Elezioni: Impedire la scheda ballerina / Pericoli del voto elettronico

Personalmente l’avevo pensata nel modo che segue. Il seggio elettorale diventerebbe così

L’elettore vota su un dispositivo touch screen (magari non “di marca”, idealmente potrebbe bastare un Rpi con attaccato uno schermo), e lo scrutatore controlla che non scatti foto all’oggetto. In questo modo il voto rimane segreto e al tempo stesso si fixa il problema della scheda ballerina (o di qualunque altro metodo simile).

Il tablet poi apparirebbe così

I quadratini dovrebbero essere menu a tendina dove compaiono numeri da 1 a tot. Il votante numera i candidati in ordine di preferenza decrescente, e dovrebbe poter scegliere anche l’opzione NULL a quelli che non vuol classificare.

Finché le urne sono aperte i tablet sono rigorosamente offline. A urne chiuse, il Presidente di seggio porta la MicroSD in Comune scortato dalla Polizia e poi lo spoglio lo fa in automatico un software dedicato.

Non so se sia legale che l’elettore venga osservato mentre vota, ai seggi ci sono le tendine proprio per evitarlo.

Quindi niente spoglio al seggio? Questo eliminerebbe il controllo da parte della popolazione e dei rappresentanti di partito della trasparenza dell’operazione. In teoria un governo potrebbe taroccare il software di lettura (o anche il software di votazione facendo registrare dati falsi) e manipolare i risultati elettorali a suo piacimento. Percio’ io suggerisco di mantenere la scheda cartacea:

• In cabina elettorale l’elettore trova una macchina con touch screeen che gli fa effettuare le scelte e poi stampa la scheda, che può essere controllata dall’elettore prima di essere disposta nell’urna. La cabina elettorale può anche firmare digitralmente la scheda, con un hash del contenuto, in modo da evitare schede false e manipolazioni postume. Opzionalmente, la cabina potrebbe anche contare già i voti ( senza registrarli, mantenendo solo i totali ) per avere un dato di confronto.
• In fase di spoglio, il presidente di seggio tira fuori ad una ad una le schede e le inserisce nella macchina conta-schede, che oltre a registrare il voto ha un display in cui è possibile leggere il voto registrato, che viene letto ad alta voce dal presidente di seggio (come già succede), dopo aver verificato che il voto su carta e quello letto dalla macchina coincidano. Il conteggio è tenuto dalla macchina, ma anche qui i totali sono sempre visualizzati in modo che tutti gli operatori al seggio possano verificarne l’esattezza.
• Agli uffici elettorali centrali vengono trasmesse sia le schede cartacee che la registazione della macchina conta-schede, per eventuali controlli a campione e per verifica di schede contestate (quelle rifiutate o lette male dalla macchina conta-schede).

Un sistema meno automatico di quello proposto da te, ma che mantiene tutte le garanzie attualmente presenti, aumenta la sicurezza (le schede sono firmate digitalmente ), riduce le possibilità di schede nulle o contestate ( dato che le schede sono stampate a macchina ) e velocizza i conteggi.

Non è che viene osservato per chi vota ovviamente, viene verificato che non documenti il suo voto (che è un reato, peraltro). Dopodiché, a me va bene anche mantenere le cabine elettorali come sono oggi, ma allora che vengano perquisiti a modo prima di entrarci.

I software sarebbero Open Source e di pubblico dominio. Dopodiché, probabilmente i partiti si attrezzerebbero e sceglierebbero programmatori come rappresentanti di lista.

Esatto. Ed è giusto che sia così, secondo me, perché se passa il principio che qualunque condanna per qualunque reato comporta la non candidabilità in eterno, può capitare che uno che a 20 anni si è fatto per un reato risibile e non si può più candidare mai (anche se dopo “mette la testa a posto”).

Se le schede sono anonime e firmate, basta pubblicarle in formato aperto e chiunque può rifare i conti col software che gli pare, implementando la legge elettorale.

Il discorso dei condannati è democraticamente assurdo. Nel peggiore dei casi consente alla maggioranza di escludere minoranze a piacimento.

