Rousseau, Garante privacy: «Sicurezza non testata»

Nuovo provvedimento del Garante
Rousseau è una piattaforma web sicura e adeguata a ospitare votazioni online?
Secondo il Garante della privacy la risposta è no. 
Poche ore prima che partisse la consultazione online sul contratto di governo, infatti, il presidente dell'Autorità per la protezione dei dati personali Antonello Soro ha pubblicato un provvedimento in cui chiede la verifica puntuale di tutte le prescrizioni che aveva segnalato il 21 dicembre scorso e per cui Davide Casaleggio aveva chiesto una proroga. In quell'occasione il Garante metteva in mora la piattaforma e ne prescriveva esplicitamente una ristrutturazione tecnologica profonda prima di poter tornare all'interazione con gli iscritti. È stato fatto? No, segnala il Garante.

In particolare il sistema delle password non è sicuro e quindi i dati sensibili e la tracciabilità del voto sono ancora esposti a rischio, ovvero a fenomeni di data breach. Casaleggio ha aggiornato la procedura di iscrizione e registrazione delle password con il sistema ReCaptcha (quello che impone la lettura e la trascrizione di lettere e numeri da parte dell'utente che cercando di decifrare segni alfanumerici graficamente alterati può provare di non essere un robot ma un umano) e con controllo di lunghezza e qualità delle parole chiave. Ma non basta perché lo ha fatto solo per i nuovi iscritti mentre avrebbe dovuto «piuttosto intraprendere una campagna di invito alla modifica della password nei confronti degli interessati già iscritti, prevedendo l'obbligo di attuare tale modifica alla prima sessione di collegamento utile attivata con le credenziali (tuttora) deboli».

Le verifiche e il rafforzamento delle misure di protezionr dei datu andavano fatte prima, anche per permettere ai tecnici dell'Autorità di testarne l'esito. Il 21 dicembre infatti iI Garante scriveva: «I futuri sviluppi della piattaforma Rousseau e degli altri strumenti on-line del Movimento dovranno sempre essere validati sul piano della sicurezza informatica da adeguate azioni di vulnerability assessment attuate precedentemente alla messa in esercizio, allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico».
Venerd├Č 18 Maggio 2018 - Ultimo aggiornamento: 11:28

© RIPRODUZIONE RISERVATA

COMMENTA LA NOTIZIA
0 di 0 commenti presenti
QUICKMAP