Voto elettronico: modalità attuative e misure tecniche per la sicurezza della web application
Il 9 luglio 2021 il Ministro dell’Interno ha adottato un decreto che individua le modalità attuative della sperimentazione per l’espressione del voto in via digitale. Analizziamone il contenuto e le misure tecniche adottate per la sicurezza informatica della procedura
L’articolo 1, comma 627, della legge 160/2019 (manovra per il 2020), ha istituito un fondo da un milione di euro presso il ministero dell’Interno per il voto elettronico, «allo scopo di introdurre in via sperimentale modalità di espressione del voto in via digitale per le elezioni politiche ed europee e per i referendum previsti dagli articoli 75 e 138 della Costituzione».
Il provvedimento del 9 luglio approva le “Linee guida per la sperimentazione di modalità di espressione del voto in via digitale per le elezioni politiche ed europee e per i referendum previsti dagli articoli 75 e 138 della Costituzione limitata a modelli che garantiscano il concreto esercizio del diritto di voto degli italiani all’estero e degli elettori che, per motivi di lavoro, studio o cure mediche, si trovino in un comune di una regione diversa da quella del comune nelle cui liste elettorali risultano iscritti”.
Voto elettronico: le fasi della sperimentazione
Non è la prima, e probabilmente non sarà l’ultima, sperimentazione di voto elettronico in Italia, ma questa si differenzia dalle altre perché introduce l’espressione di voto elettronico a distanza attraverso la Rete.
Per cui, alle politiche, alle europee e ai referendum si sperimenterà il voto elettronico a distanza per i fuorisede. Dunque, il diritto di voto per chi è temporaneamente domiciliato fuori dal comune di residenza, senza dover tornare a casa per votare. Una sperimentazione che riguarda una platea di almeno 7,5 milioni di italiani (secondo l’Istat i fuorisede sono circa 3 milioni e gli elettori italiani all’estero sono 4.5 milioni) a cui aggiungere i temporanei.
Il documento prevede, prudentemente, una gradualità della sperimentazione, con una prima fase di simulazione del voto e dello scrutinio elettronico priva di valore legale, che coinvolgerà un campione significativo di elettori, in linea con la raccomandazione del Comitato dei Ministri del Consiglio d’Europa CM/Rec(2017)5 (14/06/2017) sugli standard relativi al voto elettronico, al fine di verificare il corretto funzionamento del sistema di voto e di scrutinio elettronico, il suo impatto sul corpo elettorale e il rapporto tra costi effettivi e benefici, e procedere all’avvio della sperimentazione dell’utilizzo del sistema di voto elettronico in un evento elettorale.
La simulazione del voto elettronico a distanza riproduce tutte le fasi e i momenti di un evento elettorale reale. All’esito positivo della fase di simulazione, si procederà alla sperimentazione dell’utilizzo del sistema di voto elettronico in un evento elettorale, avente valore legale.
Infatti, nella seconda fase il voto elettronico costituirà una modalità alternativa al sistema di voto tradizionale. Gli elettori potranno scegliere anticipatamente rispetto alla data fissata per la tornata elettorale, entro un termine prefissato, con quale modalità esercitare il proprio diritto di voto. In caso di mancato esercizio dell’opzione, resta ferma per l’elettore la possibilità di votare in presenza presso l’Ufficio elettorale della sezione di iscrizione nelle liste elettorali o per corrispondenza per gli elettori residenti all’estero.
Aspetti tecnico-organizzativi del voto elettronico
Prima di analizzare alcuni aspetti tecnico-organizzativi ricordiamo che il voto, ai sensi dell’art 48 della Costituzione Italiana, è personale ed eguale, libero e segreto.
Il decreto, composto di sei articoli con le relative linee guida allegate, individua le modalità attuative per l’utilizzo del Fondo per le elezioni politiche ed europee e per i referendum e delinea, a grandi linee, le procedure e le tecniche che consentiranno la simulazione, e la successiva sperimentazione, del voto elettronico. Anche se il provvedimento non indica dettagliatamente le modalità operative, le tecnologie utilizzate e i criteri organizzativi adottati, ma si limita a dettare alcuni requisiti di massima, si rilevano alcune criticità che potrebbero inficiare il risultato auspicato.