Mi vengono i brividi a pensare di potere affidare la democrazia a tablet craccabili e MicroSD facilmente rimpiazzabili da qualsiasi mago prestigiatore… se non restiamo sul cartaceo prevedo spettacolari scandali di voti truccati…

I voti truccati ci sono ora, proprio a causa del cartaceo. E poi ci sono millemila sistemi per rendere sicure le operazioni. Puoi stabilire per legge che i dati sulla microSD sono crittografati, e l’algoritmo per decrittarli sta solo su un pc che viene portato in Comune dall’agente di Polizia. Computer protetto da una password che è stata consegnata in forma cartacea tramite agente di Polizia a un solo impiegato Comunale, ad esempio. Un eventuale attaccante dovrebbe conoscere l’algoritmo di decrittazione, a quel punto.

Andrebbero trascritti gli hash dei dati prima di spostarli. In ogni caso se riusciamo ad accertare l’autenticità sia di identità che di contenuti in comunicazioni a distanza dovremmo riuscire a individuare un modo per farlo anche in questo contesto.

@mrk25 ad esempio stava seguendo un progetto di voto basato su blockchain.

Il cartaceo è molto taroccabile al momento.

E’ ufficioso che negli USA il voto elettronico è stato truccato. Ci sono grossi sospetti che qualcosa di simile sia stato tentato e parzialmente riuscito in Italia nella trasmissione dei dati (le richieste di riconteggio tramite i dati cartacei è naufragata a causa di allagamenti)

Se non c’è più nessuno a controllarli, è quello il problema. Falsificare i voti in carta è pericoloso e faticoso… col digitale, ci ridi sopra!

Se non ci riesco io a craccarteli tutti chiamo gli amici del CCC. Loro lo fanno per amore nella democrazia di craccare qualsiasi sistema di voto digitale per dimostrare che è follia fare affidamento.

Beh certo, perché sono affidabili i tablet made in China…

Errore per distrazione/emozione?

Perché mai la conta dovrebbe essere intrasparente?

Non ti sei sbagliato? Hai veramente inteso “algoritmo” ?

gnunet ce l’ha già da anni… utilizza il modulo “consensus” che è simile alla blockchain. Probabilmente più efficace.

Allora bisogna introdurre che la conta la facciano fazioni indipendenti ecc… mica è una scienza nuova fare la democrazia che funziona. Se in Italia queste cose non si fanno con la necessaria serietà, il problema non si risolverà con l’aggiunta di tecnologia.

A voglia… ecco i video di come si possono truccare…

Geniale… ora le catastrofi climatiche servono anche a far scomparire le prove!

Ecco il Contorcellum!

Col trucco della scheda ballerina le schede allo spoglio risultano tutte valide. Il trucco consiste nel far uscire dal seggio almeno una scheda il sabato. E ti posso garantire -avendo fatto lo scrutatore varie volte- che è facilissimo, e nient’affatto faticoso.

Ok Elliot, spiegaci il piano. Supponiamo che io sia un candidato Premier e vi ingaggio per truccare le elezioni e farmi vincere. Spiegami come pensi di fare per farmi vincere, e ti riempio di bitcoin.

Quell’ hack prevede che tu inserisca una carta nell’apparecchio. Nel sistema che ho in mente io, nessuno può inserire niente nel dispositvo (non prendermi alla lettera quando parlo di Rpi: nulla vieterebbe che lo Stato produca una SBC ad hoc, sprovvista di ingressi USB o di qualunque altro tipo vulnerabili). L’identificazione dell’elettore continuerebbe ad avvenire come oggi, cioè con l’esibizione di un documento d’identità valido agli scrutatori. Inoltre, il fatto di non mettere le tendine davanti all’elettore serve proprio a far sì che se fa “cose sospette” qualcuno lo fermi.

C’è un piccolo problema: il sistema verrà commissionato da chi ha il potere e quindi non ha interesse ad evitare brogli ma a commetterli. [ancora, vedi caso USA]

Allora, scenario completo.

Creazione e caratteristiche dei device

Il Ministero dell’interno commissiona ad una istituzione pubblica (es. Università) la produzione di un numero di dispositivi pari a quello dei seggi elettorali. I dispositivi devono avere le caratteristiche dette sopra (nessuna scheda di rete, niente bluetooth, nessun ingresso USB o d’altro tipo. Solo un supporto su cui far girare il software e salvare i dati). Tutta la documentazione (schemi dei circuiti elettrici, software) dev’essere pubblica e consultabile dai cittadini. Il dispositivo non deve essere apribile dall’elettore, né dagli scrutatori. Gli unici che possono aprire i dispositivi sono gli agenti che verranno alla fine della giornata (e che saranno diversi da quelli che hanno portato i dispositivi).

