Il 2017 dei siti del Movimento 5 Stelle è stato caratterizzato dal cosiddetto “hack5stelle” e dalle falle di sicurezza di cui erano stato avvisati molti anni prima. Durante il corso dell’estate era stata aperta un’istruttoria in seguito alla violazione da parte di R0gue_0 dei siti e la successiva diffusione di informazioni che dovevano essere tutelati dai diretti interessati, il 21 dicembre 2017 arriva il provvedimento del Garante dove vengono riportate le illiceità relative al trattamento dei dati personali. Partiamo dall’introduzione utile a far comprendere a chi non conosce la storia (ricostruita già nei miei articoli) come è nata e perché:
Nel primi giorni del mese di agosto 2017 si è avuta notizia di un attacco informatico ai danni della piattaforma tecnologica su cui si basa il c.d. “Sistema operativo 5 stelle”, il cui esito è stato reso noto da un soggetto non identificato che ha annunciato tale violazione mediante una serie di messaggi diffusi sulla rete Twitter utilizzando lo pseudonimo “rogue0”; con tale identificativo dell’utenza sono apparsi sulla piattaforma social citata, a partire dal 3 agosto 2017, dati personali di iscritti o simpatizzanti del Movimento 5 Stelle, asseritamente estratti dal database anagrafico della “piattaforma Rousseau”.
La notizia ha avuto un immediato risalto mediatico – alimentato anche dall’imminenza della votazione on-line per la scelta del “candidato premier del Movimento 5 Stelle” – e hanno fatto seguito ulteriori segnalazioni, con cui alcuni cittadini lamentavano le vulnerabilità della predetta piattaforma informatica.
Successivamente, proprio in concomitanza con le predette primarie, sono pervenute all’Ufficio ulteriori segnalazioni da parte di soggetti che erano già intervenuti in rete sull’argomento, con le quali veniva evidenziata la debolezza delle misure di sicurezza nel frattempo predisposte dai gestori dei sistemi interessati per sanare i problemi sino a quel momento evidenziati. Si fa riferimento, in particolare, allo stesso utente “rogue0” che, trascorsi diversi giorni dalla prima pubblicazione, sosteneva di aver inserito dei post sul sito www.movimento5stelle.it impersonando altri utenti iscritti che ne apparivano, quindi, autori, e di aver effettuato, parimenti, il login sul sito www.beppegrillo.it utilizzando le credenziali di altri utenti su di esso registrati (tra i quali, anche alcuni deceduti).
I responsabili del trattamento dei dati personali
Viene posta con chiarezza, attraverso le dichiarazioni di Davide Casaleggio presso il Garante, chi sono i responsabili del trattamento nei rispettivi siti (Movimento5stelle.it, Rousseau.movimento5stelle.it, Blogdellestelle.it e Beppegrillo.it)
Sulla base di quanto dichiarato dal dott. Davide Casaleggio, è emerso che:
1) con riferimento al blog www.beppegrillo.it, nonché al portale www.movimento5stelle.it e alla piattaforma informatica https://rousseau.movimento5stelle.it, il titolare del trattamento è Giuseppe Piero Grillo, detto Beppe Grillo, il quale ha provveduto a nominare l’Associazione Rousseau quale responsabile del trattamento, con atto di nomina del 25 aprile 2016 (cfr. all. 3 al verbale del 5 ottobre 2017);
2) con riferimento al sito www.blogdellestelle.it, il titolare del trattamento è l’Associazione Rousseau.
Il Garante riporta una prima illiceità in merito alla mancata nomina come responsabili del trattamento di due società, la Wind Tre S.p.a. e ITNET s.r.l., che operano “le funzioni sistemistiche” dei siti:
Al riguardo, si evidenzia che la mancata designazione delle società Wind Tre S.p.A. e ITNET s.r.l. quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle, configura l’illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati; pertanto, questa Autorità, si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative di cui all’art. 162, comma 2bis del Codice.
