sicurezza informatica

Elezioni Usa 2020, tutte le falle del voto elettronico

Malfunzionamenti, hacking, ransomware, malware, manomissioni più o meno accidentali e altri problemi vari hanno afflitto il voto elettronico americano negli ultimi 20 anni. Mentre le nuove presidenziali si avvicinano, il dubbio che il sistema non reggerà si fa sempre più reale

06 Ott 2020
Emmanuele Somma

Comitato dei Requisiti del Voto in Democrazia


La sicurezza del processo elettorale americano è stata sottovalutata per anni. Negli ultimi giorni di campagna elettorale diventa una preoccupazione. In teoria è tutto pronto. Ma solo in teoria. Nella pratica, c’è la possibilità che il voto fallisca più o meno clamorosamente.

Era già successo. Nel 2000, il pasticciato procedimento elettorale basato sui sistemi elettromeccanici aveva gettato nello sconforto gli elettori. Due anni dopo fu varato un piano nazionale (l’HAVA, Help America Vote Act) per aggiornare il processo elettorale.

A quasi 20 anni di distanza quell’impegno non è stato rispettato. Spesa un’enorme quantità di denaro dei contribuenti, l’America non è stata aiutata a votare meglio.

Quella volta gli americani avevano fatto tutto da soli, ma questa volta un piccolo aiuto dall’esterno potrebbe rendere tutto ancora più problematico.

I 537 che cambiarono faccia al paese

Facciamo un passo indietro. È il 2000. Ci sono le elezioni presidenziali e succede un pandemonio. Gli elettori degli Stati Uniti scoprono che il procedimento elettorale non funziona. È realizzato alla bell’e meglio, non uniforme negli Stati, preda di lobby localistiche e di un supremo disinteresse pubblico. Il sistema che porta al voto del Presidente fallisce miserevolmente sotto gli occhi di tutti.

Il merito di questa presa di coscienza è dei 537 voti che danno la vittoria a George W. Bush (il figlio) contro Al Gore in Florida. Bush vince i 25 rappresentanti dello stato che portano la sua maggioranza a 271 contro i 266 dell’avversario. Gore otterrà quasi un 1,5% di voti in più a livello nazionale, ma per il sistema elettorale non basta. Il giorno delle elezioni Gore è dato favorito in Florida (alle precedenti elezioni il candidato democratico aveva surclassato il repubblicano di 10 punti). Gli exit poll dichiarano Gore vincitore, poi ritrattano. A circa l’80% dello scrutinio Bush è in testa. Gore, privatamente si è già congratulato, ma poi inizia la rimonta e Gore ritratta le congratulazioni.

Il testa a testa si conclude con poche centinaia di voti in più per Bush. Poche centinaia di voti valgono la presidenza degli Stati Uniti. Dopo il riconteggio automatico nessuno si fida a certificare il risultato. Arrivano anche altre schede provenienti dagli scrutini all’estero che portano il vantaggio di Bush al migliaio, ma gran parte dei voti sono subito messi in dubbio essendo giunti in ritardo e senza i requisiti necessari. Alla fine, il vantaggio di Bush si attesta su questo mezzo migliaio di voti (meno dello 0,009%).

Gore chiede il riconteggio manuale in alcune contee. Non è semplice. Vanno contate schede votate a mano, schede punzonate, schede perforate e tutto deve essere certificato e arrivare entro una data prestabilita. La Corte Suprema della Florida concede ulteriori 15 giorni, ma le contee non ce la fanno a ricontare i voti. Qualcuna rinuncia, qualcuna arriva in ritardo. La Corte Suprema della Florida pretende il riconteggio di altri 70.000 voti, ma la Corte Suprema degli Stati Uniti annulla l’ordinanza con le parole lapidarie del giudice Scalia: «un conteggio dei voti fatto in condizioni di dubbia legalità comporterebbe un danno irreparabile». Fine della storia. Bush è Presidente. Il sistema elettorale ne esce a pezzi. Gli americani ne hanno preso coscienza.

Un sistema poco “sistemato”

Il fallimento del processo elettorale è visibile in Florida, ma tutto il resto degli Stati Uniti non si sente al sicuro. È solo un caso che i riflettori si siano accesi lì. Poteva accadere ovunque il risultato fosse stato in bilico. La terra della retorica della democrazia e libertà si rende conto di avere un grosso problema con il procedimento elettorale.

Può essere un po’ difficile da comprendere per noi italiani, abituati ad un intervento statale uniforme sul territorio nazionale, poco avvezzi agli equilibri politici di un’unione di stati locali che tengono moltissimo alla propria indipendenza dallo stato federale.

