La carica degli apprendisti stregoni ovvero il “comma 22” del voto elettronico

di Enrico Nardelli

Il mio recente articolo, nel quale esprimevo un parere chiaramente negativo rispetto all’utilizzo del voto elettronico per le votazioni politiche generali, ha suscitato qualche “mal di pancia” e alcune incomprensioni.

Chiarisco subito che ho il massimo rispetto per i tanti imprenditori che vogliono cogliere l’opportunità dei forti investimenti sulla digitalizzazione che il nostro Paese dovrà fare nei prossimi anni e spero che, finalmente, grazie a questi investimenti si sviluppi un’industria italiana del software che ci liberi dalla schiavitù dell’utilizzo di sistemi pensati e progettati all’estero e da lì controllati.

Temo però che non si colga appieno la particolare delicatezza dell’utilizzo della tecnologia digitale in un processo elettorale, rendendola assolutamente sconsigliabile. Non basta fare appello alle migliori risorse di sicurezza informatica del nostro Paese per mettere a punto – attraverso sperimentazioni e verifiche – un processo tecnico-organizzativo che superi certe criticità. Non è così semplice.

Chi non è più tanto giovane ricorderà lo sforzo che gli Stati Uniti avviarono agli inizi degli anni ‘80 sotto la presidenza Reagan per realizzare il cosiddetto “scudo stellare” (SDI = Strategic Defense Initiative). Uno dei massimi esperti accademici di ingegneria del software coinvolto nel progetto, David Lorge Parnas, consulente di fiducia dei progetti di difesa degli USA, si ritirò dall’SDI nel giugno 1985 argomentando pubblicamente, su basi tecnico-scientifiche, che il progetto non avesse alcuna possibilità di raggiungere i suoi obiettivi.

Nonostante nei quasi quarant’anni passati l’ingegneria del software abbia fatto enormi passi avanti in termini di metodi e tecniche, i progetti di sviluppo e aggiornamento dei sistemi software continuano a fallire in quantità effettivamente imbarazzante rispetto ad ogni altra branca dell’ingegneria. Qui una rassegna recente relativa al Regno Unito, ma – come si dice – tutto il mondo è paese. Questo non vuol dire smettere di fare ricerca in questo settore, tutt’altro, la ricerca è necessaria per migliorare tale situazione. Però è necessario essere ben consapevoli che nella realizzazione dei sistemi informatici siamo enormemente lontani da quell’affidabilità che consente a tutti di salire su un aeroplano con la più che ragionevole certezza di atterrare sani e salvi.

E la situazione che Parnas criticava negli anni ’80 è nel frattempo stata resa più complicata dall’ubiquità di Internet e dei dispositivi di calcolo personali ad essa connessi. L’impossibilità di dimostrare matematicamente il corretto funzionamento di un sistema software (quando invece qualunque ingegnere di qualunque settore rilascia un progetto essendo matematicamente sicuro che se l’artefatto viene realizzato ed usato secondo quanto progettato andrà tutto bene), accoppiata alla necessità (che ho illustrato nel precedente articolo) di dover verificare tutti i componenti e tutti i sistemi coinvolti nel processo, rende lo scenario intrattabile.

I proponenti delle soluzioni per il voto elettronico insistono sul dire “sperimentiamo e verifichiamo” in modo da essere assolutamente sicuri. Nel caso dello “scudo stellare” non esistevano situazioni realistiche per verificare il sistema che non fossero quelle di un reale attacco missilistico russo. Ma ovviamente non ci si poteva esporre ad un simile rischio senza la sicurezza del funzionamento del sistema. Una situazione, appunto, da “Comma 22”, il romanzo di Joseph Heller, in cui ad un certo punto si enuncia questo comma per poter essere esentati dai combattimenti: «Chi è pazzo può chiedere di essere esentato dalle missioni di volo, ma chi chiede di essere esentato dalle missioni di volo non è pazzo».

Lo stesso accade per il voto elettronico. L’unico test realistico sarebbe quello del voto. Ma non si può mettere in pericolo il futuro di un Paese come l’Italia: ricordiamo che le elezioni politiche generali assicurano il governo della Nazione per cinque anni, in cui maggioranze sufficientemente forti possono cambiare tutte le leggi che vogliono ed anche stravolgere la Costituzione. Ora, se questo davvero avviene per volontà popolare, nulla da dire, ma se ciò invece accade per qualche broglio tecnologico, ritengo che sia da pazzi correre un simile rischio. Ed il punto fondamentale è che tutti i cittadini devono poter essere sicuri che è davvero il popolo sovrano che si è espresso, e non qualche burattinaio più o meno lontano.

