Voto elettronico e democrazia: liquidata?

Nelle assemblee di condominio per votare occorre essere presenti oppure delegare un terzo in propria vece con documento firmato. E si decide di questioni importanti e spese significative, certo, ma non di questioni vitali come, che so, se dichiarare guerra all’impero Romulano o stanziare fondi per la ricerca sul morbo del Pianeta Algernon.

Ora, leggo che per le questioni davvero importanti c’è oggi un gran parlare delle meraviglie del voto elettronico (che viene chiamato anche, con infelice espressione, democrazia diretta o, peggio, liquida). Come ufficiale scientifico, mi è capitato di passare un po’ di tempo in compagnia dei computer, e posso dire che di solito sono affidabili. Ma i computer sono progettati da umani, e i loro programmi sono scritti ed installati da umani, e la loro gestione è affidata ad umani. E i sistemi per controllare che gli umani si comportino correttamente sono molto più complessi di quanto possiamo pensare.

Non fa male partire da ciò che definisce “voto”: il voto è personale ed eguale, libero e segreto (art.48 della Costituzione). Approfondiamo un attimo il significato di queste poche fondamentali parole:

Dover chiedere la scheda

Dover chiedere la scheda “giusta” rende il voto per nulla libero: 98,33% SI.

– il voto è personale, è esclusa la possibilità del voto per procura: l’elettore deve recarsi di persona nella sezione elettorale e segnare di proprio pugno la scheda;

– il voto è uguale, nel senso che pari peso è riconosciuto al voto di ogni elettore (parrebbe che quelli che hanno inventato lo slogan uno vale uno siano significativamente in ritardo);

– la libertà e la segretezza sono requisiti complementari, ed entrambi necessarie, poiché il voto può essere veramente libero solo quando è segreto.

Vediamo quindi i requisiti minimi necessari perché esista qualcosa che si possa chiamare voto elettronico, e quindi la democrazia diretta, e se sia qualcosa che voi impieghereste nel vostro condominio per decidere della distribuzione dei posti auto.

1) occorre essere sicuri che possa accedere al sistema di voto chi ne ha effettivamente diritto, e non altri. Difficile accertarcene, visto che nessuno è presente: siamo tutti davanti ai nostri computer. Quindi, prima, occorre che qualcuno di affidabile (l’amministratore?), cui crediamo, abbia distribuito a tutti i condomini aventi diritto le credenziali (per le banche user id e password non bastano: cosa proponete per qualcosa di così prezioso come il vostro voto? certificati elettronici? one time password?) di accesso al sistema di voto. E che lo abbia fatto senza guardare/impadronirsi/duplicare le credenziali stesse, perché, capite, altrimenti potrebbe votare lui per tutti. Anzi, pensandoci bene, dovremmo anche essere sicuri, in modo verificabile, che le abbia distribuite effettivamente, queste credenziali (e alle persone che ne hanno diritto!) e non che se ne sia tenute un po’ da parte per suo uso personale, magari le credenziali dei condomini anziani o malati, che certo non protesteranno.

2) occorre essere sicuri che chi esprime il voto sia proprio colui che ha diritto, e non un altro che abbia comprato le credenziali di accesso distribuite, correttamente, a coloro che ne hanno diritto. Dite che nessuno lo farebbe mai? Mi risulta che si “comprino” i voti cartacei, con una certa facilità. Pensate che pacchia comprare le credenziali di accesso al voto! Costano meno, si usano più semplicemente, e puoi comprarle anche da quelli che non andrebbero a votare! (Mentre un voto fisico, sia pur comprato, va espresso recandosi al seggio). E poi, una credenziale è per sempre: posso riusarla anche per diverse elezioni, prima che la cambino e mi tocchi ricomprarla. Se il sistema è inefficiente, si possono far votare anche i morti, senza doverli trasformare in zombie per andare al seggio. Insomma, un affare. Per i cattivi. Ma attenzione: occorre sapere che chi ha votato ha diritto a farlo, senza poter tracciare chi abbia espresso quel particolare voto: altrimenti lo stesso non sarebbe libero e segreto.

