Se le schede sono anonime e firmate, basta pubblicarle in formato aperto e chiunque può rifare i conti col software che gli pare, implementando la legge elettorale.
Il discorso dei condannati è democraticamente assurdo. Nel peggiore dei casi consente alla maggioranza di escludere minoranze a piacimento.
Mi vengono i brividi a pensare di potere affidare la democrazia a tablet craccabili e MicroSD facilmente rimpiazzabili da qualsiasi mago prestigiatore… se non restiamo sul cartaceo prevedo spettacolari scandali di voti truccati…
I voti truccati ci sono ora, proprio a causa del cartaceo. E poi ci sono millemila sistemi per rendere sicure le operazioni. Puoi stabilire per legge che i dati sulla microSD sono crittografati, e l’algoritmo per decrittarli sta solo su un pc che viene portato in Comune dall’agente di Polizia. Computer protetto da una password che è stata consegnata in forma cartacea tramite agente di Polizia a un solo impiegato Comunale, ad esempio. Un eventuale attaccante dovrebbe conoscere l’algoritmo di decrittazione, a quel punto.
Andrebbero trascritti gli hash dei dati prima di spostarli. In ogni caso se riusciamo ad accertare l’autenticità sia di identità che di contenuti in comunicazioni a distanza dovremmo riuscire a individuare un modo per farlo anche in questo contesto.
@mrk25 ad esempio stava seguendo un progetto di voto basato su blockchain.
Il cartaceo è molto taroccabile al momento.
E’ ufficioso che negli USA il voto elettronico è stato truccato. Ci sono grossi sospetti che qualcosa di simile sia stato tentato e parzialmente riuscito in Italia nella trasmissione dei dati (le richieste di riconteggio tramite i dati cartacei è naufragata a causa di allagamenti)
Se non c’è più nessuno a controllarli, è quello il problema. Falsificare i voti in carta è pericoloso e faticoso… col digitale, ci ridi sopra!
Se non ci riesco io a craccarteli tutti chiamo gli amici del CCC. Loro lo fanno per amore nella democrazia di craccare qualsiasi sistema di voto digitale per dimostrare che è follia fare affidamento.
Beh certo, perché sono affidabili i tablet made in China…
Errore per distrazione/emozione?
Perché mai la conta dovrebbe essere intrasparente?
Non ti sei sbagliato? Hai veramente inteso “algoritmo” ?
gnunet ce l’ha già da anni… utilizza il modulo “consensus” che è simile alla blockchain. Probabilmente più efficace.
Allora bisogna introdurre che la conta la facciano fazioni indipendenti ecc… mica è una scienza nuova fare la democrazia che funziona. Se in Italia queste cose non si fanno con la necessaria serietà, il problema non si risolverà con l’aggiunta di tecnologia.
A voglia… ecco i video di come si possono truccare…
Geniale… ora le catastrofi climatiche servono anche a far scomparire le prove!
Ecco il Contorcellum!
Col trucco della scheda ballerina le schede allo spoglio risultano tutte valide. Il trucco consiste nel far uscire dal seggio almeno una scheda il sabato. E ti posso garantire -avendo fatto lo scrutatore varie volte- che è facilissimo, e nient’affatto faticoso.
Ok Elliot, spiegaci il piano. Supponiamo che io sia un candidato Premier e vi ingaggio per truccare le elezioni e farmi vincere. Spiegami come pensi di fare per farmi vincere, e ti riempio di bitcoin.
Quell’ hack prevede che tu inserisca una carta nell’apparecchio. Nel sistema che ho in mente io, nessuno può inserire niente nel dispositvo (non prendermi alla lettera quando parlo di Rpi: nulla vieterebbe che lo Stato produca una SBC ad hoc, sprovvista di ingressi USB o di qualunque altro tipo vulnerabili). L’identificazione dell’elettore continuerebbe ad avvenire come oggi, cioè con l’esibizione di un documento d’identità valido agli scrutatori. Inoltre, il fatto di non mettere le tendine davanti all’elettore serve proprio a far sì che se fa “cose sospette” qualcuno lo fermi.
C’è un piccolo problema: il sistema verrà commissionato da chi ha il potere e quindi non ha interesse ad evitare brogli ma a commetterli. [ancora, vedi caso USA]
Allora, scenario completo.
Il Ministero dell’interno commissiona ad una istituzione pubblica (es. Università) la produzione di un numero di dispositivi pari a quello dei seggi elettorali. I dispositivi devono avere le caratteristiche dette sopra (nessuna scheda di rete, niente bluetooth, nessun ingresso USB o d’altro tipo. Solo un supporto su cui far girare il software e salvare i dati). Tutta la documentazione (schemi dei circuiti elettrici, software) dev’essere pubblica e consultabile dai cittadini. Il dispositivo non deve essere apribile dall’elettore, né dagli scrutatori. Gli unici che possono aprire i dispositivi sono gli agenti che verranno alla fine della giornata (e che saranno diversi da quelli che hanno portato i dispositivi).
