Il Provvedimento del Garante sul Data breach della piattaforma Rousseau

Premesse

Particolare risalto mediatico ha ricevuto l’attacco informatico al Sistema Rousseau, la nota piattaforma tecnologica su cui si basa il c.d. “Sistema operativo 5 stelle”, strumento di centrale importanza per consentire all’elettorato pentastellato l’espressione delle proprie scelte politiche.

Il Data breach avvenuto nell’Agosto 2017, ha comportato la sottrazione di dati personali di iscritti e simpatizzanti del movimento, estratti dal Database anagrafico della piattaforma e successivamente pubblicati su Twitter. Si è trattato di un evento che ha fornito la base per una successiva pronuncia del Garante, di indubbio interesse per comprendere, da un punto di vista operativo, quali possono essere le misure idonee a garantire un protezione ritenuta soddisfacente dall’Autorità.

L’elemento di maggiore criticità, immediatamente emerso da una prima verifica, è risultato essere la debolezza delle password d’iscrizione alla piattaforma, per l’accesso alla quale sono risultati utilizzabili codici inferiori agli 8 caratteri.

In considerazione dei potenziali rischi per la protezione dei dati personali degli interessati, il Garante ha disposto, ai sensi dell’art 157 del nuovo Codice privacy (D.Lgs 196/2003 implementato e corretto dal D.Lgs 101/2018), un’attività ispettiva presso la sede dell’Associazione Rousseau.

L’attività ispettiva del 4 e 5 Ottobre 2017 e il successivo provvedimento 548 del 21/12/2017

In seguito ad approfondita ispezione, il Garante ha rilevato la sussistenza di diverse falle nella sicurezza informatica della piattaforma.

Un primo elemento di debolezza ha riguardato la condivisione delle credenziali di autenticazione tra più soggetti, aventi l’incarico di gestire la piattaforma applicativa di supporto a Rousseau. Le modalità di assegnazione delle credenziali e dei privilegi relativi alle varie funzionalità dei siti dell’Associazione sono infatti risultate inadeguate sotto il profilo della sicurezza. La condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato. Questa circostanza crea un pregiudizio anche per il titolare che è di fatto privato della possibilità di controllare l’operato di figure tecniche così rilevanti.

In secondo luogo è stato rilevato come il software utilizzato per la creazione della piattaforma tecnologica (CMS Movable Type nella versione “Enterprise 4.31-en”, con fine vita operativa prevista dal produttore addirittura per il 31/12/2013) fosse ormai tecnicamente obsoleto e non più capace di garantire un livello di protezione ritenuto soddisfacente, esponendo i dati personali trattati a rischi di accesso abusivo.

Come già riportato in premessa, altro elemento valutato negativamente è risultato essere la mancanza di policy efficaci sulla qualità delle password, dal momento che l’Associazione faceva uso di password brevi (inferiori agli otto caratteri) e facilmente esposte alla decifrazione e ad attacchi di tipo brute force.

I vulnerablity assessment predisposti dall’Associazione Rousseau hanno inoltre evidenziato una metodologia di sviluppo software poco strutturata, non in grado di soddisfare quell’esigenza fondamentale di protezione dei dati fin dalla primissima fase di progettazione dei sistemi informativi, posta dall’art. 25 del GDPR (c.d. principio della “privacy by design”).

Altra carenza è stata rilevata nella modalità di espressione del voto online da parte degli utenti iscritti, che viene registrato in forma elettronica mantenendo uno stretto legame con i dati identificativi riferiti ai singoli votanti (associazione del numero di telefono al voto espresso). L’inconveniente, costituito dalla possibilità di tracciare a ritroso il voto espresso dagli interessati, non risulta neppure bilanciato da un adeguato sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore, che consenta successivi controlli sulla liceità dei trattamenti dati effettuati.

Nel corso dell’accertamento ispettivo l’Autorità ha inoltre chiesto informazioni in ordine ai soggetti addetti alle funzioni di “amministratore di sistema” (Wind Tre S.p.a e ITNET S.r.l.), relativamente ai sistemi software di base a servizio della piattaforma Rousseau. E’ emerso che questi soggetti trattavano dati per conto dell’Associazione senza aver ricevuto alcuna nomina di responsabile del trattamento, come invece imposto dall’art 28 del Regolamento. Questa omissione ha reso illegittimo il trattamento dati da loro effettuato, in quanto le informative inviate non menzionavano la presenza di tali soggetti terzi: ciò ha di fatto vanificato il consenso degli utenti, non regolarmente prestato.

