Il voto elettronico in Estonia e in Belgio per le europee del 2019: cosa ci insegna e quanto è applicabile in Italia o in Europa

Guardando queste statistiche:

Mi sono formato l’idea che l’aumento percentuale delle persone che vivono all’estero é relativamente basso, i numeri veri arrivano da persone che vivono in Estonia e che si stanno spostando dal voto cartaceo a quello elettronico.

Dovrei leggere le specifiche richiesta, ma sicuramente la mia soluzione non sarebbe rientrata perché per essere applicata con successo ha bisogno di un sistema che sia in grado di avere accesso e clonare un certo numero di carte d’identitá, il che non é un bug del software, ma una debolezza strutturale dell’intero sistema.

Molto interessante, faccio notare che sono bastate 3 persone, un investimento ridicolo, se una nazione volesse perpetrare un attacco del genere, ma questo solleva anche un tema di fiducia sul potere “dittatoriale” consegnato ai programmatori.

Da qualunque lato si osserva la questione emergono sempre ombre.

Questo é vero, ma consegnare la democrazia a un manipolo di programmatori fondando il ragionamento sulla fiducia mi sembra un approccio eccessivamente ottimista.

Diciamo che nella letteratura specialistica ci sono articoli più orientati agli aspetti tecnici che propagandistici. Il baco in effetti è grave, ma non è quella cosa da “mo’ vedi come ti achero il voto da casa” che immaginano alcuni giornalisti. Per sfruttarlo, si doveva essere all’interno dell’infrastruttura IT: in teoria, c’era la possibilità che un complotto interno ordito da numerosi specialisti della Swiss Post forzasse le cose per alterare il voto («an attacker would need control over Swiss Postâ™s secured IT infrastructure "as well as help from several insiders with specialist knowledge of Swiss Post or the cantons»). In linea teorica, possibile, secondo lo studio australiano. La distanza tra la letteratura specialistica e quella dei quotidiani può essere notevole. Ma i politici tendono a leggere solo la seconda e non la prima.

Sebbene non sia stato facilissimo rimanere nel tema del voto elettronico alle europee e delle future possibili applicazioni, le risposte sono chiare e utili a capire l’orientamento del PP. E quindi ringrazio.

Volendo fare una sintesi, direi che c’è una forte contrarietà:

1. Il voto elettronico è giudicato intrinsecamente insicuro, a prescindere dalle possibili implementazioni.
2. Il voto elettronico è considerato per sua natura anti-democratico.

Nella dialettica tra chi è per la sperimentazione e il miglioramento di questa tecnologia e chi la esclude a priori, il PP sembra propendere per la conservazione. Che è una cosa buona, quando il cambiamento è dannoso. Ma è un limite, quando ingegnandosi e sperimentando si possono fornire nuove soluzioni per nuovi contesti.

Einstein sosteneva che il progresso tecnologico è come un’ascia nelle mani di un criminale patologico. Il che spiega perché spesso detto progresso non sia considerato tale. Non sempre a torto. A ogni modo: auguri ai folli, e sonni tranquilli a tutti gli altri.

Io credo che ci sia anche una terza opzione, cioè che il voto elettronico può essere usato in contesti specifici dove le condizioni sulle quali abbiamo discusso sono meno stringenti. E quindi perdono senso. Non mi viene in mente nessun esempio calzante. Forse la votazione di mozioni in un partito, la gestione di gruppi informali… Non saprei…

Mi è stato segnalato https://gambe.ro/s/r3xzzp/il_voto_elettronico_possibile ma non ci trovo granché

CRVD, che io sappia è l’unico comitato in Italia fondato su questo tema specifico, non rientrerebbe in questa tua sintesi perché non giudica il voto elettronico intrinsecamente insicuro né anti-democratico e soprattutto non è contrario alla sperimentazione e al miglioramento della tecnologia.

Ma:

0. L’adozione del voto elettronico dipende strettamente da una analisi del rischio e quindi del valore della vulnerabilità. Una cosa è il voto per il governo nazionale, un’altra per un comune sperduto sulle montagne. Ovviamente l’interesse a compiere azioni di manipolazione cresce con questo valore diventando massima, allo stato istituzionale attuale, per il voto politico o per le elezioni regionali o le grandi metropoli, visti i valori economici in gioco.