Questi due punti potrebbero essere parzialmente superati tramite opportuni accorgimenti, quali per esempio il voto elettronico presso seggi presidiati, dove si verifica la identità e il diritto al voto del cittadino, oppure, ipotesi ad oggi alquanto remota dati i costi delle tecnologia e l’alfabetizzazione digitale di gran parte dei cittadini, tramite la diffusione di una tipologia di credenziali di accesso diverse, quali il riconoscimento della retina, magari correlata da una verifica dei parametri morfologici del volto del votante o, come sta avvenendo, con apparecchi in grado di tramettere parametri vitali specifici e unici, “riconosciuti” dal sistema di voto.

Ritengo queste soluzioni molto poco affidabili, la prima perché rimane esposta ai tre serissimi problemi elencati nel seguito, la seconda persino peggiore perché, da molti punti di vista, delega a un sistema computerizzato remoto (che ha registrate e dispone delle nostre caratteristiche fisiche individuali uniche, comunque criptate) la potenziale capacità di agire al nostro posto.

3) Occorre essere sicuri che il computer con il quale si esprime in voto non sia infettato da software disegnato per guidare il voto secondo i desideri di terzi. Ci sono mille modi per farlo, credete al vecchio Spok. Del resto, siete pieni di mail che tentano di convincervi ad andare sul sito di quella che sembra proprio della vostra banca ma non lo è, figuratevi quanto sia semplice presentarvi, per fare un esempio banale, la realtà sarebbe del tutto invisibile, una scheda che magari mostra i simboli in posizioni diverse e voi votate, per esempio, il Malvagio e Infido Avversario, pur avendo cliccato sul Fulgido Campione della Masse. Oppure cliccate sul Luminoso Futuro per Tutti e invece dal vostro computer parte un voto per l’Oscuro Oppressore. E non lo sapreste mai.

4) Occorre essere certi che la rete di telecomunicazioni sul quale viaggia il vostro prezioso voto elettronico sia sicura. Ovvero che nessuno possa installare apparecchi che intercettino il traffico, lo analizzino, e magari cambino il voto espresso (è un filo complicato, ma si può fare, non so se avete seguito quei simpaticoni della NSA, che hanno combinato: parlano tutti delle telefonate, ma oggi il traffico che fa gola è quello dati criptato…). Il vostro voto è sicuro? Lo sapete cosa sono quegli armadi che vedete sulle strade, o i tombini di ferro sull’asfalto con le sigle degli operatori di rete? Beh, sono i segretissimi e protettissimi luoghi dove passano tutti i vostri dati. Incluso il vostro fondamentale voto elettronico. Ma sarebbe da malvagi di bassa lega lavorare lì: costoso, esposto, e complicato. Per come sono fatte le reti di telecomunicazioni, tutti i dati passano per, diciamo, una decina di punti specifici, prima di essere inviati a destinazione. Basta lavorare lì, tranquilli e poco visibili, per pilotare una elezione nazionale. Se siete complottisti, sappiate poi che tutto l’hardware e software di questi nodi di telecomunicazione viene prodotto all’estero. Chissà cosa ci hanno messo dentro, e quando lo attiveranno… Se poi pensate che tutto quanto sia invece molto sicuro grazie ai protocolli di sicurezza informatica, sappiate che nel mondo investimenti rilevantissimi si stanno dirigendo verso la ricerca nel settore dei numeri primi, e la motivazione non è l’amore per la conoscenza (leggete questo articolo, e saltate alle conclusioni, cap. 6);

5) Occorre essere sicuri che i voti vengano contati bene. Qui truccare i risultati si fa infantilmente semplice (anche se ci sono delle cose che, statisticamente, bisogna stare attenti che non si “vedano”). Comunque, basta un programma di conteggio (e di verifica) scritto opportunamente, ed ecco che vince… Ah, ma direte voi, mai e poi mai succederà questo! Metteremo dei verificatori del software, che controlleranno fino all’ultima riga! Qui, vi devo deludere. Non esiste più, da tempo, la possibilità di controllare fino all’ultima riga del software di un oggetto complesso come un elaboratore. Ne ho trattato in “Non è stato fatto abbastanza”: non è possibile raggiungere una sicurezza assoluta, o anche semplicemente molto elevata. E tanto più la posta in gioco è importante, e semplice l’intervento, più alta sarebbe la cifra che si potrebbe offrire a programmatori, controllori, operatori del sistema di conteggio e anche verificatori per ottenere un risultato alterato. E, meraviglia, nessuno avrebbe da ridire, perché non ci sarebbe nulla da confrontare. Niente riconteggi, niente ispettori internazionali, nulla. Che pacchia. Corrompo una quindicina di persone, forse anche meno, e divento Primo Ministro a maggioranza assoluta, in tempo reale, però.