Il giorno delle elezioni i dispositivi vengono portati ai vari seggi da pattuglie di Polizia composte da almeno 3 agenti. La composizione delle pattuglie avviene in modo randomico il giorno prima. Gli agenti vengono mandati in trasferta e spostati da una città all’altra nei giorni immediatamente precedenti alle elezioni. Gli agenti portano i dispositivi nei seggi all’orario di apertura degli stessi, dopodiché se ne vanno e la responsabilità passa agli scrutatori.
Vd. sopra. Si vota uno alla volta. Il riconoscimento avviene come adesso (si presenta un documento di identità valido e gli scrutatori controllano che il tizio risulti effettivamente votante in quel seggio). La cabina elettorale è aperta sul davanti: gli scrutatori controllano che l’elettore non fotografi o filmi l’atto del voto.
Al termine delle elezioni, arrivano altri agenti (diversi da quelli che avevano trasportato il dispositivo. Lo aprono, estraggono la scheda e la infilano in un altro dispositivo ad hoc per visualizzare a video i risultati. Quest’ultimo software è pubblico e reperibile sul sito del Ministero. I rappresentanti di lista (magari facendosi aiutare da un informatico) eseguono un controllo preventivo dei software dei dispositivi, per verificare che corrispondano a quelli sul sito del Ministero. A sto punto:
Per truccare le elezioni, in questo caso:
Intanto mi congratulo con te per avere fatto lo scrutatore, grazie. Il fatto che si riesca a fare scomparire una scheda non lo trovo normale… sarà che si è stabilita una cultura di distrazione che permette queste cose. Ci vuole più educazione civica e volontà a non permettere ciò. E più pericolo di essere seriamente puniti.
9 anni per cominciare… comunque ci vinci solo elezioni locali dato che devi avere una quasi-maggioranza di persone da costringere a partecipare in questa truffa. Ognuna di queste potrebbe fare saltare tutto registrando un video di nascosto come quello che hai linkato. In pratica mi pare che il metodo della scheda ballerina non scala. Non ci fai vincere un Trump. Per quel tipo di vittorie ti ci vogliono i sistemi digitali che puoi compromettere in scala.
Ah bene, finalmente ricevo pagamento per i miei contributi al forum pirata.
Ci sono stati casi che alla fine delle elezioni le macchine da voto sono state depositate nello scantinato di un sindaco repubblicano senza alcuna protezione… in pratica aveva tutta la notte per accedere alle schede memoria… sono ormai dieci anni che ci sono casi di abuso di sistemi Diebold… passiamo oltre, va.
SBC?
In pratica vorresti un sigillo fisico. Lo proposi al PP-DE nel 2011…
Di conseguenza anche l’algoritmo. In alto avevi detto che ci sarebbe stato un algoritmo segreto, cioè proprietario. Non a caso mi pareva che ti fossi sbagliato.
Resta un aspetto che non conoscevo nel 2011 riguardo al sigillo fisico: la backdoor si può introdurre nel VHDL oppure dopo l’atto di compilazione del VHDL e la messa in produzione di massa — significa che si possono nascondere le backdoor nel circuito elettrico a livello nanotecnologico che non riesci neanche più a scrutinare per trovarla. Se non hai la fabbrica del hardware sotto controllo 24/7 da parte di due entità politicamente separate, la manipolazione potrebbe avvenire inserendo un “virus” che ti modifica il compilato del VHDL poco prima della masterizzazione.
Di conseguenza nessuno sa veramente quante backdoor abbiamo nei nostri telefonini ecc, dato che nessuno investe denaro a controllarne la fase di produzione — anzi, vince sul mercato chi risparmia in sicurezza — ma tutti i servizi segreti hanno un alto interesse a compromettere le schede elettroniche.
In pratica, per fare del hardware affidabile, sia per produrre lo smartphone costituzionale che degli oggetti come descrivi tu, dobbiamo ricostruire fabbriche di silicio sul nostro continente e proteggerle come la zecca.
Anche in tal caso resterebbe quel punto di critica che i Piraten hanno sempre articolato riguardo ai sistemi di voto digitali: la popolazione non ne comprende la sicurezza, non può controllare la procedura, perciò non ha modo di giudicare se i sistemi sono davvero sicuri o se sta vivendo in Matrix. Perciò la fiducia nella democrazia rischia di corrodersi del tutto.
