No, forse il voto elettronico non è stato una buona idea

Andare a votare, esercitando i propri diritti e doveri di cittadini, è una di quelle cose che ci permette di apprezzare a pieno il privilegio di essere nati in una parte fortunata del mondo, ma può anche essere una noia per via di attese e guasti tecnici com'è stato in Lombardia in occasione del referendum di ieri. Il Presidente della regione, Roberto Maroni, ha scelto di utilizzare il referendum consultivo per l'autonomia come banco di prova per l'introduzione dell'e-voting nel nostro Paese. 24.000 tablet sono stati spalmati negli oltre 8.000 seggi aperti per il voto, con un costo complessivo che si aggira sui 23 milioni di euro — questo includendo anche i settemila referendum digital assistant chiamati a coadiuvare scrutatori ed elettori nel corretto utilizzo delle apparecchiature, assunti tramite l'agenzia interinale Manpower e formati con un corso online.

Ma a Milano e non solo, molti scrutatori si sono trovati alle prese con una serie di problemi tecnici che li hanno costretti a trascorrere la notte nei seggi. Nello specifico, dovevano attendere di ricevere la conferma che la lettura delle penne usb con i dati di voto fosse andata a buon fine, ha riportato l'ANSA. Stando alle premesse, però, i risultati avrebbero dovuto essere raccolti quasi in tempo reale. In molte sedi inoltre le voting machine si sono impallate — anche in quello in cui vota il leader della Lega Matteo Salvini — e il numero verde di assistenza tecnica che avrebbe dovuto aiutare i digital assistant era continuamente occupato.

La piattaforma è stata fornita da Smartmatic. E qua un primo piccolo problema: parliamo della stessa azienda che gestisce il voto elettronico per Paesi che non rientrano esattamente tra quelli che vengono in mente pensando a democrazia, trasparenza e rispetto dei diritti civili. Nel 2004 la Smartmatic si occupa del voto di conferma alla leadership del Presidente venezuelano Hugo Chàvez, elezione che vinse con il 58,25% dei consensi, ma non senza pesanti accuse di brogli. E, infatti, alle elezioni sono seguiti diversi studi che hanno provato l'avvenuta manomissione del sistema di voto elettronico. E proseguendo la lettura del CV della Smartmatic le cose non migliorano: si registrano incidenti legati alla sua piattaforma di e-voting anche nelle Filippine e a Chicago.

"Per commettere una frode elettorale su scala nazionale — argomentava l'esperto di sicurezza informatica Matteo Flora ai microfoni di 2020, trasmissione di Radio 24 dedicata alla tecnologia — è necessario corrompere la pressoché totalità degli scrutatori, in decine di migliaia di punti sul territorio e basta uno che non ci stia per far saltare il piano". Decisamente più semplice manipolare le elezioni con voto elettronico. E la prova ci arriva da quei Paesi che, in un certo senso, hanno deciso da farci da cavia avendo implementato il sistema ormai da anni: la maggior parte degli Stati USA, parte dei cantoni della Svizzera e l'Estonia.

In Svizzera e in Estonia si utilizza un sistema di votazione online. I cittadini non devono nemmeno recarsi ai seggi, ma possono votare direttamente da casa armati di PC, ID, password e, nel caso estone, anche della propria carta d'identità che è dotata di chip e va validata in un apposito lettore.

In seguito alle elezioni del 2013 l'Università del Michigan, assieme all'Open Rights Group, ha condotto uno studio indipendente sulle criticità del sistema di voto, aprendo un sito ad hoc per diffonderne i risultati. L'esito dello studio non lascia spazio ad equivoci: "Il sistema di voto online estone –si legge nel report– presenta vulnerabilità così gravi che ne raccomandiamo la sospensione immediata". I problemi (in sintesi)? La sicurezza procedurale era pressoché nulla, la trasparenza sul conteggio dei voti lasciava a desiderare e –forse la cosa più grave– il software si prestava ad essere altamente vulnerabile per attacchi da parte di hacker stranieri.

Nelle elezioni del 2013 su cui si basa il report i funzionari del Governo avrebbero addirittura utilizzato computer personali per preparare la piattaforma necessaria per il voto. "Computer che i criminali o gli hacker stranieri avrebbero potuto compromettere facilmente", aveva sentenziato Harri Hursti, uno dei ricercatori indipendenti che hanno partecipato allo studio.

Ma non finisce qua: "Il sistema di e-voting estone si basa su una fiducia cieca nei confronti dei PC degli elettori e dei server della piattaforma", aveva spiegato anche J. Alex Halderman dell'Università del Michigan. "Entrambi appetitosi obiettivi per hacker di Stato come quelli russi".
Il team di ricercatori indipendenti avrebbe, quindi, ricreato la piattaforma di voto utilizzata per le elezioni del 2013, riuscendo a simulare con successo una pluralità di possibili attacchi diversi.

Nel frattempo il governo estone ha progressivamente migliorato le misure di sicurezza della piattaforma, nel 2016 un report del Cyber Studies Programme dell'Università di Oxford, pur evidenziando comunque la presenza di alcune vulnerabilità, aveva espresso un giudizio tutto sommato meno severo. Va comunque detto che il paper è stato finanziato dal governo estone. Dallo studio emerge un dato interessante: la lentezza del legislatore che difficilmente riesce a stare dietro alla rapidità del progresso tecnologico, con la conseguenza che molto della piattaforma di i-voting dipende da pratiche "informali", non codificate in regolamenti o norme e demandante all'esperienza di alcune figure chiave dietro al progetto. Ma cosa succede se alcune di queste lasciassero il proprio incarico o fossero impossibilitate a continuare il loro lavoro? Bella domanda.