6) occorre essere sicuri che nessuno, dall’esterno, abbia potuto infiltrarsi nei sistemi ed alterare il voto (tramite operazioni comunemente chiamate di hackeraggio). Lo definisco come punto a parte perché ritengo che sia il più improbabile. E’ molto più facile, comodo e banale alterare le elezioni da parte di qualcuno all’interno del sistema di controllo elettorale che dall’esterno.

Un grado di incertezza per uno qualsiasi dei punti elencati maggiore nei sistemi di voto elettronico che nel voto tradizionale rende l’intero sistema digitale meno sicuro dell’attuale. Non è una questione di sensazioni, o di tecnologie, ma di valutazione del rischio, per il quale ci sono metodologie bene precise. Non è un caso che chi propugna sistemi di “voto elettronico” (tra virgolette, perché non risponde a nessuno dei criteri esposti) lo gestisca poi, al suo interno, in totale mancanza di trasparenza. Non è che non ne conoscano i pericoli e gli svantaggi. Ne conoscono bene le “opportunità”.

Il sistema elettorale tradizionale non è perfetto. Che in Italia si trascinino le votazioni per due giorni, invece che in uno, e che lo spoglio duri una eternità, una vergogna eliminabile. Ma è costosissimo da manipolare, con una elevata possibilità, dato il numero di persone da corrompere, che la manovra sia scoperta, e ricontrollabile. Quello elettronico è semplicissimo da manipolare, ad ogni livello, con la quasi certezza di farla franca. Il sistema ideale per aspiranti dittatori.

Io non firmerei nessuna delega in bianco a chi ci vuol vendere come sicuro e moderno un sistema che, in realtà, ci fa perdere ogni tipo di controllo sulle elezioni, e anzi ci mette nella condizione di essere controllati, e minacciati, se non votiamo “bene”, e vado a votare. Con la scheda. Di carta, e la matita copiativa.

13 commenti

  • Condivido pienamente le valutazioni e le perplessità dell’ Ufficiale Scientifico.
    Senza contare che quando si prova ad iniettare una nuova tecnologia nel perverso ecosistema burocratico italiano, il risultato è un ibrido impresentabile come la “posta certificata” (quando provo a spiegare ad uno straniero cos’è e come funziona, non ci crede)

    Inoltre, anche ammettendo che il voto elettronico possa essere reso sicuro dal punto di vista della soluzione tecnologia: se posso votare dal salotto di casa chi può controllare che io non abbia alle spalle un paio di sgherri mandati a verificare come voto ?
    Mi pare il sistema ideale anche per un rilancio in grande stile del voto di scambio.

  • Sei dei servizi segreti vero?

  • Deprimente ed angosciante il pensiero che un articolo come questo sarebbe superfluo quasi ovunque o almeno nella maggior parte dei paesi sviluppati, dove l’idea della “rete al potere” del duo “grilleggio”, sarebbe affondata nel ridicolo; le puntualizzazioni dell’articolo dette con l’ilarità che meritano schiacciando il bottone del distributore del caffè.

    • Aerys the mad king

      Deprimente ed angosciante come il pensiero di Gaber: ” e la tecnologia ci porterà lontano ma non c’è più nessuno che sappia l’Italiano” eh???

  • Giorgio Monello

    Bell’articolo! Parlaci adesso un po’ del software e dei mainframe che usano al Viminale per elaborare i voti di queste Europee 2014. E “come” ci arrivano. Il sistema attuale è perfetto, nevvero? Anzi no, per usare le tue stesse parole in fondo all’articolo: è un sistema che permette *ogni* tipo di *controllo* sulle elezioni.