Mi sono informato sul caso d’uso di scheda ballerina a Giuliano. È evidente che esiste un problema politico molto più grave se la polizia non interviene alla segnalazione di un osservatore. Perciò, se la polizia non fosse corrotta, il compravendita davanti al seggio non avverrebbe… i mafiosi dovrebbero già avere organizzato tutto in anticipo ed anche in tal caso non ci dovrebbe essere nessuno che fa segnalazione anonima. In pratica, se la polizia non fosse corrotta secondo me (e secondo il ragazzo del video) la scheda ballerina non funzionerebbe a lungo.
Potremmo stilare una patch alla legge elettorale che introduce necessità di controllo multiplo del processo… i Carabinieri che controllano che i poliziotti mettano a verbale quanto gli si chiede di mettere a verbale… che entrambe le forze siano presenti dentro e fuori dai seggi…
condivido questa preoccupazione, ed anche per questo io proporrei un sistema sempre basato su supporto cartaceo leggibile da uomini ma assistito da computer sia per la preparazione che per lo spoglio delle schede.
Il voto con scrutinio elettronico è fondametale perché vogliamo fare “votazioni raffinate” (es. un condorcet proporzionale). Lo schema di @Exekias mi piace, ma ci vedrei un passaggio cartaceo come proposto da @bockman (il votante usa il tablet, stampa una ricevuta, con un codice da scannerizzare; il voto è registrato in digitale sul tablet, e in cartaceo nell’urna; il votante può scannerizzare, prima di infilare nell’urna, su un computer di prova nel seggio per verificare che corrisponde a quanto votato).
L’Estonia usa un sistema di voto online, senza quindi supporti cartacei e neanche supervisori nei seggi, qui un report preoccupante https://estoniaevoting.org/
Condivido le preoccupazioni di @lynX, il processo non solo deve essere sicuro ma anche comprensibile dai votanti, di modo che ne possa conservare la fiducia.
Chi/cosa possiamo consultare per trovare una soluzione in cui:
La votazione deve essere segreta o palese? Se è segreta mi pare che questa possa essere una soluzione: singoli voti pubblicati con un hashcode e pubblicamente conteggiabili, ma solo chi ha votato conosce il suo hashcode (così tutti possono verificare, anche se le identità restano segrete).
2 problemi sull’acquisto dei voti, che chiamerò ###1. il problema della ricevuta Il rischio è che Mario, che ha venduto il voto ad Antonio (oppure è stato ricattato da Antonio), possa dimostrare ad Antonio che ha votato come promesso rivelandogli l’hashcode. Come si risolve? ###2. il problema dell’attribuibilità o del voto “firmato” Il problema dell’attribuibilità del voto (cioè io vedo il voto anonimo e posso risalire all’autore attravero dei dettagli insiti nel voto) non si verifica solo con l’idea della ricevuta, ma ancor prima già alla fase di scrutinio al seggio se il voto può avere molti dettagli.
Se le combinazioni permesse dalle regole di voto sono più dei votanti al seggio, oguno teoricamente potrebbe votare in modo diverso. Se mi sono messo d’accordo prima con qualcuno che è presente allo scrutinio (perché gli ho venduto il mio voto) lui può verificare se il mio voto è presente.
Per es. in un voto con 3 preferenze, in un seggio dove votano circa 1500 persone, e magari 500 persone votano il Partito Mafioso, se i candidati di un partito sono 30, le disposizioni possibili sono D= 30! / 27! = 24360. 24360 modi diversi di “firmare” le schede, dico a Mario la disposizione di preferenze che deve votare e poi allo scrutinio vedo sul mio blocknotes se i vari voti acquistati sono stati veramente dati.
Un voto elettronico potrebbe/dovrebbe trovare un modo per evitare questo problema.
Questo problema è ancor più presente in sistemi di voto ancora più dettagliati come nel [Condorcet proporzionale per una nuova legge elettorale italiana][1] che stiamo discutendo. @Cal [dice che non è possibile eliminare quest’attribuibilità][2] perché il conteggio ha bisogno di conservare tutte le informazioni complesse espresse nel voto.
Secondo me si può risolvere il problema dell’attribuibilità, lavorando su
Sul problema della ricevuta (come posso essere sicuro che Mario non possa far vedere ad Antonio come ha votato dandogli il codice) magari si può lavorare anche lì su criptaggio e verifica del voto personale solo di persona in uffici statali.
Sono suggestioni, ragioniamoci insieme e troviamo delle soluzioni dettagliate [1]: Condorcet proporzionale elettronico x Italy [2]: Condorcet proporzionale elettronico x Italy
Il sistema che avevo in mente era esclusivamente elettronico online, quindi non c’è il problema dei seggi e degli scrutini. Piuttosto serve un’installazione sicura in un ufficio di server controllato costantemente dalla polizia, ad ogni modo, la possibilità di fare un conteggio pubblico permette di dar fiducia anche alle persone comuni.