1. le attuali implementazioni del voto elettronico non rispettano i requisiti minimi per considerare il voto un esercizio democratico, ad esempio quelle della sentenza tedesca. In particolare nelle elezioni politiche il valore della delega che promana dal cittadino al rappresentante in un momento in cui esiste una transizione di potere non può non basarsi su una procedura completamente trasparente e verificabile ad occhio nudo e senza conoscenze specialistiche.

2. allo stato attuale della conoscenza informatica tutte le possibili future implementazioni di tecnologie di voto, quindi anche possibilmente più complete e corrette di quelle attuali, non rispetterebbero quelle condizioni visto che al cittadino verrebbe comunque impedita una conoscenza non mediata sul processo di voto. Potrebbero però nascere nuove scienze per sopperire a questa mancanza dell’informatica.

3. spesso l’adozione del voto elettronico non avviene sulla base di una preventiva analisi della compatibilità con le scritture costituzionali ma paradossalmente attraverso l’aggiornamento di norme tecniche o regolamenti ministeriali (così avvenne in Germania ad esempio) sottraendo ai parlamenti e alle corti costituzionali anche il banale confronto sull’argomento.

In definitiva CRVD lavora perché la decisione di introdurre il voto elettronico sia rafforzata da una pronuncia della corte costituzionale, purtroppo seguire il processo istituzionale della corte italiana non è così semplice come quello tedesco e probabilmente andrà fatta in via incidentale dopo la promulgazione della legge (ammesso che una legge ci sia).

Grazie per la segnalazione sul CRVD, che è interessante ma sembra essere anch’esso incentrato sul solo voto elettronico senza fare un confronto tra i sistemi.

A mio parere sarebbe più razionale porsi la questione su quale sia la soluzione migliore nei vari contesti, mettendo da parte l’assioma che il metodo tradizionale sia sempre il più sicuro o il più libero per eccellenza. Le obiezioni e i dubbi sul voto elettronico sono fondate. Il problema è che mancano i dubbi sul resto. Manca cioè un approccio critico e comparativo che permetta di adattarsi a scenari che comprendono nuove tecnologie e nuove problematiche sociali.

Nessuno di noi è tanto ingenuo da pensare che l’esperienza estone oggi sia applicabile in toto alla scelta del parlamento italiano o alle presidenziali americane. Ci sono situazioni, tuttavia, dove anche il vecchio metodo mostra delle falle che mettono a rischio la segretezza o la libertà di voto. Se siamo disposti a vederle, invece di ignorarle per principio.

Le difficoltà di voto degli italiani all’estero e i problemi di sicurezza del voto postale sono due problemi che, allo stato attuale delle cose, sono ancora da risolvere. Un tempo, forse, il problema era marginale, ma oggi siamo più mobili e il vecchio sistema non sta funzionando tanto bene: o si aggiorna, o ha senso proporre delle alternative.

Quando ho votato al referendum sulle trivelle, nella mia sezione hanno votato tutti allo stesso modo. Non ci voleva un genio del male per capire come avevo votato. Il solo fatto di recarsi al seggio poteva mettere a rischio due principi fondamentali: la segretezza del voto e la libertà di votare senza subire ritorsioni. In alcune zone, dove forti interessi economici erano legati all’astensione, le ritorsioni erano probabili. Annulliamo il quorum, o cerchiamo soluzioni che permettano, magari a una minoranza di persone, di votare senza esporsi sulla pubblica piazza?

I comuni sono responsabili della conservazione delle schede elettorali per 5 anni, dopo il voto. Dopo di che, le schede vanno al macero. Per chi ha accesso alle schede, basta un po’ di ninidrina spray e un raggio alla giusta lunghezza d’onda, per fotografare le impronte digitali. Che l’elettore in genere lascia appoggiandosi con la mano aperta sulla parte interna della scheda, mentre disegna la croce.

In alcuni contesti locali, non è impossibile organizzarsi per installare microcamere nel soffitto o in altri punti chiave.