    • E’ per questo che nei seggi, nelle votazioni vere, ci sono scrutatori e presidenti di seggio, e rappresentanti di lista, ed è facilissimo (per chi abbia un minimo di competenza statistica) verificare se i risultati esposti dal Viminale siano compatibili con quelli rilevati sul campo. I controlli non solo sono possibili, ma vengono fatti di routine da tutti i partiti principali. Tutto questo è del tutto impossibile nel cosiddetto voto elettronico.
      E’ utile far rilevare, per aiutare nei ragionamenti, come anche fosse del tutto inaffidabile il sistema del Viminale, come viene definito, questo nulla cambierebbe della totale inaffidabilità del cosiddetto “voto elettronico”.
      Se A è sbagliato, mettersi a sostenere che B è sbagliato, anche ammesso sia vero, lascia A sbagliato.

  • Giorgio Monello

    > è facilissimo (per chi abbia un minimo di competenza statistica) verificare se i risultati esposti dal Viminale siano compatibili con quelli rilevati sul campo

    [off-topic]Competenza statistica?! AHAHAHAHHA… scusa, eh? Ma li stai vedendo tu i risultati che dà adesso (Lun 26 Mag 2014 02:10:52 CEST) il Viminale? Esempio: PD ha preso il 43,22 % dei voti (1/3 circa delle sez. scrutinate). Mi spieghi cortesemente allora come mai, per settimane, tutti mezzi di informazione hanno sostenuto che *tutti* i sondaggi (*fatti, come ben sai, da gente che ha ben più di un minimo di competenza statistica*) davano un testa a testa PD/M5S? Anzi addirittura c’era chi sosteneva Grillo avanti. E non venirmi a parlare di “forbici” e roba simile, che 20 punti percentuali sono vittoria certa, non una parità. O forse la statistica è una fesseria applicata alle elezioni? Oh, non sto mica dicendo che questi risultati siano fasulli![/off-topic]

    E riguardo al voto a scrutinio manuale, se vai sostenendo che non sono possibili i brogli, allora mi sa che ho sbagliato sito: questo blog non è di questa terra, ma di Vulcano e allora mi scuso per l’equivoco.😉

    A parte gli scherzi, sono possibili con il voto elettronico, ben *più* controlli e verifiche di quelli che ci sono ora. Tant’è che questo sistema è già in uso in vari paesi e persino gli Stati Uniti stanno pensando di adottare una soluzione simile. Che poi i risultati possano essere manomessi è certo con qualsiasi mezzo siano avvenute le votazioni. Oppure tu pensi che gente come Saddam, Mubarak, etc… siano stati eletti democraticamente, perché le elezioni si sono svolte con procedure manuali?😉
    Dimenticavo: tanto per dare qualche riferimento: https://www.ch.ch/it/voto-online/ .
    Non saranno tutti dei grulli lì in Svizzera, no?

    Ciao

    • Penso che sia necessario mettere un po’ d’ordine negli argomenti, altrimenti si fa confusione su ciò di cui si parla, e la confusione serve spesso come espediente retorico per arrivare a conclusioni inesatte.

      Parlare di sondaggi, exit poll, proiezioni significa parlare di tre cose radicalmente diverse. I primi due, infatti, sono effettuati sulla base delle parole degli intervistati, mentre le proiezioni sono realizzate sui FATTI, ovvero sui voti espressi. Ed è su questo che lavorano gli istituti di statistica, e le organizzazioni dei partiti che valutano la attendibilità dei risultati (queste informazioni fattuali sono trasmesse, tra l’altro, su canali completamente diversi da quelli ufficiali).

      Se hai seguito le elezioni, avrai notato questa differenza di precisione tra gli exit poll e le proiezioni. Quindi, sì, basta un minimo di competenza statistica per valutare la presenza o meno di brogli su vasta scala, se le elezioni sono effettuate con un metodo verificabile (ovvero se c’è qualcuno che vede e conta i voti reali in parallelo al sistema ufficiale).

