Il lungo cammino verso un e-voting virtuale e sicuro
Alcune lacune sul fronte della sicurezza hanno posto l’e-voting al centro delle critiche. Tecnicamente è possibile realizzare sistemi interamente elettronici e sicuri, ma prima di poterli utilizzare ci vorrà ancora del tempo. La prossima tappa non potrà fare a meno della carta.
«I sistemi utilizzati attualmente in Svizzera non permettono agli elettori di verificare ciò che succede con i loro voti. Non hanno altra scelta che fidarsi del sistema», afferma Rolf Haenni, professore di informatica all’Istituto di ricerca per la sicurezza nella società dell’informazione (RISIS) della Scuola universitaria professionale di Berna.
«Ci si è concentrati molto su determinati aspetti della sicurezza. Ma i sistemi di prima generazione sono ancora sprovvisti di una particolarità che chiediamo da anni: la verificabilità, ovvero la possibilità per l’elettore di controllare se il suo voto sia stato manipolato», aggiunge Eric Dubuis, direttore del RISIS.
Quando un “sì” diventa un “no”
In parole semplici, un sistema di e-voting comprende un calcolatore centrale, che raccoglie e analizza i voti, e i computer degli elettori.
Teoricamente, un risultato potrebbe essere modificato piratando il calcolatore centrale o infettando i computer personali con un malware. Attraverso questi programmi malefici, il “sì” scritto sulla tastiera può diventare un “no” nel calcolatore centrale, senza che l’elettore se ne accorga.
Le elezioni e le votazioni concernono spesso tematiche molto importanti. Un gruppo d’interesse potrebbe dunque infettare migliaia di computer non protetti e falsare l’esito dello scrutinio. Uno scenario su cui i ricercatori richiamano l’attenzione da oltre dieci anni.
La soluzione più semplice, che vede il calcolatore centrale inviare una conferma del voto su carta, non entra in linea di conto. Secondo Rolf Haenni, «la segretezza del voto dev’essere garantita. Il sistema non deve sapere il modo in cui si vota. Lo stesso vale per l’amministratore del sistema. Ciò complica ancor più le cose».
La maggior parte degli svizzeri all’estero dovrebbero poter votare via Internet alle elezioni federali del 2015. Malgrado le critiche, il governo mantiene questo obiettivo.
Le discussioni relative alla sicurezza sono state alimentate dalle lacune emerse nel luglio 2013 a Ginevra, quando un hacker aveva “piratato” il sistema di e-voting e scoperto delle falle.
Le autorità sono a conoscenza da tempo di questi punti deboli. È d’altronde per questo motivo che soltanto una parte dell’elettorato può esprimersi per via elettronica.
Attualmente, al massimo il 10% dell’elettorato svizzero può votare elettronicamente. In un singolo cantone, la quota non può superare il 30%. In pratica, l’e-voting è effettivo soltanto per il 3% degli aventi diritti di voto, principalmente degli svizzeri all’estero.
Per quattro deputati alla Camera del Popolo (camera bassa) di diversi partiti, la sicurezza rimane insufficiente. Tramite un atto parlamentare hanno chiesto la sospensione del progetto di e-voting, perlomeno fino a quando non si disporranno di programmi sicuri. Proposte simili sono state avanzate anche in diversi cantoni.
Dopo aver appreso dei problemi riscontrati a Ginevra, i cantoni di Uri e Obvaldo hanno deciso di ritirarsi dal progetto.
Oltre al sistema di Ginevra, utilizzato anche da Berna, Lucerna e Basilea Città, esiste anche quello adottato da Zurigo (e ripreso da otto cantoni). Neuchâtel dispone invece del proprio sistema.
Nella giusta direzione
In Svizzera, la seconda generazione di e-voting verrà introdotta gradatamente, probabilmente nel 2014. La novità è che gli aventi diritto riceveranno, assieme al materiale di voto, due codici individuali di quattro cifre, uno per il “no” e uno per il “sì”.
Dopo aver espresso la propria preferenza, la persona riceverà dal sistema un cosiddetto codice di verifica, che potrà essere confrontato con il codice presente nel materiale di voto. Un’eventuale manipolazione verrebbe in questo modo subito individuata.
«Siamo nella direzione giusta», dice Eric Dubuis. «Se la gente fosse in grado di accorgersi, la diffusione di malware perderebbe il suo interesse. Si tratta di un’enorme differenza rispetto al sistema attuale, che non sempre permette di constatare una manipolazione».
Urne trasparenti
Anche questo sistema implica però dei rischi per la sicurezza dei dati e il conteggio esatto dei voti. L’errore non può essere escluso, ad esempio al momento di stampare i codici. I due esperti del RISIS auspicano quindi un ulteriore sviluppo del sistema.
