A novembre 2020 mi interrogavo sull’esistenza/non-esistenza di un comitato che stava lavorando sul voto elettronico. C’è ora la certezza che in effetti il comitato esisteva, dal momento che ha prodotto – in data 25 maggio 2021 – delle “Linee guida per la sperimentazione del voto elettronico”, che successivamente il Ministero dell’Interno e il Ministro per l’Innovazione Tecnologia e la Transizione Digitale hanno approvato con decreto del 9 luglio 2021.
In situazioni di questo genere, in cui si vanno a toccare meccanismi fondamentali per la democrazia, è buona prassi esporre le proposte di cambiamento alla consultazione pubblica, al duplice scopo di verificarne la qualità e di ottenere eventualmente suggerimenti migliorativi. Lo fa normalmente anche la Commissione Europea. In questo caso, un comitato, dei cui lavori si è saputo poco o niente, ha definito delle linee-guida per cambiare le modalità di voto, sulle quali nessuno ha potuto fare osservazioni prima che venissero recepite in un decreto interministeriale.
Visto che non risultano verbali dei lavori di questo comitato non si può dire se le autorità nazionali di sicurezza informatica siano state coinvolte nella definizione di tali linee guida. Il decreto, bontà sua, indica che dovranno esserlo nella predisposizione dello studio di fattibilità e dei requisiti tecnici. Meglio di niente, certamente, ma non mi pare il massimo della trasparenza per un tema così importante per la democrazia.
Nel mio articolo di novembre 2020 ricordavo le tante perplessità esistenti in tutto il mondo sul voto elettronico, riallacciandomi ad una precedente inchiesta di Nicola Biondo. La situazione a livello internazionale è abbastanza chiara. In Europa, con l’unica eccezione dell’Estonia (una nazione che ha meno della metà degli abitanti del comune di Roma e che ha avuto alcuni problemi, vedi qui e qui), il voto elettronico è generalmente evitato. In diversi paesi europei, Germania, Svizzera, Norvegia e Olanda, è stato tassativamente escluso.
Negli Stati Uniti, la culla del digitale, il Paese che grazie all’informatica ed alle sue tecnologie sta dominando e controllando il mondo attraverso le sue multinazionali, ad aprile del 2020 è stata pubblicata una lettera aperta indirizzata a Governatori, Segretari di Stato, Direttori degli Uffici Elettorali, di tutti e 50 gli stati americani, dove si conclude che «la votazione via Internet non è una soluzione sicura per votare negli Stati Uniti, né lo sarà in un prevedibile futuro». La lettera (basata su vent’anni di analisi ed evidenze scientifiche) è stata preparata dal Centro per l’Evidenza Scientifica nelle Questioni Pubbliche, un centro studi della Associazione Americana per l’Avanzamento delle Scienze, in collaborazione con le tre Accademie Nazionali americane delle Scienze, dell’Ingegneria e della Medicina, il Ministero per la Sicurezza Nazionale, e l’Istituto Nazionale per gli Standard e la Tecnologia. Tra le organizzazioni che hanno firmato la lettera appaiono quelle della comunità scientifica e tecnologica dell’informatica (ACM e CRA). Tra gli esperti che l’hanno validata basta ricordare i nomi di Vinton Cerf (il papà di Internet) e di Ronald Rivest (uno degli inventori di quella crittografia a chiave pubblica che è alla base della sicurezza delle transazioni sulla rete).
Successivamente, un rapporto del mitico MIT (il Massachussets Institute of Technology) – tra i cui autori figura lo stesso Rivest – ha nuovamente sconsigliato l’uso del voto elettronico perché neanche la “catena di blocchi” (la moda del momento più conosciuta come blockchain) è in grado di fornire i livelli di sicurezza ed affidabilità che sono indispensabili per un sistema così critico per la democrazia quale quello delle votazioni. Riporto qui un’utile tabellina che caratterizza le quattro macro-categorie di modalità di votazione con la loro codifica di pericolosità (dal più verde=più sicuro al più rosso=più pericoloso – mia elaborazione dall’articolo del MIT).
Ecco, il decreto appena pubblicato dice testualmente (art.3, comma 1): «il voto elettronico è espresso mediante una web application, a cui l’elettore può accedere con qualsiasi dispositivo digitale collegato alla rete internet e dotato di uno dei browser più diffusi». Siamo proprio nel caso indicato in rosso nella tabellina qui sopra.
È come se, per fare un esempio allineato al periodo estivo, in una situazione di estrema siccità, in cui i boschi prendono fuoco per niente, qualcuno proponga di fare un grande barbecue in pineta. Cosa potrà mai andare storto?
Ci si dimentica troppo spesso che la sicurezza dei sistemi digitali (o sicurezza informatica, anche se quelli che ci tengono a farti sapere che sono dei veri esperti parlano di cyber-security dimenticando gli italianissimi cibersicurezza o sicurezza cibernetica) è soprattutto un fatto di cultura prima che di tecnologie. La situazione della sicurezza informatica è in uno stato deplorevole. I rapporti periodici che vengono annualmente prodotti indicano che il mercato dei crimini informatici è in costante aumento. Ricordo solo due degli incidenti più recenti.
A maggio di quest’anno un attacco informatico alla Colonial Pipeline ha, per qualche giorno, messo in seria difficoltà la vita quotidiana negli Stati Uniti. Come rilevato in una successiva testimonianza di fronte al Senato americano, il punto di ingresso è stata la carenza di “igiene digitale”.
