Il comitato “quantistico” sul voto elettronico

di Enrico Nardelli

Una recente inchiesta ha gettato uno squarcio di luce su una vicenda particolarmente importante per la democrazia. L’articolo illustra con dovizia di particolari l’esistenza di un comitato/non-comitato (da cui il titolo di questo post) del governo italiano che sta lavorando sul voto elettronico.

Tutto nasce – come racconta il giornalista – da una richiesta di accesso agli atti formulata da Fabio Pietrosanti, il presidente della Associazione Hermes, un centro no-profit per la trasparenza e i diritti umani digitali. La risposta del Ministero dell’Interno ricorda che ha ritenuto di «dare seguito agli impegni assunti dal Governo con l’approvazione di un ordine del giorno ai fini dell’adozione di Linee Guida per la sperimentazione del voto elettronico». Di conseguenza l’adozione è stata «affidata ad un organismo composto dai rappresentanti dei Ministeri della Giustizia, degli Affari Esteri e Cooperazione Internazionale, dell’Innovazione Tecnologica e Digitalizzazione, coordinato dal Direttore Centrale per i servizi elettorali del Ministero dell’Interno».

Qui comincia la mia confusione, perché il Ministero dell’Interno spiega che «non è stato adottato alcun provvedimento di costituzione dell’organismo di studio in questione». Il Ministero ne ha disposto l’istituzione e chiesto la collaborazione agli altri ministeri, l’organo si è già riunito quattro volte, ma lo si dichiara non costituito con formale provvedimento. Verrà fatto? Nella citazione sopra riportata si dice “non è stato adottato” e non “non è ancora stato adottato”. Lapsus calami? Ecco, non sono un giurista quindi persone più esperte di me sapranno certamente spiegare come sia possibile che una struttura, non formalmente costituita da una qualche istituzione ancorché formata da persone delle istituzioni, possa fornire pareri che il potere esecutivo usa come base di atti governativi. Per chi ha letto qualcosa della fisica quantistica, sembra la famosa situazione del “gatto di Schrödinger”, che era contemporaneamente vivo e morto.

D’altro canto è comprensibile che un governo voglia capire qual è la situazione relativa al voto elettronico. Solo che mettere in piedi un comitato/non-comitato non sembra la strada più brillante. Abbiamo appunto un Ministero per l’Innovazione Tecnologica e Digitalizzazione, che – come enti analoghi in altri Paesi – per tale questione tecnologica è certamente in grado di produrre un rapporto tecnico-scientifico con tutte le informazioni del caso. L’autore dell’inchiesta ne ha raccolte un po’, ricordando che Germania, Svizzera, Norvegia e Olanda lo hanno tassativamente escluso, che anche l’ente europeo per la sicurezza informatica (ENISA) ne ha sottolineato gli elevatissimi rischi, e che un recente rapporto del mitico MIT (il Massachussets Institute of Technology) ha nuovamente sconsigliato l’uso del voto elettronico perché neanche la “catena di blocchi” (la moda del momento più conosciuta come blockchain) è in grado di fornire i livelli di sicurezza ed affidabilità che sono indispensabili per un sistema così critico per la democrazia quale quello delle votazioni. Riporto qui un’utile tabellina che caratterizza le quattro macro-categorie di modalità di votazione con la loro codifica di pericolosità (dal più verde=più sicuro al più rosso=più pericoloso – mia elaborazione dall’articolo del MIT).

Aggiungo poi, per completezza di informazione, qualche ulteriore elemento di valutazione che viene dagli USA. Ad aprile di quest’anno è stata pubblicata una lettera aperta indirizzata a Governatori, Segretari di Stato, Direttori degli Uffici Elettorali, di tutti e 50 gli stati americani, dove si conclude che «la votazione via Internet non è una soluzione sicura per votare negli Stati Uniti, né lo sarà in un prevedibile futuro». La lettera è stata preparata dal Centro per l’Evidenza Scientifica nelle Questioni Pubbliche, un centro studi della Associazione Americana per l’Avanzamento delle Scienze. Tra le organizzazioni che hanno firmato la lettera appaiono quelle della comunità scientifica e tecnologica dell’informatica (ACM e CRA). Tra gli esperti che l’hanno validata basta ricordare i nomi di Vinton Cerf (il papà di Internet) e di Ronald Rivest (uno degli inventori di quella crittografia a chiave pubblica che è alla base della sicurezza delle transazioni sulla rete).

