Elezioni: Impedire la scheda ballerina / Pericoli del voto elettronico

E’ ufficioso che negli USA il voto elettronico è stato truccato. Ci sono grossi sospetti che qualcosa di simile sia stato tentato e parzialmente riuscito in Italia nella trasmissione dei dati (le richieste di riconteggio tramite i dati cartacei è naufragata a causa di allagamenti)

Se non c’è più nessuno a controllarli, è quello il problema. Falsificare i voti in carta è pericoloso e faticoso… col digitale, ci ridi sopra!

Se non ci riesco io a craccarteli tutti chiamo gli amici del CCC. Loro lo fanno per amore nella democrazia di craccare qualsiasi sistema di voto digitale per dimostrare che è follia fare affidamento.

Beh certo, perché sono affidabili i tablet made in China…

Errore per distrazione/emozione?

Perché mai la conta dovrebbe essere intrasparente?

Non ti sei sbagliato? Hai veramente inteso “algoritmo” ?

gnunet ce l’ha già da anni… utilizza il modulo “consensus” che è simile alla blockchain. Probabilmente più efficace.

Allora bisogna introdurre che la conta la facciano fazioni indipendenti ecc… mica è una scienza nuova fare la democrazia che funziona. Se in Italia queste cose non si fanno con la necessaria serietà, il problema non si risolverà con l’aggiunta di tecnologia.

A voglia… ecco i video di come si possono truccare

Geniale… ora le catastrofi climatiche servono anche a far scomparire le prove!

Ecco il Contorcellum!

Col trucco della scheda ballerina le schede allo spoglio risultano tutte valide. Il trucco consiste nel far uscire dal seggio almeno una scheda il sabato. E ti posso garantire -avendo fatto lo scrutatore varie volte- che è facilissimo, e nient’affatto faticoso.

Ok Elliot, spiegaci il piano. Supponiamo che io sia un candidato Premier e vi ingaggio per truccare le elezioni e farmi vincere. Spiegami come pensi di fare per farmi vincere, e ti riempio di bitcoin.

Quell’ hack prevede che tu inserisca una carta nell’apparecchio. Nel sistema che ho in mente io, nessuno può inserire niente nel dispositvo (non prendermi alla lettera quando parlo di Rpi: nulla vieterebbe che lo Stato produca una SBC ad hoc, sprovvista di ingressi USB o di qualunque altro tipo vulnerabili). L’identificazione dell’elettore continuerebbe ad avvenire come oggi, cioè con l’esibizione di un documento d’identità valido agli scrutatori. Inoltre, il fatto di non mettere le tendine davanti all’elettore serve proprio a far sì che se fa “cose sospette” qualcuno lo fermi.

C’è un piccolo problema: il sistema verrà commissionato da chi ha il potere e quindi non ha interesse ad evitare brogli ma a commetterli. [ancora, vedi caso USA]

Allora, scenario completo.

Creazione e caratteristiche dei device

Il Ministero dell’interno commissiona ad una istituzione pubblica (es. Università) la produzione di un numero di dispositivi pari a quello dei seggi elettorali. I dispositivi devono avere le caratteristiche dette sopra (nessuna scheda di rete, niente bluetooth, nessun ingresso USB o d’altro tipo. Solo un supporto su cui far girare il software e salvare i dati). Tutta la documentazione (schemi dei circuiti elettrici, software) dev’essere pubblica e consultabile dai cittadini. Il dispositivo non deve essere apribile dall’elettore, né dagli scrutatori. Gli unici che possono aprire i dispositivi sono gli agenti che verranno alla fine della giornata (e che saranno diversi da quelli che hanno portato i dispositivi).

Trasporto dei dispositivi

Il giorno delle elezioni i dispositivi vengono portati ai vari seggi da pattuglie di Polizia composte da almeno 3 agenti. La composizione delle pattuglie avviene in modo randomico il giorno prima. Gli agenti vengono mandati in trasferta e spostati da una città all’altra nei giorni immediatamente precedenti alle elezioni. Gli agenti portano i dispositivi nei seggi all’orario di apertura degli stessi, dopodiché se ne vanno e la responsabilità passa agli scrutatori.

Svolgimento delle votazioni

Vd. sopra. Si vota uno alla volta. Il riconoscimento avviene come adesso (si presenta un documento di identità valido e gli scrutatori controllano che il tizio risulti effettivamente votante in quel seggio). La cabina elettorale è aperta sul davanti: gli scrutatori controllano che l’elettore non fotografi o filmi l’atto del voto.