In secondo luogo rimane il problema della sicurezza dei terminali da cui si collegano gli elettori, problema che, in piccola parte, si potrebbe risolvere con campagne di sensibilizzazione prima del voto. Campagne che, tuttavia, sembrerebbero essere in contrasto con la legislazione estone che impone una sorta di par condicio a favore dei sistemi di voto. Insomma i cittadini non potrebbero essere influenzati nella scelta di votare online o in maniera tradizionale, e la paura è che iniziative del genere possano spezzare questo equilibrio.

Lo scorso luglio alla DefCon, evento annuale a Las Vegas dedicato al mondo dell'hacking e della cybersecurity, ci sono volute appena due ore per violare una voting machine in uso negli Stati Uniti. Per la prima volta nella storia della convention è stato allestito un "Voter Hacking Village" con una trentina di voting machine a disposizione dei partecipanti. Tra le diverse modalità d'attacco evidenziate nel corso dell'evento sono indubbiamente quelle da remoto a destare la maggiore preoccupazione. In particolare, apprendiamo da CNET, un ricercatore danese chiamato Carsten Schurmann sarebbe stato in grado di utilizzare un trucco vecchio di 14 anni per violare una macchina su cui era montato Windows XP.

Schumann parla di un modello della WinVote recente e, di conseguenza, si presume attualmente in uso. Il ricercatore ha usato un exploit di Windows XP noto dal 2003 ma, evidentemente, mai risolto dall'azienda produttrice, per ottenere l'accesso da remoto alla macchina, potendo in questo modo cambiare da qualsiasi luogo i voti registrati. La tecnica usata è stata resa possibile da due porte USB presenti sul retro della voting machine, porte lasciate completamente libere, senza alcun tipo di griglia da svitare o forzare.

Ma la WinVote non è nuova a criticità così grossolane; pare che la credenziali di accesso di alcune sue macchine usate tra il 2002 e il 2014 fossero semplicemente "admin" e "abcde". Nelle stesse macchine analizzate dalla Virginia Information Technology Agency è stato accertato che il sistema operativo in uso non avesse ricevuto alcun aggiornamento dal 2014 e che, in generale, per ottenere accesso alle macchine e per creare ed eseguire un codice malevolo, non fossero necessarie che competenze d'informatica di base.

Lecito domandarsi, quindi, se stiamo parlando di problemi incidentali, dovuti alla mancanza di perizia da parte di chi predispone hardware e software dedicati a questo delicatissimo compito o, al contrario, se ci troviamo di fronte a dei limiti intrinsechi nella natura stessa dell'e-voting. Lo abbiamo chiesto a Stefano Zanero, docente del Politecnico di Milano ed esperto di sicurezza informatica.

"Ormai è opinione univoca di tutti, e sottolineo tutti gli esperti sul pianeta, che allo stato delle nostre conoscenze sia un requisito ineliminabile la produzione del cosiddetto paper trail", spiega Zanero. In altre parole da una parte avremmo i voti elettronici, con un risultato ufficioso e provvisorio a pochi istanti dalla chiusura delle urne, dall'altra l'elettore riceve una prova del suo voto che andrebbe inserita nelle urne classiche. Il risultato ufficiale arriverebbe solo al conteggio delle schede cartacee. "C'è comunque da chiedersi quanto l'ansia da risultato debba convincerci a mettere in piedi sistemi di questo costo e di questa complessità per non aspettare poche ore".

"I limiti oggettivi esistono per il voto via internet", aggiunge Zanero. "e anche il voto puramente digitale (così detto DRE) adottato in Lombardia non è salvabile allo stato attuale".

Per il Professore del politecnico le contestazioni da fare a i-voting (modello estone) o sistema DRE sarebbero fondamentalmente due: "In primo luogo, come facciamo a garantire a un elettore poco tecnologico la certezza che il suo voto sarà calcolato? Questa certezza è una delle chiavi nella fede nel sistema democratico, non si può buttare al mare in nome dei videogame". E, quindi, la sicurezza del risultato. "Alla fine della giornata di domenica la macchinetta stamperà un verbalino che il presidente di seggio dovrebbe firmare. Ma come fa il presidente a sapere che i valori ivi riportati sono veri e corretti?". Il rischio, per Stefano Zanero, è che vada a finire come nelle Filippine, dove peraltro il sistema adottato — sia perché digitale senza paper trail, sia per hardware e mancanza di trasparenza — è estremamente simile.

In conclusione le strade sarebbero due: o si implementa un modello con prova cartacea per avere un risultato non ufficiale un po' prima del solito, quindi stiamo parlando, in un certo senso, di una matita copiativa costosissima, dal momento che fa fede solo il cartaceo, o ci si tiene la vecchia e cara combo carta + matita. E se qualcuno dovrà umettare con la saliva quest'ultima per aver fiducia nel sistema, poco male. Pare che il gioco valga la candela.