|
Introduzione
- Da alcuni anni
si registra in Italia un crescente interesse per l’applicazione delle tecnologie
informatiche alle pratiche di voto, il cosiddetto e-voting. In molti paesi
l’e-voting è una realtà rilevante, seppur con differenze
sostanziali nelle modalità e nella diffusione.
- Sperimentazioni
su scala molto limitata, sia per funzionalità sia per ampiezza del
campione, sono state condotte nel nostro paese dal 2001: un’approfondita
analisi delle esperienze italiane in tema di democrazia elettronica è
fornita da Andrea De Martino
in [1].
- Da un punto
di vista architetturale e tecnologico, il termine e-voting raggruppa approcci
ben distinti alla modernizzazione del processo elettorale, che spaziano
dall’uso di sistemi per la lettura ottica della scheda cartacea, alle macchine
per voto assistito con registrazione diretta (direct-recording
eletronic – DRE), fino al voto elettronico
su rete pubblica (utilizzando l’Internet mondiale).
- Cercherò
di fornire in questo breve contributo un riassunto dello stato dell’arte
e delle prospettive future.
Tecnologie, problematiche
ed orientamenti
- I sistemi a
lettura ottica sono la naturale evoluzione del sistema a schede perforate
in uso in molti paesi dagli anni ’60 [2], e forniscono l’approccio
più graduale alla modernizzazione del processo elettorale.
- Il voto avviene
attreverso una scheda cartacea secondo procedure ben collaudate, mentre
lo scrutinio viene condotto con l’ausilio di lettori automatici, velocizzando
le procedure di spoglio ed assicurando un minore tasso di errore.
- Alcuni studiosi
come il Direttore del Dipartimento di Scienze Politiche del Massachusetts
Institute of Technology, prof. Charles Stewart, bollano pero’ come riduttivi
gli approcci basati sul voto tradizionale attraverso la scheda cartacea
(il “paper ballot”,
eventualmente assistito da una successiva lettura ottica) e propugnano
l’uso di macchine a registrazione diretta (DRE)
come soluzione in grado di ridurre il problema delle schede contestate
[3], velocizzando allo stesso tempo i tempi di spoglio (“Audits
ask humans to do something that computers are generally better at doing”
[4]) .
- Non si tratta
di voci inascoltate, visto che molti paesi utilizzano sistematicamente
le macchine DRE
per supportare i processi di voto.
- Parliamo di
realtà rilevanti, come il Brasile, dove dal 2000 la totalità
del voto avviene in maniera elettronica (400.000 macchine, a fronte di
116 milioni di iscritti al voto [5]), come la Germania, dove 2 milioni
di elettori hanno votato in maniera elettronica nel 2005 alle elezioni
per il Bundestag, come l’Olanda (90% dei voti raccolti con macchine DRE),
ed ovviamente gli Stati Uniti, dove il voto meccanizzato è utilizzato
da decenni. Le cose non sono così semplici come sembrano.
- Alla prova dei
fatti, nei molti paesi in cui sono stati condotti esperimenti di voto o
scrutinio elettronico è risultato che i benefici pratici dell’e-voting
sono stati spesso ottenuti a scapito delle caratteristiche fondamentali
di sicurezza ed affidabilità del voto tradizionale.
- Basti pensare
alle polemiche in corso negli Stati Uniti, dove le modalità d’implementazione
delle macchine DRE,
introdotte nel 2002 nell’ambito dell’Help
America Vote Act (HAVA),
sono pesantemente messe in discussione, o, su scala piu’ ridotta, alle
discussioni associate all’esperimento di conteggio elettronico dei voti
svolto in occasione delle elezioni parlamentari italiane del 2006 (si vedano
al riguardo il sito del Dipartimento per l’Innovazione e le Tecnologie
[6], le interrogazioni del Sen. Cortiana
[7] e dell’On. Magnolfi
[8] cosi’ come la risposta del Ministro Stanca
[8]).
- Le esperienze
fino ad ora compiute suggeriscono che il più grave limite all’attendibilità
delle macchine DRE
è la mancanza di una qualsiasi certificazione di sicurezza volta
a garantire la corrispondenza tra il voto espresso dall’elettore e quello
effettivamente conteggiato.