Fine votazione e scrutinio elettronico

Al termine delle elezioni, arrivano altri agenti (diversi da quelli che avevano trasportato il dispositivo. Lo aprono, estraggono la scheda e la infilano in un altro dispositivo ad hoc per visualizzare a video i risultati. Quest’ultimo software è pubblico e reperibile sul sito del Ministero. I rappresentanti di lista (magari facendosi aiutare da un informatico) eseguono un controllo preventivo dei software dei dispositivi, per verificare che corrispondano a quelli sul sito del Ministero. A sto punto:

  1. Scenario 1: nessuno trova anomalie. Il Presidente di seggio telefona al Ministero degli Interni e comunica i risultati, alla presenza dei rappresentanti di lista.
  2. Scenario 2: se anche un solo rappresentante di lista ritiene ci siano brogli, lo spoglio viene bloccato. Tutta la documentazione viene incartata, firmata dalle parti e portata in tribunale, sempre alla presenza dei rappresentanti di lista. Entro un mese un giudice deve stabilire se la votazione è valida o no. Se la votazione era valida, il/i rappresentante/i di lista che ha fatto la segnalazione infontada si becca il daspo a vita dal fare il rappresentante di lista. Se effettivamente ci sono stati brogli, i voti di quel seggio vengono annullati. Se, su scala nazionale, risultano esserci stati brogli in almeno l’1% dei seggi, si invalidano le elezioni.

Per truccare le elezioni, in questo caso:

  • Bisognerebbe riuscire a imbrogliare in più dell’1% dei seggi nazionali, che è tanto
  • L’unico sistema per imbrogliare è mettere nei dispositivi un sw tarocco, e sperare che nessuno se ne accorga. E non vedo come un programmatore non colluso possa non accorgersi della differenza tra un sw e l’altro.

Intanto mi congratulo con te per avere fatto lo scrutatore, grazie. Il fatto che si riesca a fare scomparire una scheda non lo trovo normale… sarà che si è stabilita una cultura di distrazione che permette queste cose. Ci vuole più educazione civica e volontà a non permettere ciò. E più pericolo di essere seriamente puniti.

9 anni per cominciare… comunque ci vinci solo elezioni locali dato che devi avere una quasi-maggioranza di persone da costringere a partecipare in questa truffa. Ognuna di queste potrebbe fare saltare tutto registrando un video di nascosto come quello che hai linkato. In pratica mi pare che il metodo della scheda ballerina non scala. Non ci fai vincere un Trump. Per quel tipo di vittorie ti ci vogliono i sistemi digitali che puoi compromettere in scala.

Ah bene, finalmente ricevo pagamento per i miei contributi al forum pirata.

Ci sono stati casi che alla fine delle elezioni le macchine da voto sono state depositate nello scantinato di un sindaco repubblicano senza alcuna protezione… in pratica aveva tutta la notte per accedere alle schede memoria… sono ormai dieci anni che ci sono casi di abuso di sistemi Diebold… passiamo oltre, va.

SBC?

In pratica vorresti un sigillo fisico. Lo proposi al PP-DE nel 2011

Di conseguenza anche l’algoritmo. In alto avevi detto che ci sarebbe stato un algoritmo segreto, cioè proprietario. Non a caso mi pareva che ti fossi sbagliato.

Resta un aspetto che non conoscevo nel 2011 riguardo al sigillo fisico: la backdoor si può introdurre nel VHDL oppure dopo l’atto di compilazione del VHDL e la messa in produzione di massa — significa che si possono nascondere le backdoor nel circuito elettrico a livello nanotecnologico che non riesci neanche più a scrutinare per trovarla. Se non hai la fabbrica del hardware sotto controllo 24/7 da parte di due entità politicamente separate, la manipolazione potrebbe avvenire inserendo un “virus” che ti modifica il compilato del VHDL poco prima della masterizzazione.

Di conseguenza nessuno sa veramente quante backdoor abbiamo nei nostri telefonini ecc, dato che nessuno investe denaro a controllarne la fase di produzione — anzi, vince sul mercato chi risparmia in sicurezza — ma tutti i servizi segreti hanno un alto interesse a compromettere le schede elettroniche.

In pratica, per fare del hardware affidabile, sia per produrre lo smartphone costituzionale che degli oggetti come descrivi tu, dobbiamo ricostruire fabbriche di silicio sul nostro continente e proteggerle come la zecca.

