17 luglio 2019
Sicurezza dei sistemi di voto su Internet: in Francia, la CNIL aggiorna la sua raccomandazione del 2010
Con l’entrata in vigore del Regolamento UE 2016/679 e in applicazione ad esso, la CNIL in seguito ad una consultazione con professionisti ed esperti in materia di sicurezza dei sistemi di votazione via e-mail, in particolare via Internet, decide di aggiornare la raccomandazione del 2010 - Délibération n° 2010-371 du 21 octobre 2010, inerente alla sicurezza dei sistemi di votazione elettronica.
Il 25 aprile 2019 la CNIL stabilisce di adottare una nuova raccomandazione - Délibération n° 2019-053 du 25 avril 2019 - con lo scopo di revisionare quella del 2010, alla luce delle nuove disposizioni in materia di protezione dei dati personali, delle diverse soluzioni di votazione proposte dagli esperti del settore e delle valutazioni e controlli effettuati dalla stessa Autorità Garante francese per la privacy.
In conformità ai principi della protezione dei dati personali, la nuova raccomandazione si applica ai dispositivi di voto via e-mail, in particolare via Internet, con la finalità di definire in maniera pratica i relativi obiettivi di sicurezza che gli stessi devono acquisire. Tutto ciò in linea ai concreti livelli di rischio connessi al processo di voto.
Difatti, le risposte offerte dai sistemi di voto a questi stessi obiettivi, devono tenere conto del contesto e delle relative minacce che possano occorrere alle stesse elezioni.
Quindi alla luce di questi aspetti preliminari la Commissione formula la raccomandazione come segue.
Innanzitutto, individua dei “livelli di rischio” a seconda del tipo di voto scelto, dei relativi temuti eventi e minacce al trattamento, raccomandando che la soluzione che viene individuata per il voto, tenga in debito conto quanto sia importante evidenziare i livelli di rischio del sistema elettorale, oltre ai vantaggi che le persone interessate possono ottenere dall’utilizzo di questa tipologia di voto. Inoltre, la Commissione sottolinea che la soluzione scelta andrà a rispettare tutti gli obiettivi di sicurezza stabiliti per lo specifico livello di rischio.
Si identificano tre livelli di rischio:
- Livello 1 - Le fonti di minaccia, tra gli elettori, gli organizzatori delle elezioni o le persone esterne, hanno poche risorse e poche motivazioni. L'amministratore (o gli amministratori) del sistema informativo non è né un elettore né un candidato. È considerato neutrale da tutte le parti. Questo livello si applica alle elezioni che coinvolgono pochi elettori, che si svolgono in un ambiente non conflittuale, al termine del quale i rappresentanti eletti avranno pochi poteri, come l'elezione di un rappresentante di classe. Il voto non presenta rischi significativi.
- Livello 2 - Le fonti di minaccia, tra gli elettori, gli organizzatori delle elezioni, le persone esterne, presso il fornitore o presso lo staff interno, possono presentare risorse medie o motivazioni medie. Questo livello si applica alle elezioni che coinvolgono un gran numero di votanti e presentano un alto interesse per le persone, ma in un contesto privo di particolare conflittualità. Questi includono, per esempio, l'elezione di rappresentanti del personale all'interno di organizzazioni o all'interno di un ordine professionale. Il voto presenta un rischio moderato.
- Livello 3 - Le fonti di minaccia, tra gli elettori, gli organizzatori delle elezioni, le persone esterne, presso il fornitore o presso lo staff interno, possono presentare risorse importanti o forti motivazioni. Questo livello riguarda le elezioni che coinvolgono un gran numero di elettori e che presentano un interesse molto alto, in un clima potenzialmente conflittuale. Questi includono, per esempio, le elezioni dei rappresentanti del personale nelle grandi organizzazioni, su larga scala e in un contesto di conflitto. Il voto presenta un rischio significativo.
La nuova raccomandazione mostra, quindi, ai responsabili del trattamento che desiderino utilizzare un sistema di voto di tal genere, un approccio che tenga conto sia del livello di rischio che degli obiettivi di sicurezza da raggiungere.
A livello operativo la raccomandazione è accompagnata da una scheda pratica che propone il procedimento in due fasi:
- I fase che prevede il completamento di una griglia di analisi per aiutare i responsabili del trattamento a determinare il grado di sicurezza che il sistema di voto elettronico scelto deve raggiungere. Dall’analisi si ottiene un punteggio che coincide con uno specifico livello di soluzione che consegue a quello di un determinato obiettivo. Una volta completata questa fase il responsabile del trattamento può definire gli obiettivi di sicurezza che la soluzione del voto intende raggiungere.
- II fase che determina gli obiettivi di sicurezza, per cui imprenditori, fornitori di soluzioni inerenti al sistema di voto, sono liberi di offrire gli opportuni mezzi per raggiungere l’obiettivo e per determinare se la soluzione sia pertinente o meno.
