Una premessa inevitabile: i recenti eventi elettorali americani e referendari italiani.

Mentre imperversano le post-verità sul voto americano, circa la verosimile ingerenza cibernetica dei russi sull’elezione di Trump e siamo – nel momento in cui scriviamo – a poco più di un mese di distanza dal referendum costituzionale italiano, è impossibile non interrogarsi su quanto il voto elettronico, prassi consolidata oltreoceano, seppur malamente, potrebbe interessare, almeno in termini di semplificazione, le procedure nostrane . Una valutazione sulla sua attuabilità andrebbe infatti operata, se non altro, a fronte delle immani difficoltà nel riuscire a garantire il diritto di voto in situazioni, ad esempio, di emergenza . Stati Uniti e Italia occupano inoltre, a ben vedere, due posizioni estreme in materia di e-voting politico: da un lato vi è un paese che è stato pioniere nell’adozione del voto elettronico, dall’altro uno in cui si usano carta e matita . In mezzo, paesi che lo stanno valutando e altri che, come l’Olanda, l’hanno adottato e poi abbandonato per motivi di sicurezza .
Che cosa s’intende per sistema di e-voting? Con l’espressione “sistema di e-voting” ci si riferisce al momento in cui una tecnologia elettronica è impiegata in una o più fasi di un processo elettorale, scrutinio compreso, senza che sia necessariamente sfruttata la rete Internet . Ciò che in sostanza e prima di qualsiasi altra notazione distingue i sistemi di voto elettronico da altri tipi di sistemi è la complessità . I sistemi di e-voting, infatti, all’atto stesso della loro adozione, debbono essere in grado di soddisfare e combinare richieste diametralmente opposte fra loro . Si pensi all’anonimato dell’elettore e alla contestuale contraria esigenza di poterlo identificare, per verificare, ad esempio, che sia in possesso dei requisiti di diritto di voto . Un secondo esempio può essere offerto dal fatto che se, da un lato, i sistemi di e-voting devono essere in grado di salvaguardare la segretezza del voto, requisito imprescindibile in uno stato democratico, dall’altro non possono nemmeno esimersi dal garantire l’integrità dell’intero processo . Il voto elettronico può quindi essere descritto come una transazione tra l’elettore e il sistema elettorale, attraverso un protocollo sviluppato in modo da garantire alcuni requisiti minimi di sicurezza, a baluardo delle proprietà fondamentali del diritto di voto elettronico (eleggibilità, accuratezza, privacy, verificabilità, efficienza, scalabilità e responsabilità) . Quelle descritte poc’anzi sono le necessità che i sistemi di voto elettronico sono incaricati di coprire e che hanno trovato i migliori tentativi di soluzione nello sviluppo di alcuni sistemi tecnici e protocolli crittografici, i cui elementi di base possono essere individuati nella firma elettronica cieca, nella cifratura omomorfa, negli schemi mix-nets e nella blockchain .

A) La firma elettronica cieca

Con firma elettronica cieca (blind signature), la preferenza espressa dall’elettore viene cifrata . Successivamente viene apposta la firma elettronica da un ufficiale elettorale, che autentica il voto e infine si ha il deposito nell’urna . Tale ultimo passaggio è effettuato in forma non cifrata e firmata . Può al riguardo essere opportuno formulare un esempio: se si immagina di riporre all’interno di una busta una carta e sopra tale documento un foglio di carta carbone, nel momento in cui si firma la busta, automaticamente anche sul documento resta impressa quella firma, senza che sia visibile il contenuto del documento stesso prima che si apra la busta . La firma dell’autorità elettorale garantisce la non modificabilità del voto e la sua autenticità, tutelando nello stesso tempo l’anonimato del votante e la segretezza del voto, la sua privacy, il suo diritto ad esprimere un voto solo e una sola volta .

B) La cifratura omomorfa

Con il sistema della cifratura omomorfa è possibile sommare due numeri cifrati senza decifrarli . Questa tecnica implica che lo scrutinio di un processo elettorale avvenga senza che sia necessario decifrare i singoli voti, tutelando in tal modo pienamente l’anonimato degli elettori .

C) Gli schemi mix-nets

Gli schemi di voto mix-nets, come è agevole intuire dal nome, sono sistemi basati su insiemi di server con cui è possibile crittare e permutare i voti espressi, in modo da rendere pressoché impossibile ricostruire la coppia voto-elettore .