- Questa mancanza
è ancora più grave se si considera che nella maggior parte
delle macchine DRE
tutte le operazioni (sia di voto sia di conteggio) sono svolte in maniera
esclusivamente elettronica, senza una traccia cartacea che possa confermare
la corrispondenza tra il voto effettuato e quello effettivamente registrato.
- La mancanza
di una qualsiasi valutazione indipendente sulla sicurezza del sistema implica
quindi un rischio di errori o manomissioni nel software tali da risultare
in manipolazioni decisive dell’esito elettorale.
- Questo stesso
rilievo è stato fatto dal Government Accountability Office statunitense
[9], che sulla base dei problemi tecnici riscontrati con le macchine
DRE nelle elezioni del 2002 e del 2004 ha ribadito l’importanza di progettare,
costruire e testare tali macchine rispetto a standard ben definiti. In
particolare sono stati sottolineati i seguenti criteri:
- 1. assicurare
lo svolgimento delle necessarie attività di sicurezza, testing e
manutenzione.
- 2. Gestire le
risorse umane, i processi e la tecnologia come componenti del processo
complessivo.
- 3. Misurare
in maniera affidabile la prestazioni del sistema, attraverso dati oggettivi.
- 4. Assicurarsi
che il costo della tecnologia sia proporzionato ai benefici ottenuti.
- Sulla stessa
linea si è espressa l’ Association
for Computing Machinery (ACM),
che ha espresso nel 2004 le seguenti raccomandazioni [10]:
- 1. Che tutti
i sistemi di voto, e specialmente quelli informatici, siano congegnati
con attenzione, incorporando forti salvaguardie e verifiche rigorose sia
nel loro progetto che nella loro operazione;
- 2. che ogni
elettore sia messo in grado di verificare l’accuratezza della registrazione
del proprio voto attraverso una registrazione fisica (ad es. su carta),
fornendo altresì un controllo indipendente del risultato prodotto
e registrato dal sistema.
- Rendere tali
registrazioni permanenti (ad es. non basandosi esclusivamente sulla memoria
del computer) fornisce un metodo per condurre una accurata riconta dei
voti.
- Il National
Institute of Standards and Technology (NIST),
investito dall’Help America Vote Act
di un ruolo di guida nell’ambito delle tecnologie di voto elettronico,
ha sviluppato alcune conclusioni preliminari in un rapporto pubblicato
alla fine del 2006 [11] che indirizzeranno le modalità di
svolgimento delle elezioni presidenziali del 2008.
- La conclusione
più rilevante riguarda l’impraticabilità degli approcci al
voto elettronico basati esclusivamente sul software e la necessità
di basare il voto su soluzioni software-independent, tali da evitare che
modifiche o errori del software possano sfociare in alterazioni non rilevate
dell’esito elettorale.
- La scelta del
NIST deriva dall’oggettiva
difficoltà di verificare la correttezza del software delle macchine
per il voto, dovuta all’impossibilità di poter fornire la prova
matematica dell’assenza d’errori o di malicious code, indipendente dal
rigore con il quale il codice è stato sviluppato, ed al fatto che
spesso le macchine per il voto sono basate su sistemi operativi commercial-off-the-shelf
assai complessi (come ad es. Microsoft Windows CE o Embedded XP).
- Un esempio di
sistema di voto software-independent compatibile con le tecnologie odierne
è il Voter Verified Paper Ballot
(VVPB), concepito
da Rebecca Mercuri,
in cui l’elettore esprime il suo voto attraverso una macchina DRE
modificata in modo da produrre una copia cartacea del proprio voto.
- Tale copia cartacea,
visibile dal votante attraverso uno schemo di vetro e quindi inaccessibile,
consente di verificare la corrispondenza tra quanto votato e quanto registrato
dalla macchina.
- Allo stesso
tempo consente di conservare le schede votate in un urna all’interno della
macchina, per le successive verifiche che dovessero rendersi necessarie.
- È dunque
verosimile pensare che entro il prossimo biennio possa essere sviluppata
una nuova generazione di macchine per il voto in grado di assicurare un
più elevato livello d’affidabilità non solo tecnologica,
ma anche democratica.
- Allo stesso
tempo è evidente come la tanto desiderata definizione assoluta di
una “macchina logica per un voto inconfutabile” sia ancora lontana nel
tempo.
- Per quanto riguarda
la votazione via Internet, menzionata brevemente nell’introduzione, vale
la pena di ricordare l’esperienza dell’Estonia nelle elezioni locali del
2005.
