L’esigenza di investire in sicurezza informatica e formazione. Riflessione a margine del caso #Rousseau

di Davide Mula* La nuova piattaforma del Movimento 5 Stelle, denominata #Rousseau, presentata lo scorso 1° agosto, si sta dimostrando particolarmente vulnerabile.

Dopo il primo attacco “benevolo” realizzato il 2 agosto dall’hacker Evariste Gal0is che si è limitato ad allertare i gestori della piattaforma e gli utenti tramite social sulla vulnerabilità del sistema, oggi è stata data notizia di un nuovo colpo riuscito.

L’hacker r0gue_0 ha, infatti, pubblicato su ZeroBin, rilanciando il tutto su Twitter, moltissimi dati, costituiti principalmente da anagrafiche, mail, luogo di residenza e importi delle donazioni.

La notizia del primo attacco è stata commentata dagli esponenti del Movimento segnalando che ad essere stata presa di mira era la prima versione della piattaforma e i dati diffusi oggi da r0gue_0 sembrano confermare tale ricostruzione nella misura in cui si riferiscono a donazioni avvenute nel 2016. Se l’hacker avesse voluto “provare” l’attualità della falla ben avrebbe potuto pubblicare i dati delle più recenti donazioni (difficile dubitare che in tre giorni non si sia stata neanche una donazione).

Dai dati emerge, va detto per chiarezza, esclusivamente la fuoriuscita di dati, non anche la possibilità che gli hacker siano in grado di riscrivere le informazioni, attività che dovrebbero poter effettuare per modificare le votazioni. Certo anche conoscere come i vari utenti votano può essere uno strumento, specie in epoca di big data, per capire come meglio indirizzare le scelte politiche per avere maggiore successo, ma si parla sempre di voti che, per quanto condizionati “psicologicamente”, sono liberamente espressi.

Senza, dunque, voler entrare nel merito dell’affidabilità del sistema tecnologico prescelto per le votazioni online il rischio concreto al momento pare essere per i dati che sono stati visualizzati e copiati nel corso degli attacchi.

La divulgazione dei nomi e delle informazioni sui sostenitori del Movimento integra, infatti, un’ipotesi di data breach sulla quale da diversi anni l’Autorità Garante per la protezione dei dati personali ed l’Article 29 Working Party insistono da tempo [I casi e gli adempimenti previsti dai provvedimenti del Garante [doc. web nn. 2388260, 3556992, 4084632 e 4129029] sono riassunti in una infografica che offre un prospetto sintetico sulla materia].

Tutto ciò suscita una riflessione.

Dall’adozione della direttiva n. 95/46/CE all’imminente entrata in vigore del Regolamento UE n. 679/2016 i titolari del trattamento hanno imparato a redigere informative, cookie e privacy policy ineccepibili, insomma a dare sempre un’immagine seria e rispettabile. Così sono proliferati gli esperti di privacy che per pochi euro offrono un’informativa impeccabile, senza però verificarne la veridicità. È possibile affermare che un soggetto è “a norma”, rectius “compliance”, e che è dotato “dei più evoluti sistemi di sicurezza”, senza aver verificato se sul pc sono presenti firewall e antivirus?

Il problema è culturale e su questo il Garante sta lavorando molto e con grande attenzione: oltre l’adempimento formale ciò che conta è la consapevolezza da parte di chi tratta i dati dell’esigenza di tutelare in concreto i dati dei propri “utenti”. La spesa per la sicurezza informatica non è un costo, ma un investimento.

Il rischio è che, come per la piattaforma Rousseau, si lascino troppe “finestre” aperte dalle quali sia possibile sbirciare nei database, consentendo di capire come scardinare la porta di accesso. Un sistema informatico aziendale o amministrativo permette di efficientare l’attività lavorativa, ma non può essere privo di adeguati presidi di salvaguardia.

Al tempo stesso non è sufficiente nominare il dipendente “incaricato al trattamento”, ma è un obbligo, morale prima che giuridico, istruirlo non solo su come lavorare correttamente, ma soprattutto su come correttamente custodire i dati personali degli “utenti”.

Il rischio è, infatti, quello di affrontare il problema dopo che il danno si è realizzato.

Chi tratta i dati è oggi chiamato, anche in forza del principio di accountability declinato nel Regolamento n. 679/2016, a rispondere alla domanda che proprio Jean Jacques Rousseau pone ai lettori dell’opera “Le passeggiate del sognatore solitario”: È sufficiente non esser mai iniquo per essere sempre innocente?

*Avvocato, Docente di Informatica Giuridica presso l’Università Europea di Roma, Fellow di Iaic