Un anno fa ci ha lasciati Stefano Sappino, che aveva contribuito alla creazione di questo blog e scritto diversi contributi con lo pseudonimo di Signor Spok. Era un amico intelligente e tenace, competente, critico. Abbiamo deciso di ricordarlo e onorarlo riproponendo quattro dei suoi contributi e concludendo poi con l’intervista al coautore di un volume scritto da Sappino, uscito postumo.
Nelle assemblee di condominio per votare occorre essere presenti oppure delegare un terzo in propria vece con documento firmato. E si decide di questioni importanti e spese significative, certo, ma non di questioni vitali come, che so, se dichiarare guerra all’impero Romulano o stanziare fondi per la ricerca sul morbo del Pianeta Algernon.
Ora, leggo che per le questioni davvero importanti c’è oggi un gran parlare delle meraviglie del voto elettronico (che viene chiamato anche, con infelice espressione, democrazia diretta o, peggio, liquida). Come ufficiale scientifico, mi è capitato di passare un po’ di tempo in compagnia dei computer, e posso dire che di solito sono affidabili. Ma i computer sono progettati da umani, e i loro programmi sono scritti ed installati da umani, e la loro gestione è affidata ad umani. E i sistemi per controllare che gli umani si comportino correttamente sono molto più complessi di quanto possiamo pensare.
Non fa male partire da ciò che definisce “voto”: il voto è personale ed eguale, libero e segreto (art.48 della Costituzione). Approfondiamo un attimo il significato di queste poche fondamentali parole:
– il voto è personale, è esclusa la possibilità del voto per procura: l’elettore deve recarsi di persona nella sezione elettorale e segnare di proprio pugno la scheda;
– il voto è uguale, nel senso che pari peso è riconosciuto al voto di ogni elettore (parrebbe che quelli che hanno inventato lo slogan uno vale uno siano significativamente in ritardo);
– la libertà e la segretezza sono requisiti complementari, ed entrambi necessarie, poiché il voto può essere veramente libero solo quando è segreto.
Vediamo quindi i requisiti minimi necessari perché esista qualcosa che si possa chiamare voto elettronico, e quindi la democrazia diretta, e se sia qualcosa che voi impieghereste nel vostro condominio per decidere della distribuzione dei posti auto.
1) occorre essere sicuri che possa accedere al sistema di voto chi ne ha effettivamente diritto, e non altri. Difficile accertarcene, visto che nessuno è presente: siamo tutti davanti ai nostri computer. Quindi, prima, occorre che qualcuno di affidabile(l’amministratore?), cui crediamo, abbia distribuito a tutti i condomini aventi diritto le credenziali (per le banche user id e password non bastano: cosa proponete per qualcosa di così prezioso come il vostro voto? certificati elettronici? one time password?) di accesso al sistema di voto. E che lo abbia fatto senza guardare/impadronirsi/duplicare le credenziali stesse, perché, capite, altrimenti potrebbe votare lui per tutti. Anzi, pensandoci bene, dovremmo anche essere sicuri, in modo verificabile, che le abbia distribuite effettivamente, queste credenziali (e alle persone che ne hanno diritto!) e non che se ne sia tenute un po’ da parte per suo uso personale, magari le credenziali dei condomini anziani o malati, che certo non protesteranno.
2) occorre essere sicuri che chi esprime il voto sia proprio colui che ha diritto, e non un altro che abbia comprato le credenziali di accesso distribuite, correttamente, a coloro che ne hanno diritto. Dite che nessuno lo farebbe mai? Mi risulta che si “comprino” i voti cartacei, con una certa facilità. Pensate che pacchia comprare le credenziali di accesso al voto! Costano meno, si usano più semplicemente, e puoi comprarle anche da quelli che non andrebbero a votare! (Mentre un voto fisico, sia pur comprato, va espresso recandosi al seggio). E poi, una credenziale è per sempre: posso riusarla anche per diverse elezioni, prima che la cambino e mi tocchi ricomprarla. Se il sistema è inefficiente, si possono far votare anche i morti, senza doverli trasformare in zombie per andare al seggio. Insomma, un affare. Per i cattivi. Ma attenzione: occorre sapere che chi ha votato ha diritto a farlo, senza poter tracciare chi abbia espresso quel particolare voto: altrimenti lo stesso non sarebbe libero e segreto.
Questi due punti potrebbero essere parzialmente superati tramite opportuni accorgimenti, quali per esempio il voto elettronico presso seggi presidiati, dove si verifica la identità e il diritto al voto del cittadino, oppure, ipotesi ad oggi alquanto remota dati i costi delle tecnologia e l’alfabetizzazione digitale di gran parte dei cittadini, tramite la diffusione di una tipologia di credenziali di accesso diverse, quali il riconoscimento della retina, magari correlata da una verifica dei parametri morfologici del volto del votante o, come sta avvenendo, con apparecchi in grado di tramettere parametri vitali specifici e unici, “riconosciuti” dal sistema di voto.
Ritengo queste soluzioni molto poco affidabili, la prima perché rimane esposta ai tre serissimi problemi elencati nel seguito, la seconda persino peggiore perché, da molti punti di vista, delega a un sistema computerizzato remoto (che ha registrate e dispone delle nostre caratteristiche fisiche individuali uniche, comunque criptate) la potenziale capacità di agire al nostro posto.