Ecco gli argomenti principali a sostegno della conclusione:

• tutti i sistemi e le tecnologie per la votazione su Internet sono al momento attuale inerentemente insicuri;
• non esiste alcuna evidenza tecnica che una qualunque tecnologia di votazione su Internet sia sicura o possa essere resa tale in un prevedibile futuro; al contrario, tutta la ricerca attualmente esistente dimostra il contrario;
• nessuna tecnologia basata sulla catena di blocchi (blockchain) può ridurre i profondi pericoli inerenti nella votazione su Internet;
• nessuna App per la votazione con dispositivo mobile è sufficientemente sicura da permetterne l’uso.

Si tratta di quattro argomentazioni che sono quattro macigni sufficientemente pesanti da affossare qualunque iniziativa, perché si tratta di elementi che derivano da vent’anni di un’analisi rigorosa e basata sull’evidenza scientifica condotta da molte organizzazioni, tra cui le tre Accademie Nazionali americane delle Scienze, dell’Ingegneria e della Medicina, il Ministero per la Sicurezza Nazionale, e l’Istituto Nazionale per gli Standard e la Tecnologia.

Ora, in linea puramente teorica, i punti sopra ricordati non sono un teorema matematico di impossibilità che, se non contiene errori nella sua dimostrazione, chiude per sempre ogni strada che non sia quella di cambiare le assunzioni di partenza (è il drogante potere che fa amare la matematica a chi la fa). Nulla vieta che comunque un ricercatore voglia provare ad ottenere un qualche risultato che nessuno è ancora riuscito a vedere.

Però si tratta di un’attività più adatta a chi fa della ricerca la sua professione, che a un comitato/non-comitato in cui appare esserci un solo esperto tecnico (che non è un ricercatore). Tale comitato/non-comitato non sembra essere la strada più efficace per esprimere un parere su di un tema sul quale abbiamo un apposito ministero.

Mentre aspettiamo sviluppi sulla vicenda riporto per il lettore interessato una tabella che classifica i vari rischi del voto a distanza in base alla tecnologia usata per ognuno dei tre passi fondamentali (invio della scheda elettorale elettronica in bianco, espressione del voto sulla scheda, restituzione della scheda votata), che ho elaborato da una bozza di linee guida preparata dall’Agenzia per la Sicurezza delle Infrastrutture e la Cibersicurezza del Ministero per la Sicurezza Nazionale USA di cui ha parlato The Guardian qualche mese fa (NA = caso non applicabile).

--
Versione originale pubblicata su "Key4Biz" il 23 novembre 2020.

Una giornata nell'inferno della trasformazione digitale

di Enrico Nardelli

Ho fatto accesso stamattina al sito dedicato al buono mobilità alle 9:00 in punto per capire se questa volta, dopo i numerosi episodi di disservizio digitale che si erano verificati negli ultimi mesi, si fosse riusciti a far tesoro dell'esperienza.

Speranza delusa: questo ne è il fedele resoconto.

Il sito risponde lentamente e visualizza solo un testo che spiega che la distribuzione dei posti in coda avverrà a partire dalle 9:30.

Quando si fa la coda di persona in un qualunque posto, tutti sono in grado di "vedere" fisicamente la situazione della coda stessa, capire in che posto si è, magari decidere che non vale la pena attendere. Nel mondo digitale non abbiamo organi di senso che ci forniscono queste informazioni in modo nativo e, nonostante quarant'anni di ricerca e di esperienza nel settore della "interazione uomo-computer" ancora si continuano a realizzare sistemi digitali che non danno visibilità all'utente sullo stato del sistema digitale. Il feedback, come dicono gli anglofoni, è assente, ma a nessuno di quelli che ci raccontano che la “trasformazione digitale” è meravigliosa sembra importare alcunché.