L’uso dei cellulari per il voto di scambio è già ampiamente documentato. La possibile trasformazione di schede bianche in voti validi, o di schede valide in voti nulli, è anch’essa documentata.

Personalmente, potendo scegliere, sceglierei di votare comunque con il metodo tradizionale. A me piace la carta. Ma altri potrebbero avere dei problemi che io non ho. Io metto in dubbio un approccio che non fa un confronto tra modelli da analizzare per rischi e benefici, al fine di trovare la soluzione più adatta a ogni contesto, ma parte dalla presunzione che un sistema sia sicuro per tradizione e l’altro insicuro per limiti tecnici. Le ultime elezioni europee ci dicono che la piccola Estonia, con il suo sistema imperfetto, ha dato a tutti la possibilità di votare, elettronicamente o con la carta. Mentre da noi, con il nostro sistema considerato perfetto, una quota piccola ma non trascurabile non è stata messa in condizione di esercitare con facilità il diritto di voto.

Il problema quindi non è tanto (o quanto meno non solo) capire se il voto elettronico può essere sicuro al 100%. Il problema è rimuovere i preconcetti e capire cosa funziona meglio, caso per caso.

L’elenco di possibilità di falsare un numero di voti cartacei lo comprendo, ma considera che ci sta sempre un limite al numero di falsificazioni credibili che puoi fare per seggio, anche se si forma una cospirazione tra i volontari. E certe idee sono ad alto rischio, tipo se qualcuno ti becca a smanettare il cellulare o manomettere il soffitto.

Ma ormai non credo che è più così che si vincono o perdono elezioni. Questa è roba che si faceva ai tempi del Berlusca. Ora si fa la manipolazione psicologica sui social che è assai più potente: convinci un 10-20% della popolazione di votarti anche se è ampiamente contro il loro interesse. Quanti seggi elettorali saranno mai in grado di compensare l’arrivo di una valanga di lavati di cervello? Il metodo Berlusconi non può vincere contro il metodo Salvini.

Mentre il problema a lungo termine del digitale è che se ci sta un errore nel sistema, possono essere manomesse milioni di “schede”, non dozzine. E se dovesse riuscire a te o più probabilmente alla NSA, non ci sarebbe modo di rintracciare colpevoli… forse neanche di comprovare l’accaduto.

Infatti, lynX, bisognerebbe sempre considerare il contesto. Su scala nazionale, certi imbrogli non modificano sostanzialmente il risultato, tranne che per il singolo parlamentare il cui potere politico può dipendere dal numero di preferenze. Su scala comunale, le cose cambiano, perché una lista può prevalere per una manciata di voti. In un referendum, lo scenario cambia a causa del quorum. Per i militari o i residenti all’estero, ci sono altre problematiche. Ecc.

Il voto elettronico, a sua volta, non è una scatola nera dove tutto può succedere. Penso sia sbagliata l’immagine di un software monolitico centralizzato e incontrollabile che non lascia prove verificabili e non protegge l’integrità dei dati.

Se ogni comune si sviluppa il software da se diventa un disastro totale. Allora presumo che parliamo di un software libero usato da tutti. Ora se ci sta una falla, la si può usare in tutti i seggi elettorali. E dato che il sistema è digitale, la falla si può automatizzare. Perciò un certo grado di centralizzazione/automazione è nella natura del digitale. E dato che il digitale non è cartaceo, se la falla è tale che l’integrità dei dati è affetta anch’essa, non ci sarà più modo di tracciare un abuso. In pratica non se ne esce ed io in un locale dove mi si presenta una scatola nera nella quale dovrei cliccare il voto, non ci vado. Perché chi mi garantisce che quella scatola nera abbia hardware sicuro ed esegua il software pubblicato?

Forse sarebbe utile chiarire meglio il concetto di software distribuito e i possibili meccanismi di ridondanza, controllo e verifica. Ma sarebbe lungo. Diciamo che si tratta di dettagli tecnici che chi lavora su queste architetture pensa di poter risolvere. Come per altri software critici.

