Inter-net-voting

E-voting: il punto della situazione

Alessandro Berni

<alessandro.berni(at)isoc.it> <bio>

Versione 1.0, 2/1/2007

[versione pdf]

Introduzione

  • Da alcuni anni si registra in Italia un crescente interesse per l’applicazione delle tecnologie informatiche alle pratiche di voto, il cosiddetto e-voting. In molti paesi l’e-voting è una realtà rilevante, seppur con differenze sostanziali nelle modalità e nella diffusione.
  • Sperimentazioni su scala molto limitata, sia per funzionalità sia per ampiezza del campione, sono state condotte nel nostro paese dal 2001: un’approfondita analisi delle esperienze italiane in tema di democrazia elettronica è fornita da Andrea De Martino in [1].
  • Da un punto di vista architetturale e tecnologico, il termine e-voting raggruppa approcci ben distinti alla modernizzazione del processo elettorale, che spaziano dall’uso di sistemi per la lettura ottica della scheda cartacea, alle macchine per voto assistito con registrazione diretta (direct-recording eletronic – DRE), fino al voto elettronico su rete pubblica (utilizzando l’Internet mondiale).
  • Cercherò di fornire in questo breve contributo un riassunto dello stato dell’arte e delle prospettive future.

Tecnologie, problematiche ed orientamenti

  • I sistemi a lettura ottica sono la naturale evoluzione del sistema a schede perforate in uso in molti paesi dagli anni ’60 [2], e forniscono l’approccio più graduale alla modernizzazione del processo elettorale.
  • Il voto avviene attreverso una scheda cartacea secondo procedure ben collaudate, mentre lo scrutinio viene condotto con l’ausilio di lettori automatici, velocizzando le procedure di spoglio ed assicurando un minore tasso di errore.
  • Alcuni studiosi come il Direttore del Dipartimento di Scienze Politiche del Massachusetts Institute of Technology, prof. Charles Stewart, bollano pero’ come riduttivi gli approcci basati sul voto tradizionale attraverso la scheda cartacea (il “paper ballot”, eventualmente assistito da una successiva lettura ottica) e propugnano l’uso di macchine a registrazione diretta (DRE) come soluzione in grado di ridurre il problema delle schede contestate [3], velocizzando allo stesso tempo i tempi di spoglio (“Audits ask humans to do something that computers are generally better at doing[4]) .
  • Non si tratta di voci inascoltate, visto che molti paesi utilizzano sistematicamente le macchine DRE per supportare i processi di voto.
  • Parliamo di realtà rilevanti, come il Brasile, dove dal 2000 la totalità del voto avviene in maniera elettronica (400.000 macchine, a fronte di 116 milioni di iscritti al voto [5]), come la Germania, dove 2 milioni di elettori hanno votato in maniera elettronica nel 2005 alle elezioni per il Bundestag, come l’Olanda (90% dei voti raccolti con macchine DRE), ed ovviamente gli Stati Uniti, dove il voto meccanizzato è utilizzato da decenni. Le cose non sono così semplici come sembrano.
  • Alla prova dei fatti, nei molti paesi in cui sono stati condotti esperimenti di voto o scrutinio elettronico è risultato che i benefici pratici dell’e-voting sono stati spesso ottenuti a scapito delle caratteristiche fondamentali di sicurezza ed affidabilità del voto tradizionale.
  • Basti pensare alle polemiche in corso negli Stati Uniti, dove le modalità d’implementazione delle macchine DRE, introdotte nel 2002 nell’ambito dell’Help America Vote Act (HAVA), sono pesantemente messe in discussione, o, su scala piu’ ridotta, alle discussioni associate all’esperimento di conteggio elettronico dei voti svolto in occasione delle elezioni parlamentari italiane del 2006 (si vedano al riguardo il sito del Dipartimento per l’Innovazione e le Tecnologie [6], le interrogazioni del Sen. Cortiana [7] e dell’On. Magnolfi [8] cosi’ come la risposta del Ministro Stanca [8]).
  • Le esperienze fino ad ora compiute suggeriscono che il più grave limite all’attendibilità delle macchine DRE è la mancanza di una qualsiasi certificazione di sicurezza volta a garantire la corrispondenza tra il voto espresso dall’elettore e quello effettivamente conteggiato.
  • Questa mancanza è ancora più grave se si considera che nella maggior parte delle macchine DRE tutte le operazioni (sia di voto sia di conteggio) sono svolte in maniera esclusivamente elettronica, senza una traccia cartacea che possa confermare la corrispondenza tra il voto effettuato e quello effettivamente registrato.
  • La mancanza di una qualsiasi valutazione indipendente sulla sicurezza del sistema implica quindi un rischio di errori o manomissioni nel software tali da risultare in manipolazioni decisive dell’esito elettorale.
  • Questo stesso rilievo è stato fatto dal Government Accountability Office statunitense [9], che sulla base dei problemi tecnici riscontrati con le macchine DRE nelle elezioni del 2002 e del 2004 ha ribadito l’importanza di progettare, costruire e testare tali macchine rispetto a standard ben definiti. In particolare sono stati sottolineati i seguenti criteri:
    • 1. assicurare lo svolgimento delle necessarie attività di sicurezza, testing e manutenzione.
    • 2. Gestire le risorse umane, i processi e la tecnologia come componenti del processo complessivo.
    • 3. Misurare in maniera affidabile la prestazioni del sistema, attraverso dati oggettivi.
    • 4. Assicurarsi che il costo della tecnologia sia proporzionato ai benefici ottenuti.
  • Sulla stessa linea si è espressa l’ Association for Computing Machinery (ACM), che ha espresso nel 2004 le seguenti raccomandazioni [10]:
    • 1. Che tutti i sistemi di voto, e specialmente quelli informatici, siano congegnati con attenzione, incorporando forti salvaguardie e verifiche rigorose sia nel loro progetto che nella loro operazione;
    • 2. che ogni elettore sia messo in grado di verificare l’accuratezza della registrazione del proprio voto attraverso una registrazione fisica (ad es. su carta), fornendo altresì un controllo indipendente del risultato prodotto e registrato dal sistema.
    • Rendere tali registrazioni permanenti (ad es. non basandosi esclusivamente sulla memoria del computer) fornisce un metodo per condurre una accurata riconta dei voti.
  • Il National Institute of Standards and Technology (NIST), investito dall’Help America Vote Act di un ruolo di guida nell’ambito delle tecnologie di voto elettronico, ha sviluppato alcune conclusioni preliminari in un rapporto pubblicato alla fine del 2006 [11] che indirizzeranno le modalità di svolgimento delle elezioni presidenziali del 2008.
  • La conclusione più rilevante riguarda l’impraticabilità degli approcci al voto elettronico basati esclusivamente sul software e la necessità di basare il voto su soluzioni software-independent, tali da evitare che modifiche o errori del software possano sfociare in alterazioni non rilevate dell’esito elettorale.
  • La scelta del NIST deriva dall’oggettiva difficoltà di verificare la correttezza del software delle macchine per il voto, dovuta all’impossibilità di poter fornire la prova matematica dell’assenza d’errori o di malicious code, indipendente dal rigore con il quale il codice è stato sviluppato, ed al fatto che spesso le macchine per il voto sono basate su sistemi operativi commercial-off-the-shelf assai complessi (come ad es. Microsoft Windows CE o Embedded XP).
  • Un esempio di sistema di voto software-independent compatibile con le tecnologie odierne è il Voter Verified Paper Ballot (VVPB), concepito da Rebecca Mercuri, in cui l’elettore esprime il suo voto attraverso una macchina DRE modificata in modo da produrre una copia cartacea del proprio voto.
  • Tale copia cartacea, visibile dal votante attraverso uno schemo di vetro e quindi inaccessibile, consente di verificare la corrispondenza tra quanto votato e quanto registrato dalla macchina.
  • Allo stesso tempo consente di conservare le schede votate in un urna all’interno della macchina, per le successive verifiche che dovessero rendersi necessarie.
  • È dunque verosimile pensare che entro il prossimo biennio possa essere sviluppata una nuova generazione di macchine per il voto in grado di assicurare un più elevato livello d’affidabilità non solo tecnologica, ma anche democratica.
  • Allo stesso tempo è evidente come la tanto desiderata definizione assoluta di una “macchina logica per un voto inconfutabile” sia ancora lontana nel tempo.
  • Per quanto riguarda la votazione via Internet, menzionata brevemente nell’introduzione, vale la pena di ricordare l’esperienza dell’Estonia nelle elezioni locali del 2005.
  • In quella occasione una percentuale dell’1.8% dei votanti ha deciso di avvalersi del voto via Internet, usando la carta di identità elettronica e la infrastruttura nazionale a chiave pubblica per l’autenticazione e la firma digitale.
  • L’esperienza è stata giudicata soddisfacente dagli esponenti governativi e sarà ripetuta in occasione delle elezioni parlamentari del 2007.
  • Restano però immutati i rischi espressi da autorevoli studiosi [12] sulla sicurezza del voto tramite Internet.
  • Rischi d’entità tale da suggerire al Dipartimento della Difesa statunitense la cancellazione del progetto SERVE volto a supportare il voto attraverso la rete dei militari americani, indipendentemente dalla loro sede di servizio (un investimento di 22 milioni di dollari).
  • Ad oggi, la posizione prevalente degli studiosi nel campo della sicurezza informatica è che l’Internet che conosciamo ed usiamo ogni giorno è inadeguata per fornire i livelli d’affidabilità e sicurezza previsti dalle Costituzioni e dalle norme elettorali.

