le multe(sono più di una e in tempi diversi , perchè chi di dovere non ottemperava) sono state date per obiettive falle di sicurezza e non ottemperamenti nel chiuderle (alcune sembrano non risolvibili intrinsecamente a causa della progettazione all'origine)...grazie al cielo oggi vige il GDPR, che non è solo una legge sulla privacy, ma , indirettamente, se vuoi, ha implicazioni fortissime sulla sicurezza. legge europea, che il garante deve fare rispettare
Molte non conformità (soprattutto per quanto riguarda la privacy) sono state sanate rispetto all'inizio dell'indagine del garante (quella più problematica la mancata crittografia dei dati utenti e le modalità di registrazione/accesso).
Oltre qualche azione correttiva per rendere effettivamente anonimo il voto on-line, restano quelle che si erano già evidenziate un anno e mezzo fa:
- l'obsolescenza della piattaforma (complessa da sanare) basata su Movable Type 4 che non riceve più aggiornamenti da metà 2013 (siamo ormai alla versione 7) e che presenta vulnerabilità tali da rendere la piattaforma poco protetta, soprattutto da attacchi esterni;
- due tipologie di accesso a livello amministrativo, una riservata alla società informatica che gestisce il sistema ed una riservata agli amministratori di Rousseau che non è conforme sui log (difficile risalire dai log su chi ha fatto cosa, scambio di credenziali tra amminstratori, etc...) che rendono possibili modifiche dall'interno.
Provvedimento su data breach - 4 aprile 2019 [9101974] - Garante Privacy
[...]
secondo me questo resoconto,mostra , chiaramente, quanto sia maledettamente complicato, anche con le migliori intenzioni, creare un sistema di voto elettronico, sicuro, affidabile, univoco, inalterabile. caratteristiche obbligatorie per una questione del genere
Nel Hackathon al Villaggio Rousseau a Milano, il 9 Marzo scorso, si è parlato di introduzione della blockchain per il voto ed è stato presentato un progetto (molto embrionale) in cui, in pratica, è stato fatto un fork di Monero (monerujo, rinominato voting-chain).
associazione-rousseau * GitHub
I dettagli non ci sono ancora, anche se non è chiaro perchè si sia fatto un
fork di progetti esistenti (che poi richiede competenze per essere gestito) anzichè contribuire all'implementazione originale. Inoltre non sono stati forniti dettagli (per quanto ne so) sulle modalità di registrazione/validazione del voto.
La questione della validazione è centrale, perchè la
blockchain (che è un ottimo metodo di creazione, validazione, conservazione e protezione crittografata di un data-base dinamico), per funzionare correttamente, deve basarsi su una rete di validazione decentralizzata (molti utenti diversi devono 'confermare' la correttezza del blocco che viene aggiunto alla blockchain). Se invece la validazione del singolo blocco fosse affidata ad un ente 'centrale', quell'unico ente sarebbe in grado di modificare la
blockchain (nel caso in esame manipolare i risultati della votazione).
Resta comunque, come confermato dall'analisi del sistema di voto basato su blockchain presentato da Swiss Post
, il problema della gestione e dell'anonimizzazione del voto che implica un sistema molto complesso, molto difficile da valutare perfino da chi, su quello, deve fare
auditing.
Experts Find Serious Problems With Switzerland's Online Voting System - Motherboard