Questo argomento della “fiducia dei cittadini nell’intero processo elettorale” è, purtroppo, spesso ignorato dai tecnologi. Scrivevo, nel mio precedente articolo, che «con la scheda cartacea nell’urna tutto è semplice, verificabile e comprensibile da chiunque». Lo stesso non è vero con il voto elettronico. Non si tratta di una mia osservazione particolarmente originale: colleghi che in tutto il mondo si occupano di questi temi l’hanno più volte espressa. Ciò che non sapevo (e ringrazio Roberto Di Cosmo per avermelo segnalato) è che lo stesso tipo di argomento è stato utilizzato nel 2009 dalla Corte Costituzionale tedesca per sancire la non costituzionalità in Germania del voto elettronico. Potete trovare online il comunicato stampa in inglese ed anche la traduzione in italiano del comunicato e dell’intera sentenza, curata dal Comitato per i Requisiti del Voto in Democrazia, il Centro Hermes per la Trasparenza e i Diritti Umani Digitali e il Progetto Winston Smith, tre organizzazione italiane particolarmente attive in tema di diritti digitali che invito a seguire.

Per chi va di fretta riporto la mia traduzione delle argomentazioni centrali. «Il principio della natura pubblica delle elezioni, …, prescrive che tutti i passi fondamentali di un’elezione siano soggetti alla possibilità di controllo pubblico, a meno che altri interessi costituzionali giustifichino un’eccezione». A tal proposito, la Corte Costituzionale tedesca ha osservato che l’uso di dispositivi digitali risponde a tale prescrizione «solo se i passi essenziali della votazione e della determinazione del risultato possono essere esaminati in modo affidabile e senza alcuna conoscenza specialistica».

Ha inoltre aggiunto «Mentre in un’elezione convenzionale, con schede elettorali cartacee, le manipolazioni o le frodi elettorali sono, …, possibili solo mediante uno sforzo considerevole e con un elevato rischio di essere scoperti, il che ha un effetto deterrente, gli errori di programmazione nel software o frodi elettorali commesse deliberatamente alterando il software o le macchine di voto elettronico possono essere scoperti solo con difficoltà».

Pertanto «sono necessarie precauzioni speciali per salvaguardare il principio della natura pubblica delle elezioni» e quindi «I votanti stessi devono essere in grado di comprendere, senza alcuna conoscenza di dettaglio della tecnologia digitale, se i voti che hanno espresso sono stati registrati in maniera fedele». Infine «Anche un esteso insieme di misure di sicurezza organizzative e tecniche non è da solo adatto a compensare la mancanza della possibilità per i cittadini di esaminare i passi essenziali della procedura elettorale» dal momento che «una fiducia giustificata nella regolarità delle elezioni» è possibile solo se «i cittadini stessi sono in grado di ripercorrere in modo affidabile i passi fondamentali della votazione».

È inoltre interessante osservare che, nella stessa sentenza del 3 marzo 2009, la Corte Costituzionale tedesca ha osservato che «non è richiesto dalla costituzione che i risultati delle elezioni siano disponibili subito dopo la chiusura dei seggi» e che le elezioni precedenti «hanno evidenziato che anche senza usare macchine per le votazioni i risultati ufficiali provvisori sono in genere disponibili dopo poche ore».

Io credo che l’Italia non sia seconda a nessuno in termini di creatività e capacità realizzative, per cui spesso sorrido quando si portano paesi stranieri ad esempio per indicarci come dovremmo fare le cose. Però, in questo caso, mi piacerebbe che i molti che spesso guardano alla Germania come ad un esempio da imitare fossero coerenti con sé stessi. La fiducia nel sistema elettorale è un pilastro fondamentale di ogni paese democratico, incrinarla vuol dire giocare col futuro del paese stesso.