Sussiste poi un altro problema: teoricamente, è infatti possibile risalire alla persona che ha inviato la preferenza, in violazione della segretezza del voto. Le soluzioni si orientano così verso un sistema di urne trasparenti, come quelle utilizzate in Francia. «All’inizio si vede che sono vuote. Poi vengono agitate e nessuno può riconoscere chi ha votato cosa», osserva Eric Dubuis.
Nel mondo digitale, il principio è lo stesso: i dati criptati finiscono in una sorta di contenitore virtuale per poi essere anonimizzati e decodificati. I dati sono mescolati più volte in modo crittografico la loro origine non è più rintracciabile, spiega Rolf Haenni,. «È un procedimento certificato scientificamente e affidabile al 100%. E la segretezza del voto viene preservata».
Questo sistema é «estremamente complicato», riconosce Rolf Haenni. «Lo abbiamo introdotto per le elezioni nei consigli studenteschi. Ci stiamo lavorando siccome non esiste una soluzione a portata di mano. Recentemente, la Norvegia ha proceduto a test pilota».
Eric Dubuis ritiene che – se ci sarà la volontà politica – questo sistema potrebbe essere introdotto anche in Svizzera tra due o tre anni.
Rinunciare alla carta
Rimane tuttavia un inconveniente. Malgrado gli sviluppi informatici ed elettronici, il canale postale deve essere ineccepibile, sottolinea Rolf Haenni. I codici devono infatti pervenire all’elettore su supporto cartaceo, visto che la via elettronica va esclusa per motivi di sicurezza.
Da anni, i ricercatori lavorano su una terza generazione di e-voting, che prevede l’impiego di un apparecchio supplementare.
«Teoricamente i computer o gli smartphone potrebbero ingannarci ad ogni momento. Non sono totalmente affidabili», annota Rolf Haenni. Due anni fa, su mandato della Cancelleria federale, i ricercatori del RISIS hanno così sviluppato un sistema completamente elettronico, che permette di rinunciare ai costosi invii postali.
Per questo si fa capo a un apparecchio, simile a quelli che le banche distribuiscono ai clienti che vogliono gestire elettronicamente le loro operazioni. «È un apparecchio che presenta il minor numero possibile di funzioni e che non è connesso a Internet. È il più ridotto ed economico possibile e non è programmabile», spiega Rolf Haenni.
Questi dispositivi fotografano il bollettino di voto, ovvero il codice che appare sullo schermo, e lo inviano attraverso cavo USB o tecnologia radio al calcolatore centrale. I dati rimangono criptati durante l’intero processo. Inoltre, l’accesso all’apparecchio in questione è protetto da un codice PIN.
L’e-voting è una tecnologia relativamente nuova. Soltanto pochi i paesi ne hanno fatto ricorso a titolo sperimentale durante elezioni politiche e votazioni.
In Europa, la via del voto elettronico è seguita da Svizzera, Norvegia, Estonia e Francia.
La sezione dei diritti politici della Cancelleria federale, responsabile del progetto “Voto elettronico”, collabora con gli organi internazionali portando nelle discussioni l’esperienza svizzera. Partecipa alle conferenze internazionali e collabora con i paesi che hanno fatto o pianificato dei test.
Affidabile come una banconota
«La fiducia che si ripone in questo apparecchio deve essere altrettanto grande di quella che si ha per una banconota svizzera. I dispositivi devono essere certificati dalla Cancelleria federale», puntualizza Eric Dubuis.
Permangono comunque alcuni interrogativi, rammenta il direttore del RISIS. «Dobbiamo ancora fare qualche ricerca, ma è pure una questione di volontà politica».
Da definire sono in particolare la modalità di distribuzione degli apparecchi (logistica) e i costi di produzione, di distribuzione e di amministrazione. Può infatti capitare di dimenticare il codice PIN o constatare che le batterie si sono scaricate.
Eric Dubuis sta riflettendo anche su un altro dispositivo che permetterebbe di stabilire contatti elettronici con altri uffici governativi e con le banche. E perché non istallarlo direttamente su uno smartphone? «I fabbricanti potrebbero inserire un secondo sistema operativo, non programmabile e quindi protetto dai malware. Tecnicamente sarebbe possibile», ritiene Rolf Haenni.
Una soluzione ideale, ma poco realistica, commenta Eric Dubuis, rammentando che «i fabbricanti mirano al mercato mondiale e in quest’ottica la Svizzera non conta nulla».
Traduzione dal tedesco di Luigi Jorio
In conformità con gli standard di JTI
Altri sviluppi: SWI swissinfo.ch certificato dalla Journalism Trust Initiative
Potete trovare una panoramica delle discussioni in corso con i nostri giornalisti qui.
Se volete iniziare una discussione su un argomento sollevato in questo articolo o volete segnalare errori fattuali, inviateci un'e-mail all'indirizzo italian@swissinfo.ch.