Uniformare i processi elettorali sul territorio degli Stati Uniti era un compito molto difficile. Il procedimento elettorale (cosa differente dal sistema elettorale) non è un compito federale. Ogni Stato decide come organizzarlo.

A quel tempo negli USA si votava in modo tradizionale con schede cartacee e matite copiative o con normali penne biro, oppure per posta, oppure con strumenti elettromeccanici con leve, interruttori, punzonatori, schede perforate o gettoni. Insomma, qualsiasi cosa riesca a conteggiare e dare un risultato è possibile che da qualche parte dell’America fosse utilizzato.

Non è nemmeno facile riassumere tutte le forme differenti usate (e credo che nessuno ci abbia veramente provato prima di queste elezioni). Fino a tempi relativamente recenti in alcuni stati si votava addirittura portando le schede prestampate da casa, eventualmente ritagliate dalle pubblicità sui quotidiani con il nome del candidato già stampato sopra. Rispetto ai processi elettorali europei, in cui sono indifferibili tutta una serie di garanzie, la storia del voto degli americani sembra una storia dell’orrore.

Eppure, indubitabilmente, questo ne ha fatto uno dei paesi democraticamente più rilevanti (è pur sempre 10 posizioni avanti l’Italia nell’Economist Democracy Index oggi, solo 4 anni fa eravamo a pari merito però).

Arriva l’HAVA

Non potendo imporre dall’alto una standardizzazione federale, l’unico modo per migliorare questo sistema era… pagare. Infatti, nel 2002 il Congresso destinò un’impressionante cifra al miglioramento della situazione con l’HAVA (l’Help America Vote Act). Ogni stato poteva liberamente attingere al fondo HAVA. Fu l’inizio della fine. Furono mandati in soffitta i sistemi elettromeccanici e giunsero gli ovvi sostituti: i computer. Le macchine per il voto si diffusero negli Stati Uniti e i problemi invece di diminuire, aumentarono.

A venti anni di distanza il processo elettorale americano non è meno a rischio. In questi 20 anni alle macchine di voto è successo di tutto. I brogli sono stati così evidenti da essere ormai una costante nella narrativa sulla democrazia americana: da House of Cards a Scandal, a Newsroom, persino i Simpson non fanno sconti. Non c’è serie TV sul potere politico americano che non faccia riferimento alla semplicità con cui si manipolano le macchine di voto. La fiction non fa prova in tribunale, è vero, ma intanto rappresenta quella «voce di popolo» che è così importante quando uno strumento dovrebbe conquistare un’autorevolezza indiscussa.

Se la fiction dà questa immagine, non mancano le ragioni. In questi 20 anni una infinità di inchieste giornalistiche, casi giudiziari, perizie, testimonianze giurate, presentazioni tecniche e denunce dei sostenitori dei diritti civili hanno mostrato in casi concreti che ogni possibile aspetto della narrativa pro voto-elettronico, instillata dai produttori e con grande superficialità propagata dai politici, può essere messo in ginocchio. Senza appello.

Un hacker russo dietro l’angolo

Per anni l’orgoglio modernista del paese non ha voluto vedere la situazione. Poi nel 2006 si è cominciato a incolpare gli hacker russi di ogni sorta di nefandezza. In realtà si hanno prove abbastanza certe che questi abbiano in effetti (ma non si sa però fino a che punto) manipolato l’ultimo voto presidenziale a favore di Trump. Quasi magicamente si è iniziato a diffondere l’inquietudine che se gli hacker fossero così bravi a manipolare l’opinione pubblica con le fake news attraverso i social network, forse sarebbe stato veramente più semplice manipolare il voto nei computer elettorali. Poi sono state trovate le prove di reali attacchi e nessuno ha potuto dissipare il sospetto che gli hacker russi non abbiano veramente influito sull’elezione di Trump.

La revisione delle attrezzature di voto invece di rassicurare gli americani ne ha ingigantito le paure. Indipendentemente da quanto fossero nuove le attrezzature, gli audit di sicurezza hanno sempre mostrato insuperabili deficienze. Ad esempio, quando l’esperto di sicurezza Carsten Schuermann ha esaminato le macchine di voto WinVote utilizzate in Virginia dal 2004 al 2014, non ha solo trovato problemi ipotetici e potenziali. L’obsoleta versione senza patch di Windows XP e la rete wireless con password “abcde” erano peccati veniali rispetto al fatto di averci trovato dentro programmi di conversione audio e canzoni cinesi.

Gli hacker russi hanno pubblicato su WikiLeaks le mail del Comitato Nazionale Democratico. Dopo hanno fatto una massiccia campagna sui social inondando gli elettori di informazioni false con l’obiettivo di ampliare le fratture sociali (cosa che poi Trump ha abilmente cavalcato).

