Voto elettronico: perché?

Negli ultimi anni è cresciuto molto l'interesse per il voto elettronico. Spesso il passaggio dal voto tradizionale a quello elettronico sembra presentato come un semplice passaggio tecnico. Non credo che sia così, e anzi credo che i rischi legati al voto elettronico siano notevoli, e non mi riferisco solo a quelli tipici di un sistema informatico.
Nel seguito prendo in considerazione principalmente le elezioni politiche italiane. Potrebbe sembrare che un documento sulla validità e sui rischi del voto elettronico debba prescindere dal tipo di elezione al quale si fa riferimento, ma non è così; soprattutto per quanto riguarda la capacità di un sistema di voto fornire un'adeguata protezione dai brogli, l'adeguatezza dipende dai rischi di broglio, il che non è una questione puramente informatica. Ad esempio, in Italia i rischi non sono gli stessi di paesi in cui si ritiene necessario inviare osservatori dell'ONU, e tuttavia anche in Italia si ritiene opportuno avere un agente della Forza Pubblica disponibile presso ogni sezione. Inoltre, fra elezioni aministrative, politiche ed europee cambia ad esempio il numero di elettori. Infine, a seconda del paese cambiano

  • il rischio che un candidato o il Governo si sentano disposti a brogli
  • la disponibilità degli elettori e degli scrutatori a denunciare eventuali anomalie
  • le procedure di voto.

Una prima considerazione che si può quindi subito fare è che non è corretto, ed è rischioso, riportare in un paese le esperienze fatte in un altro. Mi riferisco in particolare a quando le esperienze fatte negli Stati Uniti vengono riportate tout court a sostegno o a sfavore dell'adozione di meccanismi analoghi in Italia; anche perché, come vedremo, gli Stati Uniti sono stati scottati da alcuni gravi errori di conteggio, hanno un bisogno cronico di aumentare la partecipazione degli elettori, e stanno già utilizzando meccanismi come il voto per posta; in Italia invece, siamo stati scottati da alcuni gravi brogli, la partecipazione degli elettori è buona e quindi bisogna evitare, casomai, che perdano fiducia nel sistema di voto.
Prima di tutto, cos'è un sistema di voto elettronico? Per ora ci basta indicarlo come un sistema in cui una parte delle procedure di voto e/o di scrutinio, al limite tutte, sono svolte mediante sistemi informatici. Possiamo per semplicità dividere le procedure in preparazione al voto (preparazione del seggio e dei materiali, preparazione delle liste, ecc.), voto, conteggio parziale dei voti (es. scrutinio presso il seggio), conteggio complessivo dei voti, pubblicazione dei risultati. Quando si parla di voto elettronico, si intende generalmente che sia informatizzato almeno il voto, e quindi almeno parte del conteggio. Un'altra distinzione che viene fatta spesso è quella fra sistemi in rete o meno; quando sono in rete generalmente lo scopo è gestire centralmente tutte o parte delle attività, ad esempio conteggiare i voti in modo centralizzato. Infine, un'ultima distinzione importante è se la votazione avviene in un ambiente protetto e dedicato (la cabina presso la sezione) oppure no (voto da casa, voto via Internet, voto per posta, via cellulare, ecc.).

Quali sono i motivi per cui un sistema di voto elettronico potrebbe essere vantaggioso? I parametri ai quali si fa generalmente riferimento sono:

  • economicità, particolarmente con il voto da casa;
  • rapidità, in particolare nelle operazioni di conteggio;
  • possibilità di consultazioni più frequenti, favorendo la cosidetta "democrazia diretta";
  • possibilità di voto fuori sede, ad esempio all'estero per consultazioni europee, o dove ci si trova in ferie, o per gli italiani all'estero;
  • riduzione degli errori di voto e di conteggio;
  • riduzione dei brogli;
  • maggiore facilità per i disabili.

Ci possiamo chiedere quali sono i requisiti di un sistema di voto, elettronico o meno, in modo da verificare se e come possono essere soddisfatti.

Quando si parla di sistemi di voto elettronico, tipicamente i requisiti vengono elencati come:

  • Solo i cittadini autorizzati possono votare (autorizzati è un tipico termine da modello informatico ma, trattandosi di un diritto, mi sembra del tutto inadatto al caso; possono votare tutti i cittadini tranne quelli che hanno perso il diritto elettorale);
  • Nessuno può votare più di una volta;
  • Nessuno può determinare chi ha votato chi;
  • Nessuno può modificare un voto senza essere scoperto;
  • Ognuno può verificare che il suo voto è stato computato correttamente;
  • Opzionalmente, può essere un requisito il poter verificare chi ha votato e chi no.
Il seguente punto è una conseguenza di altri (solo i cittadini autorizzati possono votare, e nessun cittadino può votare due volte) ma vale la pena di evidenziarlo:
  • se un cittadino non vota, nessuno deve poter votare al suo posto
Questi principi sono presentati a volte in modo diverso, ma la sostanza è questa. Principi, adatti a costruire dei modelli di cui studiare le proprietà. Purtroppo molte dissertazioni sul voto elettronico partono da questi principi, saltando completamente il contesto in cui il sistema è utilizzato, ed il perché. In effetti, partire in quest'ottica vuole dire confrontare fra loro diversi modelli di voto elettronico, trascurando completamente la possibilità (e gli eventuali vantaggi) del non introdurre un sistema informatico. Vorrei sottolineare che c'è differrenza fra un sistema informatico e uno manuale, differenza che, se si rimane concentrati su modelli più o meno informatici, non è facilmente riconoscibile, dato che non viene dato abbastanza perso al "come fare" rispetto al "cosa fare". Su questo tornerò in seguito.