- In quella occasione
una percentuale dell’1.8% dei votanti ha deciso di avvalersi del voto via
Internet, usando la carta di identità elettronica e la infrastruttura
nazionale a chiave pubblica per l’autenticazione e la firma digitale.
- L’esperienza
è stata giudicata soddisfacente dagli esponenti governativi e sarà
ripetuta in occasione delle elezioni parlamentari del 2007.
- Restano però
immutati i rischi espressi da autorevoli studiosi [12] sulla sicurezza
del voto tramite Internet.
- Rischi d’entità
tale da suggerire al Dipartimento della Difesa statunitense la cancellazione
del progetto SERVE
volto a supportare il voto attraverso la rete dei militari americani, indipendentemente
dalla loro sede di servizio (un investimento di 22 milioni di dollari).
- Ad oggi, la
posizione prevalente degli studiosi nel campo della sicurezza informatica
è che l’Internet che conosciamo ed usiamo ogni giorno è inadeguata
per fornire i livelli d’affidabilità e sicurezza previsti dalle
Costituzioni e dalle norme elettorali.
Ed in Italia?
- Quali considerazioni
si possono formulare relativamente ad una possibile introduzione di un
sistema di e-voting nel nostro paese?
- Una prima considerazione
riguarda l’essenzialità della definizione di una strategia a lungo
termine come prerequisito per lo sviluppo dell’architettura tecnologica
per il voto elettronico.
- Secondo un recente
rapporto [13], gli Stati Uniti hanno speso dal 2002 ad oggi l’astronomica
cifra di 3.8 miliardi di dollari, al di fuori di una strategia d’insieme
e senza raggiungere l’obiettivo di assicurare un processo di voto accurato,
tempestivo e sicuro.
- Questa mancanza
di pianificazione ha portato all’implementazione di sistemi non testati
e controversi, privi della possibilità di introdurre miglioramenti
incrementali in una fase successiva. Sarebbe importante imparare dagli
errori altrui per giungere in tempi brevi ad una soluzione matura.
- Una seconda
considerazione riguarda il ruolo delle caratteristiche di affidabilità,
sicurezza e verificabilità del voto come requisito essenziale del
processo democratico.
- Aspetti quali
l’accuratezza dei risultati e l’attendibilità del processo complessivo
non possono essere subordinati, e devono dunque rimanere prioritari, rispetto
ad altri aspetti quali la riduzione dei tempi richiesti per il conteggio
dei voti.
- Una terza considerazione
riguarda la fondamentale importanza di mantenere un dialogo vivo e proficuo
tra comunità scientifica e governi, volto alla definizione di soluzioni
di voto elettronico basate su standard aperti e verificabili. In questo
il “modello Internet” può avere molto da insegnare.
Bibliografia
- [1] De
Martino, A., “Le
esperienze italiane in tema di democrazia elettronica”, Instrumenta,
N. 25, Gennaio - Aprile 2005
- [2] Bellis,
M., “The
History of Voting Machines”. About.com.
- [3] “The
2006 Elections: Are We Ready?”
- [4] Campos,
C., “Voter
Paper Trail Not an Easy Path”, Atlanta Journal-Constitution" 22/12/2006
- [5] “Elezioni
in Brasile”
- [6] “Rilevazione
informatizzata dello scrutinio Elezioni Politiche 9-10 aprile 2006”
- [7] Cortiana
F., Interrogazione
a Risposta Scritta 4-10195, XIV Legislatura, Senato della Repubblica, 10
Febbraio 2006
- [8] Magnolfi
B., Interrogazione
a risposta scritta 4-19957, XIV Legislatura, Camera dei Deputati, 10 Febbraio
2006
- [9] Government
Accountability Office, “Electronic
Voting Offers Opportunities and Presents Challenges”
- [10]
http://www.acm.org/usacm/Issues/EVoting.htm
- [11]
"Requiring
Software Independence in VVSG 2007: STS Recommendations for the TGDC"
- [12]
Jefferson, D., Rubin, A. D., Simons, B., and Wagner, D. 2004. Analyzing
internet voting security. Commun. ACM 47, 10 (Oct. 2004), 59-64.
- [13] “Improving
Voting System Investment, Credibility, and Transparency”, IDC GI204404,
November 2006
|