3) Occorre essere sicuri che il computer con il quale si esprime in voto non sia infettato da software disegnato per guidare il voto secondo i desideri di terzi. Ci sono mille modi per farlo, credete al vecchio Spok. Del resto, siete pieni di mail che tentano di convincervi ad andare sul sito di quella che sembra proprio della vostra banca ma non lo è, figuratevi quanto sia semplice presentarvi, per fare un esempio banale, la realtà sarebbe del tutto invisibile, una scheda che magari mostra i simboli in posizioni diverse e voi votate, per esempio, il Malvagio e Infido Avversario, pur avendo cliccato sul Fulgido Campione della Masse. Oppure cliccate sul Luminoso Futuro per Tutti e invece dal vostro computer parte un voto per l’Oscuro Oppressore. E non lo sapreste mai.
4) Occorre essere certi che la rete di telecomunicazioni sul quale viaggia il vostro prezioso voto elettronico sia sicura. Ovvero che nessuno possa installare apparecchi che intercettino il traffico, lo analizzino, e magari cambino il voto espresso (è un filo complicato, ma si può fare, non so se avete seguito quei simpaticoni della NSA, che hanno combinato: parlano tutti delle telefonate, ma oggi il traffico che fa gola è quello dati criptato…). Il vostro voto è sicuro? Lo sapete cosa sono quegli armadi che vedete sulle strade, o i tombini di ferro sull’asfalto con le sigle degli operatori di rete? Beh, sono i segretissimi e protettissimi luoghi dove passano tutti i vostri dati. Incluso il vostro fondamentale voto elettronico. Ma sarebbe da malvagi di bassa lega lavorare lì: costoso, esposto, e complicato. Per come sono fatte le reti di telecomunicazioni, tutti i dati passano per, diciamo, una decina di punti specifici, prima di essere inviati a destinazione. Basta lavorare lì, tranquilli e poco visibili, per pilotare una elezione nazionale. Se siete complottisti, sappiate poi che tutto l’hardware e software di questi nodi di telecomunicazione viene prodotto all’estero. Chissà cosa ci hanno messo dentro, e quando lo attiveranno… Se poi pensate che tutto quanto sia invece molto sicuro grazie ai protocolli di sicurezza informatica, sappiate che nel mondo investimenti rilevantissimi si stanno dirigendo verso la ricerca nel settore dei numeri primi, e la motivazione non è l’amore per la conoscenza (leggete questo articolo, e saltate alle conclusioni, cap. 6);
5) Occorre essere sicuri che i voti vengano contati bene. Qui truccare i risultati si fa infantilmente semplice (anche se ci sono delle cose che, statisticamente, bisogna stare attenti che non si “vedano”). Comunque, basta un programma di conteggio (e di verifica) scritto opportunamente, ed ecco che vince… Ah, ma direte voi, mai e poi mai succederà questo! Metteremo dei verificatori del software, che controlleranno fino all’ultima riga! Qui, vi devo deludere. Non esiste più, da tempo, la possibilità di controllare fino all’ultima riga del software di un oggetto complesso come un elaboratore. Ne ho trattato in “Non è stato fatto abbastanza”: non è possibile raggiungere una sicurezza assoluta, o anche semplicemente molto elevata. E tanto più la posta in gioco è importante, e semplice l’intervento, più alta sarebbe la cifra che si potrebbe offrire a programmatori, controllori, operatori del sistema di conteggio e anche verificatori per ottenere un risultato alterato. E, meraviglia, nessuno avrebbe da ridire, perché non ci sarebbe nulla da confrontare. Niente riconteggi, niente ispettori internazionali, nulla. Che pacchia. Corrompo una quindicina di persone, forse anche meno, e divento Primo Ministro a maggioranza assoluta, in tempo reale, però.
6) occorre essere sicuri che nessuno, dall’esterno, abbia potuto infiltrarsi nei sistemi ed alterare il voto (tramite operazioni comunemente chiamate di hackeraggio). Lo definisco come punto a parte perché ritengo che sia il più improbabile. E’ molto più facile, comodo e banale alterare le elezioni da parte di qualcuno all’interno del sistema di controllo elettorale che dall’esterno.
Un grado di incertezza per uno qualsiasi dei punti elencati maggiore nei sistemi di voto elettronico che nel voto tradizionale rende l’intero sistema digitale meno sicuro dell’attuale. Non è una questione di sensazioni, o di tecnologie, ma di valutazione del rischio, per il quale ci sono metodologie bene precise. Non è un caso che chi propugna sistemi di “voto elettronico” (tra virgolette, perché non risponde a nessuno dei criteri esposti) lo gestisca poi, al suo interno, in totale mancanza di trasparenza. Non è che non ne conoscano i pericoli e gli svantaggi. Ne conoscono bene le “opportunità”.
Il sistema elettorale tradizionale non è perfetto. Che in Italia si trascinino le votazioni per due giorni, invece che in uno, e che lo spoglio duri una eternità, una vergogna eliminabile. Ma è costosissimo da manipolare, con una elevata possibilità, dato il numero di persone da corrompere, che la manovra sia scoperta, e ricontrollabile. Quello elettronico è semplicissimo da manipolare, ad ogni livello, con la quasi certezza di farla franca. Il sistema ideale per aspiranti dittatori.
Io non firmerei nessuna delega in bianco a chi ci vuol vendere come sicuro e moderno un sistema che, in realtà, ci fa perdere ogni tipo di controllo sulle elezioni, e anzi ci mette nella condizione di essere controllati, e minacciati, se non votiamo “bene”, e vado a votare. Con la scheda. Di carta, e la matita copiativa.
Hic Rhodus 