Comunque sia, almeno in Italia, il requisito principale lo dà la Costituzione con l'art. 48, che dice:

Sono elettori tutti i cittadini, uomini e donne, che hanno raggiunto la maggiore età
Il voto è personale ed eguale, libero e segreto. Il suo esercizio è dovere civico.
<omissis>
Il diritto di voto non può essere limitato se non per incapacità civile o per effetto di sentenza penale irrevocabile o nei casi di indegnità morale indicati dalla legge

Concentriamoci sul fatto che il voto deve essere "libero e segreto". Qualche sistema informatico ci può garantire che il voto sia libero e segreto? La risposta è chiaramente no: l'efficacia dei meccanismi di sicurezza informatica dipende dal contesto in cui è collocato ed utilizzato il sistema. In effetti, "libero e segreto" indica la volontà di tutelare il cittadino da costrizioni e ritorsioni. Questo come minimo introduce un requisito che non compare nell'elenco precedente:

  • tutti i cittadini autorizzati devono poter votare liberamente.
Visto in un'ottica di sistema informatico, sembra un requisito di disponibilità, ed il "liberamente" non ha rilevanza perché in un sistema informatico il libero arbitrio dell'utente non è mai messo in discussione, non è pertinente. Ma appena si esce da quest'ottica ristretta, ci si deve chiedere: cosa può interferire con il libero arbitrio dell'elettore? Chi può ottenere ed utilizzare le credenziali dell'elettore, magari con la complicità involontaria dell'elettore stesso? L'introduzione di un sistema informatico può avere rilevanza su questo aspetto? Ed ecco che compare un nuovo parametro nella valutazione della convenienza di un sistema informatico:
  • libertà di espressione del voto

In un'ottica di analisi del rischio, ci dobbiamo chiedere quali siano le minacce alla libera espressione del voto e quale rilevanza abbiano per il nostro sistema. Dato che non sto facendo un'analisi (oltretutto mi mancherebbero i dati) ma mi servono solo degli esempi, mi limiterò a due casi:

  • padre o marito che vuole decidere il voto del figlio o della moglie;
  • voto di scambio o addirittura coercizione da parte di un delinquente (mafioso);

Riguardo al primo punto, un'esperienza negli Stati Uniti di elezione per posta di rappresentanti scolastici (purtroppo non trovo più il riferimento) ha mostrato come anche per votazioni poco rilevanti, la propensione dei padri a imporre la propria posizione ai figli ed alle figlie è molto alta. Nel riportare l'esempio all'Italia, ci dobbiamo chiedere se i padri e mariti italiani siano molto più liberali di quelli statunitensi...

Per quanto riguarda il voto di scambio, vorrei sottolienare che il reato di voto di scambio è affrontato nell'art. 416 ter del c.p. "Scambio elettorale politico-mafioso", introdotto nel 1992, appena dodici anni fa. Nonostante gli informatici tendano a considerare dodici anni un'era geologica, per il resto del mondo non è così, e a meno di voler credre che dal 1992 le pratiche e i personaggi per i quali è stato introdotto il 416 ter siano scomparsi, dobbiamo partire dall'ipotesi che, in assenza di garanzie forti, la libertà di espressione del voto sia tuttora a rischio, e che qualsiasi modifica alle procedure elettorali che riduca queste garanzie sia inaccettabile.

Questo è un punto estremamente importante; la maggior parte del materiale sul voto elettronico che ho avuto modo di consultare sembra partire dall'idea che lo scopo principale delle procedure elettorali sia e debba essere evitare errori, e che i brogli e la coercizione siano cose del passato o da terzo mondo. Di fatto, buona parte delle procedure elettorali hanno invece lo scopo di evitare brogli e coercizioni. Questo è alla base di molte delle considerazioni che seguiranno, ma per ora ne trarrei una prima conclusione: il voto da casa, o comunque da un ambiente che non sia protetto per l'elettore almeno quanto un seggio elettorale, non è assolutamente proponibile.
Questo ha una conseguenza immediata: i seggi elettorali servono comunque, e quindi molti degli ipotetici risparmi spariscono subito.
Sparisce probabilmente anche il miraggio della democrazia diretta, e questo ulteriore aspetto permette di fare subito alcune altre considerazioni fondamentali.

Abbiamo visto che il voto elettronico permette potenzialmente alcune cose interessanti, come una maggiore frequenza e facilità di voto, e permette anche la verifica da parte dell'elettore del corretto conteggio del proprio voto... il problema è che il voto tradizionale non permette in sostanza nè l'una nè l'altra cosa. Si tratta quindi, da un punto di vista informatico, di un cambio di specifiche: il voto tradizionale fa alcune cose, il voto elettronico viene proposto perché ne fa altre (sì, fa anche alcune cose in meno, almeno per come l'ho visto proposto finora). Un cambio di specifiche non può essere fatto per un semplice cambio di tecnologia: il voto da casa, la democrazia diretta, la verifica da parte dell'elettore sul proprio voto, sono cambiamenti importanti che non possono passare come se se si trattasse di passare dalla matita copiativa alla biro. Non si tratta necessariamente di miglioramenti: ad esempio, le volte che ho sentito discutere di democrazia diretta, anche da autorevoli personaggi politici, non mi sembra che abbia riscosso molto successo (non esprimo qui la mia posizione, che non è rilevante); non è quindi ovvio che un sistema che la favorisce sia auspicabile. Anche la verifica da parte dell'elettore non è un ovvio vantaggio: se l'elettore, per verificare che il proprio voto sia stato conteggiato correttamente, è anche in grado di verificare per chi risulta che abbia votato, allora potrebbe essere forzato a fare questa verifica in presenza della minaccia: il familiare o il mafioso. Si perderebbe quindi di nuovo la protezione data dalla segretezza del voto. Serve quindi un meccanismo che permetta all'elettore di verificare che il voto sia stato conteggiato correttamente senza sapere qual è stato il voto. Esistono protocolli, basati su blind signatures, che hanno questa caratteristica, ma mi sembrano complessi da implementare correttamente, e richiedono comunque una forte fiducia almeno nel sistema (locale) che svolge le operazioni crittografiche per conto dell'elettore; quest'ultimo si troverebbe comunque a fidarsi di un computer che risponde sì/no,