Ed in Italia?

  • Quali considerazioni si possono formulare relativamente ad una possibile introduzione di un sistema di e-voting nel nostro paese?
  • Una prima considerazione riguarda l’essenzialità della definizione di una strategia a lungo termine come prerequisito per lo sviluppo dell’architettura tecnologica per il voto elettronico.
  • Secondo un recente rapporto [13], gli Stati Uniti hanno speso dal 2002 ad oggi l’astronomica cifra di 3.8 miliardi di dollari, al di fuori di una strategia d’insieme e senza raggiungere l’obiettivo di assicurare un processo di voto accurato, tempestivo e sicuro.
  • Questa mancanza di pianificazione ha portato all’implementazione di sistemi non testati e controversi, privi della possibilità di introdurre miglioramenti incrementali in una fase successiva. Sarebbe importante imparare dagli errori altrui per giungere in tempi brevi ad una soluzione matura.
  • Una seconda considerazione riguarda il ruolo delle caratteristiche di affidabilità, sicurezza e verificabilità del voto come requisito essenziale del processo democratico.
  • Aspetti quali l’accuratezza dei risultati e l’attendibilità del processo complessivo non possono essere subordinati, e devono dunque rimanere prioritari, rispetto ad altri aspetti quali la riduzione dei tempi richiesti per il conteggio dei voti.
  • Una terza considerazione riguarda la fondamentale importanza di mantenere un dialogo vivo e proficuo tra comunità scientifica e governi, volto alla definizione di soluzioni di voto elettronico basate su standard aperti e verificabili. In questo il “modello Internet” può avere molto da insegnare.

Bibliografia

Index

Inter-net-voting
Sociologia
cctld.it
Il punto Berni 1.0