I siti web riconducibili al Movimento 5 Stelle violano la privacy degli utenti. A questa conclusione è giunta l’Autorità Garante per la protezione dei dati personali chiudendo l’istruttoria aperta a seguito del Data breach subìto, nei primi giorni di agosto 2017, dalla piattaforma ‘Rousseau’. Nel provvedimento si legge che il Garante ha ravvisato “l’illiceità del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle” perché non erano state designate come responsabili del trattamento medesimo le due società (Wind Tre S.p.A. e ITNET) che effettivamente gestiscono e trattano i dati degli iscritti. Per questo motivo l’Autorità si riserva di verificare, con autonomo procedimento, eventuali sanzioni amministrative per violazione del Codice della privacy (art. 162 comma 2bis d.lg. 30 giugno 2003 n.196).
‘La piattaforma Rousseau e il Blog Beppe Grillo non sicuri perché utilizzano software obsoleti’
Il Garante privacy, attraverso le segnalazioni, gli accertamenti ispettivi presso l’Associazione ‘Rousseau’, l’esame delle risultanze dei vulnerability assessment e l’analisi tecnica su tutto il materiale di cui è potuta venire a conoscenza ha scoperto che www.movimento5stelle.it, parte della piattaforma https://rousseau.movimento5stelle.it e il blog di Beppe Grillo sono stati facilmente oggetto di attacchi informatici perché i software utilizzati per la gestione dei contenuti sono obsoleti, addirittura per uno il produttore individuava nel 31 dicembre 2013 la data di “fine vita”. Ecco in merito cosa è emerso, con precisione, al Garante Privacy:
- Il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di “fine vita” delle versioni 4.3x). Il blog beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro. Le obsolescenze dei CMS (sistemi di gestione dei contenuti), oltre a esporre i dati personali trattati a rischi di accesso abusivo (rischi derivanti dalle vulnerabilità informatiche già note e segnalate dallo stesso produttore), ha condizionato l’efficacia di alcuni accorgimenti tecnici adottati successivamente dall’Associazione a seguito delle intrusioni informatiche; ad esempio il portale non realizzava policy efficaci sulla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione e ad attacchi di tipo brute force anche in modalità interattiva online.
‘Su Rousseau il voto non è segreto, ma è tracciato con nominativo e cellulare’
Nella sua istruttoria il Garante Privacy ha anche scoperto che il voto è sempre tracciato nel database Rousseau, la piattaforma utilizzata, tra l’altro, dal Movimento 5 Stelle per le votazioni online (parlamentarie del 2012 e la recente scelta del candidato premier con la vittoria di Luigi Di Maio). Infatti nel provvedimento si può leggere:
- “…nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente (come del resto confermato dal dottor Casaleggio in sede ispettiva, cfr. verbale 5 ottobre 2017) al rispettivo iscritto-votante. Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti. La possibilità di tracciare a ritroso il voto espresso dagli interessati non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell’archivio elettronico”.
Cosa devono fare Belle Grillo e Casaleggio Associati per rispettare (completamente) la privacy degli iscritti ai siti del Movimento? In attesa di eventuali sanzioni
Entro 30 giorni dal provvedimento il Garante Privacy ha prescritto nei confronti dei titolari del trattamento dei siti web riferibili al Movimento 5 Stelle (blog di Beppe Grillo compreso) le misure necessarie per adeguarsi al Codice della privacy e si riserva di verificare la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative dello stesso Codice.
La replica del M5S
Il M5S si difende così:
“In seguito all’attacco hacker dello scorso mese di agosto sono già state attivate le procedure per mettere in sicurezza il sistema Rousseau e la polizia postale ha condotto un’indagine sugli autori degli attacchi“, ha dichiarato l’associazione Rousseau – controllata dalla Casaleggio Associati – che gestisce la piattaforma di democrazia partecipativa dei Cinque Stelle, “a tal riguardo le richieste e le raccomandazioni del Garante per la privacy sono già state accolte”, conclude la nota.
I possibili sviluppi
Se attraverso il portale del Movimento 5 Stelle e la piattaforma ‘Rousseau’ è stato commesso un trattamento illecito dei dati personali degli iscritti allora non sono valide tutte le votazioni svolte online, dalle parlamentarie del 2012 alle ultime che hanno decretato Luigi Di Maio candidato premier del Movimento? Attendiamo la conclusione dei procedimenti avviati dal Garante Privacy per conoscere le eventuali sanzioni amministrative e nel caso di fattispecie penale sarà allora l’autorità giudiziaria a pronunciarsi. Il giudice potrebbe anche dichiarare non valide tutte le votazioni indette dal Movimento online? Può sembrare fantapolitica o dietrologia, ma è una domanda lecita visto il provvedimento del Garante.