Veniamo quindi all’altro argomento usato da chi spinge per l’introduzione del voto elettronico: il fatto che così si combatte l’astensionismo. Bisogna purtroppo dire che allo stato attuale della conoscenza, le ricerche fatte in quest’ambito non sostengono tale conclusione. Il lettore interessato può consultare il recentissimo articolo pubblicato sul Journal of Cybersecurity per un’interessante rassegna. Ricordo che uno degli autori è Ronald Rivest, uno degli inventori di quella crittografia a chiave pubblica che è alla base della sicurezza delle transazioni sulla rete. Tale articolo ricorda che uno studio realizzato in Svizzera con votazioni reali, per più anni (2003-2016 per il cantone di Ginevra e 2005-2011 per quello di Zurigo), non ha mostrato alcun impatto sulla partecipazione. Uno studio del 2014 relativo al Belgio ha evidenziato un leggero decremento. Uno studio canadese del 2020 ha evidenziato un leggero incremento concludendo, però, che «non era la soluzione per aumentare la partecipazione al voto». Studi sulle elezioni in Estonia hanno evidenziato che l’incremento di partecipazione era proporzionale al livello economico e di istruzione. Il pericolo quindi, di perdita di interesse al voto da parte di alcune fasce della popolazione è reale.

Soprattutto, dato lo stato corrente della sicurezza informatica, dove la diffusione di malware, lo sfruttamento di difetti zero-days, e gli attacchi denial-of-service sono all’ordine del giorno, qualunque eventuale aumento di partecipazione al voto deve essere confrontato con la perdita della sicurezza che i voti espressi dai cittadini siano contati tutti correttamente. Diversamente da altre infrastrutture in cui i rischi di frodi o di malfunzionamenti – che accadono regolarmente – sono tenuti presenti, gestiti e contabilizzati, nel processo elettorale non esiste nessuna assicurazione o compensazione per un’elezione compromessa. Nella situazione attuale, considerando il peso e la collocazione del nostro Paese, far votare i cittadini con meccanismi digitali sarebbe come inviare in guerra soldati con un coltello in mano a combattere contro un carro armato.

In conclusione, le evidenze per stare alla larga dal voto elettronico ci sono tutte. Un detto attribuito ad Einstein (che pare invece sia nato nella comunità degli alcolisti anonimi) recita «La pazzia è il ripetere le stesse cose aspettandosi risultati diversi».

Sono convinto che sapremo resistere alle sirene della follia.

--
Versione originale pubblicata su "Key4Biz" il 19 luglio 2021.

Gli apprendisti stregoni del voto elettronico

di Enrico Nardelli

A novembre 2020 mi interrogavo sull'esistenza/non-esistenza di un comitato che stava lavorando sul voto elettronico. C’è ora la certezza che in effetti il comitato esisteva, dal momento che ha prodotto – in data 25 maggio 2021 – delle “Linee guida per la sperimentazione del voto elettronico”, che successivamente il Ministero dell’Interno e il Ministro per l’Innovazione Tecnologia e la Transizione Digitale hanno approvato con decreto del 9 luglio 2021.

In situazioni di questo genere, in cui si vanno a toccare meccanismi fondamentali per la democrazia, è buona prassi esporre le proposte di cambiamento alla consultazione pubblica, al duplice scopo di verificarne la qualità e di ottenere eventualmente suggerimenti migliorativi. Lo fa normalmente anche la Commissione Europea. In questo caso, un comitato, dei cui lavori si è saputo poco o niente, ha definito delle linee-guida per cambiare le modalità di voto, sulle quali nessuno ha potuto fare osservazioni prima che venissero recepite in un decreto interministeriale.

Visto che non risultano verbali dei lavori di questo comitato non si può dire se le autorità nazionali di sicurezza informatica siano state coinvolte nella definizione di tali linee guida. Il decreto, bontà sua, indica che dovranno esserlo nella predisposizione dello studio di fattibilità e dei requisiti tecnici. Meglio di niente, certamente, ma non mi pare il massimo della trasparenza per un tema così importante per la democrazia.