Anche in tal caso resterebbe quel punto di critica che i Piraten hanno sempre articolato riguardo ai sistemi di voto digitali: la popolazione non ne comprende la sicurezza, non può controllare la procedura, perciò non ha modo di giudicare se i sistemi sono davvero sicuri o se sta vivendo in Matrix. Perciò la fiducia nella democrazia rischia di corrodersi del tutto.

Mi sono informato sul caso d’uso di scheda ballerina a Giuliano. È evidente che esiste un problema politico molto più grave se la polizia non interviene alla segnalazione di un osservatore. Perciò, se la polizia non fosse corrotta, il compravendita davanti al seggio non avverrebbe… i mafiosi dovrebbero già avere organizzato tutto in anticipo ed anche in tal caso non ci dovrebbe essere nessuno che fa segnalazione anonima. In pratica, se la polizia non fosse corrotta secondo me (e secondo il ragazzo del video) la scheda ballerina non funzionerebbe a lungo.

Potremmo stilare una patch alla legge elettorale che introduce necessità di controllo multiplo del processo… i Carabinieri che controllano che i poliziotti mettano a verbale quanto gli si chiede di mettere a verbale… che entrambe le forze siano presenti dentro e fuori dai seggi…

condivido questa preoccupazione, ed anche per questo io proporrei un sistema sempre basato su supporto cartaceo leggibile da uomini ma assistito da computer sia per la preparazione che per lo spoglio delle schede.

Il voto con scrutinio elettronico è fondametale perché vogliamo fare “votazioni raffinate” (es. un condorcet proporzionale). Lo schema di @Exekias mi piace, ma ci vedrei un passaggio cartaceo come proposto da @bockman (il votante usa il tablet, stampa una ricevuta, con un codice da scannerizzare; il voto è registrato in digitale sul tablet, e in cartaceo nell’urna; il votante può scannerizzare, prima di infilare nell’urna, su un computer di prova nel seggio per verificare che corrisponde a quanto votato).

L’Estonia usa un sistema di voto online, senza quindi supporti cartacei e neanche supervisori nei seggi, qui un report preoccupante https://estoniaevoting.org/

Condivido le preoccupazioni di @lynX, il processo non solo deve essere sicuro ma anche comprensibile dai votanti, di modo che ne possa conservare la fiducia.

Chi/cosa possiamo consultare per trovare una soluzione in cui:

  1. Il voto resti anonimo e non attribuibile? (se il voto è una classifica precisa di 20 candidati è possibile che sia l’unica scheda ad avere questi dettagli; se il votante ha venduto il voto, al corruttore basta vedere se un voto con tanti dettagli c’è nel seggio x).
  2. Il conteggio sia verificabile?

La votazione deve essere segreta o palese? Se è segreta mi pare che questa possa essere una soluzione: singoli voti pubblicati con un hashcode e pubblicamente conteggiabili, ma solo chi ha votato conosce il suo hashcode (così tutti possono verificare, anche se le identità restano segrete).

2 problemi sull’acquisto dei voti, che chiamerò ###1. il problema della ricevuta Il rischio è che Mario, che ha venduto il voto ad Antonio (oppure è stato ricattato da Antonio), possa dimostrare ad Antonio che ha votato come promesso rivelandogli l’hashcode. Come si risolve? ###2. il problema dell’attribuibilità o del voto “firmato” Il problema dell’attribuibilità del voto (cioè io vedo il voto anonimo e posso risalire all’autore attravero dei dettagli insiti nel voto) non si verifica solo con l’idea della ricevuta, ma ancor prima già alla fase di scrutinio al seggio se il voto può avere molti dettagli.

Se le combinazioni permesse dalle regole di voto sono più dei votanti al seggio, oguno teoricamente potrebbe votare in modo diverso. Se mi sono messo d’accordo prima con qualcuno che è presente allo scrutinio (perché gli ho venduto il mio voto) lui può verificare se il mio voto è presente.

Per es. in un voto con 3 preferenze, in un seggio dove votano circa 1500 persone, e magari 500 persone votano il Partito Mafioso, se i candidati di un partito sono 30, le disposizioni possibili sono D= 30! / 27! = 24360. 24360 modi diversi di “firmare” le schede, dico a Mario la disposizione di preferenze che deve votare e poi allo scrutinio vedo sul mio blocknotes se i vari voti acquistati sono stati veramente dati.

Un voto elettronico potrebbe/dovrebbe trovare un modo per evitare questo problema.