Un po' prima delle 9:30 appare la domanda che chiede se si ha lo SPID. Rispondo positivamente, poi inserisco il comune di residenza. A questo punto una scritta rossa, quindi di allerta, distrae un po', perché intima di avere con sé la ricevuta dell'acquisto, ma il sito dovrebbe servire anche a chi non ha ancora acquistato niente... Passato lo smarrimento, ci si arrischia a cliccare comunque su “Accedi” solo per essere rimandati alla casella di partenza: sei in possesso dello SPID? Momento di straniamento, uno pensa “forse ho saltato un passaggio” e ricomincia. Al terzo giro è chiaro che non hai saltato niente. Allora si clicca sull'altro pulsante disponibile “area esercenti”. Qui c'è un messaggio di benvenuto nella coda degli esercenti che vogliono aderire come fornitori all'iniziativa. Sono circa 30mila, ma secondo me la stragrande maggioranza di questi di questi sono semplicemente utenti che stanno cercando di capirci qualcosa. Rimango lì e apro un altro browser per un altro tentativo.

Verso le 9:35 circa su questo secondo browser finalmente appare un messaggio che dice che sono in attesa e che la distribuzione dei numeri in coda avverrà in modo casuale entro le 10, e dopo si potrà avere l'accesso, con 20 minuti a disposizione per perfezionare la domanda.

Perbacco, mi dico, questa della distribuzione casuale dei numeri sarebbe stata un'ottima idea per evitare un “assalto alla diligenza” se solo uno l’avesse saputo in anticipo. Adesso sembra un po' una presa in giro, soprattutto considerando che tutti i media avevano parlato di una distribuzione basata sull'ordine di accesso al sito... Mentre faccio un giro su Twitter alla ricerca di novità scopro che però il messaggio è ancora cambiato e non si parla più di distribuzione casuale dei numeri: sarà perché hanno capito che era meglio evitare di irritare ancora di più chi è in attesa?

Il browser mi dice che ci sono circa 200mila persone davanti a me, e mi consolo pensando che in fin dei conti non va male visto che con le disponibilità complessive stanziate (215 milioni di euro ed un contributo massimo di 500 euro) si possono coprire 430mila richieste.

Però la coda non scorre, senza che il sistema segnali niente. Di nuovo, assenza completa di informazioni per l'utente finale, che non sa che pesci prendere. Ricaricare la pagina? E se poi si perde il posto in fila? Quando riusciranno a capire che gli esseri umani non vedono i bit ed hanno bisogno di informazioni di contesto?

Intorno alle 10:50 (vado a memoria) finalmente il contatore degli utenti in coda comincia a scorrere. Faccio una prima valutazione di velocità e il tutto sembra procedere bene. Smaltiscono circa 3.000 utenti al minuto, quindi 180mila l'ora, il che vuol dire per me poco più di un'ora di attesa. Fortunatamente sono via rete, quindi posso fare altro nel frattempo, diversamente da quando si è in coda fisicamente in un certo posto. Segno mentalmente un punto a vantaggio del digitale. Però, dopo una mezz'oretta, mi accorgo che la velocità è notevolmente diminuita. Adesso siamo a circa 30mila utenti l'ora, il tempo di attesa previsto ritorna quello di una giornata, e la trasformazione digitale perde tutti i suoi vantaggi.

Mi dedico ad altro, buttando di tanto in tanto l'occhio sul browser. Finalmente, circa alle 14:10, mi fanno entrare, ma me ne sono accorto un po' in ritardo ed ho solo una quarto d'ora a disposizione. Vabbé, penso, mi ero comunque dotato di SPID associato alla mia PEC, il tutto sarà veloce, perché i miei dati li hanno già tutti.