Trasporto dei dispositivi

Il giorno delle elezioni i dispositivi vengono portati ai vari seggi da pattuglie di Polizia composte da almeno 3 agenti. La composizione delle pattuglie avviene in modo randomico il giorno prima. Gli agenti vengono mandati in trasferta e spostati da una città all’altra nei giorni immediatamente precedenti alle elezioni. Gli agenti portano i dispositivi nei seggi all’orario di apertura degli stessi, dopodiché se ne vanno e la responsabilità passa agli scrutatori.

Svolgimento delle votazioni

Vd. sopra. Si vota uno alla volta. Il riconoscimento avviene come adesso (si presenta un documento di identità valido e gli scrutatori controllano che il tizio risulti effettivamente votante in quel seggio). La cabina elettorale è aperta sul davanti: gli scrutatori controllano che l’elettore non fotografi o filmi l’atto del voto.

Fine votazione e scrutinio elettronico

Al termine delle elezioni, arrivano altri agenti (diversi da quelli che avevano trasportato il dispositivo. Lo aprono, estraggono la scheda e la infilano in un altro dispositivo ad hoc per visualizzare a video i risultati. Quest’ultimo software è pubblico e reperibile sul sito del Ministero. I rappresentanti di lista (magari facendosi aiutare da un informatico) eseguono un controllo preventivo dei software dei dispositivi, per verificare che corrispondano a quelli sul sito del Ministero. A sto punto:

1. Scenario 1: nessuno trova anomalie. Il Presidente di seggio telefona al Ministero degli Interni e comunica i risultati, alla presenza dei rappresentanti di lista.
2. Scenario 2: se anche un solo rappresentante di lista ritiene ci siano brogli, lo spoglio viene bloccato. Tutta la documentazione viene incartata, firmata dalle parti e portata in tribunale, sempre alla presenza dei rappresentanti di lista. Entro un mese un giudice deve stabilire se la votazione è valida o no. Se la votazione era valida, il/i rappresentante/i di lista che ha fatto la segnalazione infontada si becca il daspo a vita dal fare il rappresentante di lista. Se effettivamente ci sono stati brogli, i voti di quel seggio vengono annullati. Se, su scala nazionale, risultano esserci stati brogli in almeno l’1% dei seggi, si invalidano le elezioni.

Per truccare le elezioni, in questo caso:

• Bisognerebbe riuscire a imbrogliare in più dell’1% dei seggi nazionali, che è tanto
• L’unico sistema per imbrogliare è mettere nei dispositivi un sw tarocco, e sperare che nessuno se ne accorga. E non vedo come un programmatore non colluso possa non accorgersi della differenza tra un sw e l’altro.

Intanto mi congratulo con te per avere fatto lo scrutatore, grazie. Il fatto che si riesca a fare scomparire una scheda non lo trovo normale… sarà che si è stabilita una cultura di distrazione che permette queste cose. Ci vuole più educazione civica e volontà a non permettere ciò. E più pericolo di essere seriamente puniti.

9 anni per cominciare… comunque ci vinci solo elezioni locali dato che devi avere una quasi-maggioranza di persone da costringere a partecipare in questa truffa. Ognuna di queste potrebbe fare saltare tutto registrando un video di nascosto come quello che hai linkato. In pratica mi pare che il metodo della scheda ballerina non scala. Non ci fai vincere un Trump. Per quel tipo di vittorie ti ci vogliono i sistemi digitali che puoi compromettere in scala.

Ah bene, finalmente ricevo pagamento per i miei contributi al forum pirata.

Ci sono stati casi che alla fine delle elezioni le macchine da voto sono state depositate nello scantinato di un sindaco repubblicano senza alcuna protezione… in pratica aveva tutta la notte per accedere alle schede memoria… sono ormai dieci anni che ci sono casi di abuso di sistemi Diebold… passiamo oltre, va.

SBC?

In pratica vorresti un sigillo fisico. Lo proposi al PP-DE nel 2011…

Di conseguenza anche l’algoritmo. In alto avevi detto che ci sarebbe stato un algoritmo segreto, cioè proprietario. Non a caso mi pareva che ti fossi sbagliato.

Resta un aspetto che non conoscevo nel 2011 riguardo al sigillo fisico: la backdoor si può introdurre nel VHDL oppure dopo l’atto di compilazione del VHDL e la messa in produzione di massa — significa che si possono nascondere le backdoor nel circuito elettrico a livello nanotecnologico che non riesci neanche più a scrutinare per trovarla. Se non hai la fabbrica del hardware sotto controllo 24/7 da parte di due entità politicamente separate, la manipolazione potrebbe avvenire inserendo un “virus” che ti modifica il compilato del VHDL poco prima della masterizzazione.

