Riportiamo frasi dal provvedimento. Il risultato è comprensibile solo per i tecnici amministratori e del settore, non certo per un pubblico di utenti web. Il testo completo al link
a) Log applicativi
ok
b) Log del database
il sistema attuale non permette la registrazione degli accessi e delle operazioni compiute sul database a causa delle limitazioni presenti nella edizione (community edition) del pacchetto mysql installato
c) Piattaforma di raccolta e correlazione dei log
ok
d) Protezione e conservazione dei log
ok
e) Amministratori di sistema
"Tale elenco ha messo in evidenza l’esistenza di credenziali di autenticazione, con privilegi amministrativi, condivise da più soggetti con la qualifica di amministratore di sistema."
"privilegi di amministrazione, ciascuna condivisa tra più persone (tre nel primo caso e due nel secondo caso)"
...
l’Autorità, pur ritenendo che nel complesso sia stato realizzato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti effettuati nell’ambito dei siti web oggetto del provvedimento del 21 dicembre 2017, deve tuttavia...
Moveable Type è aggiornato, ma vecchio di due mesi ... Tale circostanza rende estremamente difficoltoso il patching dei sistemi online realizzati sulla piattaforma Cms, l’adozione di accorgimenti ad hoc e l’intervento, realisticamente non tempestivo,
... ’interfaccia XX, questa non consente di tracciare adeguatamente gli accessi al database né, tantomeno, di tracciare le operazioni compiute sul database in lettura o in modifica. ...
... assenza di adeguate procedure di auditing informatico...
...pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing....
4.1 Al riguardo, ai sensi dell’art. 58, comma 2, lett. d) del Regolamento, il Garante ingiunge all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento, di provvedere :
1. a completare l’adozione delle misure necessarie di auditing informatico previste al par. 7, lett. E, del provvedimento n. 548, prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute (cfr. punti 2.1 e 3.3), entro il termine di 60 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;
2. a rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018, come evidenziata ai punti 2.1 lett. e) e 3.5 - ovvero provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;
3. entro il termine di 120 giorni dalla ricezione del presente provvedimento, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, ad una rivisitazione complessiva delle iniziative di sicurezza adottate (cfr. par. 3.1 sulle “Attività di vulnerability assessment”),alcune delle quali, per quanto conformi, in termini di stretto adempimento, alle prescrizioni di cui al par. 7, lett. A del provvedimento n. 548 del 2017, risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato (CMS - Movable Type 4). L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;
4. all’effettuazione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Solo in base ad una rigorosa progettazione e a una attenta valutazione dei rischi è, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’ autenticità e la riservatezza delle espressioni di voto. Le conclusioni della valutazione d’impatto dovranno pervenire a questa Autorità entro 70 giorni dalla ricezione del presente provvedimento. L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.
Tali termini sono commisurati tenendo conto dell’urgenza di assicurare l’integrità, resilienza e sicurezza di una piattaforma, quale quella in esame, utilizzata per l’esercizio dei diritti politici dei cittadini.