto in connessione ai voti elettronici espressi.

Nell’effettuare queste modifiche si potrà anche eventualmente trarre ispirazione dalle indicazioni in tema di anonimizzazione fornite dal Working Party WP29 con la Opinion 5/2014 on anonymization techniques”.

 

Leave a Reply

Your email address will not be published. Required fields are marked *