M5S
6:50 pm, 4 Aprile 19 calendario

“Rousseau vulnerabile” Il Garante multa: 50mila euro

Di: Redazione Metronews
condividi

Gli aspetti di sicurezza della piattaforma Rousseau sono stati “migliorati in modo significativo” ma “residuano alcune importanti vulnerabilità rispetto alle quali l’Autorità è tenuta ad intervenire”. E’ uno dei passaggi chiave del ‘provvedimento su data breach’ adottato dall’Autorità garante per la protezione dei dati personali al termine di una lunga istruttoria. L’Associazione Rousseau, responsabile del trattamento, dovrà pagare una sanzione di 50 mila euro.
Voto a rischio.  “La piattaforma Rousseau non gode delle proprietà richieste a un sistema di evoting, che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico”: essa “non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività”. E’ quanto scrive l’Autorità garante per la protezione dei dati personali nel ‘provvedimento su data breach” varato oggi.     Per il Garante, “le misure adottate, consistenti in procedure organizzative o comunque non basate su automatismi informatici, lasciando esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva cosiddetta ‘certificazione’ dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni all’estrazione di copie anche offline), non garantiscono l’adeguata protezione dei dati personali relativi alle votazioni online”. 
Il Garante. Il Garante ingiunge all’Associazione Movimento 5 Stelle e all’Associazione Rousseau, quale responsabile del trattamento, di provvedere:
    1. “a completare l’adozione delle misure necessarie di auditing informatico, prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute, entro il termine di 60 giorni dalla ricezione del presente provvedimento”;
    2. “a rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018,  ovvero provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento”;
    3. “entro il termine di 120 giorni dalla ricezione del presente provvedimento, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, ad una rivisitazione complessiva delle iniziative di sicurezza adottate, alcune delle quali risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato”;
    4. “all’effettuazione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Solo in base ad una rigorosa progettazione e a una attenta valutazione dei rischi è, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’ autenticità e la riservatezza delle espressioni di voto”.
Sicurezza. “Tali termini – ricorda il provvedimento – sono commisurati tenendo conto dell’urgenza di assicurare l’integrità, resilienza e sicurezza di una piattaforma, quale quella in esame, utilizzata per l’esercizio dei diritti politici dei cittadini”.

4 Aprile 2019
© RIPRODUZIONE RISERVATA
Il giornale
Più letto del mondo