All’art 3 “Votazione elettronica a distanza e autenticazione dell’elettore” del Decreto è previsto che, nella fase di simulazione e in quella successiva di sperimentazione (in conformità a quanto previsto dalle Linee guida), il voto verrà espresso mediante una web application, a cui l’elettore potrà accedere con qualsiasi dispositivo digitale collegato alla rete internet e dotato di uno dei browser più diffusi, ovvero mediante l’utilizzo di apposite postazioni elettroniche ubicate al di fuori dei locali adibiti ad Ufficio elettorale di sezione.
L’elettore che vuole aderire alla simulazione o sperimentazione dovrà presentare un’istanza con una delle modalità previste dall’articolo 65, comma 1, del decreto legislativo 7 marzo 2005, n. 82 (CAD), ovvero presso gli sportelli dell’Ufficio elettorale comunale della sezione di iscrizione nelle liste elettorali. L’istanza costituisce il presupposto per la verifica, anche con modalità automatizzate, del godimento del diritto di elettorato attivo. A seguito di tale verifica, viene generato un “attributo qualificato” attestante il diritto di voto che, associato all’identità digitale del cittadino, consente l’espressione del voto.
Gli elettori, nella fase di simulazione e in quella successiva di sperimentazione, sono identificati dal sistema di voto elettronico mediante l’identità digitale di cui all’articolo 64, comma 2-quater del medesimo decreto legislativo n. 82 del 2005 (CAD), con livello di sicurezza almeno significativo. L’associazione tra l’attributo e l’identità digitale dell’elettore costituisce fattore abilitante per votare elettronicamente.
Vulnerabilità della web application e misure di sicurezza
Una lettura veloce delle previsioni indicate all’art. 3 indicano alcune potenziali vulnerabilità che potrebbero creare non pochi problemi alla riuscita della simulazione e della successiva sperimentazione.
Nel testo è esplicitato che “il voto è espresso mediante una web application, a cui l’elettore può accedere con qualsiasi dispositivo digitale collegato alla rete internet e dotato di uno dei browser più diffusi”.
Questa previsione sposa indubbiamente i requisiti di usabilità e accessibilità previsti per legge, ma sottintende che il sistema di voto elettronico, almeno lato client, non preveda alcuna misura di sicurezza aggiuntiva rispetto a quelle già previste dai comuni browser (p.e. protocolli HTTPS over TLS) e, pertanto, lo esporrebbe ai rischi compresi in tutta la famiglia di attacchi al client, soprattutto se non è aggiornato, o al canale di trasmissione, con l’eventualità che il voto possa essere intercettato, registrato e manipolato da agenti malevoli.
Inoltre, in considerazione dell’impiego di un sistema di autenticazione basato sull’identità dell’elettore, se il terminale o il canale di comunicazione fosse compromesso, si potrebbe facilmente ottenere l’associazione elettore-voto.
Non si è tenuto contro delle raccomandazioni europee e dell’Enisa
Per quanto riguarda le misure di sicurezza adottate in fase di progettazione è stabilito (art. 6) genericamente che il sistema verrà “sviluppato nel rispetto delle linee guida dell’Agenzia per l’Italia Digitale (AgID) per lo sviluppo di software sicuro e delle disposizioni in materia di sicurezza cibernetica”, escludendo le Raccomandazione elaborate dal Consiglio d’Europa sulle norme relative al voto elettronico e quelle provenite dall’Enisa (Agenzia Europa della Cybersecurity).
In merito all’autenticazione è indicato, inoltre, che gli elettori sono identificati dal sistema di voto elettronico mediante l’identità digitale di cui all’articolo 64, comma 2-quater del medesimo decreto legislativo n. 82 del 2005 (CAD), con livello di sicurezza almeno significativo. Ciò implica che la verifica dell’identità dell’elettore è affidata esclusivamente a meccanismi di autenticazione digitale, in assenza di verifica da parte dell’Ufficio Elettorale, che potrebbero consentire casi di sostituzione di persona o furti di identità digitale con conseguente alterazione dell’espressione del voto.
