Affrontiamo un tema che, in questi mesi di pandemia, sta tornando rapidamente in auge: il voto elettronico e la sua realistica fattibilità. Affronteremo il tema nel modo più obiettivo e metodico possibile.
Il voto elettronico è una forma di voto remoto, come lo è quello postale. Il voto remoto consente agli elettori distanti dai seggi di poter esercitare comunque il diritto di voto. Ciò che segue, in merito alle criticità del voto elettronico, è applicabile anche al voto postale in quanto voto remoto.
Iniziamo dalla fine: il voto elettronico è possibile?
A parer di chi scrive non è possibile garantire una piattaforma di voto elettronico in grado di assolvere questo importante compito nel rispetto della sicurezza e dell’integrità delle informazioni. Questo perché il processo di votazione elettronica, oltre ad essere particolarmente complesso, include in ciascuna fase realistici rischi di compromissione dell’intera votazione, rendendo tale tecnologia non consigliabile. Esperienze vissute negli Stati Uniti d’America e documentate molto bene (come la testimonianza di Matt Blaze, professore associato all’Università della Pennsylvania), ne dimostrano la fragilità e ne sconsigliano l’uso. Il modello di riferimento sono gli Stati Uniti perchè hanno una distribuzione della popolazione così eterogenea che il voto remoto (che può essere posta ed elettronico) diviene una necessità. All’interno del presente articolo esamineremo il caso del voto elettronico (e-vote) ma le considerazioni possono valere anche per il voto remoto di tipo postale.
Perché il voto elettronico non è realizzabile?
L’attività di voto si basa sulla necessità di garantire all’elettore un sistema integro, sicuro e riservato con cui esprimere la propria idea di voto. Questo sistema, nella sua forma più assoluta, non può avere alcun tipo di errore o exploit; anche solo un errore comprometterebbe la validità del voto. Prendiamo in considerazione una condizione normale, escludendo quindi i brogli, parliamo della situazione in cui Mario Rossi si reca all’urna per votare. L’attività di voto è basata su una serie di elementi ben definiti i cui principali sono:
- L’elettore
- La scheda elettorale
- La matita necessaria al voto
- La cabina di voto
- Gli scrutatori del seggio
- L’urna contenente le schede
L’operazione di voto deve essere svolta garantendo al sig. Rossi la completa assenza di “fragilità” nel processo di voto; per poter realizzare questa condizione è necessario che il controllo dell’attività venga accentrato proprio sull’elettore che muove l’informazione. In sintesi questo si traduce come segue:
- l’elettore afferra la scheda elettorale dagli scrutatori
- l’elettore entra nella cabina di voto
- l’elettore esprime il suo voto
- l’elettore piega la scheda elettorale
- l’elettore si reca all’urna
- l’elettore inserisce il voto nell’urna
In tutte queste fasi l’elettore dispone del pieno controllo dell’informazione di cui è responsabile. Nel voto elettronico questa responsabilità è “condivisa” con una moltitudine di tecnologie che intervengono per assicurare il funzionamento dell’intero sistema. Il controllo viene parzialmente sottratto all’elettore e ceduto al sistema informatico che, di conseguenza, dovrebbe mantenere il massimo livello di integrità e sicurezza. Il problema nasce proprio da questa complessità e dal paradigma, ormai accertato che in informatica non si può garantire la sicurezza assoluta.
Successfully exploiting just one of these avenues of attack can be sufficient to undetectably compromise an election.
Matt Blaze
Un esperimento condotto dal Prof. Andrew Appel dell’Università di Princeton ha dimostrato l’inefficacia della votazione elettronica conducendo un tentativo di hacking che ha richiesto sostanzialmente sette minuti per essere portato a termine.
The machines that Americans use at the polls are less secure than the iPhones they use to navigate their way there.
