Il voto su Rousseau non è sicuro e il Garante Privacy impone alla piattaforma del MoVimento 5 Stelle il pagamento di una sanzione da 50.000 euro. Questa, in sintesi, la natura del provvedimento comunicato oggi dall’Autorità che reca la firma, tra gli altri, del presidente Antonello Soro. Le reazioni a caldo sono prettamente di natura politica, ma l’intervento del Garante sembra andare oltre questo tipo di disamina, soffermandosi ad un piano strettamente tecnico: sussistono rischi e prescrizioni che non sono stati tenuti in debita considerazione, tali da costringere l’Authority alle indagini prima ed alla bocciatura poi.
Garante Privacy e Rousseau
La piattaforma della Casaleggio Associati, offerta agli iscritti del M5S come strumento di democrazia diretta, è stata oggetto di un’istruttoria durata complessivamente due anni. Sotto esame i metodi impiegati per garantire la sicurezza delle informazioni raccolte, elaborate e immagazzinate, diverse volte messa in ginocchio da una serie di attacchi, l’ultimo dei quali risalente solo a pochi mesi fa ad opera di R0gue_0. Alla questione politica (la piattaforma per la democrazia diretta del Movimento è qualcosa che più volte i partiti rivali hanno messo nel mirino) si sono aggiunte una questione di opportunità ed una di sicurezza, sfociate nella sanzione del Garante.
Il voto non è segreto
Tra le maglie delle indagini sono stati valutati anche i sistemi approntati per gestire le fasi di voto attraverso le quali il MoVimento 5 Stelle si esprime su questioni sia interne sia legate alla politica nazionale. Sono emerse criticità tali da non poter certificare la segretezza delle operazioni: rinvenute informazioni sufficienti per collegare l’ID degli iscritti alle singole preferenze registrate. Non sono nemmeno state soddisfatte le indicazioni già fornite dal Garante in merito alle misure di auditing da integrare al fine di verificare il corretto funzionamento del sistema e la sua conformità alle modalità di trattamento dei dati previste dalle normative vigenti.
… la piattaforma Rousseau non gode delle proprietà richieste a un sistema di e-voting … che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico.
C’è il rischio di abusi
Altro punto toccato è quello relativo all’attività degli amministratori, non identificabili per via delle modalità attuate nella creazione e distribuzione delle credenziali. Si parla in modo esplicito dei rischio di abusi che, tradotto, significa manipolazione dei dati raccolti.
… non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione (in particolare, degli amministratori di sistema e dei DBA – data base administrators), né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività.
Sanzione da 50.000 euro
All’Associazione Rousseau è dunque stato imposto il pagamento di una sanzione da 50.000 euro oltre all’obbligo di adeguare la piattaforma sulla base delle indicazioni fornite, intervenendo laddove necessario sulle criticità rilevate al fine di garantirne un funzionamento scevro dai rischi fino ad oggi rilevati e segnalati.
Pertanto, accertata la responsabilità, per la predetta violazione, dell’Associazione Rousseau quale responsabile del trattamento, in considerazione di quanto disposto dall’articolo … si ingiunge alla suddetta associazione, quale trasgressore, ai sensi dell’art. … del Regolamento, il pagamento di euro 50.000, quale sanzione ritenuta adeguata…