Di conseguenza nessuno sa veramente quante backdoor abbiamo nei nostri telefonini ecc, dato che nessuno investe denaro a controllarne la fase di produzione — anzi, vince sul mercato chi risparmia in sicurezza — ma tutti i servizi segreti hanno un alto interesse a compromettere le schede elettroniche.

In pratica, per fare del hardware affidabile, sia per produrre lo smartphone costituzionale che degli oggetti come descrivi tu, dobbiamo ricostruire fabbriche di silicio sul nostro continente e proteggerle come la zecca.

Anche in tal caso resterebbe quel punto di critica che i Piraten hanno sempre articolato riguardo ai sistemi di voto digitali: la popolazione non ne comprende la sicurezza, non può controllare la procedura, perciò non ha modo di giudicare se i sistemi sono davvero sicuri o se sta vivendo in Matrix. Perciò la fiducia nella democrazia rischia di corrodersi del tutto.

Mi sono informato sul caso d’uso di scheda ballerina a Giuliano. È evidente che esiste un problema politico molto più grave se la polizia non interviene alla segnalazione di un osservatore. Perciò, se la polizia non fosse corrotta, il compravendita davanti al seggio non avverrebbe… i mafiosi dovrebbero già avere organizzato tutto in anticipo ed anche in tal caso non ci dovrebbe essere nessuno che fa segnalazione anonima. In pratica, se la polizia non fosse corrotta secondo me (e secondo il ragazzo del video) la scheda ballerina non funzionerebbe a lungo.

Potremmo stilare una patch alla legge elettorale che introduce necessità di controllo multiplo del processo… i Carabinieri che controllano che i poliziotti mettano a verbale quanto gli si chiede di mettere a verbale… che entrambe le forze siano presenti dentro e fuori dai seggi…

condivido questa preoccupazione, ed anche per questo io proporrei un sistema sempre basato su supporto cartaceo leggibile da uomini ma assistito da computer sia per la preparazione che per lo spoglio delle schede.

Il voto con scrutinio elettronico è fondametale perché vogliamo fare “votazioni raffinate” (es. un condorcet proporzionale). Lo schema di @Exekias mi piace, ma ci vedrei un passaggio cartaceo come proposto da @bockman (il votante usa il tablet, stampa una ricevuta, con un codice da scannerizzare; il voto è registrato in digitale sul tablet, e in cartaceo nell’urna; il votante può scannerizzare, prima di infilare nell’urna, su un computer di prova nel seggio per verificare che corrisponde a quanto votato).

L’Estonia usa un sistema di voto online, senza quindi supporti cartacei e neanche supervisori nei seggi, qui un report preoccupante https://estoniaevoting.org/

Condivido le preoccupazioni di @lynX, il processo non solo deve essere sicuro ma anche comprensibile dai votanti, di modo che ne possa conservare la fiducia.

Chi/cosa possiamo consultare per trovare una soluzione in cui:

1. Il voto resti anonimo e non attribuibile? (se il voto è una classifica precisa di 20 candidati è possibile che sia l’unica scheda ad avere questi dettagli; se il votante ha venduto il voto, al corruttore basta vedere se un voto con tanti dettagli c’è nel seggio x).
2. Il conteggio sia verificabile?

La votazione deve essere segreta o palese? Se è segreta mi pare che questa possa essere una soluzione: singoli voti pubblicati con un hashcode e pubblicamente conteggiabili, ma solo chi ha votato conosce il suo hashcode (così tutti possono verificare, anche se le identità restano segrete).

2 problemi sull’acquisto dei voti, che chiamerò ###1. il problema della ricevuta Il rischio è che Mario, che ha venduto il voto ad Antonio (oppure è stato ricattato da Antonio), possa dimostrare ad Antonio che ha votato come promesso rivelandogli l’hashcode. Come si risolve? ###2. il problema dell’attribuibilità o del voto “firmato” Il problema dell’attribuibilità del voto (cioè io vedo il voto anonimo e posso risalire all’autore attravero dei dettagli insiti nel voto) non si verifica solo con l’idea della ricevuta, ma ancor prima già alla fase di scrutinio al seggio se il voto può avere molti dettagli.