La fiducia che abbiamo in un sistema dipende almeno in parte da quanto ci fidiamo di chi fa i controlli. A me piace, per esempio, l’idea che le sei persone che fanno funzionare il mio seggio elettorale siano corrette. E di fatto tendo a fidarmi. Mi piace pensare anche che i partiti non abbiano interesse a rovinare le elezioni, perché farebbero del male anche a sé stessi. In modo analogo, penso che si possa riporre un minimo di fiducia nelle persone che controllano l’hardware e il software di quella scatola nera che ti fa un po’ paura. Infatti, ci mettiamo in viaggio senza il terrore che qualcuno si diverta a far scontrare gli aerei. E quando ci colleghiamo a un sito, confidiamo nei DNS e nel software di cifratura, per sapere se siamo nel posto giusto. Non perché verifichiamo di persona, ma perché ci fidiamo di chi li fa funzionare.

Non lo trovo analogo. Spesso in democrazia e giurisprudenza si è fiduciosi che sei persone separate non facciano facilmente complotto. Forse ci sono sei persone anche nel caso del hardware e del software, o forse sono sessantasei… ma il problema è che ognuna di esse potrebbe compromettere il sistema senza che le altre se ne accorgano, e perciò non c’è necessità di cospirazione.

Debbo elaborare perché sono tutti confronti inadeguati?

P.S. Stai parlando a quello che ha sviluppato un add-on per Firefox appunto perché non si fida di DNS e cifratura.

Senza un sistema distribuito di DNS funzionante (che per fortuna, come altri sistemi, non salta per colpa di una sola persona), l’intero web non funzionerebbe. E senza un buon sistema di cifratura, il tuo stesso plug-in sarebbe inutile: un baco nel protocollo SSL o nel software potrebbe rendere il tuo controllo inutile. Capisco le tue paranoie, ma almeno un po’ tocca fidarsi pure a te.

Anni fa, su fidonet, usavamo un semplice algoritmo, che penso abbia un suo valore: ad ogni voto elettronico ogni elettore attaccava un codice di propria scelta arbitraria (ad esempio parole e numeri). raccolti tutti i voti, al momento del conteggio, venivano pubblicati tutti i voti con relativo codice. -> il votante puo’ verificare che il suo voto non sia manomesso. Usando un codice opportuno (ad esempio uno spazio che contenga 1 miliardo di possibili codici, tipo hash). La verfica sarebbe semplicissima: un banale programma che cerca, nell’ elenco pubblicato, il tuo codice segreto e ti mostra cosa hai votato estraendolo dal elenco pubblico. Il punto debole di questo modo e’ che non tutela l’ elettore sotto ricatto e/o quello che deve dimostrare di avere quanto richiestogli, a meno che il risultato pubblicato sia codificato a sua volta con una chiave ulteriore che renda il risultato pubblicato leggibile solo a mittente e destinatario

Se si usa il metodo “open source” tutti possono mettere il naso nel codice sorgente; non dovrebbe bastare questo come garanzia di affidabilita’? Lo so che poi quasi nessuno sara’ in grado di CAPIRE il codice, e che, alla fine, sara’ comunque necessario avere “fiducia”… Cosa ti trattiene su questo punto?

Si, codice in vista è buono… ma i binari derivati devono essere riproducibili affinché sappiamo che quei codici sono effettivamente quelli che stanno trattando i dati, e non ci sono state modifiche nel processo di compilazione. Esempio Signal: abbiamo un presunto codice sorgente, ma nessuno ci può confermare che è ciò che scarichiamo dal Play Store. Aggiungere una backdoor è facile e possono bastare pochi byte manomessi nel punto giusto del binario. Per esempio non sarà una sorpresa se un giorno esce fuori che Whatsapp offre davvero una crittografia end-to-end, ma per errore di programmazione la chiave segreta è stata trasmessa al server…

Avrebbe senso pensare ad una cosa da aggiungere ai compilatori standard che inserisca, in apposita aree, versione ed hash del sorgente? Chi tarocca l’eseguibile taroccherebbe anche hash, ma tramite quella parte si potrebbe, sommariamente, verificare se l’eseguibile e’ DOC ? O meglio non le sue autentiche origini ma “dove andare a recuperarlo”