Voto elettronico, il gioco vale la candela? Ecco perché i rischi superano i vantaggi

Il voto è la massima espressione della democrazia. Deve essere tutelata la sua libera espressione, e deve essere data la massima possibilità di esercitarlo a tutti gli aventi diritto. Nello stesso tempo, è anche oggetto di interessi fortissimi, legittimi e no: le manipolazioni che si dice possano essere state fatte sul voto negli Stati Uniti da parte della Russia ad esempio, se vere, avrebbero influenzato l’intera economia mondiale e la politica internazionale degli USA negli ultimi anni.

Democrazia digitale, l’Italia è pronta? La “lezione” dello scontro Rousseau-M5S

Nel nostro piccolo, il voto in Italia è da sempre oggetto di interessi da parte della criminalità organizzata, come anche di altri gruppi di potere. Da noi, il voto di scambio in particolare è un reato abbastanza diffuso da essere regolarmente citato ogniqualvolta si senta di arresti di gruppi criminali collusi con la politica locale dei territori in cui operano. La possibilità di influenzare il voto politico e amministrativo muove quindi interessi in grado di investire una quantità enorme di risorse. Ogni intervento nel campo del voto politico o amministrativo deve quindi tenere conto di queste due criticità: massima possibilità di espressione e rischio di manipolazione. C’è inoltre un terzo aspetto da non sottovalutare: la fiducia nel processo democratico è legata alla credibilità del risultato del processo di voto. Quanto è successo, ancora una volta, negli Stati Uniti proprio alle ultime elezioni mostra quanto sia importante che i cittadini possano credere nella correttezza dell’intero processo, compreso il conteggio dei voti. Tornando di nuovo all’Italia, molti ricorderanno come lo stesso dubbio sia stato oggetto di accuse reciproche di brogli^[1] nelle elezioni politiche del 2006, accuse che fu possibile gestire proprio grazie alla presenza di schede cartacee che potessero essere ricontrollate: in mancanza di queste, è difficile immaginare quali sarebbero state le conseguenze.

Voto elettronico, le questioni aperte

Pertanto, l’ipotesi di introduzione del voto elettronico nel voto politico e amministrativo in Italia deve essere valutata considerando con attenzione queste premesse. Particolarmente in questo periodo di forte digitalizzazione, c’è la tentazione di pensare che “informatizzare” un qualsiasi processo sia in sé per definizione migliorativo, un po’ con lo stesso entusiasmo che si metteva nella chimica negli anni ’50 e ’60. Adesso come allora, i grandi e indubbi vantaggi devono essere bilanciati con le dovute cautele e salvaguardie, per evitare che delle grandi potenzialità si portino dietro effetti collaterali dannosi per gli anni futuri. L’introduzione del voto elettronico deve quindi essere valutata sulla base di dati oggettivi su quali siano i problemi e i limiti dell’attuale processo manuale, di quali siano i rischi a cui è realmente esposto, sulla base di dati concreti, e come il voto elettronico modifichi questi rischi. Nel farlo, bisogna tenere conto del fatto che i rischi sono diversi in paesi diversi: mentre ad esempio da noi il rischio di voto di scambio si può dare per scontato, non lo è l’assalto al seggio elettorale, che invece è un rischio concreto in altri paesi^[2].

È utile chiarire che il processo di voto va diviso almeno in due parti: il voto in senso stretto, e poi le attività di scrutinio e conteggio. Di principio è possibile “digitalizzare” l’uno o l’altro separatamente, ad esempio conteggiando e raccogliendo i voti attraverso la scannerizzazione di schede cartacee. Concentrandoci sul voto in senso stretto, abbiamo due ulteriori possibilità: il voto elettronico presso la cabina elettorale, e il voto elettronico da remoto (“da casa”). Quello di cui si parla maggiormente è naturalmente il voto da remoto, perché è quello che consente di “migliorare l’esperienza di voto” e renderlo disponibile da una parte a chi può essere in difficoltà a raggiungere un seggio (elettori all’estero, prima di tutto), ma anche a chi si trova nel dilemma fra dedicare un paio d’ore ogni qualche anno all’espressione del proprio voto, e un finesettimana al mare.

È abbastanza evidente che con il voto da remoto, il voto di scambio è banale, basterebbe ad esempio che il votante voti presso il mafioso di turno, in modo che quest’ultimo possa controllare cosa viene votato. È interessante discutere quelle che vengono considerate “salvaguardie” rispetto a questo rischio, prima fra tutte la possibilità per il votante di “rivotare” una volta tornato a casa propria. L’efficacia di contromisure come questa, che ipotizza da una parte che il votante non sia presso il mafioso nelle ultime ore utili per votare, e dall’altra che sia disposto a “rischiare” nel cambiare il proprio voto, permette di ragionare sui due modi con cui viene affrontata tipicamente la sicurezza del voto elettronico.