Se le combinazioni permesse dalle regole di voto sono più dei votanti al seggio, oguno teoricamente potrebbe votare in modo diverso. Se mi sono messo d’accordo prima con qualcuno che è presente allo scrutinio (perché gli ho venduto il mio voto) lui può verificare se il mio voto è presente.

Per es. in un voto con 3 preferenze, in un seggio dove votano circa 1500 persone, e magari 500 persone votano il Partito Mafioso, se i candidati di un partito sono 30, le disposizioni possibili sono D= 30! / 27! = 24360. 24360 modi diversi di “firmare” le schede, dico a Mario la disposizione di preferenze che deve votare e poi allo scrutinio vedo sul mio blocknotes se i vari voti acquistati sono stati veramente dati.

Un voto elettronico potrebbe/dovrebbe trovare un modo per evitare questo problema.

Questo problema è ancor più presente in sistemi di voto ancora più dettagliati come nel [Condorcet proporzionale per una nuova legge elettorale italiana][1] che stiamo discutendo. @Cal [dice che non è possibile eliminare quest’attribuibilità][2] perché il conteggio ha bisogno di conservare tutte le informazioni complesse espresse nel voto.

Secondo me si può risolvere il problema dell’attribuibilità, lavorando su

1. sistemi di criptaggio e randomizzazione dell’aspetto delle schede (già eliminando l’ordine nelle combinazioni si passa da disposizioni a permutazioni, che sono molte meno).
2. lavorando sulla grandezza del seggio (una cosa è contare in un seggio con 1500 voti, altra cosa è conteggiare in un ufficio centralizzato con milioni di voti).
3. limitare i dettagli al numero massimo possibile.

Sul problema della ricevuta (come posso essere sicuro che Mario non possa far vedere ad Antonio come ha votato dandogli il codice) magari si può lavorare anche lì su criptaggio e verifica del voto personale solo di persona in uffici statali.

Sono suggestioni, ragioniamoci insieme e troviamo delle soluzioni dettagliate [1]: Condorcet proporzionale elettronico x Italy [2]: Condorcet proporzionale elettronico x Italy

Il sistema che avevo in mente era esclusivamente elettronico online, quindi non c’è il problema dei seggi e degli scrutini. Piuttosto serve un’installazione sicura in un ufficio di server controllato costantemente dalla polizia, ad ogni modo, la possibilità di fare un conteggio pubblico permette di dar fiducia anche alle persone comuni.

Riguardo la possibilità di dimostrare ad un “compratore di voti” come si è votato c’è, ma è molto difficile da raggirare. Quel che si può fare non è impegnarsi a migliorare l’anonimato (che comunque deve esserci), ma mettere un cittadino nelle condizioni di verificare personalmente il suo voto, potendo offrire più dati effettivamente collegati al cittadino che possono mostrare sia un voto che un altro o un altro ancora, potendo dimostrare qualsiasi cosa ad un terzo, non lasci al terzo la sicurezza di nulla, di fatto non puoi più dimostrare veramente se sei sincero o stai mentendo. Così si ripropone lo stesso problema che il compratore di voti ha, nel sistema con la carta.

Si può fare meglio di così? Se la risposta è no, si tratta solo di capire come offrire più dati che dimostrano voti diversi, pur permettendo al cittadino, personalmente, di verificare il suo voto effettivo e poter “spacciare” qualsiasi votazione.

Il rischio non è comunque superiore a quello del sistema attuale. In entrambi i casi Mario può fotografare la scheda compilata e mostrare la foto ad Antonio come prova. Se la scheda è firmata digitalmente, e se Antonio conosce la chiave pubblica per decifrare la firma, Antonio può verificare che la foto di Mario è autentica ( cosa non fattibile con il sistema attuale ). Ma d’altra parte la scheda firmata digitalmente impedisce che Antonio dia a Mario una scheda precompilata e si faccia riportare come prova una scheda bianca (cosa fattibile con il sistema attuale) , per cui siamo uno pari.

Certo, se si trovano modi di rendere più difficile la compravendita del voto ben venga, ma secondo me non dobbiamo farci condizionare da questo. Se uno vuole vendere il suo voto, trova il modo di farlo. Se a vendere il voto sono pochi, il problema è ridotto. Se sono molti, si tratta di un grave problema sociale e culturale che non può essere risolto dai tecnicismi di un sistema di voto, ma va affrontato a monte con altri strumenti.