      Non ho detto che con il sistema manuale non sono possibili brogli, ma che sono molto più complessi e molto più facili da scoprire se condotti su larga scala, perché richiedono la complicità di un numero enorme di persone e sono molto “visibili”. E ho anche detto che una percentuale di errore o di imbroglio è connaturata in qualsiasi sistema, ed è molto importante evitare che possa diventare facilmente molto incidente sul risultato scegliendo un sistema di voto particolarmente fragile, come quello elettronico.

      Un altro punto di confusione potenziale è dato dal riferimento al contesto nel quale si svolgono le elezioni. Il contesto nel quale si svolgono non ha nulla a che vedere con il sistema di registrazione dei voti (sembra strano doverlo dire). Quindi si può avere tranquillamente, purtroppo, un sistema di voto perfetto e con pochissimi brogli e risultati che non sono esperessione di libera volontà.

      Tu dici che sono possibili più controlli? Benissimo, sarei interessato a sapere quali sono, e come sono realizzati, e chi controlla i controllori. Non è comunque il numero di controlli che conta, ma la affidabilità generale del sistema, misurato con i metodi di valutazione del rischio. Personalmente non sono interessato a sapere se sono grulli in Svizzera o negli Stati Uniti, mi interessa che non lo diventiamo noi, e che non venga spacciato come un sistema democratico un sistema che è molto più manipolabile di quello attuale (se noti, in Svizzera hanno aperto il sistema ai soli residenti all’estero, una percentuale ininfluente, loro la statistica la conoscono. Leggere le FAQ sulla sicurezza nel link che hai segnalato è particolarmente illuminante😉 ).

      Le tue osservazioni comunque mi hanno fatto riflettere su un altro pericolo del voto elettronico: la possibilità, da parte di chi gestisce le votazioni, di inibire le credenziali di accesso selettivamente agli elettori “sgraditi”. Non serve farlo su vasta scala, basta farlo su una piccola percentuale mirata. E tu non potresti votare, e saresti davanti al tuo pc a casa che non ti consente il voto. Magari è colpa tua, magari no… e i risualti nel frattempo sono proclamati in diretta, con la “massima affidabilità”😀

  • Seamus The Dog

    Caro Signor Spok,
    apprezzando moltissimo l’articolo, provo a dare una possibilità al voto elettronico.

    la tecnologia base che userei per renderlo sicuro è l’RFID:
    – creerei per ogni elezione 2 certificati di voto personali, uno da consegnare al momento del voto, uno da tenersi come controprova.
    – userei un PIN od il biometrico per la convalida.
    – attrezzerei seggi in modo che ogni cabina elettorale (uso whitelist per definire quali schede possono votare dove) possa scrivere voto selezionato da votante su RFID (con preferenze o meno, spazio ce n’è)
    – all’atto del voto, il voto viene scritto e bloccato irreversibilmente sulla card, e storicizzato su un analogo file criptato e firmato elettronicamente con l’ID (univoco e non ripetibile) dell’RFID.
    Il tutto in due copie. il tutto con firma digitale della macchina creata con codice chiave posseduto dal presidente di seggio all’inizio delle votazioni.
    – una copia la consegno, una me la tengo.
    – alla chiusura dei seggi i dati vengono accentrati su un “seggio master”, storicizzati in locale con file cripatato con chiave conosciuta da presidente di seggio, che poi spedisce flussi ad ente centrale e, volendo, ad organismo di controllo indipendente come OCSE.

    PS: nn mi intendo della pratica comune e quindi nn so dove mettere funzione di controllo di rappresentanti di lista. il metodo cmq è la vidimazione via firma elettronica del file dei risultati aggregati del seggio.

    Vantaggi:
    – ricontrolli di vario livello.
    ° i voti possono essere ricontrollati raccogliendo i file del singolo seggio
    ° i voti possono essere ricontrollati raccogliendo i file dalle singole cabine elettorali
    ° i voti possono essere ricontrollati raccogliendo fisicamente le varie schede (RFID) elettorali e rileggendole con strumenti automatizzabili.