D) La blockchain

Con la blockchain l’elettore esprime il proprio voto effettuando una transazione in bitcoin . La preferenza così espressa risulta pertanto non modificabile, unica e può essere pubblicata senza che il cittadino perda il suo anonimato . Essendo un meccanismo distribuito, fornisce una maggiore protezione rispetto a molte forme di broglio governativo . L’elettore, attraverso la blockchain, resta l’unico utente in grado di operare una verifica sulla preferenza da lui manifestata in sede di voto . I meccanismi descritti sono i mattoni con cui costruire un sistema di voto elettronico, che per garantire le proprietà fondamentali sopra discusse, utilizza questi componenti in protocolli più complessi . Ad esempio, un requisito che i protocolli più recenti cercano di soddisfare è la coercion-resistance, cioè la capacità di tutelare l’elettore da forme di coercizione che lo costringano a rivelare il proprio voto, magari dopo averlo espresso, pur permettendogli di verificare la correttezza dello scrutinio . Una ulteriore difficoltà sta nella differenza fra un protocollo sicuro e la possibilità di utilizzarlo nella pratica, ad esempio perché richiederebbe ad ogni votante di essere in grado di svolgere “in sicurezza” operazioni crittografiche complesse, o perché richiede operazioni che diventano computazionalmente troppo onerose all’aumentare del numero di votanti .

I sistemi di voto statunitense. Disomogeneità e multifattorietà del rischio

«Se esiste un’invenzione sulla Terra che proprio non vogliamo», gli disse un senatore, «è un dispositivo che velocizzi il processo di voto»

Così un amico di Thomas Edison, convinto della portata dell’invenzione del registratore di voto elettrografico, si sentì rispondere da un senatore quando andò a Washington a presentare e a proporre tale macchina per il Congresso . Il lungo tempo necessario alle votazioni, infatti, permetteva allora ai senatori di stipulare accordi sottobanco o scambiarsi promesse di voto . Era il 1868 . Da allora come è evoluta la questione “voto elettronico” negli Stati Uniti?
Come è facile immaginare dalle premesse storiche appena accennate, negli Stati Uniti il quadro che attualmente si presenta agli occhi di chi guarda con interesse alle applicazioni del voto elettronico, appare assai variopinto, complesso e, per molti aspetti, confuso e paradossalmente più incoerente con i tempi attuali che con il passato . Negli Stati Uniti, infatti, non solo ogni singolo stato, ma finanche ogni contea, hanno un proprio sistema di voto, scelto e sposato in totale autonomia: ciò perché sono sempre mancate e ancora latitano direttive impartite a livello sovranazionale . In una tale babele di sistemi di voto è tuttavia possibile rintracciare tre principali categorie di tecniche e tecnologie cui ricondurre i diversi sistemi di voto statunitensi .
Il primo è il “Punch Card Voting Systems” . Questa tecnica è la più elementare e, fino a non troppi anni fa era anche la più utilizzata . Il Punch Card Voting System consente di automatizzare, per la verità, la sola fase dello spoglio delle schede e non quella vera e propria dell’espressione del voto . In particolare, attraverso questa tecnica, l’elettore deve perforare con l’apposito punzonatore posto sull’urna la scheda in corrispondenza del nome del candidato preferito . La scheda così perforata viene infilata dal cittadino nell’urna . Lo spoglio delle votazioni avviene in maniera automatizzata e celere per il tramite di una macchina che scansiona i fori sulle schede .
Il secondo metodo è rappresentato dagli “Optical Scan Paper Ballot Systems”, in cui l’elettore segna sulla scheda la propria preferenza di voto utilizzando un marcatore leggibile dallo scanner ottico .
Infine, vi sono i sistemi di tipo “Direct Recording Electronic” (DRE) che incarnano attualmente le versioni più avanzate dei meccanismi di e-voting negli Stati Uniti . Con i sistemi di registrazione diretta del voto, l’elettore esprime la propria preferenza tramite touch screen . Del voto così espresso è spesso rilasciata una stampa cartacea . Va da ultimo ricordato che ci sono giurisdizioni che impiegano, in aggiunta ai sistemi di voto elettronico, schede elettorali tradizionali contate a mano presso dei seggi elettorali . Altre usano le schede cartacee per consentire di votare per corrispondenza o per voti provvisori, negli stati e contee in cui tale facoltà è accordata . Infine, in tre stati è consentito l’Internet voting, a mezzo mail .