Sono numerosi i casi di esperimenti che hanno avuto insuccesso, l’articolo di POLITICO Magazine (che trovate cliccando qui e/o in calce all’articolo) è un esempio e riporta anche un caso documentato di vote flipping, ossia quando il voto viene assegnato ad un candidato differente rispetto a quello votato dall’elettore a causa di un malfunzionamento della macchina di voto.
Aspetti tecnici e aspetti umani
Partiamo quindi da questo assunto: per poter esprimere il voto bisogna garantire una condizione di sicurezza assoluta che, nel voto elettronico, non è possibile garantire. Il voto elettronico include, ad esempio, una serie di necessarie “interferenze” umane, rappresentate dalla gestione e manutenzione dei sistemi coinvolti nel voto che spesso si basano su tecnologie di comune utilizzo e quindi soggette ad exploit. L’errore più comune del voto elettronico è pensare ad esso come alla messa in sicurezza del singolo momento di espressione del voto, non capendo o trascurando tutta la filiera del processo di voto che potrebbe essere soggetta ad alterazione. Dalla presentazione della scheda dei candidati, che potrebbe subire alterazioni di varia natura, al momento in cui il voto viene registrato dalla macchina. Ciò ha portato lo stesso Prof. Blaze a fare delle raccomandazioni di cui la prima è la seguente:
Paperless DRE voting machines should be immediately phased out from US elections in favor of systems, such as precinct-counted optical scan ballots, that leave a direct artifact of the voter’s choice.
Matt Blaze
Secondo il Prof. J. Alex Halderman dell’Università del Michigan, il problema maggiormente complesso sarebbe garantire applicazioni sicure. Tendenzialmente un’impresa impossibile avendo una grande varietà di sistemi su cui poggiare il sistema di e-voting. Poi ci sarebbe la necessità di effettuare formazione al personale operante, assicurandosi che sia in grado di monitorare realmente che non vi siano comportamenti che mettano a rischio la condizione di voto.
I falsi miti
Si tende sempre a confondere il concetto di voto con un momento specifico dell’intera filiera: si pensa che il voto sia la trasmissione dell’intenzione dell’elettore all’urna e invece non è così. Ciò ha dato origine a varie incomprensioni e falsi miti.
La blockchain non è una risposta
In molti concentrano la loro attenzione sulla blockchain come garanzia di inalterabilità del voto non comprendendo, o trascurando, che il voto espresso dall’utente può essere inalterato ma espresso in modo già artefatto proprio perchè l’exploit potrebbe agire prima. Il problema, tuttavia, non è del singolo caso ma della collettività e come tale va osservato. Bisogna intendere il voto nel suo insieme e non come espressione del singolo.
È possibile creare un sistema informatico complesso che possa raccogliere i voti di un’intera nazione escludendo in ciascuna fase qualsivoglia problema informatico?
Se la risposta a questa domanda fosse no, come è ragionevole che sia, sarebbe altrettanto ragionevole intendere come mai il voto elettronico non sia sostenibile. È quindi un problema che non si può risolvere con un software più sicuro o con la blockchain. Fondamentalmente la falla del voto elettronico risiede nella sottrazione di una parte del controllo all’essere umano, per affidarlo alla macchina.
Il voto elettronico non è paragonabile alle transazioni bancarie
In molti tendono a paragonare le transazioni bancarie all’attività di voto elettronico: entrambi i processi devono essere assoggettati a standard di sicurezza elevati ma sono due contesti inavvicinabili.
La transazione bancaria, per sua natura, deve essere tracciabile in ogni suo dettaglio (importo, mittente, destinatario, data di valuta, banca di destinazione, etc…).; questo per motivi fiscali e giuridici propri del diritto bancario.
Il voto, per sua definizione, deve essere anonimo nella sua interezza ed in ogni momento del processo. Ciò implica una difficoltà considerevole nell’immaginare eventuali attività di ripristino a seguito di errori o exploit. Ma, in linea più generale, spiega quanto possa essere rarefatto un voto rispetto ad una transazione.
Il voto elettronico è più economico
Anno 2017 in Lombardia e Veneto si è tenuto un referendum consultivo sull’autonomia delle due regioni. Maroni distribuisce circa 24.000 tablet su 8.000 seggi: un’operazione titanica per il voto elettronico, costata alla Regione il modico prezzo di 50.000.000 di euro, una cifra consistente che avrebbe dovuto tutelare sicurezza e integrità del voto. Era stato organizzato tutto, compresa la fornitura dei cosiddetti digital assistant che affiancavano gli scrutatori per le problematiche più tecnologiche. Secondo un editoriale del Post
- 23.000.000 per acquisto tablet e software
- 24.000.000 per pagare scrutatori e operazioni di voto
- 1.600.000 per pagare la campagna elettorale
Il Post aggiunge un dato di riferimento che dovrebbe essere ritenuto importante:
Per avere un termine di paragone: 50 milioni di euro è più o meno quello che spenderà la Regione fra 2017 e 2019 per finanziare le tariffe agevolate del trasporto pubblico.
Vi è un ulteriore dato importante: in quell’occasione di voto elettronico, la piattaforma di voto fu fornita da Smartmatic che, però, sembrerebbe non brillare di trasparenza. Sul sito Vice.com si legge che l’azienda…
gestisce il voto elettronico per Paesi che non rientrano esattamente tra quelli che vengono in mente pensando a democrazia, trasparenza e rispetto dei diritti civili. Nel 2004 la Smartmatic si occupa del voto di conferma alla leadership del Presidente venezuelano Hugo Chàvez, elezione che vinse con il 58,25% dei consensi, ma non senza pesanti accuse di brogli. E, infatti, alle elezioni sono seguiti diversi studi che hanno provato l’avvenuta manomissione del sistema di voto elettronico. E proseguendo la lettura del CV della Smartmatic le cose non migliorano: si registrano incidenti legati alla sua piattaforma di e-voting anche nelle Filippine e a Chicago
Fonte. Vice.com – Link all’articolo
Conclusioni
Il voto elettronico non è in grado di offrire i requisiti di assoluta integrità e segretezza che sono richiesti dall’attività di voto (e dalla Costituzione italiana nel nostro caso). Gli stessi problemi possono essere riscontrati nel voto postale, in cui il voto viene sì espresso dall’elettore, ma consegnato attraverso mani differenti.
Il voto è personale ed eguale, libero e segreto. Il suo esercizio è dovere civico.
Costituzione italiana – Art. 48
Ne consegue che il voto remoto (elettronico e postale), per definizione, non può essere adottato senza andare a mettere in dubbio un principio costituzionale e, aggiungerei, anche uno informatico secondo il quale non è possibile garantire l’assoluta sicurezza informatica necessaria per un’azione così complessa e delicata. In Italia, pur di preservare l’integrità e la segretezza del voto nelle elezioni della Camera dei deputati e del Senato della Repubblica del 4 marzo 2018, il Ministero dell’Interno fece uscire una circolare che prevedeva il divieto di introdurre nella cabina elettorale un dispositivo cellulare (cap. 15.7).
Per assicurare il regolare svolgimento delle operazioni elettorali e, in particolare, la libertà e segretezza della espressione del voto, la legge fa divieto di introdurre all’interno delle cabine elettorali “telefoni cellulari o altre apparecchiature in grado di fotografare o registrare immagini”.
La ragione del divieto, se la si eleva a principio, si basa sulla necessità di mantenere il controllo completo del voto escludendo qualsiasi tipo di apparato, tecnologia, elemento, atto a causare interferenza con il normale processo di espressione del voto.
Evoluzione del sistema di voto elettronico
Per maggiori informazioni si propone la presentazione del Prof. Blaze tenutasi durante il DEFCON 2 che ripercorre la storia della tecnologia legata alle votazioni.