Riguardo la possibilità di dimostrare ad un “compratore di voti” come si è votato c’è, ma è molto difficile da raggirare. Quel che si può fare non è impegnarsi a migliorare l’anonimato (che comunque deve esserci), ma mettere un cittadino nelle condizioni di verificare personalmente il suo voto, potendo offrire più dati effettivamente collegati al cittadino che possono mostrare sia un voto che un altro o un altro ancora, potendo dimostrare qualsiasi cosa ad un terzo, non lasci al terzo la sicurezza di nulla, di fatto non puoi più dimostrare veramente se sei sincero o stai mentendo. Così si ripropone lo stesso problema che il compratore di voti ha, nel sistema con la carta.
Si può fare meglio di così? Se la risposta è no, si tratta solo di capire come offrire più dati che dimostrano voti diversi, pur permettendo al cittadino, personalmente, di verificare il suo voto effettivo e poter “spacciare” qualsiasi votazione.
Il rischio non è comunque superiore a quello del sistema attuale. In entrambi i casi Mario può fotografare la scheda compilata e mostrare la foto ad Antonio come prova. Se la scheda è firmata digitalmente, e se Antonio conosce la chiave pubblica per decifrare la firma, Antonio può verificare che la foto di Mario è autentica ( cosa non fattibile con il sistema attuale ). Ma d’altra parte la scheda firmata digitalmente impedisce che Antonio dia a Mario una scheda precompilata e si faccia riportare come prova una scheda bianca (cosa fattibile con il sistema attuale) , per cui siamo uno pari.
Certo, se si trovano modi di rendere più difficile la compravendita del voto ben venga, ma secondo me non dobbiamo farci condizionare da questo. Se uno vuole vendere il suo voto, trova il modo di farlo. Se a vendere il voto sono pochi, il problema è ridotto. Se sono molti, si tratta di un grave problema sociale e culturale che non può essere risolto dai tecnicismi di un sistema di voto, ma va affrontato a monte con altri strumenti.
Se si eliminissare scheda ballerina, fotocamere e e altri trucchi (per es. con seggi come quelli di @Exekias, con i tablet), un sistema per eliminare “firmabilità” del voto c’è: una o zero preferenze.
Credo che sia uno dei motivi per cui nel 1991 la maggioranza assoluta degli italiani votò sì al referendum per eliminare le preferenze multiple.
Secondo alcuni osservatori, la maggior parte degli elettori che votò «sì» non sapeva bene di cosa si trattasse, e quali conseguenze comportasse il quesito referendario: capì soltanto che i capi dei partiti tradizionali di Governo erano contrari alla preferenza unica, e poiché non piaceva a loro doveva essere una cosa buona, meritando un «sì» entusiastico1.
Wikipedia, da Indro Montanelli e Mario Cervi, L’Italia degli anni di fango, Milano, Rizzoli, 1993.- https://it.wikipedia.org/wiki/Referendum_abrogativo_del_1991_in_Italia#cite_note-MontanelliCervi-1
Quello che doveva essere un voto contro la partitocrazia (che faceva voto di scambio), si trasformò in un ulteriore regalo ai capi di partito e relativi delfini.
Con zero preferenze-> liste bloccate decise dai segretari Con una preferenza-> favoriti i big di partito, sfavoriti gli indipendenti (rispetto ai voti a classifica).
La sfida è trovare un’alternativa
Anche qui mi sento di ripetere quello che ho scritto a proposito della compravendita dei voti : esiste un problema culturale-politico di fondo che a mio parere non è risolvibile da tecnicismi della legge elettorale. Quello che si puo’ fare è una buona legge elettorale che massimizzi il potere di scelta degli elettori, garantisca rappresentatività delle varie componenti di pensiero e permetta un sufficiente grado di efficienza del parlamento. Per impedire che i partiti attuali usino questa legge a loro tornaconto si può fare solo una cosa: riformare i partiti, e prima ancora riformare le teste dei loro iscritti.
Solo una precisazione sul voto “firmato”: nel sistema che ho in mente io lo scrutinio è completamente elettronico, e l’unico dato che viene riprodotto a video è il risultato (cioè sai che il candidato Tizio ha preso tot. voti, ma non puoi vedere le singole schede).
Certo, si tratta di assicurarsi che il software non sia taroccato. Ma mi pare più facile questo che tutto il resto (sul serio pensate che qualcuno si prenderà la briga di infilare backdoor a livello nano-tecnologico? Supponiamo anche che sia tecnicamente possibile farlo: varrebbe la pena, dalla soggettiva di un mafioso? Quanta gente dovresti corrompere, quanti soldi dovresti sborsare, quanti rischi di finire in galera dovresti correre?).
A patto che ci sia chi è disposto a comprarlo. E il mafioso non allunga 50€ se non ha la certezza al 100% che tu abbia votato per il candidato che dice lui.