Tanto è sufficiente per immaginare con estrema facilità quali scenari di in-sicurezza possano conseguentemente spalancarsi . Valgano a tal proposito alcuni esempi semplici e d’immediata percezione tratti dalle ipotesi prefigurate dall’hacker etico Scot Terban: “Cosa accadrebbe se la macchina del voto fosse manomessa elettronicamente o le venisse inserito del codice manualmente tramite una chiavetta? E se gli elettori si recassero alle urne scoprendo lì che i propri dati personali di registrazione sono stati modificati, cancellati, falsificati? O se i server fossero bloccati o spenti a causa di un malware?” . Al di là dei dettagli tecnici che stanno a monte di simili rischi, della risposta sugli attacchi così teorizzati alle macchine deputate al voto e sulle relative responsabilità (ovvero, sulle procedure e tecniche di Digital Forensics che si potrebbero osservare e impiegare e con quali risultati), appare chiaro come tali incidenti e compromissioni finiscano per tradursi in un attacco concreto ai cittadini stessi, al loro coinvolgimento politico, minando la fiducia complessiva degli elettori nel sistema democratico . Pertanto, chi scrive intravede in tutto ciò la premessa per annoverare certamente i sistemi elettronici di voto, in particolare di voto politico, fra le infrastrutture critiche .

Il nocciolo della faccenda: la questione sicurezza dei protocolli di e-voting

Benché la sicurezza insita negli schemi crittografici su cui sono imperniati i sistemi di voto elettronico sia matematicamente indubbia e grandi siano i benefici che per lo meno in astratto essi siano in grado di recare in termini di costi, velocità, trasparenza e accuratezza, tuttavia l’introduzione di elementi di errore ai vari livelli del processo è un’ipotesi tutt’altro che scolastica . In particolare, per quanto riguarda gli Stati Uniti, è cosa nota che la maggioranza dei sistemi di e-voting soffre di gravi vulnerabilità . Le elezioni statunitensi, che sono amministrate in maniera assai disomogenea da funzionari statali, provinciali e locali e non hanno standard di sicurezza nazionale di riferimento per fronteggiare possibili intrusioni, possono subìre numerosi tipi di manipolazioni a livello di sistema e di rete .
Vale però forse la pena rappresentare in maniera schematica e semplificata le principali tecniche di attacco che possono essere sferrate (anche) sui protocolli posti alla base dei sistemi di e-voting, intendo con questo volutamente tralasciare altri aspetti legati alla sicurezza delle informazioni e della circolazione delle stesse, come il rischio costituito dalle notizie fake fatte circolare ad hoc, in maniera massiccia in Rete, attraverso ad esempio i social, per manomettere in altro modo l’opinione pubblica e influenzare per un verso o per un altro le elezioni .

I principali tipi di attacchi dunque che desideriamo rapidamente passare in rassegna sono infatti gli stessi che si possono verificare sui flussi di comunicazione generici, ovvero l’intercettazione, la modifica, la falsificazione e l’interruzione .
A) L’intercettazione. Si ha l’intercettazione quando una terza parte riesce ad accedere alla rete di comunicazione e intercetta il messaggio che mittente e destinatario si stanno scambiando (elettore-sistema elettorale), catturando così, di fatto, i dati in transito . Si verifica perciò un accesso non autorizzate al traffico dei dati . Il flusso informativo non è modificato, per cui per il destinatario è estremamente arduo rilevare l’attacco . Per tale ragione questa tecnica di attacco è considerata di tipo passivo . È un attacco alla segretezza delle informazioni (e in questo caso, alla segretezza del voto) .
B) La modifica. Questo tipo di attacco si caratterizza per il fatto che non solo l’attaccante riesce a inserirsi e a intercettare il messaggio, ma riesce contemporaneamente a modificarlo, con informazioni contraffatte, per poi farlo proseguire al destinatario . Il destinatario accetta il messaggio credendo in realtà che i dati siano stati spediti dalla parte da cui è partito . La modifica è inquadrata fra gli attacchi di tipo attivo contro l’integrità del messaggio stesso (del voto) .
C) La falsificazione. Si ha la falsificazione quando l’attaccante invia al destinatario un messaggio che rappresenta a tutti gli effetti un “quid novum”, cioè si differenzia della modifica, in quanto la terza parte che falsifica non si spaccia per il mittente originale . Questo tipo di attacco si colloca nell’alveo delle violazioni del requisito dell’autenticità ed è anche questo un attacco di tipo attivo .
D) L’ interruzione. L’interruzione è un attacco afferente alla classe dei Denial of Service (DoS) . In tale evenienza la rete di comunicazione tra mittente e destinatario è interrotta (si parla pertanto, guardando ai requisiti di sicurezza, di attacco alla disponibilità del dato) . Anch’esso è un attacco di tipo attivo, in cui una o più parti si adoperano per interrompere il flusso delle informazioni . Si deve poi considerare sempre la possibilità che i soggetti stessi partecipanti al voto, sia gestori del sistema elettorale che votanti, siano interessati a manomettere il sistema (si pensi alle complessità legate al processo di sviluppo e messa in esercizio) o anche solo a renderlo inefficace, dichiarando simulando una frode dove non ci sia .