E il sistema tradizionale? Cosa offre, e cosa no? È il momento di porsi questo problema. Come ben sa chi si occupa di sicurezza, qualunque sistema nuovo o innovativo presenterà delle debolezze e vulnerabilità che non si sono potute prevedere, proprio perché il sistema è innovativo; in generale, è più sicuro correggere i difetti di un sistema più vecchio, se è possibile, piuttosto che cambiare completamente sistema. Se si cambia sistema, i vantaggi devono essere abbastanza grandi da compensare le nuove vulnerabilità impreviste che certamente emergeranno. Questo è un concetto fondamentale, che troppo spesso viene trascurato.

Vediamo prima i punti sui cui si vogliono valutare i sistemi di voto elettronico.

Economicità. Per quanto riguarda il voto italiano, non sono riuscito a trovare delle valutazioni che, oltre a generiche affermazioni di convenienza, entrino realmente nel merito, ad esempio, della convenienza economica (quello che si potrebbe definire "presentare il business case"). In questo campo, la convenienza o meno è strettamente legata al tipo di consultazione, al paese in cui è svolta ed alle procedure di voto tradizionale che si vogliono sostituire. Spero in che queste valutazioni siano state effettivamente fatte, e che non si sia partiti dall'economicità del voto elettronico come postulato. Nel momento in cui si accetta di non poter rinunciare al seggio elettorale ed alle relative garanzie su libertà e segretezza del voto, direi che buona parte dei potenziali risparmi se ne vanno. Alla gestione e consegna di urne, schede e matite si contrappone la configurazione, installazione e gestione di qualche decina di migliaia di pc, magari in rete e quindi con tutta l'infrastruttura corrispondente, in condizioni di sicurezza... un incubo, come ben sa chi abbia affrontato l'installazione in tempi brevi anche di pochi pc senza requisiti particolari se non la fretta. Si potrebbe eventualmente risparmiare sui tempi di spoglio, ma non credo che sia una differenza significativa, a fronte dei costi introdotti. In effetti, ho visto più spesso commenti che considerano l'introduzione del voto elettronico un costo considerevole, anziché un ovvio risparmio.

Rapidità delle operazioni di scrutinio. È incredibile, ma questo è spesso presentato come uno dei vantaggi principali. Non dovremo più aspettare ore, o a volte anche un'intera giornata, per avere i risultati... non sarà mica un requisito serio? Dobbiamo scegliere chi ci governerà per anni, e dopo l'elezione ci vorranno giorni per l'insediamento e per le varie operazioni e giochi che portano, ad esempio, alla nomina dei ministri, e cambiamo metodo per risparmiare poche ore? Ci prendiamo i rischi di un sistema nuovo per fare sì che la sera stessa le trasmissioni televisive possano fare i loro commenti sui dati reali anziché sulle proiezioni?

Possibilità di consultazioni più frequenti. Si tratta di un cambio di specifiche. Prima si discute se si tratta di un'esigenza e dopo, casomai, si affrontano i costi dell'attuazione.

Possibilità di votare fuori sede. Questo è un principio che capisco. Non dubito che l'Unione Europea sia interessata ad esempio a garantire la possibilità di voto a chi si trova all'estero, visto che favorisce la circolazione dei cittadini fra i paesi dell'Unione. Ha un senso anche la possibilità di votare quando si è al mare, aumentando la percentuale dei votanti anche quando è un finesettimana di bel tempo... se ipotizziamo che effettivamente questa possibilità venga sfruttata, è un punto a favore del voto elettronico. Si noti però che questo richiede un sistema di voto centralizzato con sistemi in rete, eventualmente in tutta Europa, e con procedure più complesse anche per stabilire la scheda da presentare e le modalità di voto da utilizzare. Questo perché deve essere possibile votare ognuno i candidati del propria circoscrizione elettorale, e se queste schede venissero gestite localmente, sarebbe banale capire qual è stato il voto.

Facilità per i disabili. Non riesco ad avere un'opinione sul fatto che usare un touchscreen sia più semplice che usare una matita, anche se è possibile; temo però che si faccia più riferimento al voto via Internet che dalla cabina.

Errori di voto e di conteggio. Per prima cosa mi sembra interessante chiedersi quale sia la rilevanza degli errori. In generale quando si parla di voti si parla di numeri piuttosto grandi: ceintinaia di voti parlando di preferenze in elezioni comunali, fino a milioni di voti in caso di voti ai partiti nelle elezioni politiche. Sembrano invece percentuali abbastanza piccole quelle degli errori (rilevabili), almeno da quello che ho visto nelle ultime elezioni (ad esempio, qui in tutti i Comuni risulta contestata una percentuale di voti contestati inferiore allo 0,1%). A meno che gli errori non favoriscano metodicamente una lista o un candidato, probabilmente in queste condizioni sono statisticamente irrilevanti, nel senso che colpiscono in modo sufficientemente uniforme tutti i candidati, senza quindi influenzare realmente i risultati (i documenti americani sono pieni di casi in cui la differenza di voti fra due candidati è minima, e gli errori potrebbero aver rovesciato il risultato, ma la realtà è che se la differenza di voti è minima, il risultato è sostanzialmente casuale, visto che un'infinità di altri motivi, oltre agli errori, potrebbero aver fatto perdere o vincere quei pochi voti ad un candidato; è inutile cercare una precisione di conteggio superiore a quello che è l'errore intrinseco della consultazione elettorale). Quando però gli errori danneggiano o favoriscono metodicamente un candidato, la questione cambia. Purtroppo non ho dati al riguardo (sarebbe interessante trovarli nelle relazioni su questi temi...), ma da quello che ho sentito le fonti di errori metodici sono principalmente due: la vicinanza di simboli sulla scheda e le similitudini fra nomi e/o simboli. Riguardo alle similitudini fra simboli, credo che un sistema di voto elettronico posa fare molto poco: l'errore è nella testa dell'elettore; per quanto riguarda le similitudini fra nomi, un computer può effettivamente fare dei controlli di consistenza: una volta scelto un simbolo, può presentare solo i nomi associabili a quel simbolo (per certi versi può anche essere una verifica di consistenza sul simbolo scelto). Se vi sono omonimie nella stessa lista, di nuovo si può fare poco. In alcuni casi quindi, un computer può facilmente fare per l'elettore delle verifiche di consistenza che sarebbe difficile proporre a mano.

