Ho iniziato a occuparmi di hacking del sistema per il voto elettronico circa dieci anni fa. Ho dedicato un capitolo nel mio “Hacker – Il richiamo della libertà” a questo tema, e scelsi un titolo, “Hacking Democracy”, che richiamava un documentario del 2006 sull’hacking del sistema di voto elettronico negli Usa. Ho, poi, intitolato un paragrafo “hacking delle macchine per il voto elettronico per fini di trasparenza” in un libro che ho pubblicato con Springer sulle attività di resistenza elettronica nel mondo. Per documentarmi, ricordo che studiai alcuni paper (i primi risalivano al 2004) sui difetti di questi sistemi. Seguii le battaglie legali negli Usa contro la Diebold Election Systems, produttrice di macchine per il voto. Analizzai gli hack di Hugh Thompson e di Harri Hursti. Recuperai gli atti della causa Diebold vs. North Carolina Board of Elections volta a evitare l’accesso al codice sorgente delle macchine. Lessi con attenzione le trascrizioni dell’audizione di Matt Zimmerman della EFF nel 2007 davanti alla House Subcommitte of Elections con riferimento all’open source applicato agli strumenti di voto. Trovai utile un capitolo di Bruce Schneier sui requisiti minimi di sicurezza che dovrebbe avere un sistema per il voto elettronico: semplicità, uniformità, verificabilità e trasparenza. Passai, poi, agli studi di Wolchok e altri sulla vulnerabilità dei sistemi elettronici in India, e a decine di ulteriori fonti che il lettore potrà recuperare seguendo i riferimenti che ho esposto un po’ pedantemente nelle righe precedenti al fine, però, di suggerire un percorso iniziale di ricerca.

Ora, penso che il dibattito di questi giorni abbia sollevato alcuni punti da chiarire, a puro fine metodologico e non per scopi di polemica, e in particolare vi sia la necessità di comprendere la differenza tra voto elettronico e raccolta del consenso online (anche per fini politici) e l’importanza fondamentale di un’attività costante di hacking di tutti e due questi sistemi.

Il voto elettronico

Il voto elettronico è il conferimento di un voto inteso in senso “istituzionale” (o costituzionale) del termine. Esistono paesi, notavo in premessa, che hanno introdotto la possibilità, nelle elezioni, per tutti i cittadini di votare usando una macchina elettronica anziché una scheda e una matita. Questa introduzione non è stata senza problemi: chi vorrà approfondire troverà non solo articoli sull’hacking o sulla vulnerabilità delle macchine elettroniche “fisiche”, ma anche su questioni politiche di Stati che, ad esempio, non hanno voluto l’introduzione di simili macchine perché “misteriose” nel loro funzionamento e nel loro codice e di produttori che, al contempo, non hanno voluto svelare neppure a terze parti fidate, o a un notaio, il segreto del funzionamento delle stesse.

Il tema del voto elettronico in senso “puro” non riguarda l’Italia, e quindi lo accantonerei subito. Tralaltro, molti esperti sono concordi nel ritenere rischioso un voto elettronico “completo”, ossia affidato unicamente alla macchina, ma spingono per un voto elettronico ibrido, con la possibilità di verificare in cartaceo (ad esempio: stampa dell’esito del voto) l’operazione.

La raccolta del consenso (anche politico) online

Anche questo è un tema molto affascinante, ma radicalmente diverso dal voto elettronico e più interessante per noi. Si tratta, semplicemente, di una procedura che raccoglie, appunto, il consenso via Internet in una determinata area ed espresso da parte di determinate persone in un determinato lasso di tempo. L’esito del consenso può avere un valore di poca importanza (esempio: sondaggio circa il luogo dove tenere un congresso) o di grande importanza (esempio: il voto individuerà soggetti con future cariche reali istituzionali, come durante le primarie di un partito).

La raccolta del consenso può “sfiorare” il voto elettronico di cui si parlava al punto precedente;  si pensi a un candidato che prima viene individuato con consenso online e poi eletto (con voti “veri”) a una carica istituzionale. Ciò significa che anche il consenso online può avere una importanza critica.

In questo caso, all’insicurezza tipica del sistema elettronico si aggiunge la presenza di Internet e della piattaforma sulla quale si svolgono le operazioni di sondaggio. Se già garantire un sistema “chiuso” come il voto elettronico pone i problemi cui si è fatto cenno, s’immagini a quali problemi si va incontro con un sistema di raccolta del consenso online.

Anche in questo caso, la trasparenza delle procedure, la verificabilità degli esiti, la messa in pubblico degli stessi per un vaglio imparziale sono gli unici metodi per garantire la serietà dell’operazione. Lo scopo è quello di garantire, all’esito della procedura, un report che testimoni la regolarità di ogni processo e la ripetibilità/verificabilità della stessa procedura.

Su un sito che frequento spesso perché tratta di questi temi, Freedom to Tinker, vi sono prove, proprio in questi giorni, di alterazione delle votazioni online, con script o sfruttando la vulnerabilità delle piattaforme, anche in vista della possibilità di voto via Internet per i soldati americani all’estero.

I risultati della mia ricerca e l’importanza di un hacking costante del sistema

Molto modestamente, ho raggiunto cinque punti fermi, che condivido volentieri.

1. Un sistema di voto elettronico, o di raccolta del consenso online, che sia (e si dica) democratico, non può essere oscuro in nessuno dei suoi passaggi, dal primo atto all’ultimo. Un sistema oscuro non garantirà mai che il risultato del voto sia il reale esito della volontà dei votanti.

2. I rischi non vengono dagli hacker. I rischi in un sistema oscuro vengono dai poteri degli amministratori, dalla doppia o multipla votazione consentita da difetti del sistema, dalla possibile ingerenza di chi ha sviluppato un software chiuso, dalla mancanza di un controllo della qualità del software.

3. Gli hacker che nel mondo testano, attaccano, verificano i sistemi per il voto e per la raccolta di sondaggio, fanno un bene alla comunità. E vanno ringraziati. Mantengono alto il livello di guardia sulla qualità necessaria di questi sistemi, che devono sempre essere considerati sistemi critici perché in grado di influenzare direttamente una parte politica fondamentale della nostra società.

4. Essendo un sistema critico, il meccanismo di voto o di consenso deve essere trasparente o, comunque, essere sottoposto a una procedura di hardening durante la sua fase di sviluppo per verificarne le vulnerabilità.

5. Ogni sistema elettronico deve prevedere un backup fisico di sicurezza dei voti e delle operazioni, prima e dopo il voto. Ciò consente anche la registrazione e stampa dei voti, ad esempio, nel caso vi siano contestazioni, per poi effettuare un confronto, o un report finale da rendere pubblico che mostri la procedura.