M5S, Garante Privacy ‘Con Rousseau violazione dati personali utenti e voto non segreto’

I siti web riconducibili al Movimento 5 Stelle violano la privacy degli utenti. A questa conclusione è giunta l’Autorità Garante per la protezione dei dati personali chiudendo l’istruttoria aperta a seguito del Data breach subìto, nei primi giorni di agosto 2017, dalla piattaforma ‘Rousseau’. Nel provvedimento si legge che il Garante ha ravvisato “l’illiceità del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle” perché non erano state designate come responsabili del trattamento medesimo le due società (Wind Tre S.p.A. e ITNET) che effettivamente gestiscono e trattano i dati degli iscritti. Per questo motivo l’Autorità si riserva di verificare, con autonomo procedimento, eventuali sanzioni amministrative per violazione del Codice della privacy (art. 162 comma 2bis d.lg. 30 giugno 2003 n.196).

 

‘La piattaforma Rousseau e il Blog Beppe Grillo non sicuri perché utilizzano software obsoleti’

 

Il Garante privacy, attraverso le segnalazioni, gli accertamenti ispettivi presso l’Associazione Rousseau, l’esame delle risultanze dei vulnerability assessment e l’analisi tecnica su tutto il materiale di cui è potuta venire a conoscenza ha scoperto che www.movimento5stelle.it, parte della piattaforma https://rousseau.movimento5stelle.it e il blog di Beppe Grillo sono stati facilmente oggetto di attacchi informatici perché i software utilizzati per la gestione dei contenuti sono obsoleti, addirittura per uno il produttore individuava nel 31 dicembre 2013 la data di “fine vita”. Ecco con precisione cosa è emerso in merito al Garante Privacy:

  • Il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di “fine vita” delle versioni 4.3x). Il blog beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro.  Le obsolescenze dei CMS (sistemi di gestione dei contenuti), oltre a esporre i dati personali trattati a rischi di accesso abusivo (rischi derivanti dalle vulnerabilità informatiche già note e segnalate dallo stesso produttore), ha condizionato l’efficacia di alcuni accorgimenti tecnici adottati successivamente dall’Associazione a seguito delle intrusioni informatiche; ad esempio il portale non realizzava policy efficaci sulla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione  e ad attacchi di tipo brute force anche in modalità interattiva online.

 

‘Su Rousseau il voto non è segreto, ma è tracciato con nominativo e cellulare’

 

Nella sua istruttoria il Garante Privacy ha anche scoperto che il voto è sempre tracciato nel database Rousseau, la piattaforma utilizzata, tra l’altro, dal Movimento 5 Stelle per le votazioni online (parlamentarie del 2012 e la recente scelta del candidato premier con la vittoria di Luigi Di Maio). Infatti nel provvedimento si può leggere:

  • “…nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente (come del resto confermato dal dottor Casaleggio in sede ispettiva, cfr. verbale 5 ottobre 2017) al rispettivo iscritto-votante. Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti. La possibilità di tracciare a ritroso il voto espresso dagli interessati non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell’archivio elettronico.

 

Cosa devono fare Belle Grillo e Casaleggio Associati per mettersi in regola con la privacy degli iscritti ai siti del Movimento?

Entro 30 giorni dal provvedimento il Garante Privacy ha prescritto nei confronti dei titolari del trattamento dei siti web riferibili al Movimento 5 Stelle (blog di Beppe Grillo compreso) le misure necessarie per adeguarsi al Codice della privacy e si riserva di verificare la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative dello stesso Codice.

 

 

© 2002-2018 Key4biz

author
Author: 
    a scuola studenti distratti, depressi e aggressivi
    a scuola studenti distratti, depressi e aggressivi
    Lo smartphone in classe viene utilizzato principalmente
    Come recuperare chat cancellate WhatsApp cancellate
    Come recuperare chat cancellate WhatsApp cancellate
    Dopo aver eliminato per sbaglio dei messaggi
    WhatsApp Business: come funziona
    WhatsApp Business: come funziona
    Qualche tempo fa vi parlammo delle spunte

    Leave a reply "M5S, Garante Privacy ‘Con Rousseau violazione dati personali utenti e voto non segreto’"

    Must read×

    Top
    %d bloggers like this: