In questi giorni si è riaperto il dibattito sulla convenienza, e sulla effettiva sicurezza, dei sistemi di votazione elettronica. Il caso Russiagate prima, le polemiche sull’imminente voto referendario in Lombardia, ed in ultimo quello che pare essere un serio attacco alla piattaforma del M5S inducono ad aprire una seria e pacata riflessione sull’effettiva, reale utilità e funzionalità dei sistemi di votazione elettronica.
I benefici di un affidabile sistema centralizzato di votazione elettronica sono più che evidenti. Dare la possibilità ai cittadini di esprimere il proprio voto da casa, senza alcuna necessità di mettere in piedi il circo barnum del sistema elettorale tradizionale, non solo porterebbe ad una drastica riduzione dei costi, ma darebbe ai cittadini la possibilità di essere consultati con maggiore semplicità. Un elemento importante in un momento storico in cui il legame fra i cittadini e la democrazia rappresentativa è in forte crisi, e l’esigenza di una maggiore partecipazione alle scelte della nostra comunità è sentito trasversalmente nella cittadinanza italiana.
Ma un sistema elettronico, che ha come scopo quello di dematerializzare la votazione, eliminando quindi il processo cartaceo può essere considerato altrettanto sicuro del vecchio e polveroso sistema cartaceo? E’ una questione complessa, perché rischia di travalicare dal suo ambito, che è quello della sicurezza, a quello – improprio – di progresso e conservazione: il voto elettronico interpretato come il nuovo che avanza, a discapito di quello cartaceo, obsoleto e corrotto. Se a questo si aggiunge l’eccessiva fiducia nella tecnologia, che porta a sottovalutare (o, addirittura, a non vedere) i problemi, fino a considerarla quasi onnipotente, è facile comprendere quanto rischio vi sia che l’argomento non venga affrontato in modo strettamente razionale.
La cosa più interessante, però, è che il nocciolo del problema non è tecnologico, ma metodologico. Il sistema elettorale ha due vincoli di base: mentre l’intero processo deve essere pubblico e trasparente, il voto individuale deve essere segreto. Il sistema tradizionale approccia questo problema creando una macchina elettorale che vede in gioco attori di tutti gli schieramenti in campo. Le schede sono contabilizzate ed autenticate prima dell’inizio della votazione, lo spoglio ed il conteggio finale avvengono sotto gli occhi dei rappresentanti delle liste. Il voto avviene per alterazione fisica della scheda, che è poi disponibile per un eventuale riconteggio. Tutte le schede, votate e non, sono poi contabilizzate in modo da quadrare i conti. E’ un meccanismo che minimizza la possibilità di brogli, che necessiterebbero della collusione di tutt gli attori di un seggio, e che polverizza il rischio in un numero molto elevato di seggi: eventuali brogli, scarsamente probabili ma non impossibili, non avrebbero influenze significative sui numeri generali. E’ un processo verificabile, che avviene alla luce del giorno, e controllabile da chiunque sia interessato a supervisionarlo.
Il voto elettronico – sia che sia espresso tramite postazioni di voto che online – è invece tutt’altro che trasparente: è effettuato da una macchina elettronica, sotto il controllo di un programma. Cosa faccia realmente il programma, che non presenti cioé bug accidentali o comportamenti malevoli, non è semplice da affermare con certezza. Per di più, i programmi di gestione sono generalmente proprietari e closed source, ovvero con codice sorgente non ispezionabile. Ma, quando anche lo fossero, avere la garanzia che il codice effettivamente in esecuzione sia pienamente conforme a quello eventualmente pubblico e dichiarato non è cosa affatto banale.
Ma c’è ancora un problema aggiuntivo. Per essere realmente segreto, il voto individuale non deve essere associato – o associabile – al votante in nessun punto della catena di elaborazione. Con questo presupposto, chi vota non può mai avere alcuna possibilità di verificare che il sistema di gestione abbia realmente registrato correttamente il voto espresso. Una vulnerabilità in questo punto critico, all’interno del processo di registrazione, sarebbe in grado di alterare il risultato in modo assolutamente non rilevabile, perché non lascerebbe tracce. Sarebbe equivalente, con una analogia nel mondo reale, al voto delle persone non vedenti, che viene espresso mediante l’ausilio di una persona considerata di fiducia: cosa succederebbe se invece non lo fosse? La legge italiana, ad esempio, tiene in conto questa possibilità e stabilisce che si può essere accompagnatore per un solo altro votante.