La debolezza intrinseca del voto elettronico: i computer dei votanti
Una debolezza intrinseca di un sistema di voto elettronico è data proprio dall’utilizzo dei computer personali dei votanti. Il terminale dell’elettore (client) è infatti uno dei problemi più grandi in termini di sicurezza, in quanto spesso viene protetto in modo inadeguato dalle più comuni minacce informatiche.
Inoltre, è ormai opinione comune che “il fattore umano è sempre l’anello debole della cyber security”. Chi esprime il voto deve essere consapevole delle minacce alla sicurezza del proprio dispositivo, trasformandosi in un vero e proprio “firewall umano”.
Quindi, l’accesso ad un dispositivo sicuro ed affidabile grazie ad un comportamento virtuoso in materia di sicurezza informatica è l’unica opzione credibile per poter ottenere risultati certi derivanti da elezioni tenutesi con sistemi elettronici.
Come viene garantita la segretezza del voto elettronico
Nel successivo art. 4 “Modalità di esercizio del voto elettronico” è citato espressamente “Il rispetto della segretezza del voto espresso costituisce un presupposto imprescindibile di tutte le fasi della votazione elettronica.”
Al comma 4, infatti, è indicato che “il voto espresso non deve essere riconducibile all’elettore. A tal fine, il sistema garantisce che le informazioni sui votanti vengano separate da quelle sui voti espressi. Tali informazioni vengono digitalmente “sigillate” e rimangono del tutto indipendenti e separate. I voti sono e rimangono anonimi.”
Al comma 7 spicca un altro elemento innovativo rispetto al sistema di voto tradizionale: “La procedura non consente espressioni di voto nullo ai sensi delle norme vigenti.”
Al successivo comma 8 è scritto che “l’elettore è posto nella condizione di verificare, tramite lo schermo del proprio dispositivo, che il voto espresso è quello corrispondente alla sua volontà. Tale voto, a seguito della conferma definitiva da parte dell’elettore, è acquisito dal sistema e “sigillato” con idonee modalità tecnico informatiche, pervenendo all’urna elettronica nel sistema di voto elettronico senza alterazioni. L’elettore riceve conferma dal sistema che il voto è stato registrato e che la procedura è stata completata e, in ogni caso, è posto nelle condizioni di verificare che il voto elettronico è giunto nell’urna elettronica del sistema di voto elettronico. La tecnologia utilizzata consente di rilevare, in ogni fase del procedimento di voto elettronico, eventuali alterazioni e influenze indebite.”
La lettura dell’art. 4 evidenzia che l’elettore riceverà sul proprio dispositivo una conferma che il voto è stato registrato (non ovviamente la prova del contenuto) e, inoltre, è posto nelle condizioni di verificare che il voto elettronico è giunto nell’urna elettronica del sistema di voto elettronico indicando implicitamente che l’elettore possa interagire con il sistema di voto, anche dopo la votazione, per verificare che il proprio voto non sia andato perso o alterato.
I limiti tecnici e tecnologici del voto elettronico
Nel testo non si fa alcun riferimento al tipo di cifratura che sarà adoperata per il cosiddetto “sigillo” del voto e dove verrà applicato (calcolato). I passaggi indicati, fondamentali per la tutela delle garanzie degli elettori, devono essere trasparenti e verificabili prima, durante e dopo le votazioni, perché, come ci insegna la storia recente degli incidenti informatici, le grosse organizzazioni criminali sono in grado di esfiltrare e aggregare i dati, anche grazie alle potenzialità offerte dalle tecnologie utilizzate per la manipolazione dei big data come l’artificial intelligence e il machine learning, per condizionare l’opinione pubblica.
Da questo punto di vista le previsioni contenute nell’art. 5 “Garanzie del sistema” forse dovrebbero essere più chiare ed esplicite e, soprattutto, indicare i requisiti funzionali e non funzionali specifici della procedura elettorale.