Inserisco le credenziali di SPID e qui casco dalla sedia: il sistema mi chiede un OTP (che non è un parolaccia ma una password “usa e getta”: benedetti tecnici, ma volete imparare a parlare come le persone normali?) generato sulla mia app legata allo SPID. Oddio, ma non ho mai usato l'app per la PEC, la leggo sul PC! Sconsolato, guardo comunque sul mio smartphone e scopro che invece ho l'app del mio fornitore di PEC. Probabilmente l'avrò installata quando ho chiesto SPID, mi consolo, e penso che, meno male, il problema è risolto. Apro l'app e questa però mi chiede, per generare un OTP, di inserire il mio codice di sblocco. Di nuovo grandi punti interrogativi si annuvolano sulla mia testa. Che sarà mai? Faccio un po' di ricerca nella mia posta elettronica e sul sito della PEC per cercare questo codice di sblocco, ma nulla. A questo punto, interrogo la rete, mentre già penso che non farò mai in tempo. Capisco che il codice di sblocco viene generato all'atto dell'installazione della app, ma per qualche motivo non devo averlo annotato insieme alle altre credenziali.

Alla fine mi decido al gesto estremo: scollegare la app dall'identità elettronica legata alla mia PEC e riconnetterla. Hic terra incognita: non so quali possano essere le conseguenze e quanto tempo ci vorrà, ma non ho scelta e mi butto. Mi chiede di nuovo username e password della PEC (provate ad inserire una password molto robusta tipo D4HALs~RVepw.aV& - tranquilli, non è quella vera - con uno smartphone che dopo 2 secondi ti nasconde il simbolo digitato, poi parliamo di stress...), successivamente il codice di conferma inviato via SMS e poi posso finalmente generare questo codice di sblocco. Questa volta me lo annoto gelosamente, esco e rientro dall'app ed ho finalmente il mio OTP.

Di nuovo al browser, inserisco l'OTP sperando di essere ancora nei 20 minuti: ho tenuto d'occhio l'orologio e, come in un film, sono proprio agli sgoccioli. Clicco per entrare e come un pugno nello stomaco mi appare una schermata da sviluppatore, che in gergo inglese da programmatore mi comunica che un certo servizio non funziona. Ma porc... eppure sono ancora nei tempi... OK ormai è andata, ma provo comunque a ricaricare la pagina pensando che magari il sistema è stato un po' “duro d'orecchi” al primo tentativo. Il sistema, tornato in sé, mi avvisa gentilmente che “c'è stato un errore” (ah sì? ma guarda un po', non me n'ero accorto!) e mi intima di non cliccare né su ricarica né su avanti né su indietro. Sono un po' testardo e penso che peggio di così non può andare e quindi con i pulsanti di navigazione provo ad andare qualche passo indietro. Per un po' il sistema risponde sempre nello stesso modo, ma quando rientro nella schermata di accesso mediante SPID invece mi ripropone la scelta del fornitore di SPID con cui accedere. Timidamente speranzoso ci riprovo, username e password, ok, mi chiede l'OTP, lo genero sullo smartphone e lo digito, poi premo invio e resto in attesa del verdetto... un attimo di suspense.... sono entrato!

A questo punto la strada è abbastanza in discesa: mi chiedono di nuovo il mio comune di residenza. Non capisco bene perché dal momento che si tratta di un’informazione che dentro SPID posseggono e me l'hanno già chiesta all'inizio della procedura, ma a questo punto uno non sta tanto a sottilizzare. Poi – ma solo a fini statistici – per quale tipologia di bene/servizio voglio il buono e le caratteristiche del bene/servizio per cui intendo usarlo. Alla fine ce l'ho fatta.

È chiaro che così non può funzionare. Il mio livello di esperienza e conoscenza con questi servizi è assolutamente al di là di quanto gran parte della popolazione possiede.

La trasformazione digitale condotta in questo modo sarà la più grande emarginazione di massa della storia o la più grande manipolazione di massa della storia. O tutt'e due insieme. Cambiamo strada prima che sia troppo tardi.

--
Versione originale pubblicata su "Key4Biz" il 4 novembre 2020.