Queste numerose criticità tecniche ed organizzative sono state rilevate dall’Autorità garante nel Provvedimento 548 del Dicembre 2017, contenente anche le misure correttive ritenute opportune, tra le quali:

• l’adozione di adeguate azioni di vulnerability assessment, allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico;
• l’utilizzo di password adeguate, non inferiori agli otto caratteri e sottoposte al controllo automatico della qualità, per l’autenticazione informatica degli utenti;
• l’adozione di misure che consentano l’auditing informatico mediante la tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema Rousseau;
• la riconfigurazione del sistema di e-voting al fine di minimizzare i rischi per i diritti e per le libertà delle persone fisiche, in accordo alle previsioni di cui all’articolo 32, par. 1, lett. a) del nuovo Regolamento 679/2016, prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto.

L’Autorità ha così prescritto all’Associazione Rousseau l’adozione di queste misure, dichiarando altresì l’illiceità del trattamento dei dati personali degli utenti, comunicati a soggetti terzi non legittimati, privi di regolare nomina.

Il nuovo Provvedimento 83 del 4/4/2019

L’adempimento del complesso di prescrizioni contenute nel Provvedimento 548 ha dato luogo ad una serie di comunicazioni tra il titolare del trattamento e l’Autorità garante, attestanti il progressivo completamento delle prescrizioni stesse.

In seguito a due richieste di proroga da parte dell’Associazione, il Garante ha proceduto con un secondo accertamento ispettivo in data 12 e 13 Novembre 2018, dal quale è scaturito il Provvedimento 83 del 4/4/19 che ha evidenziato il permanere di numerose criticità.

Per quanto sia stato riscontrato un tendenziale innalzamento dei livelli di sicurezza, permane, anzitutto, l’obsolescenza delle componenti software utilizzate (piattaforma Cms “Movable Type 4” a fronte dell’ultimo release “Type 7”), non più soggetta ad aggiornamenti da parte del produttore. Ciò ha comportato un vulerabilty assessment negativo, richiedendo la necessità di una rivalutazione complessiva delle misure di sicurezza predisposte.

Anche le misure di Auditing informatico sono risultate solo parzialmente adottate, in quanto gli accessi al database e le operazioni compiute dagli amministratori di sistema di Rousseau non sono risultate tracciabili.

Questa modalità operativa, non comportando la generazione di “auditable events” funzionali all’auditing informatico, elude le verifiche successive e comporta potenziali rischi di violazione dei dati personali degli utenti. Ciò comporta un’inosservanza di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima. Al riguardo il Provvedimento 83 ha imposto la registrazione, tramite l’uso di log, di tutte le attività e gli accessi effettuati dagli amministratori (“audit trail” misura di sicurezza di terzo livello).

Non è inoltre stato riscontrato un mutamento positivo in riferimento alla problematica delle credenziali di autenticazione con privilegi di amministratore, che sono rimaste condivise tra più soggetti. Questo aspetto comporta la mancata applicazione di una misura di sicurezza di primo livello, di fatto un presidio di base. L’autorità ha pertanto disposto l’assegnazione di credenziali ad uso esclusivo, imponendo un brevissimo tempo di adeguamento (appena 10 giorni), sintomo della rilevanza della criticità rilevata.

Infine l’Autorità ha disposto l’effettuazione di una valutazione d’impatto (DPIA) riferita alle funzionalità di “e-voting” della piattaforma, al fine di realizzare un sistema in grado di assicurare l’autenticità e la riservatezza delle espressioni di voto.

Il persistere, nonostante le proroghe richieste dall’Associazione Rousseau, delle rilevanti criticità rilevate, è stata valutata dal Garante come una violazione dell’art 32 del GDPR, disposizione che individua alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone.

La violazione di questo fondamentale obbligo di protezione ha dunque portato l’Autorità a comminare, ex art 83, paragrafo 4, lett a), una sanzione amministrativa pecuniaria di 50.000 €. Deve infatti rilevarsi come il trattamento in questione concerna anche dati particolari di cui all’art. 9 del Regolamento (parametro rilevante ai sensi dell’art. 83, paragrafo 1, lettera g), la violazione si sia protratta per un tempo significativo, interessando un rilevante numero di soggetti, si sia fatto ricorso a misure tecniche e organizzative carenti, nonché a dispositivi e sistemi ormai obsoleti.