Nel mio articolo di novembre 2020 ricordavo le tante perplessità esistenti in tutto il mondo sul voto elettronico, riallacciandomi ad una precedente inchiesta di Nicola Biondo. La situazione a livello internazionale è abbastanza chiara. In Europa, con l’unica eccezione dell’Estonia (una nazione che ha meno della metà degli abitanti del comune di Roma e che ha avuto alcuni problemi, vedi qui e qui), il voto elettronico è generalmente evitato. In diversi paesi europei, Germania, Svizzera, Norvegia e Olanda, è stato tassativamente escluso. Negli Stati Uniti, la culla del digitale, il Paese che grazie all’informatica ed alle sue tecnologie sta dominando e controllando il mondo attraverso le sue multinazionali, ad aprile del 2020 è stata pubblicata una lettera aperta indirizzata a Governatori, Segretari di Stato, Direttori degli Uffici Elettorali, di tutti e 50 gli stati americani, dove si conclude che «la votazione via Internet non è una soluzione sicura per votare negli Stati Uniti, né lo sarà in un prevedibile futuro». La lettera (basata su vent’anni di analisi ed evidenze scientifiche) è stata preparata dal Centro per l’Evidenza Scientifica nelle Questioni Pubbliche, un centro studi della Associazione Americana per l’Avanzamento delle Scienze, in collaborazione con le tre Accademie Nazionali americane delle Scienze, dell’Ingegneria e della Medicina, il Ministero per la Sicurezza Nazionale, e l’Istituto Nazionale per gli Standard e la Tecnologia. Tra le organizzazioni che hanno firmato la lettera appaiono quelle della comunità scientifica e tecnologica dell’informatica (ACM e CRA). Tra gli esperti che l’hanno validata basta ricordare i nomi di Vinton Cerf (il papà di Internet) e di Ronald Rivest (uno degli inventori di quella crittografia a chiave pubblica che è alla base della sicurezza delle transazioni sulla rete).

Successivamente, un rapporto del mitico MIT (il Massachussets Institute of Technology) – tra i cui autori figura lo stesso Rivest – ha nuovamente sconsigliato l’uso del voto elettronico perché neanche la “catena di blocchi” (la moda del momento più conosciuta come blockchain) è in grado di fornire i livelli di sicurezza ed affidabilità che sono indispensabili per un sistema così critico per la democrazia quale quello delle votazioni. Riporto qui un’utile tabellina che caratterizza le quattro macro-categorie di modalità di votazione con la loro codifica di pericolosità (dal più verde=più sicuro al più rosso=più pericoloso – mia elaborazione dall’articolo del MIT).

Ecco, il decreto appena pubblicato dice testualmente (art.3, comma 1): «il voto elettronico è espresso mediante una web application, a cui l’elettore può accedere con qualsiasi dispositivo digitale collegato alla rete internet e dotato di uno dei browser più diffusi». Siamo proprio nel caso indicato in rosso nella tabellina qui sopra.

È come se, per fare un esempio allineato al periodo estivo, in una situazione di estrema siccità, in cui i boschi prendono fuoco per niente, qualcuno proponga di fare un grande barbecue in pineta. Cosa potrà mai andare storto?

Ci si dimentica troppo spesso che la sicurezza dei sistemi digitali (o sicurezza informatica, anche se quelli che ci tengono a farti sapere che sono dei veri esperti parlano di cyber-security dimenticando gli italianissimi cibersicurezza o sicurezza cibernetica) è soprattutto un fatto di cultura prima che di tecnologie. La situazione della sicurezza informatica è in uno stato deplorevole. I rapporti periodici che vengono annualmente prodotti indicano che il mercato dei crimini informatici è in costante aumento. Ricordo solo due degli incidenti più recenti.

A maggio di quest’anno un attacco informatico alla Colonial Pipeline ha, per qualche giorno, messo in seria difficoltà la vita quotidiana negli Stati Uniti. Come rilevato in una successiva testimonianza di fronte al Senato americano, il punto di ingresso è stata la carenza di “igiene digitale”.

Solo la settimana scorsa è arrivata la notizia che circa 1.000 clienti di un fornitore di servizi informatici via Internet sono stati contemporaneamente attaccati. Anche in questo caso, come nel precedente, mediante ransomware, un tipo di software malevolo che blocca i sistemi informatici di chi è colpito fino al momento in cui questo non paga un riscatto (=ransom). La novità di quest’ultimo caso, rispetto a quello di maggio, è che l’attacco è avvenuto attraverso la “catena di fornitura” (supply chain, per quelli fighi) che, quanto più i sistemi informatici diventano interconnessi, tanto più diventa il tallone d’Achille della nostra società.