Infatti, sono apprezzabili i riferimenti all’adozione di “standard aperti”, alla trasparenza del “codice sorgente”, al trattamento “in linea con le disposizioni in materia di protezione dei dati personali”, ma non sono sufficienti a garantire le peculiarità specifiche di un sistema di voto elettronico individuate dalla letteratura scientifica di seguito indicati:
- Idoneità: solo gli elettori che hanno diritto al voto possono partecipare al voto, attraverso un processo sicuro di autenticazione.
- Unicità: gli elettori idonei possono votare solo una volta.
- Segretezza: il voto è segreto, e nessuno dei soggetti coinvolti nella procedura elettorale, può scoprire il voto di un elettore o collegare il voto all’elettore.
- Verificabilità universale: qualunque soggetto, compreso un osservatore passivo, può verificare che il risultato dell’elezione è corretto.
- Verificabilità individuale (alternativa alla precedente): l’elettore è in grado di verificare che il proprio voto è stato conteggiato correttamente.
- Inclonabilità: per nessun soggetto coinvolto nel sistema deve essere possibile, a partire da un voto lecitamente immesso nel sistema, forgiare un nuovo voto che appare come valido.
- Fairness: non deve essere possibile avere informazioni parziali sul risultato del voto prima del conteggio ufficiale.
- Incoercibilità: il sistema deve contrastare la possibilità della coercizione che un avversario potrebbe esercitare su un elettore al fine di imporre un determinato voto o inibirlo.
- Scalabilità ed Affidabilità: il sistema deve assicurare un funzionamento efficiente anche in caso di elevato numero di partecipanti e deve assicurare il servizio anche in caso di guasti.
- Robustezza: tutte le proprietà di sicurezza devono permanere anche in caso di comportamenti malevoli dei soggetti coinvolti, anche basati su collusione di ragionevole dimensione.
Nessuno dei requisiti elencati è facile da raggiungere, alcuni appaiono in contraddizione tra loro, però possono essere soddisfatti congiuntamente. La via elettiva che la letteratura scientifica ha sino ad ora seguito è quella dei protocolli crittografici.
Il rischio di esporre il sistema alla scalabilità degli attacchi
Nel successivo art. 6 “Trasparenza e controlli” non sono indicati la consistenza e i criteri con cui verrà individuato il personale autorizzato a gestire ed accedere al sistema di voto. E, soprattutto, chi saranno i soggetti preposti al controllo durante l’intero ciclo di voto.
Inoltre, si deduce che l’infrastruttura sarà centralizzata. Ciò si traduce, dal punto di vista strettamente organizzativo, nella sparizione di quel controllo distribuito e capillare, al giorno d’oggi effettuato dai componenti dei seggi elettorali, che rende di fatto robusto e resistente il sistema dei controlli ad eventuali brogli elettorali.
Dal punto di vista della sicurezza informatica, la centralità espone il sistema alla scalabilità degli attacchi in quanto, se si riesce a compromettere il sistema di voto, si pregiudica l’intera procedura elettorale.
Per esempio, in caso di brogli, con un voto elettronico completamente centralizzato potrebbe essere impossibile individuare la sezione in cui è stata commessa un’irregolarità e questo comporterebbe l’annullamento dell’intera elezione, trasformando un singolo broglio in uno strumento per bloccare tutto il processo democratico.
Conclusioni
L’avvio di una sperimentazione di modalità di espressione del voto in via digitale è figlia dei tempi. Non esiste un sistema di voto perfetto, sia esso in formato analogico che digitale. Il compito di chi gestisce il complesso sistema elettorale consiste nel trovare un punto di equilibrio tra i diritti degli elettori e le garanzie costituzioni nell’alveo tracciato dalla normativa vigente.