Riguardo invece agli errori di vicinanza dei simboli, ed agli errori meccanici o manuali in generale, è interessante ricordare il problema che hanno avuto in Florida riguardo alle schede utilizzate per votare; è abbastanza chiaro che il sistema può facilmente essere migliorato per eliminare l'errore (ad esempio con due colonne di fori anziché una), sostituendo poi le punzonatrici difettose o danneggiate. Invece quel caso è stato alla base di molte attività a favore del voto elettronico; come dire: non correggiamo il sistema vecchio, facciamone uno nuovo, più moderno... il moderno attira sempre molto, e una punzonatrice o una matita copiativa sanno così di vecchio...

In ogni caso, un computer potrebbe certamente evitare questo tipo di errore, forzando il voto ad essere chiaramente per un simbolo e una preferenza ben riconoscibili. Si noti però che per fare questo non è neanche lontanamente necessario quell'insieme di procedure che si indicano spesso con voto elettronico: basta che un computer, su indicazione dell'utente, stampi sulla scheda croci e nomi richiesti in modo chiaro e riconoscibile; la scheda poi può, di principio, essere consegnata e conteggiata in modo tradizionale.

Vediamo invece qual è l'effetto del voto elettronico sull'errore. Quello che si dice comunemente è che elimina l'errore, o che cancella l'errore. Io preferisco questa seconda dizione, perché rende meglio l'idea: il voto elettronico non si limita a impedire all'elettore di compiere degli errori, ma rende potenzialmente irriconoscibili quelli che introduce; mentre l'errore della croce scritta a metà fra un simbolo e l'altro si vede, l'errore di conteggio fatto dal software non si vede. Che un sistema di voto elettronico introduca degli errori dovrebbe essere un'ovvietà per qualsiasi informatico: ogni programma contiene errori, e in nessun contesto in cui ci si limiti a valutazioni tecniche si mette in discussione la presenza di errori nel software; solo dove ci sono interessi o motivazioni di altro genere, o eventualmente ignoranza, si prende realmente in considerazione che un programma non banale non contenga errori. Qualsiasi informatico dovrebbe sentirsi in dovere di far sempre presente questo punto, dato che il non informatico tende a subire l'imprinting del "computer infallibile". Al di là del principio generale della fallibilità dei sistemi informatici, già nei pochi casi pratici esistenti si sono visti errori grossolani, ed errori più sottili, come un sistema che toglieva circa un voto su cento ad un candidato. Ci si possono inventare le procedure più sofisticate per verificare e garantire l'assenza di errori, ma una cosa è un modello, un'altra è la pratica. Nella pratica, i sistemi vengono realizzati seguendo una serie di "necessità" e regole non tecniche, che vanno dalla pressione sui tempi ed i costi, alle regole e logiche di assegnazione degli appalti: per ora la poca pratica disponibile ci ha già consegnato forse più casi di fallimenti che di successi. Si deve anche tenere conto del fatto che i requisiti stessi di sicurezza del voto possono rendere difficile analizzare e verificare una segnalazione di sospetta anomalia. Per dare un'idea delle difficoltà, non si possono certo registrare i tasti premuti dagli elettori per verificare poi che all'input corrisponda un voto corretto, o affiancare l'elettore durante il voto in caso di problemi.
Poniamoci ora un problema interessante: un elettore va in una cabina per il voto elettronico, sceglie la lista A e la preferenza B, e preme ok; il sistema gli chiede conferma: "hai scelto la lista A e la preferenza C, vuoi proseguire?". Una situazione di questo tipo può voler dire due cose: o l'elettore aveva premuto il tasto sbagliato, e quindi dovrebbe tornare indietro e correggere, oppure, lui aveva giustamente premuto A e B, ma il sistema ha fatto un errore. Nel secondo caso, ovviamente si deve trattare di un errore che compare raramente, altrimenti sarebbe stato sperabilmente scoperto dai test del sistema. Poco male, potrebbe dire l'informatico: la procedura ha evitato l'errore, e l'elettore torna comunque indietro e ripete. Non credo che sia una posizione sostenibile: se il sistema ha fatto un errore evidente, vuole dire che non è stato verificato a sufficienza, e quindi potrebbe fare altri errori in parti più critiche e meno riconoscibili (ad esempio dopo che l'elettore ha dato conferma), quindi tutta la votazione è a rischio e andrebbe fermata, e rimandata a dopo ulteriori verifiche. Non entro nel merito di come gestire questo problema, che probabilmente finirebbe purtroppo per avere una soluzione molto semplice: basta dire che è "ovvio" che in questo caso non è il sistema che ha sbagliato, ma l'elettore... Anche perché se così non fosse, ogni volta che è realmente l'elettore che sbaglia, dovremmo fermare la votazione, dato che non siamo in grado di distinguere i due casi: il sistema ha sbagliato e l'elettore se ne è accorto (e quindi c'è qualcosa che non va nel sistema), oppure il sistema è nel giusto e l'elettore si è sbagliato (o ha dato un'informazione volutamente falsa). Se l'esempio vi sembra eccessivo, questo documento racconta spiega come negli USA ci sia già stato almeno un caso in cui elettori si sono presentati dopo le elezioni asserendo di comportamenti strani del sistema al momento del voto: è vero, o è solo perché il loro candidato ha perso e vogliono mettere in discussione il risultato? A quanto pare probabilmente è vero, ma comunque non so quale dei due casi sia più semplice da gestire...