Voto elettronico, rischi e contromisure

Una prima prospettiva è quella più tipica dell’approccio della cybersecurity: si valutano i rischi, e si individuano le possibili contromisure. La difficoltà di questo approccio sta da una parte nella grande soggettività con cui è affrontata la valutazione di rischio (ad esempio, il rischio che il partito al governo possa fare delle scelte di proprio comodo nell’individuazione delle soluzioni e dei fornitori, viene valutato in modo più o meno arbitrario come alto o basso a seconda dell’interlocutore), dall’altra nella possibilità di non individuare un rischio, o realizzare delle contromisure difettose o inefficaci.

Un esempio chiaro di rischio difficile da gestire è la possibilità che il fornitore che sviluppa gli strumenti introduca volutamente delle vulnerabilità, vuoi perché il fornitore in sé è colluso con uno dei tanti portatori di interessi nella manipolazione del voto, vuoi perché lo è uno dei suoi dipendenti, vuoi perché il fornitore viene a sua volta attaccato e compromesso. Le risposte a questo rischio sono tipicamente sul tono del “è sufficiente introdurre i tali e tali controlli”. Naturalmente, se fosse così semplice introdurre controlli su queste forniture, lo sarebbe anche in settori più tradizionali e consolidati, come la costruzione di gallerie e ponti. Invece, è abbastanza evidente che semplice non è. Da questo punto di vista, la fornitura di schede cartacee e matite copiative comporta rischi decisamente minori.

L’open source è una soluzione?

Un ulteriore controllo che viene spesso presentato come uno strumento risolutivo è l’utilizzo di software open source, grazie alla possibilità di sviluppo e verifica diffusi del codice, che “disinnescherebbero” ogni possibilità di manipolazione. Mentre certamente è vero che è più difficile introdurre vulnerabilità in codice open source ben monitorato da un’ampia comunità di sviluppatori, spesso questo effetto è sopravvalutato. Anche software rilevante come il kernel del sistema operativo Linux, ad esempio, ha le sue vulnerabilità trovate con una certa frequenza^[3]: quando vengono segnalate vengono corrette, ma se vengono trovate da chi le voglia sfruttare, anche questi sistemi possono rimanere vulnerabili a lungo. In effetti, sistemi open source sono comunque molto complessi, e la storia ci insegna che dove le risorse impiegate per trovare vulnerabilità siano al livello di interessi governativi, le vulnerabilità si trovano e si sfruttano^[4]. Ancora più istruttivo è il caso delle librerie OpenSSL, un componente software open source utilizzato anche dai colossi di Internet, e che è risultato essere sviluppato, mantenuto e verificato con risorse minime, perché in qualche modo tutti pensavano che lo stesse verificando qualcun altro. Heartbleed, una vulnerabilità di questo software che ha causato danni enormi, ha messo in evidenza come open source non voglia dire automaticamente “verificato in modo diffuso”^[5]. Ma evitare le vulnerabilità del codice è solo il primo, piccolo passo per la realizzazione di un sistema sicuro: anche nell’ipotesi del tutto astratta che non ce ne siano, assicurare che al momento del voto il codice eseguito su un gran numero di sistemi presso i seggi corrisponda effettivamente a quello ispezionato in origine, è un processo molto più complesso di quanto può apparire. Ancora più improbabile sarebbe garantire la sicurezza ad esempio di un’app che debba essere utilizzata ad esempio su tablet e smartphone degli elettori, oggetti su cui un discreto numero di soggetti ha un controllo decisamente maggiore del “proprietario”/elettore. È quindi evidente quanto assicurare che un sistema basato anche su software open source sia esente da difetti sfruttabili per manipolare il voto, sia molto più complesso che gestire matite copiative.

Sistemi di voto basati su protocolli e algoritmi crittografici

Un approccio radicalmente diverso è quello utilizzato da sistemi di voto basati su complessi protocolli e algoritmi crittografici. Qui la logica è di dimostrare che un certo algoritmo di voto ha delle proprietà dimostrabili matematicamente, e che quindi se un certo attacco è dimostrato matematicamente come impossibile, non c’è vulnerabilità che permetta di implementarlo.

