La piattaforma Rousseau ancora non è sicura e capace di garantire la privacy dei suoi iscritti. E' quanto evidenzia il Garante della privacy in un provvedimento datato 16 maggio che, se da un lato riconosce le migliorie apportate negli ultimi mesi alla sicurezza dei dati degli utenti, dall'altro mette in luce alcune delle criticità che ancora caratterizzano il sistema operativo del M5S, finito più volte nel mirino di attacchi hacker. Una serie di lacune che potrebbero risultare pericolose, soprattutto in vista del voto online in programma oggi fino alle 20, che consentirà agli iscritti di votare il contratto di governo giallo-verde.
Tra le criticità riscontrate vi sono innanzitutto quelle riguardanti il sistema di autenticazione degli utenti che, secondo il Garante, risulta "solo parzialmente soddisfatto". "Le misure relative alla lunghezza delle password e al controllo di qualità non possono essere limitate ai nuovi iscritti e agli interessati che spontaneamente modifichino la password - spiega l'Authority - ma occorre piuttosto intraprendere una campagna di invito alla modifica della password nei confronti degli interessati già iscritti, prevedendo l'obbligo di attuare tale modifica alla prima sessione di collegamento utile attivata con le credenziali (tuttora) deboli".
Un'altra lacuna riguarda invece la policy per l'individuazione preventiva di falle nei servizi online offerti dal Movimento, "allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico", che secondo il Garante "può essere considerata temporaneamente soddisfacente" ma "deve essere integrata con l'indicazione dell'operatore (società o professionista) che ha condotto l'assessment e dagli esiti di tale attività in forma di report tecnico". La falla più grave, però, resta tuttora quella relativa alla protezione dei dati sensibili degli utenti, dunque degli iscritti votanti.
Tanto che il Garante, in un precedente provvedimento del 21 dicembre, aveva chiesto l'adozione di misure di "auditing" che garantissero "la tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema Rousseau" proprio allo scopo di "fornire maggiori garanzie a tutela degli iscritti votanti, in accordo al principio di trasparenza che dovrebbe caratterizzare un sistema di e-voting". Una serie di misure necessarie dunque per la sicurezza informatica degli iscritti che, ricorda l'Authority, dovranno essere attuate entro il 30 settembre 2018.