Gli imprenditori, se lo desiderano, possono far pervenire alla CNIL una descrizione degli strumenti che siano ritenuti accettabili e che propongano all’interno della loro soluzione gli obiettivi indicati nella raccomandazione. La Commissione avrà il compito di analizzarli e, se del caso, apporre delle modifiche e aggiornamenti alla medesima scheda.
La Commissione fa sapere però che i mezzi per conseguire un determinato obiettivo saranno validi solo se resi esecutivi in modo pertinente e corretto. Inoltre, ricorda che lo studio deve essere condotto solo da esperti indipendenti al fine di dare garanzia al responsabile del trattamento che l’obiettivo di sicurezza scelto è stato raggiunto pienamente e adeguatamente.
Gli obiettivi di sicurezza vengono acquisiti in base al livello di rischio, definendo pertanto il livello di sicurezza previsto.
Questi obiettivi di sicurezza sono cumulativi, ossia “il livello 2 è composto da obiettivi di sicurezza specifici e obiettivi di sicurezza di livello 1, essendo il livello 3, da parte sua, composto da obiettivi di sicurezza specifici e obiettivi di sicurezza dei due livelli precedenti”.
E' possibile richiamare obiettivi di sicurezza di livello dall’1 al 3 a cui si associano le rispettive soluzioni di voto, per cui a livello di rischio tali obiettivi devono essere in un certo qual modo soddisfatti.
Come ad esempio:
- Obiettivo di sicurezza n ° 1-01: implementare una soluzione tecnica e organizzativa di qualità che non presenti un difetto grave (vulnerabilità pubblicata dagli editori e / o resa pubblica da terze parti).
Soluzione: utilizzare le ultime versioni stabili e aggiornate di sistemi operativi, server Web, soluzioni di crittografia e database mobilitati nella soluzione. Dovrebbero essere utilizzati anche protocolli di crittografia pubblica e algoritmi noti come "forti".
- Obiettivo di sicurezza n. 1-02: definire il voto di un elettore come operazione compresa la scelta, la convalida, la registrazione del voto nelle urne, la registrazione e il rilascio di una ricevuta.
Soluzione: non appena l'elettore ha convalidato definitivamente la sua scelta di voto, tutte le suddette operazioni devono essere collegate senza interruzione fino al completamento dell'ultima azione, vale a dire fino al ottenimento di una ricevuta. Il fallimento di un'azione porta al fallimento dell'intera catena e, al contrario, il successo della catena è possibile solo attraverso il regolare svolgimento di ogni azione di unità.
- Obiettivo di sicurezza 1-03: autenticare gli elettori assicurando che i principali rischi associati al furto di identità siano significativamente ridotti.
Soluzione: l'elettore si autenticherà utilizzando un paio di username e password che gli sono stati consegnati in modo sicuro (tramite due canali di comunicazione separati). Il file dell'elettore contenente gli elementi di autenticazione è memorizzato in modo sicuro. In caso di smarrimento o furto dei suoi mezzi di autenticazione, una procedura consente all'elettore di votare e rende l'autenticazione perduta o rubata inutilizzabile.
E così via fino all’obiettivo di sicurezza 1-11. Le soluzioni di voto con un Livello di rischio 2 devono soddisfare almeno tutti i gli obiettivi di sicurezza previsti di livello 1, oltre agli obiettivi di sicurezza di livello 2 (che vanno da “Obiettivo di sicurezza 2-01” a “Obiettivo di sicurezza 2-07”) Così come le soluzioni di voto con Livello di rischio 3, devono soddisfare almeno tutti gli obiettivi di sicurezza di livello 1 e 2, oltre agli obiettivi di sicurezza di livello 3 (che vanno da “Obiettivo di sicurezza 3-01” a “Obiettivo di sicurezza 3-05”).
Il responsabile per il trattamento dei dati o il suo fornitore di servizi è libero di utilizzare qualsiasi tipo di soluzione per il raggiungimento degli obiettivi di sicurezza scelti. Indipendentemente dal livello scelto, gli elettori dovrebbero ricevere una nota esplicativa in cui viene spiegato il funzionamento generale del sistema di voto via e-mail, in particolare via Internet, che però non va a sostituire i requisiti informativi previsti dalla normativa sulla protezione dei dati personali degli artt.13-14 del GDPR, in materia di trattamento dei dati personali.
Allo stesso tempo la Commissione intende sottolineare che le piattaforme di voto per posta elettronica, in particolare via Internet, devono essere accessibili a tutte le persone, soprattutto alle persone con disabilità anche visiva.
Pertanto, qualora le organizzazioni del settore pubblico o delegate al servizio pubblico intendessero offrire la possibilità di un sistema di voto elettronico ai suoi elettori, dovranno conformarsi certamente con tale sistema alle Linee guida generali sull’accessibilità delle amministrazioni (Référentiel Général d'accessibilité pour les administrations - RGAA).