Un’idea di questo approccio la può dare questo articolo: “An efficient and probably-secure coercion-resistant e-voting protocol”^[6], ovvero “Un protocollo di voto efficiente, resistente alla coercizione e dimostrabilmente sicuro”. È chiaro che con un titolo così, e con il potere taumaturgico della crittografia, ogni problema sembra risolto. Basta dare un’occhiata all’articolo per capire quale sia, per un sistema democratico, il primo problema di questo approccio: la quasi totalità degli elettori non capirebbe neanche vagamente di cosa parli. Di fatto, la capacità di verifica della correttezza del processo di voto si sposterebbe dal ruolo dello scrutatore e del rappresentante di lista, che più o meno chiunque è in grado di svolgere, ad un gruppo ristrettissimo di custodi della conoscenza e della verità, della cui parola tutti si dovrebbero fidare. Anche la verifica diffusa della correttezza del codice che implementa questi algoritmi sarebbe molto più complessa e delicata, riducendo ulteriormente il circolo di chi controlla realmente il processo di voto. Seppure con la massima buona fede da parte di questi ricercatori, non potrebbe essere una situazione sana dal punto di vista di una democrazia.

C’è però un ulteriore problema: questi algoritmi si basano su modelli, ovvero versioni “semplificate” della realtà, su definizioni, come “coercion-resistant” che, nonostante il loro nome accattivante, spesso si riferiscono a concetti non banali e più limitati di quanto ci si possa aspettare (“coercion-resistant” merita addirittura uno studio a sé^[7]), e su altre ipotesi che possono corrispondere o meno ad un sistema di voto anche solo realistico. Di nuovo, è improbabile che un cittadino abbia la capacità anche solo di valutare se quell’algoritmo lo stia davvero proteggendo, ancor meno se poi sia stato messo in pratica in modo efficace.

Voto elettronico: il gioco vale la candela?

L’aspetto più paradossale è che a fronte della disponibilità ad affrontare queste grandi complessità, i costi e i rischi legati al voto elettronico, primo fra tutti la completa perdita di controllo da parte dell’elettore del processo di voto, si faccia così poco per analizzare e migliorare il voto tradizionale, per il quale a volte semplici meccanismi, comprensibili da tutti, possono portare vantaggi grandi e concreti. Ma qualcosa nel tempo viene fatto. Ad esempio, l’introduzione del tagliando per evitare la frode delle “schede ballerine”^[8] rappresenta un semplice meccanismo di miglioramento del voto tradizionale. Forse allora, invece di avventurarsi su strade rischiose e che molti paesi hanno abbandonato dopo averle provate^[9], sarebbe meglio prima chiedersi seriamente quali problemi stiamo cercando di risolvere, se il gioco valga la candela, e se ci siano soluzioni più tradizionali e altrettanto efficaci. È utile considerare che la maggioranza di chi si occupa professionalmente di sicurezza e tecnologia, è decisamente contrario al voto elettronico in particolare via Internet (vedi ad esempio l’”US Technology Policy Committee” dell’ACM^[10], che fa riferimento ad uno dei paesi in cui il voto elettronico è maggiormente utilizzato).

C’è però un ultimo tema a favore del voto tradizionale. Con le schede cartacee, la frode richiede di intervenire su ogni singolo voto che si vuole falsificare. Con un sistema informatizzato, una vulnerabilità potrebbe consentire di manipolare in un sol colpo grandi quantità di voti, potenzialmente tutti. Questo tipo di attacco diventerebbe possibile non solo alla criminalità organizzata fortemente radicata sul territorio, ma potenzialmente a qualsiasi governo, organizzazione criminale o gruppo di potere in giro per il mondo. La sola minaccia o ipotesi di questi attacchi ha mostrato negli Stati Uniti quanto danno si possa fare, minando in modo diffuso la fiducia nei risultati del voto. Riteniamo davvero che gli ipotetici vantaggi del voto elettronico giustifichino questo rischio?

Note

1. https://www.repubblica.it/2006/04/sezioni/politica/elezioni-2006-10/berlusconi-brogli/berlusconi-brogli.htmlhttps://www.repubblica.it/2006/11/sezioni/politica/polemica-film-deaglio/uccidete-la-democrazia/uccidete-la-democrazia.html ↑
2. https://www.bbc.com/news/world-asia-india-46987319 ↑
3. https://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/year-2021/opec-1/Linux-Linux-Kernel.html ↑
4. https://en.wikipedia.org/wiki/Hacking_Team#Products_and_capabilities ↑
5. https://slate.com/technology/2019/10/heartbleed-lessons-open-source-code.html ↑
6. https://www.researchgate.net/publication/261038321_An_efficient_and_provably-secure_coercion-resistant_e-voting_protocol ↑
7. https://eprint.iacr.org/2019/822.pdf ↑
8. https://www.ansa.it/sito/notizie/speciali/elezioni/2018/02/20/elezioni-su-scheda-tagliando-antifrode-contro-voto-scambio_10110d31-145c-4ae9-92b3-6c956f5d6558.html ↑
9. https://en.wikipedia.org/wiki/Electronic_voting_by_country ↑
10. https://www.acm.org/public-policy/ustpc/technology-and-trust-voting-in-the-electronic-age ↑