Anche utilizzando per la memorizzazione del voto sistemi assolutamente non alterabili, che pure sono tecnologicamente disponibili al giorno d’oggi, questo rimane un tallone d’Achille difficilmente risolvibile. Per aggirarlo un sistema ci sarebbe pure, ovvero quello di associare temporaneamente il votante al voto, anche utilizzando sistemi crittografici, e poi al momento della chiusura del voto separare l’informazione, mantenendo la sola componente del voto. In questo modo, fino alla chiusura del voto l’elettore avrebbe la possibilità di verificare che la sua volontà sia stata correttamente memorizzata. Ma questa metodologia induce ulteriori vulnerabilità: la possibilità per terzi di conoscere il voto espresso, senza peraltro garantire che al momento della separazione delle informazioni la trascrizione sia effettivamente corretta.
Sintetizzando, il voto elettronico manca di quella trasparenza che è fondamentale all’espressione di un voto, secondo i comuni criteri democratici. Può funzionare solo se si ha una fiducia totale ed incondizionata in un processo che può essere alterato in modo anche non rilevabile.
Ma cosa succede nel mondo? Ci sono vari stati che sono passati a sistemi di votazione elettronica, in larga parte usando seggi gestiti (o assistiti) elettronicamente. Il più noto di tutti sono gli Stati Uniti, dove le voting machine sono in uso dagli anni ’90. Ma il caso Russiagate ha fatto riemergere una serie di polemiche sull’uso di macchine che dematerializzino completamente la votazione. Bloomberg poche settimane in un articolo puntualizzava il rischio che i sospetti attacchi possano avere alterato i risultati di voto di ben 39 stati. Ma anche se questo non fosse vero, molti esperti di sicurezza ritengono fondamentale avere un backup cartaceo delle votazioni: trasformando di fatto il voto puramente elettronico in un voto assistito elettronicamente.
Un solo stato ha sposato la votazione elettronica on-line. E’ l’Estonia, che è spesso portata a vanto di come la tecnologia possa cambiare le sorti di un paese. Ma anche il meccanismo estone non è a prova di verifica, come testimonia il team di esperti dell’Università del Michigan nel suo rapporto Analisi di sicurezza del voto estone, che vale la pena leggere. Interessanti sono alcune delle conclusioni:
A confronto di altri servizi online come quelli bancari e di e-Commerce, il voto elettronico è un problema estremamente complesso, per la necessità di garantire esiti accurati mantenendo allo stesso tempo la totale segretezza. Quando il sistema di votazione estone è stato concepito nei primi anni 2000, ha avuto un approccio innovativo a questa sfida. Tuttavia, i progettisti hanno accettato alcuni compromessi, tra cui la necessità di una fiducia totale ai server centrali, giungendo alla conclusione che pur essendo possibile prendere misure procedurali per ridurre questi rischi, il problema fondamentale resta da risolvere. Più di un decennio dopo, il problema rimane irrisolto, mentre i rischi sono notevolmente aumentati a causa della rapida proliferazione di attacchi sponsorizzati da stati.
C’è da aggiungere che la sicurezza totale (e quindi, la fiducia) non potrà mai esistere se si verificano eventi come quelli testimoniati dal team ed inclusi nel rapporto:
Ognuno può ovviamente trarre le proprie conclusioni. La mia è che la troppa fiducia nel nuovo e nell’avanzato, tanto comune al giorno d’oggi, tende a mascherare il vero problema, che è metodologico – di trasparenza e fiducia – e non tecnologico. L’unica via per me praticabile è quella del voto assistito elettronicamente: sistemi in grado di raccogliere e contabilizzare il voto, ma in grado di stampare una scheda cartacea da gestire come le vecchie manuali. Semplificherebbero di molto le votazioni, garantendo nel contempo quella trasparenza che è elemento indispensabile al processo. La votazione on-line al momento mi pare una vera e propria utopia, perché presenta problemi che mi sembrano tutt’altro che banali da risolvere in modo realmente convincente.
Nella foto di wikimedia, l’ex presidente USA, Barack Obama, ad una polling station.