L’Italia e altre esperienze di voto elettronico nel mondo.

L’approccio alla valutazione di opportunità di adottare il voto elettronico in Italia sembra essere per lo più poco metodico e organico . L’adozione di una nuova soluzione IT, in particolare in sostituzione di uno strumento manuale, dovrebbe conseguenza della valutazione dei pro e contro e dei rischi associati alla nuova soluzione, almeno rispetto a quella vecchia . In una situazione così poco strutturata, possiamo solo riportare alcuni punti di attenzione da considerare nella valutazione di una soluzione di voto elettronico . Per prima cosa, con “voto elettronico” si intendono soluzioni molto diverse, con caratteristiche e rischi diversi . Una prima distinzione è fra i sistemi interamente IT, e quelli in cui il sistema di voto e quello di scrutinio sono separati, con il secondo che può anche essere manuale . Si può quindi avere un voto elettronico con una stampa di scheda cartacea, e quindi uno scrutinio manuale o elettronico . Il metodo più noto che prevede una scheda cartacea è il “metodo Mecuri1”, dal nome della ricercatrice che lo ha proposto . Lo scopo è avere la possibilità di verificare manualmente le schede, sia da parte dell’elettore prima che vada nell’urna, sia in caso di dubbi sull’affidabilità e sicurezza del sistema informatico . Si mantiene però l’efficienza di un sistema informatico e la stampa chiara e non ambigua del voto . A questo proposito, al di là dei dubbi recenti sulle ingerenze nel voto U .S .A . da parte di hacker russi, si può considerare il caso delle politiche italiane del 2006, in cui ci furono molte accuse di brogli che portarono fino alla richiesta di verificare più di un milione di schede2, situazione che non sarebbe stata gestibile con un sistema interamente elettronico, se non ignorando completamente le accuse, non avendo niente su cui basare una eventuale verifica . Un’altra differenza importante è il voto presso il seggio rispetto a quello “da casa” o “via Internet”: in questo caso, la differenza sta nelle garanzie di libera espressione del voto, che dovrebbero essere maggiori presso il seggio rispetto a quelle offerte da un ambiente incontrollato .
Ma quali dovrebbero essere i pro di un sistema di voto elettronico? Tralasciando discorsi sui costi (si trova poco, ma nella maggior parte dei casi la conclusione sembra essere che il voto elettronico costa di più, a meno che non sia via Internet) e i minori tempi di conteggio, che in Italia sono probabilmente meno rilevanti che ad es . negli U .S .A ., dal punto di vista della sicurezza possiamo concentrarci su due aspetti: l’auditabilità e la gestione dei brogli . Per quanto riguarda l’auditabilità, si possono evidenziare due temi: il primo, di principio di gran lunga il più importante, è che il cittadino perde la capacità di verificare la correttezza del processo di voto . Mentre adesso infatti, con gli scrutatori ed i rappresentanti di lista, il processo è diffuso e partecipato, con il voto elettronico le verifiche più importanti sono necessariamente delegate a tecnici con una competenza specifica, in grado di validare la corretta realizzazione e il funzionamento del sistema . Il secondo riguarda l’ampiezza e complessità delle verifiche, che devono partire dal disegno del sistema, passando per il codice e gli apparati, fino all’installazione e all’esercizio dei sistemi, mentre attualmente le verifiche possono limitarsi ad alcuni passaggi chiave.