In merito al sito Movimento5stelle.it, l’informativa ex art. 13 riporta che “i dati personali degli scritti verranno condivisi soltanto con i Responsabili del trattamento” e che “non verranno comunicati né diffusi a terzi“. La mancata nomina tra i responsabili del trattamento delle due società precedentemente indicate crea un ulteriore problema secondo il Garante:
Nel testo dell’informativa, infatti, mentre da un lato si indica l’Associazione Rousseau quale responsabile del trattamento ai sensi dell’art. 29 del Codice (designata con atto datato 25 aprile 2016 e allegato al verbale dell’accertamento ispettivo del 5 ottobre 2017), dall’altro, non è fatta menzione delle società Wind Tre S.p.A. e ITNET s.r.l. cui i dati personali degli utenti vengono comunicati, ed è anzi riportato che “i dati non verranno diffusi né comunicati a terzi” (cfr. par. 3).
Pertanto, risultando la predetta informativa parzialmente inidonea rispetto al dettato normativo di cui all’art. 13, comma 1, lett. d) del Codice, l’Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l’eventuale contestazione della sanzione amministrativa di cui all’art. 161 del Codice.
La sicurezza informatica di Rousseau
Che gli attacchi siano stati effettuati non vi è alcun dubbio, lo stesso Davide Casaleggio l’8 settembre 2017 aveva presentato denuncia in merito. Nel testo del provvedimento si conferma anche il furto dei dati personali degli iscritti:
In risposta ad alcune richieste di informazioni formulate da questa Autorità – a partire dal 10 agosto 2017 – nei confronti della Casaleggio & Associati s.r.l. (soggetto cui inizialmente sembravano riferibili i trattamenti in questione), il dott. Davide Federico Casaleggio, legale rappresentante della predetta società e che tuttavia, nella vicenda in esame, ha precisato di rispondere in qualità di legale rappresentante dell’Associazione Rousseau, con le note del 28 agosto e 21 settembre 2017, nel confermare che il sistema Rousseau e il blog www.beppegrillo.it avevano subìto una intrusione nei rispettivi server (dai quali erano stati sottratti dati personali degli iscritti), ha comunicato di avere presentato un esposto presso gli Uffici della Polizia Postale e delle Comunicazioni di Milano (cui ha fatto seguito una denuncia querela presentata l’8 settembre 2017) e di avere intrapreso azioni volte a migliorare la sicurezza informatica dei sistemi, la cui capacità di “resistenza” ad attacchi malevoli è stata oggetto di analisi e verifica da parte di tre società specializzate impegnate in attività di vulnerability assessment.
Il Garante riporta le evidenti vulnerabilità della piattaforma Rousseau a causa di un CMS obsoleto come Movable Type 4.31:
a) il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di “fine vita” delle versioni 4.3x). Il blog www.beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro.
Si conferma che gli “accorgimenti” adottati in seguito alle prime intrusioni si sono rivelate inutili a causa delle obsolescenze dei CMS, oltre alla possibilità di decifrazione delle password:
Le obsolescenze dei CMS (sistemi di gestione dei contenuti), oltre a esporre i dati personali trattati a rischi di accesso abusivo (rischi derivanti dalle vulnerabilità informatiche già note e segnalate dallo stesso produttore), ha condizionato l’efficacia di alcuni accorgimenti tecnici adottati successivamente dall’Associazione a seguito delle intrusioni informatiche; ad esempio il portale non realizzava policy efficaci sulla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione e ad attacchi di tipo brute force anche in modalità interattiva online;
Le misure richieste per garantire la sicurezza
Il Garante ha richiesto, al fine di garantire le misure di sicurezza necessarie, i seguenti accorgimenti:
- le password relative alle utenze degli iscritti ai siti del Movimento non dovranno essere inferiori a otto caratteri;
- l’adozione di algoritmi crittografici robusti per la conservazione delle password;
- sviluppare un sistema che imponga un numero limitato di tentativi di accesso con la password erronea, impedendo gli attacchi brute force interattivi;
- prescrivere l’adozione del protocollo HTTPS
Il voto non segreto e i limiti di controllo
Il Garante dedica un intero punto alle problematiche legate al voto elettronico online, specificando con chiarezza (grazie anche alla conferma da parte di Davide Casaleggio) che non risulta affatto segreto e che è possibile risalire ad ogni singolo voto di ogni singolo iscritto tramite il numero di telefono:
c) con riferimento al database Rousseau, il documento trasmesso all’Autorità recante “Estratto delle tabelle principali di Rousseau”, ha permesso di valutare alcuni aspetti relativi alla riservatezza delle operazioni di voto elettronico svolte tramite la piattaforma; in particolare, l’esame delle predette tabelle ha mostrato come l’espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti; nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente (come del resto confermato dal dottor Casaleggio in sede ispettiva, cfr. verbale 5 ottobre 2017) al rispettivo iscritto-votante.
