Negli ultimi tempi c’è stata una serie di notizie legate alla sicurezza (e insicurezza) delle macchine per il voto elettronico in India, con tanto di arresto e successivo rilascio, e di accuse e controaccuse. Il tutto deriva da una dimostrazione del fatto che, una volta ottenuto l’accesso fisico alla macchina, è possibile manometterne l’hardware, falsando così il conteggio. Nello specifico, qui si parla di utilizzo di chip saldati su quelli originali, in modo da poter controllare il voto tramite bluetooth.
Io a suo tempo avevo considerato la macchina indiana un esempio di semplicità, se confrontata con i sistemi complessi (Windows) utilizzati per il voto ad esempio negli Stati Uniti, e quindi di maggiore verificabilità. Dovendo usare una macchina per il voto elettronico (il che non è ovvio), quella indiana mi sembrava un esempio migliore di quello americano. E ne sono ancora convinto. Il primo problema rilevato sulle macchine indiane è che i sigilli che permettono di rilevare se l’hardware è manomesso sono ridicoli. Naturalmente sarà vero, ma è un problema che si può correggere con relativa facilità. Bisogna però fare due considerazioni. La prima è la questione dei sigilli mostra come alla fine è vero che nella sicurezza “the devil is in the details”: tanti ragionamenti sul voto elettronico, e poi il problema risulta essere un problema noto con soluzioni accettabili e note, alcune delle quali (es. coating) non sono particolarmente costose né alterano significativamente il progetto dell’apparato. La seconda è che il concetto di “rappresentante di lista” rimane fondamentale, perché se l’apparato rimane liberamente nelle mani di un malintenzionato, c’è poco che si possa garantire, se non riconoscere che è stato manomesso. A quanto pare in India non è infrequente che un seggio venga “catturato” da sostenitori di un candidato, per riempire l’urna di schede a favore del proprio candidato, prima di scappare. È chiaro che in queste condizioni, potrebbero anche sostituire l’apparato, che quindi deve essere riconoscibile “a occhio” come originale e non manomesso fisicamente. Quello che voglio sottolineare, è che se da una parte è opportuno che un apparato offra delle garanzie di sicurezza adeguate al contesto in cui è utilizzato, dall’altra non ci si può aspettare che un apparato alla mercé di malintenzionati sia protetto da qualsiasi attacco. Il contesto, le procedure rimangono un punto fondamentale. Secondo me, saldare un chip aggiuntivo su un apparato, o peraltro anche sostituirlo integralmente, sono manomissioni dalle quali è difficile che un apparato di questo genere si possa proteggere “a priori”, ed è oltre quello che si può ragionevolmente considerare una prova di insicurezza. È un po’ come quando viene fatto vedere un apparato per il voto riprogrammato per giocare a pac-man: non dimostra niente, è un computer general purpose e, avendolo a disposizione liberamente, può fare qualsiasi cosa.