Non meno noto è stato l’attacco alle infrastrutture elettorali. La Senate Select Committee on Intelligence ha stabilito che, “sotto la regia diretta del governo russo c’è stata una rilevante attività, a partire almeno dal 2014 per arrivare in realizzazione fino al 2017, contro le infrastrutture a livello statale e locale del sistema elettorale US”.

Questo documento del Senato chiarisce che le infrastrutture attaccate dagli hacker non furono solo le macchine per il voto ma anche le “strutture di stoccaggio, i luoghi di scrutinio e i luoghi di conteggio centralizzato del voto utilizzati per supportare il processo elettorale, nonché le tecnologie di informazione e comunicazione inclusi i database di registrazione degli elettori, le macchine per il voto, e gli altri sistemi per gestire il processo elettorale e riferire e visualizzare i risultati per conto dei governi statali e locali”. E tutto ciò in tutti i 50 stati. Sostengono però che nessun voto è stato modificato.

In definitiva ci si sta avvicinando al voto 2020 con una grande incertezza. Molti Stati (come peraltro era avvenuto in Europa) hanno fatto marcia indietro e abbandonato i sistemi elettronici. In tanti altri, i politici continuato a sostenere l’uso dell’informatica. Qualcuno, come l’eclatante caso del Virginia, è stato sconfessato dalla Corte Suprema, e comunque ha proseguito.

La marcia indietro degli Stati Uniti sul voto elettronico è evidente nella mappe pubblicate da VerifiedVoting: una bocciatura senza appello dell’informatica che viene usata solo per conteggiare il voto espresso su carta. Magra consolazione.

Una bocciatura ancora più grave perché viene a seguito di lo stanziamento di 380 milioni di dollari nel 2018. Si sarebbero dovuti rafforzare i presidi di sicurezza delle macchine di voto. Risultato: per renderle sicure, sono state progressivamente disabilitate e sostituite dal voto cartaceo.

Il ruolo della carta è cresciuto ma non necessariamente è venuto meno quello delle attrezzature tecnologiche.

Oggi solo il 14% degli americani usa una attrezzatura completamente basata su computer senza una verifica cartacea. È pur sempre una percentuale ragguardevole. Louisiana, Mississippi, Tennessee e New Jersey, parte del Texas, un po’ del Kentucky e del Nebraska continuano a non avere forme di controllo cartacee. Sud Carolina, Arkansas, Georgia e Nevada, dipendono dai computer per l’espressione del voto, ma hanno forme di controllo cartaceo. In tutti gli altri Stati si vota manualmente e poi, per motivi di accessibilità, si usano sistemi assistiti e verificati da controprove cartacee. Eliminare del tutto l’uso dei computer per il voto non viene considerato desiderabile proprio per permettere a persone in situazione di fragilità, disabili, anziani e ammalati di votare.

I cani da guardia del voto

Secondo un recente sondaggio più del 50% degli americani è convinto che non tutti i voti saranno accuratamente conteggiati. Il Presidente Trump sta incitando gli elettori ad hackerare il sistema per dimostrare la sua fallibilità.

Gli hacker americani si sono sempre impegnati a mostrare le debolezze del voto elettronico, ma per le elezioni 2020 l’obiettivo è piuttosto diventare cani da guardia del sistema per mostrare che le elezioni si siano svolte correttamente.

Per fare questo, ad esempio, non sarà necessariamente necessario contare manualmente tutte le singole schede, ma una volta ottenuto un sottoinsieme del risultato verificare il profilo del rischio della manomissione elettorale.

Geoff Hale, Direttore della Election Security Initiative at the Cybersecurity and Infrastructure Security Agency (CISA), ha messo a disposizione la sua agenzia che fa parte del Dipartimento di Homeland Security e che si occupa della comprensione e la gestione informatica e fisica dei rischi delle infrastrutture critiche ed è nota per la realizzazione degli avvisi di sicurezza US-CERT.

Intervistato, Hale ha toccato un altro tasto dolente del voto americano: la connessione con i database dei votanti, i sistemi logistici per gestire l’organizzazione del voto e quelli per la divulgazione dei risultati. Anche in questi casi, la disorganizzazione regna sovrana. La CISA sta provando ad ottenere dei finanziamenti per rendere sicuri questi sistemi, o almeno mettere a disposizione backup in caso di malfunzionamento.

Gli attacchi possibili sono potenzialmente infiniti, alcuni addirittura giudicati banali. In particolare, i sistemi di ransomware che si sono notevolmente raffinati negli ultimi anni potrebbero prendere di mira agevolmente queste piattaforme e mettere in ginocchio il voto in ampie zone.

L’idea che un ransomware possa prendere di mira l’ambiente politico non è nuova.