Per quanto riguarda i brogli, si devono considerare sia i brogli del sistema attuale, e la capacità del nuovo sistema di ridurli, sia quelli potenzialmente introdotti dal nuovo sistema . In più, si devono considerare i brogli del vecchio sistema che potrebbero essere ridotti più semplicemente migliorando il vecchio sistema . Attualmente, per quanto siano in realtà pubblicati pochi dati sui brogli nel sistema elettorale italiano (altro grosso limite nella valutazione), sono noti due meccanismi importanti: il sistema della scheda mancante, reso famoso dal film “Sud3” di Gabriele Salvadores, e l’uso di cellulari per fotografare la scheda votata . Tutti brogli legati al voto di scambio, in cui il votante è formalmente complice . Il primo sistema sarebbe certamente contrastato da un sistema di voto elettronico, ma per il secondo non sembrerebbe che ci sia molta differenza . Le possibilità di brogli introdotte dal voto elettronico invece, sono sostanzialmente tutte legate alla manomissione dei sistemi informativi, sia in fase di realizzazione che, successivamente, nell’utilizzo . Insomma, l’utilizzo del voto elettronico ha sicuramente delle potenzialità importanti in termini di sicurezza e correttezza del processo di voto, ma le difficoltà pratiche nel passare da una sicurezza teorica ad una pratica sono molte, e non è chiaro se e come potranno essere realmente superate . Troppo spesso invece, il tema viene affrontato più sulla base di impulsi emotivi e di ipotesi da dimostrare . Certamente, aiuterebbe avere a disposizione dati oggettivi su cui fare le valutazioni: sui costi, sulle frodi dei sistemi attuali e su quelle permesse dai sistemi di voto, nonché sui cambiamenti non solo tecnici che l’adozione del voto elettronico comporterebbe .

Una strada piena di ostacoli
La strada del voto elettronico è stata piena di fallimenti, parziali e totali, dai quali trarre insegnamento. Alcuni dei casi più eclatanti o interessanti sono riportati qui di seguito. Negli Stati Uniti, ci sono casi documentati sia di errori a favore di un candidato: http://www.irontontribune.com/2007/11/14/township-race-result-flipped-because-of-error/ che di frodi vere e proprie: https://www.schneier.com/blog/archives/2009/03/election_fraud.html L’India aveva scelto la strada inusuale di macchine per il voto molto più semplici di un pc. Sembrerebbero più semplici da proteggere, ma una volta perso anche temporaneamente il controllo degli apparati, le frodi sono sempre possibili, vedi ad esempio: https://indiaevm.org/
Uno dei casi più interessanti dal punto di vista tecnologico ha portato nel 2007 al blocco nell’utilizzo di sistemi di voto elettronico in Olanda. Attraverso le emissioni elettromagnetiche degli apparati di voto, in Olanda era possibile riconoscere se il votante sceglieva uno specifico partito: http://www.theregister.co.uk/2008/05/20/dutch_ban_on_voting_computers/ Brutta fine anche per il voto elettronico in Irlanda: http://www.irishtimes.com/news/e-voting-machines-to-be-scrapped-1.722896 Lo stato generale dei sistemi di voto elettronico nel mondo: https://en.wikipedia.org/wiki/Electronic_voting_by_country I problemi riguardano anche i rapporti che ci possono essere fra i produttori di sistemi per il voto elettronico e soggetti con un ruolo ufficiale nella gestione del sistema elettorale, negli acquisti ecc.: https://www.wired.com/2007/07/more-election-o https://en.wikipedia.org/wiki/Diebold#Diebold_Election_Systems_and_UTC_.282002-2009.29
Anche in U.K., dopo aver osservato l’utilizzo del voto elettronico, noti esperti fra cui Ross Anderson hanno messo in dubbio che si tratti realmente di un “progresso”: https://www.lightbluetouchpaper. org/2007/06/20/no-confidence-in-evotingpilots/

FOCUS ON 2017 di Federica Bertoni e Claudio Telmon, tratto dal Rapporto CLUSIT 2017 sulla sicurezza ICT in Italia.