Passiamo ora agli errori nello spoglio e nel conteggio dei voti, e alla possibilità di riconoscerli. Nel sistema tradizionale, possiamo distinguere due fasi: il conteggio dei voti fatto nella sezione, e il conteggio complessivo, ad esempio a livello nazionale. Nel conteggio presso la sezione, possono ovviamente essere fatti degli errori, come anche nel computo complessivo; quello che è interessante è vedere come si possono limitare, riconoscere e correggere. Presso la sezione, le procedure prevedono che i conti vengano fatti e controllati da più persone: gli scrutatori, il presidente, gli eventuali rappresentanti di lista, ecc. Il problema è che si tratta di un'operazione meccanica e tediosa, da svolgere secondo procedure pesanti. Si tratta del tipo di attività che l'essere umano tipicamente svolge male e malvolentieri. Devo dire che non ho mai fatto lo scrutatore, ma ho parlato con parecchi che lo hanno fatto, in città diverse, e per quello che ne so, alcuni passaggi delle procedure di scrutinio dei voti vengono trascurati metodicamente per velocizzare le operazioni. Vorrei ribadire che la rapidità di scrutinio mi sembra una richiesta assurda, che mi pare dettata principalmente dalle dirette televisive sul commento ai voti e dalla spettacolarizzazione delle consultazioni elettorali. Ovviamente, non sto dicendo che gli scrutini non debbano essere svolti in tempi ragionevoli, ma qualche ora in più o in meno non dovrebbe fare differenza. Tuttavia, i controlli rimangono numerosi, e le procedure (anche leggendo le "Istruzioni per le operazioni degli uffici elettorali" delle ultime elezioni europee) sembrano fatte in modo sia da ridurre drasticamente gli errori, sia da evitare che possano colpire una lista o un candidato in particolare.Vediamo cosa succede al termine dello spoglio (cito le Istruzioni): "Ultimate le operazioni di controllo dello spoglio, .... il presidente dell'ufficio elettorale di sezione ... dichiara il risultato dello scrutinio della sezione dandone pubblica lettura....". Da questo punto in poi, ogni operazione di conteggio diviene pubblica o pubblicabile, e quindi verificabile. I risultati di ogni sezione si possono riassumenre in pochi Kbyte, e quindi è banale pubblicare i risultati di ogni sezione in un file, sul quale ognuno possa fare i propri controlli, verifiche e valutazioni.

Non mi sembra quindi che le operazioni di scrutinio siano una fonte rilevante di errori, sia perché le procedure, pur non essendo completamente rispettate, li rendono molto difficili, sia perché, anche se ci sono, non dovrebbero colpire metodicamente una lista. Per quanto riguarda la confusione fra i simboli, nessun sistema di voto elettronico può cambiare qualcosa. Per gli altri errori, un sistema di votazione elettronica può introdurre dei controlli di consistenza e la garanzia di un'espressione non ambigua. A questo punto sarebbe interessante avere dei dati sull'incidenza delle schede nulle a causa di errore materiale (e non per volontà dell'elettore), in modo da capire quanto sia rilevante risolvere questo problema, che comunque non richiede un sistema di conteggio elettronico ma può funzionare anche, ad esempio, stampando il voto in modo chiaro sulla scheda (l'idea americana delle punzonatrici non sarebbe neanche male, a parte la realizzazione).

Vale la pena di affrontare con più attenzione la questione dei controlli e delle verifiche, che possono servire anche contro i brogli. Nel sistema tradizionale, un tipo di controllo importante è la pubblicazione e pubblicità dei dati e delle operazioni: le liste degli elettori vengono pubblicate, e tutti possono verificarle. Tuttavia, la pubblicazione serve solo se ci sono delle informazioni esatte con cui confrontare i dati. Questo è uno degli aspetti in cui le differenze di "clima" da Stato a Stato possono fare molta differenza. Ad esempio, se un elettore non viene inserito negli elenchi distribuiti alle sezioni, l'elettore se ne può ovviamente accorgere; più difficile può essere riconoscere se ad un elettore viene concesso di votare in più sezioni, ma di nuovo si tratta di un falso problema, a meno che gli errori di questo tipo diventino numerosi (ma a questo punto diventerebbero facilmente riconoscibili).
In Italia, se un elettore non è inserito negli elenchi, ha una serie di strumenti per richiedere una correzione e poter comunque votare. Se ad un elettore venisse impedito di utilizzare questi strumenti, la cosa sarebbe relativamente facile da rilevare e sanzionare, come anche se ad un elettore venisse impedito presso il seggio di votare o di votare da solo nella cabina. In altri tempi o in altri Stati le cose possono essere diverse, indicando spesso una dittatura camuffata da democrazia. Non credo che sia il caso di porsi qui questi problemi; non perché non siano importanti, ma perché se si arrivasse a questo punto non credo che sarebbe qualche regolamento sulle procedure di voto a fare la differenza, e poi non credo di avere nè le informazioni nè la competenza per affrontare questo tema. Mi limito a ipotizzare che le garanzie attuali siano sufficienti, o che comunque non siano questi gli aspetti toccati dal voto elettronico.
La rilevazione, e quindi la verifica, di un errore nell'espressione del voto non è possibile, a meno che la scheda o il voto non siano conseguentemente nulli (ad es. un voto di preferenza). Questa è una conseguenza immediata della segretezza del voto, e non credo che sia il voto elettronico a poter correggere questo problema (il voto elettronico, come abbiamo visto, può casomai impedire altri tipi di errore).
La parte più interessante è certamente lo scrutinio dei voti; qui al momento abbiamo come strumento di controllo principale... la quantità di occhi che controllano la scheda, e la quantità di teste e fogli che tengono i conti. Le operazioni sono eseguite da più persone, che confrontano i risultati: se corrispondono tutto bene, altrimenti si fanno delle verifiche, ed in caso di contestazioni al momento dello scrutinio si arriva a un "voto contestato", che viene messo in evidenza e verificato per altre vie. Agli occhi che controllano si aggiungono quelli dei rappresentanti di lista nonché, almeno per quanto riguarda la correttezza dei conteggi, quella di qualsiasi elettore della sezione che voglia presenziare alle operazioni (che però non ha titolo per toccare le schede). Nel complesso, quindi, non abbiamo la possibilità per un elettore di verificare che il proprio singolo voto sia stato considerato correttamente nel conteggio, ma abbiamo la possibilità per gli elettori della sezione, nonché per i rappresentanti delle diverse liste, di verificare che le operazioni nel loro complesso siano svolte correttamente.