Le motivazioni riguarderebbero questioni di sicurezza, ma il Garante evidenzia delle mancanze riguardo i log degli accessi e delle operazioni svolte:
Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti. La possibilità di tracciare a ritroso il voto espresso dagli interessati non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell’archivio elettronico.
In tal senso il Garante ha richiesto specifici accorgimenti:
Con riferimento alle misure di auditing per la verifica della liceità dei trattamenti compiuti dagli incaricati dotati di profili di autorizzazione ampi e speciali, allo scopo di fornire maggiori garanzie a tutela degli iscritti votanti, in accordo al principio di trasparenza che dovrebbe caratterizzare un sistema di e-voting, si ritiene necessario prescrivere l’adozione di misure che consentano l’auditing informatico mediante la tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema Rousseau, attuando gli accorgimenti di cui al provvedimento generale del Garante del 27 novembre 2008 in tema di amministratori di sistema (doc. web 1577499).
Pur riportando tale richieste, il Garante conferma che la riconducibilità della votazione di ogni singolo utente viene archiviata nel database anche a chiusura delle operazioni di voto e senza che sia previsto un termine garantendone poi l’anonimato, consentendo in tal senso la possibilità di “disegnare un profilo” (“profilare“) di ogni iscritto sulla base delle loro scelte o preferenze:
I voti espressi tramite le funzionalità di e-voting offerte dalla piattaforma, infatti, vengono archiviati, storicizzati e restano imputabili a uno specifico elettore anche successivamente alla chiusura delle operazioni di voto, consentendo elaborazioni a ritroso con – in astratto – la possibilità di profilare costantemente gli iscritti sulla base di ogni scelta o preferenza espressa tramite il “sistema operativo” (siano esse relative alla scelta di un candidato ovvero all’approvazione di un’iniziativa politica o legislativa); ciò senza che sia previsto un meccanismo di anonimizzazione o pseudonimizzazione ex post (se non immediatamente dopo l’espressione del voto almeno alla conclusione delle votazioni e delle relative verifiche), e senza che sia previsto un termine, decorso il quale, le informazioni riferibili ad interessati vengano rimosse o trasformate in forma anonima.
Questa situazione viene considerata come possibile violazione della riservatezza che metterebbe a rischio i diritti e le libertà degli utenti:
8.2 In proposito, per sopperire a questa condizione di possibile violazione della riservatezza, acuita dalle vulnerabilità note e da quelle comunque residuali, perché non note e potenzialmente sfruttabili da un attaccante esterno sufficientemente esperto, sarebbe necessario che il sistema di e-voting venisse riconfigurato in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche, in accordo al principio di “data protection by default” e alle previsioni di cui all’articolo 32, par. 1, lett. a) del nuovo Regolamento 679/2016, prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati (laddove per specifiche esigenze fossero presenti), una volta terminate le operazioni di voto. A tale scopo andrà modificato lo schema del database laddove prevede l’utilizzo del numero telefonico dell’iscritto in connessione ai voti elettronici espressi.
Ciò che viene riportato dal Garante ricorda i timori espressi dal libro “Supernova” di Marco Canestrari e Nicola Biondo:
Dall’altro, sapere come la pensino gli iscritti di un certo territorio, su un determinato tema, o perfino gli stessi parlamentari, è un vantaggio competitivo non indifferente sia verso l’interno che verso l’esterno, per chiunque voglia guidare il partito: Di Maio, se vuole prendere in mano le redini del MoVimento, deve avere accesso a quei dati. Sapere chi, nel gruppo parlamentare, ha votato pro o contro il direttorio, pro o contro l’abolizione del reato di clandestinità, pro o contro le unioni civili, per esempio, farebbe la differenza.