Questo problema è ancor più presente in sistemi di voto ancora più dettagliati come nel [Condorcet proporzionale per una nuova legge elettorale italiana][1] che stiamo discutendo. @Cal [dice che non è possibile eliminare quest’attribuibilità][2] perché il conteggio ha bisogno di conservare tutte le informazioni complesse espresse nel voto.

Secondo me si può risolvere il problema dell’attribuibilità, lavorando su

  1. sistemi di criptaggio e randomizzazione dell’aspetto delle schede (già eliminando l’ordine nelle combinazioni si passa da disposizioni a permutazioni, che sono molte meno).
  2. lavorando sulla grandezza del seggio (una cosa è contare in un seggio con 1500 voti, altra cosa è conteggiare in un ufficio centralizzato con milioni di voti).
  3. limitare i dettagli al numero massimo possibile.

Sul problema della ricevuta (come posso essere sicuro che Mario non possa far vedere ad Antonio come ha votato dandogli il codice) magari si può lavorare anche lì su criptaggio e verifica del voto personale solo di persona in uffici statali.

Sono suggestioni, ragioniamoci insieme e troviamo delle soluzioni dettagliate [1]: Condorcet proporzionale elettronico x Italy [2]: Condorcet proporzionale elettronico x Italy

Il sistema che avevo in mente era esclusivamente elettronico online, quindi non c’è il problema dei seggi e degli scrutini. Piuttosto serve un’installazione sicura in un ufficio di server controllato costantemente dalla polizia, ad ogni modo, la possibilità di fare un conteggio pubblico permette di dar fiducia anche alle persone comuni.

Riguardo la possibilità di dimostrare ad un “compratore di voti” come si è votato c’è, ma è molto difficile da raggirare. Quel che si può fare non è impegnarsi a migliorare l’anonimato (che comunque deve esserci), ma mettere un cittadino nelle condizioni di verificare personalmente il suo voto, potendo offrire più dati effettivamente collegati al cittadino che possono mostrare sia un voto che un altro o un altro ancora, potendo dimostrare qualsiasi cosa ad un terzo, non lasci al terzo la sicurezza di nulla, di fatto non puoi più dimostrare veramente se sei sincero o stai mentendo. Così si ripropone lo stesso problema che il compratore di voti ha, nel sistema con la carta.

Si può fare meglio di così? Se la risposta è no, si tratta solo di capire come offrire più dati che dimostrano voti diversi, pur permettendo al cittadino, personalmente, di verificare il suo voto effettivo e poter “spacciare” qualsiasi votazione.

Il rischio non è comunque superiore a quello del sistema attuale. In entrambi i casi Mario può fotografare la scheda compilata e mostrare la foto ad Antonio come prova. Se la scheda è firmata digitalmente, e se Antonio conosce la chiave pubblica per decifrare la firma, Antonio può verificare che la foto di Mario è autentica ( cosa non fattibile con il sistema attuale ). Ma d’altra parte la scheda firmata digitalmente impedisce che Antonio dia a Mario una scheda precompilata e si faccia riportare come prova una scheda bianca (cosa fattibile con il sistema attuale) , per cui siamo uno pari.

Certo, se si trovano modi di rendere più difficile la compravendita del voto ben venga, ma secondo me non dobbiamo farci condizionare da questo. Se uno vuole vendere il suo voto, trova il modo di farlo. Se a vendere il voto sono pochi, il problema è ridotto. Se sono molti, si tratta di un grave problema sociale e culturale che non può essere risolto dai tecnicismi di un sistema di voto, ma va affrontato a monte con altri strumenti.

2 Mi Piace

Se si eliminissare scheda ballerina, fotocamere e e altri trucchi (per es. con seggi come quelli di @Exekias, con i tablet), un sistema per eliminare “firmabilità” del voto c’è: una o zero preferenze.

Credo che sia uno dei motivi per cui nel 1991 la maggioranza assoluta degli italiani votò sì al referendum per eliminare le preferenze multiple.

Secondo alcuni osservatori, la maggior parte degli elettori che votò «sì» non sapeva bene di cosa si trattasse, e quali conseguenze comportasse il quesito referendario: capì soltanto che i capi dei partiti tradizionali di Governo erano contrari alla preferenza unica, e poiché non piaceva a loro doveva essere una cosa buona, meritando un «sì» entusiastico1.