Questa forma di "audit distribuito" è secondo me uno degli aspetti più importanti a favore del sistema di voto tradizionale. Il cittadino capisce il funzionamento del sistema di voto e di scrutinio; con "funzionamento" non intendo solo "quale tasto premere per esprimere il voto", ma anche cosa succede dentro al sistema prima, durante e dopo il voto. Gli elettori, gli scrutatori e i rappresentanti di lista sono coinvolti nel garantire che il meccanismo funzioni, e sono in grado di riconoscere quando succede qualcosa di strano, ovviamente se informati su quali siano gli aspetti da controllare. Con il voto elettronico, l' elettore sa solo che da una parte lui preme un tasto, e dall'altra parte qualcuno gli dice chi ha vinto. Qualsiasi comprensione di cosa stia relamente succedendo si perde, e la verifica sulla corretteza delle operazioni passerebbe in mano, nel migliore dei casi, ad un'elite di tecnologi; anche se si utilizzassero tutti i vari algoritmi crittografici per fornire garanzie di ogni tipo sul risultato (algoritmi che chiedono comunque al cittadino una fiducia cieca in una serie di strumenti), il cittadino non potrebbe dire di essere realmente consapevole di cosa succede, dato che non ha le conoscenze per capire la logica e la matematica quegli algoritmi. Forse gli stessi politici non sarebbero in grado di tenere sotto controllo il sistema, o di valutare le conseguenze di eventuali modifiche. Una cosa del genere potrà anche andare bene per gli Stati Uniti, dove la percentuale di votanti è bassissima e non sembra che il voto interessi molto (almeno questa è l'impressione che mi da un paese dove vota meno della metà dei cittadini), ma in Italia un passaggio del genere, oltre ad essere pericoloso, porterebbe secondo me ad una minore attenzione per il voto e nel complesso ad un calo dei votanti, al contario di quello che viene proposto come uno degli obiettivi del voto elettronico.

Passiamo adesso alla questione dei brogli. Qui mi scontro subito con un problema fondamentale: non sono riuscito a trovare se non pochi dati sulle tipologie e l'incidenza dei brogli in Italia nelle passate elezioni. Eppure, qualsiasi discorso di sicurezza dovrebbe partire da questo dato. Quando si dice che un sistema di votazione elettronica è più sicuro, bisognerebbe almeno presentare quali sono i brogli attuali e possibili, e come il sistema li evita; sarebbe terribile se il discorso si riducesse a "abbiamo l'autenticazione con smart card e la crittografia a 128 bit". Invece, sembra di vedere quei depliant commerciali in cui dicono che "il firewall protegge la vostra rete", senza dire come e da cosa... con i risultati che sappiamo. Se affrontiamo il problema brogli come affronteremmo un generico problema di questo tipo, vedremmo che mancano, o sembrano mancare, tutta una serie di strumenti e di informazioni. Per prima cosa, manca l'informazione su quali siano i brogli che vengono praticati. Non dico che da qualche parte informazioni al riguardo non ci siano (lo spero, anche se non mi stupirei del contrario); dico che quantomeno non vengono presentate in due contesti fondamentali: quando si racconta al cittadino quali siano i benefici del voto elettronico (e mi sento di sostenere che debba essere il cittadino, e non solo qualche membro di qualche commissione, a poter valutare i benefici del voto elettronico), e quando si informano gli scrutatori sulle attività che devono svolgere presso il seggio. Questa è una carenza molto importante: sono gli scrutatori, e il presidente della sezione in particolare, che devono vigilare sul corretto svolgimento delle operazioni. Come fanno a riconoscere eventuali tentativi di frode, se non gli viene detto quali sono le possibili frodi e come riconoscerle? Ad esempio, nelle Istruzioni per i componenti del seggio elettorale, ci si limita sostanzialmente a indicare in grassetto alcune parti importanti, ad esempio alcune procedure nello scrutinio che devono essere seguite, senza indicare perché sono importanti. Questa impostazione, oltre a ricordare la classica tecnica dello struzzo (dato che sono proprio queste parti in grassetto che, nelle procedure di scrutinio, vengono notoriamente spesso disattese), non prepara i membri del seggio a riconoscere e a reagire alle situazioni in cui, suo malgrado, la situazione non è quella normale. Infine, cosa molto importante, non è previsto che uno scrutatore debba riportare le anomalie che non indichino una frode evidente, ma possano suggerire che sia in corso qualcosa di strano, senza che sia chiaro cosa. Si tratta insomma di quella "segnalazione di sospetti attacchi" così importante per reagire tempestivamente ed efficacemente ai problemi, ma anche per scoprire e studiare le nuove forme di attacco. Il membro del seggio può segnalare di sua sponte nel verbale eventuali anomalie e "comportamenti sospetti", ma dubito che questo accada: se non c'è una forte indicazione a fare queste segnalazioni, le persone hanno generalmente il timore di sembrare paranoiche e di provocare allarme e complicazioni.