Nel sentire comune vi è una convinzione ampiamente condivisa e prevalente circa l’esigenza di automatizzare, con il supporto di tecnologie informatiche, operazioni che, con l’attuale sistema, sono esposte ad un altissimo rischio di errore e manipolazione. Ad ogni elezione, le polemiche ricorrenti e fondate sulle irregolarità e contraddizioni riscontrate nei verbali degli uffici di sezione, che trattano dati posti esclusivamente su supporto cartaceo, confermano l’impressione che, con le attuali procedure, non è possibile garantire un completo e assoluto controllo sulle operazioni di voto.
D’altra parte, è sempre meno fondato il timore circa la presunta “complessità” di un sistema di voto elettronico, che, sino ad oggi, ha impedito l’introduzione nel nostro ordinamento delle procedure di voto in uso in molti paesi democratici.
Al contrario, un sistema elettronico sarebbe determinante proprio per semplificare e rendere immediatamente comprensibile agli elettori le modalità di voto, e per ridurre margini di errore e di invalidazione: basti pensare al fatto che la semplice sostituzione della scheda cartacea con una digitale consentirebbe di “guidare” gli elettori nei diversi passaggi, e di offrire loro la possibilità di una immediata verifica delle operazioni compiute.
Ancora più evidenti sono i vantaggi che conseguirebbero dall’introduzione di un sistema di scrutinio completamente elettronico, che affiderebbe ai componenti degli uffici di sezione il compito, loro proprio, di vigilare sulla correttezza delle procedure di voto, senza obbligarli a sostituirsi, nel “trattamento” e nel “conteggio” delle informazioni, ad elaboratori più rapidi, precisi e affidabili.
Il tentativo che si sta cercando di avviare è lodevole, ma, in considerazione dell’importanza che riveste il voto per la tutela della democrazia, è necessario alzare l’asticella delle misure di sicurezza e implementare sistemi di controllo indipendenti e trasparenti. Prima della messa in funzione del sistema di votazione elettronica occorrerà verificarne il corretto funzionamento attraverso la collaborazione tra l’AgID e le Autorità preposte alla sicurezza cibernetica nazionale, ma non basta (forse è opportuno estendere la platea includendo i centri di ricerca e le università).
Il sistema dovrebbe poter essere verificato da chiunque ne abbia diritto. Il controllo dovrà avere per oggetto la valutazione della corretta funzionalità di ogni componente del sistema e assicurare il rispetto degli standard di processo e di sistema, nonché i livelli essenziali delle prestazioni come individuati anche nelle Linee guida.
Forse in alcuni casi, vedasi il voto degli italiani all’estero realizzato attraverso il servizio postale, l’introduzione del voto elettronico a distanza potrebbe essere più sicuro del sistema attuale. Ma occorre prevedere meccanismi di sicurezza e, soprattutto, di verifica robusti, ridondanti e indipendenti, agli attacchi cyber e umani.
A riguardo, non è chiaro quali meccanismi di controllo saranno adottati. Tale aspetto non è banale, anche perché, a parere dello scrivente, affinché la sperimentazione abbia successo, e sia accettata, deve conquistare la fiducia degli elettori. Per cui è auspicabile che ogni elettore sia messo nelle condizioni di verificare, con le proprie conoscenze, il funzionamento e la correttezza del sistema di voto e accetti il cambiamento.
Il voto tramite internet è una soluzione che presenta diverse vulnerabilità in termini di sicurezza e viene considerato da molti un azzardo, in quanto la tecnologia attuale non offre ancora sistemi che soddisfino tutti i requisiti necessari per votazioni qualificate e certificate.
Nonostante ciò, il Garante europeo della protezione dei dati personali consiglia di non considerare gli aspetti negativi dell’internet voting in materia di sicurezza informatica e protezione dei dati personali come limiti invalicabili al progresso di questo sistema di voto, ma come strumento per riuscire a “fare un passo in avanti in chiave di democrazia elettronica”, anche se il percorso per raggiungere lo stato dell’arte in materia è ancora lungo.
Si auspica che tutte le criticità citate trovino una soluzione durante la stesura dei capitolati e dei progetti esecutivi di sviluppo e che siano coinvolti i centri di ricerca sulla cyber security.