Solo la settimana scorsa è arrivata la notizia che circa 1.000 clienti di un fornitore di servizi informatici via Internet sono stati contemporaneamente attaccati. Anche in questo caso, come nel precedente, mediante ransomware, un tipo di software malevolo che blocca i sistemi informatici di chi è colpito fino al momento in cui questo non paga un riscatto (=ransom). La novità di quest’ultimo caso, rispetto a quello di maggio, è che l’attacco è avvenuto attraverso la “catena di fornitura” (supply chain, per quelli fighi) che, quanto più i sistemi informatici diventano interconnessi, tanto più diventa il tallone d’Achille della nostra società.
A questo proposito, il decreto prescrive (art.5, comma 2) che «Il codice sorgente del sistema di voto elettronico è pubblicato sul sito istituzionale del Ministero dell’interno». Ora, tutti coloro che lavorano in quest’ambito sanno bene che la disponibilità del codice sorgente di un qualunque sistema è condizione necessaria ma non sufficiente ad assicurare che il sistema in esercizio si comporti come previsto. Come sottolineato circa 40 anni fa nella Turing award lecture (il premio Turing è per l’informatica quello che la medaglia Field è per la matematica o il Nobel per altre scienze) di Ken Thompson (inventore insieme a Dennis Ritchie di Unix – il sistema operativo che attraverso la sua evoluzione in Linux è il più usato al mondo) non si può avere alcuna fiducia nel codice che non è stato completamente prodotto da sé stessi (o da persone assolutamente fidate).
Il punto chiave è nell’aggettivo “completamente”, che richiede un minimo di spiegazione per i non esperti. Il cosiddetto codice sorgente è quello scritto dai programmatori. Questo diventa codice eseguibile attraverso un processo di “compilazione”, cioè di traduzione, che viene realizzato da un altro programma, detto “compilatore”. Se questo è stato alterato, il fatto che il codice sorgente sia sicuro non garantisce che il codice eseguibile lo sia. È come quando parlate con uno straniero attraverso un interprete. Se non conoscete la lingua del vostro interlocutore straniero non avete alcuna garanzia, a meno che non vi fidiate completamente dell’interprete, che le vostre parole siano state riportate fedelmente. È uno dei motivi per cui gli interpreti negli incontri di alto livello sono persone di assoluta fiducia. A complicare la situazione, si aggiunge il fatto che la vera e propria esecuzione del codice eseguibile viene effettuata, nei dispositivi informatici, attraverso il cosiddetto “microcodice” memorizzato nei circuiti hardware del dispositivo stesso. Se non li avete realizzati voi, non potete fidarvi. Purtroppo in Italia (e in generale in Europa) una politica industriale che definire miope è un eufemismo, ha fatto sì che i grandi produttori mondiali di tali circuiti siano quasi tutti distribuiti tra gli USA e l’Est asiatico. E dovete possedere questo livello di fiducia per tutti i programmi disponibili sul dispositivo informatico che state usando e per tutti i programmi e sistemi che sono coinvolti nelle comunicazioni che avvengono tra il vostro dispositivo ed i punti di raccolta dei voti espressi elettronicamente.
Questo solo per rimanere sugli aspetti tecnologici. Ma un sistema elettorale non è solo tecnologia, sono processi e persone che li mettono in opera. Identificazione del votante, verifica del godimento del diritto di elettorato attivo, prevenzione della coercizione, sono solo alcuni degli aspetti non tecnologici la cui gestione in un sistema di voto elettronico è particolarmente delicata.
Il voto elettronico e il rischio cybercrime
È importante poi mettersi nei panni di un criminale informatico, per capire che ovviamente non ha alcun senso attaccare un sistema finché è in fase di sperimentazione o simulazione. Conviene aspettare che sia nella sua piena operatività, per poi lanciare l’attacco nel momento in cui il potenziale profitto è massimo. Quanto può valere l’alterazione di un’elezione politica generale in un Paese di 60 milioni di abitanti del livello di sviluppo e con la collocazione geopolitica dell’Italia?
Dulcis in fundo, il decreto più volte sottolinea l’importanza che il sistema di voto elettronico dovrà garantire «un’agevole comprensione e utilizzo da parte di tutti gli elettori, con informazioni chiare e trasparenti». Decenni di esperienza di interazione con sistemi informatici di tutti i tipi (e di conoscenza di come vengono sviluppati) mi danno la solida certezza che non si riusciranno ad assicurare tali condizioni.
Aggiungo infine quella che per me è la motivazione definitiva per non adottare sistemi di voto elettronico. La trasparenza e la comprensibilità da parte di tutti i cittadini del sistema elettorale, anche di quelli tecnologicamente impreparati, sono elementi assolutamente fondamentali ed irrinunciabili per la fiducia che i risultati finali esprimano davvero la volontà degli elettori e quindi per la tenuta della democrazia.
Con la scheda cartacea nell’urna il tutto è molto semplice, verificabile e comprensibile da chiunque. Con la tecnologia digitale di mezzo, bisogna affidarsi in modo assoluto ed irrimediabile agli “iniziati”.
Che succede se questi apprendisti stregoni sbagliano qualche “formula magica”?
Siamo ad un passaggio cruciale. Il futuro della nostra democrazia dipende dalle nostre scelte.
(I lettori interessati potranno dialogare con l’autore, a partire dal terzo giorno successivo alla pubblicazione, su questo blog interdisciplinare.)