C'è tuttavia un periodo della nostra storia in cui ricordo che si è parlato molto di brogli: è stato intorno al 1991, anno in cui è stato proposto il referendum sulla preferenza unica, che ha ottenuto l'abolizione di certe forme di espressione delle preferenze, usate per "codificare" l'identità del votante nel voto e quindi nella scheda. Allora si è discusso molto di brogli e delle diverse tipologie; purtoppo non mi ricordo quanto vorrei, nè sono riuscito a trovare tutte le informazioni che avrei voluto. Sottolineo di nuovo che sono problemi di poco più di dieci anni fa, quindi presumibilmente ancora attuali.
Per discuterne adesso comunque, ci accontenteremo di due tipologie di problema: uno è appunto l'uso delle preferenze espresse per permettere di identificare l'elettore, e quindi il suo voto. Si noti che questo richiede che uno scrutatore o un rappresentante di lista partecipino al broglio, raccogliendo questa informazione al momento dello scrutinio.
Il secondo tipo di broglio è molto interessante ed è stato ripreso da Salvadores nel suo film "Sud", proprio di quel periodo. Dopo che le schede elettorali sono state autenticate, ne viene sottratta una (il "come" è una cosa che forse non serve neanche approfondire). La scheda viene portata fuori dal seggio e consegnata al mafioso di turno. Qui viene espresso il voto gradito, e la scheda viene consegnata a un elettore "da controllare", ad esempio nell'ambito di un'attività di voto di scambio. L'elettore porta con se la scheda quando va a votare, dove riceve una scheda bianca. Nel segreto della cabina, mette in tasca la scheda bianca, tira fuori quella votata dal mafioso, e consegna quest'ultima quando esce dalla cabina. Torna poi dal mafioso con una nuova scheda bianca, da utilizzare per ripetere il gioco. Se fatto con sufficiente celerità, nel giro di uno o due giorni permette probabilmente di controllare parecchie decine o anche centinaia di voti per sezione e per scheda sottratta. Potenzialmente penso che possano essere sottratte più schede; l'importante è che tornino a posto prima dello scrutinio, cosa che con la complicità di uno scrutatore probabilmente non è difficile da ottenere. A dire la verità, non è nemmeno ovvio che la scheda debba tornare a posto: se alla fine manca una scheda, cosa succede? Sapendo che esiste questo trucco, in teoria bisognerebbe probabilmente invalidare la votazione in quella sezione, e far ripetere il tutto. Io in realtà non ho idea di quali siano le procedure quando si sospetti un broglio in una sezione, ma dubito che vengano attivate in questo caso. Abbiamo quindi un'altra caratteristica interessante, che si trova ogni tanto quando si ha a che fare con problemi di sicurezza: non è detto che, riscontrando un'irregolarità, sia possibile ripetere e correggere l'operazione. Dovremmo quindi avere delle procedure molto robuste, in grado di garantire che in caso di fallimento di un meccanismo, ce ne siano altri in grado di sopperire. Abbiamo invece una situazione in cui basta che sparisca una scheda, e decine di voti (che in una sezione possono essere una percentuale significativa, assai più di quella degli errori) possono essere irregolari. Nell'esaminare le Istruzioni, ho trovato due passaggi interessanti per questo aspetto. Il primo è che, qualora un elettore si rifiuti di restituire la scheda (e quindi direi che se la porta via, bianca e autenticata, sotto il naso di tutti) la sanzione è amministrativa, dai 103 a 309 euro; un ottimo affare. Il secondo passaggio è più interessante: quando la scheda viene restituita al presidente della sezione (e non messa direttamente nell'urna, cosa che io invece faccio regolarmente, e quindi potrei tranquillamente mettere un fac-simile) "il presidente verifica se sia quella stessa che aveva consegnato all'elettore". Mi rifiuto di commentare la frase, se non per dire che se fosse possibile questa verifica, ovviamente lo scambio di schede non sarebbe praticabile. Forse l'indicazione suggerisce di verificare che sia una vera scheda elettorale, o forse è una forma rimasta da procedure di voto in cui il controllo era possibile (mi dicono che anni fa le schede erano munite di un tagliando numerato che veniva staccato al momento della riconsegna; se è così, sarebbe interessante sapere perché il tagliando è stato eliminato, dato che avrebbe impedito lo scambio di schede).

Esaminiamo il primo caso, quello delle preferenze usate per codificare un'informazione sul votante. Sembra che sia stato un problema molto grave fino al 1991, tanto appunto da portare ad un referendum che ha di fatto limitato la possiblità dell'elettore di esprimere preferenze, pur di impedire il broglio. Il coinvolgimento (reale e non ipotetico, recente e non lontano) di componenti importanti della Pubblica Amministrazione nei brogli, testimoniato dai processi di quel periodo, è una cosa della quale dovremo tenere conto quando affronteremo il problema del voto elettronico. Sembrerebbe anche banale del resto, visto che lo scopo dei brogli è ovviamente far eleggere personaggi collusi tipicamente con la criminalità organizzata.