A questo proposito, il decreto prescrive (art.5, comma 2) che «Il codice sorgente del sistema di voto elettronico è pubblicato sul sito istituzionale del Ministero dell’interno». Ora, tutti coloro che lavorano in quest’ambito sanno bene che la disponibilità del codice sorgente di un qualunque sistema è condizione necessaria ma non sufficiente ad assicurare che il sistema in esercizio si comporti come previsto. Come sottolineato circa 40 anni fa nella Turing award lecture (il premio Turing è per l’informatica quello che la medaglia Field è per la matematica o il Nobel per altre scienze) di Ken Thompson (inventore insieme a Dennis Ritchie di Unix – il sistema operativo che attraverso la sua evoluzione in Linux è il più usato al mondo) non si può avere alcuna fiducia nel codice che non è stato completamente prodotto da sé stessi (o da persone assolutamente fidate).

Il punto chiave è nell’aggettivo “completamente”, che richiede un minimo di spiegazione per i non esperti. Il cosiddetto codice sorgente è quello scritto dai programmatori. Questo diventa codice eseguibile attraverso un processo di “compilazione”, cioè di traduzione, che viene realizzato da un altro programma, detto “compilatore”. Se questo è stato alterato, il fatto che il codice sorgente sia sicuro non garantisce che il codice eseguibile lo sia. È come quando parlate con uno straniero attraverso un interprete. Se non conoscete la lingua del vostro interlocutore straniero non avete alcuna garanzia, a meno che non vi fidiate completamente dell’interprete, che le vostre parole siano state riportate fedelmente. È uno dei motivi per cui gli interpreti negli incontri di alto livello sono persone di assoluta fiducia. A complicare la situazione, si aggiunge il fatto che la vera e propria esecuzione del codice eseguibile viene effettuata, nei dispositivi informatici, attraverso il cosiddetto “microcodice” memorizzato nei circuiti hardware del dispositivo stesso. Se non li avete realizzati voi, non potete fidarvi. Purtroppo in Italia (e in generale in Europa) una politica industriale che definire miope è un eufemismo, ha fatto sì che i grandi produttori mondiali di tali circuiti siano quasi tutti distribuiti tra gli USA e l’Est asiatico. E dovete possedere questo livello di fiducia per tutti i programmi disponibili sul dispositivo informatico che state usando e per tutti i programmi e sistemi che sono coinvolti nelle comunicazioni che avvengono tra il vostro dispositivo ed i punti di raccolta dei voti espressi elettronicamente.

Questo solo per rimanere sugli aspetti tecnologici. Ma un sistema elettorale non è solo tecnologia, sono processi e persone che li mettono in opera. Identificazione del votante, verifica del godimento del diritto di elettorato attivo, prevenzione della coercizione, sono solo alcuni degli aspetti non tecnologici la cui gestione in un sistema di voto elettronico è particolarmente delicata.

È importante poi mettersi nei panni di un criminale informatico, per capire che ovviamente non ha alcun senso attaccare un sistema finché è in fase di sperimentazione o simulazione. Conviene aspettare che sia nella sua piena operatività, per poi lanciare l’attacco nel momento in cui il potenziale profitto è massimo. Quanto può valere l’alterazione di un’elezione politica generale in un Paese di 60 milioni di abitanti del livello di sviluppo e con la collocazione geopolitica dell’Italia?

Dulcis in fundo, il decreto più volte sottolinea l’importanza che il sistema di voto elettronico dovrà garantire «un’agevole comprensione e utilizzo da parte di tutti gli elettori, con informazioni chiare e trasparenti». Decenni di esperienza di interazione con sistemi informatici di tutti i tipi (e di conoscenza di come vengono sviluppati) mi danno la solida certezza che non si riusciranno ad assicurare tali condizioni.

Aggiungo infine quella che per me è la motivazione definitiva per non adottare sistemi di voto elettronico. La trasparenza e la comprensibilità da parte di tutti i cittadini del sistema elettorale, anche di quelli tecnologicamente impreparati, sono elementi assolutamente fondamentali ed irrinunciabili per la fiducia che i risultati finali esprimano davvero la volontà degli elettori e quindi per la tenuta della democrazia.

Con la scheda cartacea nell’urna il tutto è molto semplice, verificabile e comprensibile da chiunque. Con la tecnologia digitale di mezzo, bisogna affidarsi in modo assoluto ed irrimediabile agli “iniziati”.

Che succede se questi apprendisti stregoni sbagliano qualche “formula magica”?

Siamo ad un passaggio cruciale. Il futuro della nostra democrazia dipende dalle nostre scelte.

--
Versione originale pubblicata su "Key4Biz" il 13 luglio 2021.