Wikipedia, da Indro Montanelli e Mario Cervi, L’Italia degli anni di fango, Milano, Rizzoli, 1993.- https://it.wikipedia.org/wiki/Referendum_abrogativo_del_1991_in_Italia#cite_note-MontanelliCervi-1

Quello che doveva essere un voto contro la partitocrazia (che faceva voto di scambio), si trasformò in un ulteriore regalo ai capi di partito e relativi delfini.

Con zero preferenze-> liste bloccate decise dai segretari Con una preferenza-> favoriti i big di partito, sfavoriti gli indipendenti (rispetto ai voti a classifica).

La sfida è trovare un’alternativa

Anche qui mi sento di ripetere quello che ho scritto a proposito della compravendita dei voti : esiste un problema culturale-politico di fondo che a mio parere non è risolvibile da tecnicismi della legge elettorale. Quello che si puo’ fare è una buona legge elettorale che massimizzi il potere di scelta degli elettori, garantisca rappresentatività delle varie componenti di pensiero e permetta un sufficiente grado di efficienza del parlamento. Per impedire che i partiti attuali usino questa legge a loro tornaconto si può fare solo una cosa: riformare i partiti, e prima ancora riformare le teste dei loro iscritti.

1 Mi Piace

Solo una precisazione sul voto “firmato”: nel sistema che ho in mente io lo scrutinio è completamente elettronico, e l’unico dato che viene riprodotto a video è il risultato (cioè sai che il candidato Tizio ha preso tot. voti, ma non puoi vedere le singole schede).

Certo, si tratta di assicurarsi che il software non sia taroccato. Ma mi pare più facile questo che tutto il resto (sul serio pensate che qualcuno si prenderà la briga di infilare backdoor a livello nano-tecnologico? Supponiamo anche che sia tecnicamente possibile farlo: varrebbe la pena, dalla soggettiva di un mafioso? Quanta gente dovresti corrompere, quanti soldi dovresti sborsare, quanti rischi di finire in galera dovresti correre?).

A patto che ci sia chi è disposto a comprarlo. E il mafioso non allunga 50€ se non ha la certezza al 100% che tu abbia votato per il candidato che dice lui.

1 Mi Piace

In tal caso il problema è risolto. Spostiamo l’attenzione a come mettere in sicurezza il software.

Secondo me anche il passaggio cartaceo (l’elettore compila la scheda al tablet, stampa una “ricevuta” con codice a barre, scannerrizza su un computer in seggio imbuca nell’urna, gli scrutatori scannerizzano le “ricevute” stampate), è un ulteriore garanzia: si può sempre ricontare con computer di organizzazioni indipendenti che chiedono verifiche.

Se studiamo anche un modo per rilasciare un codice identificativo (come proponeva @Silvan), con cui il votante può andare in un ufficio elettorale centrale con documento d’identità per verificare che il proprio è stato correttamente conteggiato, il sistema dovrebbe essere ancora più sicuro.

  1. Scrutinio in video senza i dettagli dei voti +
  2. ricevute cartacee +
  3. codice per verificare individualmente e il sistema dovrebbe essere blindato.

Considerate che a taroccare il software potrebbe essere non tanto una organizzazione esterna quanto la stessa agenzia governativa incaricata di gestire le elezioni, allo scopo di mantenere il potere. Che garanzia hanno i cittadini che il governo conteggi correttamente i voti?

Certo, si potrebbe usare software open-source, che le forze politiche possono far ispezionare indipendentemente prima di elezioni e che poi si “sigilla” con una firma elettronica da verificare al momento della conta. Ma si tratta sempre di “fiducia mediata”, dato che l’ispezione deve essere affidata a specialisti, mentre il sistema attuale permette a tutti di visionare il procedimento di scrutinio.

Inoltre conservare le votazioni su media elettronico le rende soggette a possibili manipolazioni post-conteggio difficili da manipolare. Anche qui, firmare elettronicamente i file aiuta, e magari si potrebbe anche produrre dei tabulati (su microfillm?) di tutti i voti. Ma anche qui si perde l’immediatezza e la trasparenza ( solo apparente?) del media cartaceo.

E’ una dinamica simile a quella nei tribunali, con i consulenti tecnici. Le parti possono nominare un consulente tecnico di parte. Qui, se il governo volesse truccare le elezioni ed essere certo di farla franca, dovrebbe corrompere tutti gli informatici d’Italia (partendo dall’assunto che tutti siano corruttibili e disposti ad assecondare il golpe). Vedete voi se vi paiono scenari realistici.

1 Mi Piace

Scusate se resuscito, ma è in tema. Questo software permette un voto online anonimo sicuro? https://nvotes.com/