Nel 2017 il ransomware chiamato NotPetya sequestrò una vasta rete di computer in tutto il mondo con l’obiettivo, non dichiarato ma palese, di interferire con la situazione politica in Ucraina. In quel caso il Foreign Office inglese accusò direttamente e senza mezzi termini il coinvolgimento dei militari russi nella questione.

Il problema è che attacchi del genere non hanno neppure bisogno di cambiare il risultato del voto, gli basta rendere indisponibili le infrastrutture. Un attacco denial of service (DoS) contro i sistemi di pubblicazione potrebbero ritardare l’arrivo dei risultati. Attacchi contro i sistemi di registrazione dei votanti creerebbero lunghissime file per l’accesso ai seggi e convincerebbero i votanti a tornarsene a casa senza votare. Il defacing di siti ufficiali o l’invio di falsi tweet potrebbero ingannare masse di elettori anche solo a presentarsi nel posto sbagliato per votare.

Caos e panico nel contesto elettorale non sono solo stati presagiti, ma addirittura simulati.

All’ultima conferenza RSA Sam Curry, dirigente della società di cyber-security Cybereason, ha organizzato un gioco di ruolo con i giornalisti presenti per mostrare nella pratica come le elezioni si potevano trasformare in un vero e proprio gioco di guerra. Una squadra ha assunto il ruolo degli attaccanti contro un’ipotetica elezione locale. L’obiettivo era mettere in dubbio l’esito elettorale. I difensori dovevano reagire in fretta per sconfiggere l’attacco. Alcuni attacchi erano ovvi ma altri molto meno evidenti e sarebbero facilmente potuti passare inosservati. e influenzare sensibilmente le elezioni.

In più c’è il CoViD-19

Come se non bastassero i problemi di un procedimento elettorale già traballante di suo, ci si mettono anche gli effetti della pandemia. Secondo la valutazione del New York Times saranno più di 80 milioni gli elettori che coglieranno l’occasione di non andare ai seggi e votare per posta.

Tutti gli stati permettono l’uso del voto postale per gli elettori assenti (absentee voting) ma le modalità cambiano da stato a stato. Per cinque stati (Colorado, Hawaii, Oregon, Utah, e Washington) questa è la modalità principale di voto. Alcuni stati permettono il voto via posta senza particolari motivi, altri richiedono una motivazione specifica (come malattia o viaggio all’estero).

Il voto postale ha il vantaggio di essere cartaceo. Le schede sono costruite con inchiostri speciali per evitare le contraffazioni o le manomissioni. Però è ovvio che un così grande numero di schede ricevute per posta sarà un ulteriore problema.

Tra l’altro non è neppure detto che il sistema postale (il mitico US Postal Service, che per molti è stato da sempre il vero simbolo dell’unità nazionale) sarà effettivamente in grado di movimentare tante schede in tempo utile per i conteggi.

Poi c’è il problema dei conteggi veri e propri. Molti stati non sono organizzati per una mole così alta di schede postali (di solito le apparecchiature per il conteggio delle schede postali sono differenti da quelle per il voto al seggio).

C’erano fondi per migliorare la sicurezza delle macchine di voto ma nessuno ha pensato di stanziare fondi per il conteggio delle schede postali.

Il processo di conteggio del voto postale peraltro è completamente differente dal conteggio del voto al seggio. Ad esempio, prevede che se la firma del votante apposta sul foglio allegato alla busta del voto vero e proprio, che rimane anonimo, non corrisponde allo specimen in possesso del tavolo elettorale, l’elettore dovrebbe essere chiamato in persona a verificare se il voto è effettivamente valido. Un lavoro improbo.

Ci sono pochi dubbi che quest’anno i conteggi andranno per le lunghe, il problema è capire se alla fine convergeranno ad un risultato certo.

Conclusioni

L’elezione del Presidente degli Stati Uniti è un evento che ha pochi paragoni nel resto del mondo.

Quest’anno il comportamento del processo elettorale, come mai nella storia degli Stati Uniti, sarà messo duramente alla prova.

Sebbene molti politici, e anche molti tecnologi, sottovalutano la questione, sono molti i rischi sistemici di questo procedimento elettorale frammentato e non sempre in ottima forma.

È vero che la consapevolezza sull’inadeguatezza complessiva del processo elettorale americano è cresciuta notevolmente dalle ultime elezioni e sono stati introdotti molti presidi per tamponare eventuali possibili fallimenti.

Per un corretto svolgimento del voto, il principale presidio di sicurezza, per paradossale che possa sembrare in una nazione innovativa e moderna come l’America, è l’uso della buona vecchia carta.

Proprio quello che sostiene il Comitato per i Requisiti del Voto in Democrazia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4