    – risultati
    ° pubblicati con una consultabilità che oggi ci sognamo (possiamo dare come granularità minima la cabina elettorale)
    ° controllabili da utente -> un portale web ti dice che voto ha espresso una singola scheda, quindi tu puoi controllare che tuo voto sia corretto.
    ° frodi possono essere denunciate “al volo” – se mio voto non corrisponde, vado dai caramba, faccio sigillare la mia scheda e chiedo il confronto.
    qui si fa interessante. perchè avendo scheda 1 + scheda 2 | file della cabina elettorale + file del seggio + file centralizzato che dovrebbero avere stessi dati, analizzando dove è cambiato, restringo cerchia possibili colpevoli.
    ° un ulteriore controllo può essere effettuato dai rappresentanti di lista in base ad aggregazioni successsive e/o strumenti di business intelligence ad ogni livello (cabina – seggio – circoscrizione – comune – provincia – regione – nazione)

    – sicurezza ed anonimato.
    ° l’RFID che ho in mente si legge a pochi cm ed è isolabile dall’esterno con banale carta stagnola e/o “porta badge” fatti ad hoc. l’ipotesi di leggere il voto ex-post da parte di chi non è autorizzato è praticamente da scartare.
    i dati personali non sono legati in nessun modo a ID dell’RFID quindi votante è irrintracciabile.
    di tutti i voti, rimangono cmq sempre due coppie fisiche di backup, una in mano all’utente, una in mano al sistema.

    – costi.
    difficile stimare infrastruttura per via del software necessario, ma si parla di qualche decina di milioni a livello nazionale.

    per ogni singola votazione, qualche milione (una cifra, nn due) per tessere RFID.

    Seamus The Dog

    PS: Attendo commenti. spero costruttivi.😀

    • Grazie dell’ottimo commento, che va nella direzione giusta e in ogni caso ben oltre quanto con incredibile leggerezza si propaganda sul “voto elettronico”.
      Cose che ritengo valide della proposta:
      – l’esistenza del seggio, e degli umani al seggio.
      – le white list per identificare i votanti (magari con verifica di identità, anche se digitale, da parte del presidente di seggio)
      – la presenza di chiavi differenziate per seggio.
      – la presenza di organismi di controllo indipendenti (tipo ocse)

      cose che rimangono come punti di debolezza:
      – le registrazione del voto. Purtroppo, comunque lo si faccia, si rimane esposti alla impossibilità pratica di verifica dell’hw+sw che lo fa. Qui è possibile inserire qualsiasi imbroglio, ed è anche possibile renderlo “invisibile”: scrivo A, votato dal cittadino, sui suoi rfid, ma registro B nell’infromazione della sezione; questo vale anche per qualunque eleborazione successiva.
      – relativamente al controllo, vediamo cosa serve realmente durante una elezione: serve che informazioni rilevate indipendentemente vengano poste a confronto con i risultati “ufficiali” per vedere se emergono differenze statisticamente rilevanti. Con questo metodo sarebbe impossibile, perché esiste una rilevazione unica e non verificabile, quella salvata nel file del seggio. Infatti qualsiasi controllabilità ex post è inutile, ed anche illusoria: se qualcuno ha scritto A sul mio rfid, può farmi vedere A sul sito web di controllo, anche se ha conteggiato B. Il controllo funziona solo quando si possono consulatare grandi numeri, di fonte completamente indipendente (nel caso reale, informazioni provenienti dai rappresentati di lista che hanno assistito allo spoglio versus i dati forniti dal viminale) in contemporanea.
      – anonimato: meglio non dare il secondo rfid di ricevuta con sopra sritto il voto. Mi immagino la fila di persone che vanno dal boss di turno a farsi leggere l’rfid e ritirare il pagamento🙂.
      – anonimato: attenzione alla distribuzione degli rfid. Se uno registra la corrispondenza tra persona e rfid ritirato, sa anche cosa ha votato.

      Mi piacerebbe trovare una soluzione davvero sicura, visto che, in fondo, sono Ufficiale scientifico🙂. Ma fino a quel momento, no grazie.

  • La cosa pazza dell’Italia è che non vi è mai stato il voto elettronico.
    Però ci sono miriadi di complottisti che affermano che nel 2006 e nel 2014 ci sarebbe stati brogli informatici.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...