Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

l'analisi

Voto elettronico, la blockchain è una cattiva idea: ecco perché

Utilizzare la blockchain nel voto elettronico è un’idea su cui si sta ragionando. Ma non è così semplice come potrebbe sembrare: segretezza, verificabilità, non vendibilità e responsabilità del voto non possono essere garantite come avviene con matita, carta e urna. Ecco tutte le criticità

16 Lug 2018

Stefano Quintarelli

Segretario commissione sviluppo sostenibile, Associazione Copernicani


Da qualche settimana sta girando l’idea di registrare voti su una blockchain, come elemento di sicurezza nel voto elettronico.

Qualche giorno fa è venuto a farmi visita un amico che si occupa di AI in California; abbiamo discusso del seguente problema: se esprimo un voto, come posso essere certo che il mio voto effettivamente sia contato in modo corretto?

Con le urne di carta, ne sono ragionevolmente certo perché sono io stesso a compilare la scheda, ad infilare la scheda nell’urna e perché posso restare a sorvegliare che l’urna non venga manomessa fino al conteggio (o direttamente guardando dalla porta o tramite delle persone di fiducia ovvero i cosiddetti delegati di lista che presidiano fino allo spoglio finale).

Rischio alterazione del voto elettronico

Se voto con un computer, sorge la domanda: come posso sapere che ciò che viene registrato nel database sia effettivamente ciò che io ho pigiato? Il software potrebbe essere stato alterato.

Controllare i codici sorgenti non aiuta un granché. In primo luogo non è alla portata di tutti, in secondo luogo il software difficilmente è comprensibile (cfr. obfuscated c code contest) ed infine, come posso essere certo che il software non sia stato alterato in memoria durante il tempo delle votazioni (ed eventualmente poi ripristinato)? Esistono dei meccanismi per asseverare ciò; è un po’ una frontiera della ricerca in crittografia, e comunque alla fine ti devi fidare dei pochi iniziati in grado di verificare.

Votare con la blockchain, i problemi

Ecco allora una prima idea di usare la blockchain: un registro pubblico immutabile in cui c’è espresso il mio voto in chiaro (così tutti lo possono contare) ed associato ad esso c’è il mio identificatore criptato con una chiave che solo io ho, così solo io posso sapere che sono io ad avere espresso quel voto e posso verificarlo.

In effetti, però, così non è sufficiente. Basterebbe aspettare e vedere cosa si scrive subito dopo che ho votato, per sapere come ho votato. Problema che si può risolvere per esempio aggiungendo una cifratura anche della mia preferenza con una chiave che sia possibile usare solo dopo la chiusura delle urne.

Però così ho un altro problema. Se io posso verificare dopo la chiusura delle urne se il mio voto è registrato in modo corretto, posso farlo anche di fronte al mafioso di turno che mi paga 20 euro per il mio voto.

Blockchain e voto di scambio

In generale, il problema della verifica del voto così espresso non si risolve senza introdurre altri punti di vulnerabilità in un sistema o di una terza parte di cui fidarsi. Ovvero, registrare autonomamente il voto in modo tale da consentirmi autonomamente di verificarlo ex post, senza introdurre punti di possibile vulnerabilità, mi abilita il voto di scambio.

Ora immaginiamo che si faccia un sistema di consultazione online che venga usato per deliberare in merito ad un determinato investimento, ad esempio uno stadio di serie A. Immaginiamo poi si scopra che in quell’investimento c’erano delle cointeressenze mafiose.

Cosa si potrebbe dire in merito al fatto che chi ha scelto il sistema di decisione lo ha fatto pur sapendo che esso abilita il voto di scambio?

Verifica ex post del voto

Viceversa, se non si introduce questa possibilità di verifica ex post da parte del votante, ci si deve fidare del software in esecuzione. In questo caso, cosa si potrebbe dire in merito al fatto che questo è un sistema gestito da Tizio? Fidarsi ciecamente di Tizio? Potrebbe ragionevolmente dimostrare in un tribunale che il software in esecuzione in quel momento fosse stato quello effettivamente pubblicato su GitHub? È un punto molto complesso.

In una decisione del genere, in cui si salvino contemporaneamente capra e cavoli (verificabilità, certificabilità, non vendibilità) l’automatismo della decisione trasferisce immediatamente una dose di criticità sui creatori del software o sui gestori del sistema.

La filiera di segretezza (rispetto ad altri) / verificabilità (da parte di chi vota) /non vendibilità (a terzi)/responsabilità (di chi gestisce il sistema) è tutt’altro che banale, se fatta senza carta, matita ed urne.

Questa era la conclusione della chiacchierata.

Articolo 1 di 4