Ho già detto che buona parte delle procedure di voto e di scrutinio servono proprio per evitare i brogli, non gli errori; anche questo può sembrare banale, ma quando sento parlare di voto da casa via Internet mi viene il dubbio che viviamo su pianeti diversi. Comunque sia, il primo caso mostra chiaramente un problema nelle ipotesi alla base di alcuni modelli di voto, e cioè che il votante voglia tenere segreto il proprio voto e collabori alle procedure per il suo corretto conteggio: invece, il problema era proprio che l'elettore collaborava con il delinquente nel cercare di rendere riconoscibile il proprio voto, a causa di pressioni esterne. Mostra anche un bellissimo esempio di covert channel, e quindi anche un altro difetto di alcuni modelli: il voto non porta come informazione solo il voto stesso, ma può portare informazioni sul votante, previo accordo; parte del voto è rilevante, parte è usato solo come "informazione di controllo". In effetti, un ulteriore requisito del nostro sistema di voto, elettronico o meno è che:
  • il votante non deve poter rivelare in modo verificabile il proprio voto
Questo è molto diverso dal "dichiarare" il proprio voto (dire "io ho votato per Tizio" non garantisce a Tizio quale sia stato il voto, cosa che invece interessa per il voto di scambio). L'aspetto interessante è che in questo caso il covert channel non è dato dalla scheda, ma dal voto stesso; nessun sistema di voto elettronico potrebbe quindi impedire all'elettore l'uso di questo covert channel; tutto quello che potrebbe impedire è che il canale venga poi letto, ad esempio impedendo a chiunque di vedere le singole schede. Questo sarebbe possibile, direi con un sistema centralizzato in cui non sia possibile alcuna verifica che coinvolga i singoli voti; non credo che un sistema di questo tipo sia auspicabile. Possiamo quindi avere dei brogli che non sono legati alla meccanica del voto, ma al contenuto informativo del voto stesso; questo tipo di problema non è risolto dal voto elettronico.
Questo è ovviamente solo un esempio per mostrare come non sia affatto ovvio che il voto elettronico elimini tutte le frodi, nè soprattutto che elimini quelle più rilevanti. Risulta quindi veramente indispensabile entrare nel merito di quali frodi elimini, quali lasci e quali introduca, per poter valutare l'opportunità di abbandonare il voto tradizionale. Del resto, questo è esattamente quello che succede con ogni meccanismo di sicurezza; non c'è motivo per cui il voto elettronico debba fare eccezione.

Quello dei covert channel e della riconoscibilità della scheda è un punto molto interessante: ogni scheda è diversa dall'altra, ed è una fonte inesauribile di possibili informazioni per il riconoscimento del votante. Il riconoscimento del votante può essere ottenuto in tre momenti: dando al votante una scheda marcata, con una marcatura da parte del votante (o nascondendo l'informazione nel voto, se possibile) e infine marcando la scheda quando viene riconsegnata, prima di inserirla nell'urna (in effetti, per deformazione professionale, il motivo per cui io istintivamente metto personalmente la scheda nell'urna è proprio evitare qualsiasi manipolazione della scheda dopo il mio voto). La marcatura può essere fatta in molti modi, e quindi le procedure dovrebbero rendere difficile non tanto il marcare una scheda (basta un timbro un po' strisciato, o una firma un po' diversa), quanto l'associazione fra la scheda e il votante, che dovrebbe ricevere una scheda a caso... ma nelle istruzioni non c'è niente al riguardo: le schede devono essere messe in una scatola, e da lì devono essere consegnate all'elettore; posso solo sperare che le istruzioni a voce, almeno nelle aree più a rischio, siano più precise; sarebbe altrimenti banale usare anche qui il trucco delle "carte dal fondo del mazzo". Per quanto riguarda quello che succede durante il voto e durante la riconsegna, le cose sono più semplici. Infatti, le istruzioni dicono che le schede sono valide a meno che non "presentino scritture o segni tali da far ritenere in modo inoppugnabile che l'elettore abbia voluto far riconoscere il proprio voto". Di fronte al rischio che i voti vengano invalidati con troppa facilità, si opta (giustamente) per accettare anche le schede in cui la cosa sia dubbia... banale a questo punto segnare la scheda (dopo il famoso referendum, ricordo che girava la voce che agli elettori coinvolti nel voto di scambio venissero dati dei normografi, in modo da rendere riconoscibile anche la singola preferenza).
Non si tratta di un problema di facile soluzione, e bisogna dire che un sarebbe molto utile un sistema che impedisca di consegnare una scheda specifica ad un elettore, che impedisca all'elettore di segnare la scheda, e che infine impedisca di segnare la scheda all'atto della riconsegna. Di nuovo, un sistema in cui una scheda viene presa da una pila (nessuna scelta o marcatura iniziale) viene stampata con la scelta effettuata per conto dell'elettore (nessuna marcatura da parte dell'elettore) e viene consegnata dall'elettore al presidente di seggio, ridurrebbe probabilmente questo problema a dimensioni gestibili, sempre naturalmente che a presidente e scrutatori venga raccontato a cosa devono stare attenti.

Alle frodi descritte se ne aggiungono altre, ad esempio frutto delle nuove tecnologie. Prendiamo i videofonini, ovvero i cellulari con videocamera, e consideriamo la seguente procedura:
  • il mafioso aspetta fuori dalla sezione lo scambista (nel senso dell'elettore coinvolto nel voto di scambio) e gli consegna un videofonino;
  • lo scambista entra nel seggio, riceve la scheda, vota "come si deve" e registra un'immagine della scheda aperta;
  • all'uscita riconsegna il cellulare, o invia l'immagine a un numero prestabilito.

La cosa in realtà sarebbe stata già preticabile con una macchina fotografica usa e getta, anche se in modo meno affidabile (per il mafioso).
Naturalmente il mafioso non ha difficoltà a verificare, direttamente o dai verbali, che l'elettore non abbia poi riconsegnato la scheda come danneggiata per farsene dare un'altra; del resto, credo che nella pratica sarebbero pochi quelli che si prenderebbero il rischio di tentare una mossa del genere.

Potrebbe il voto elettronico evitare questo problema? Non credo: se al momento in cui viene presentato il voto sullo schermo si deve passare ancora una schermata di conferma, una foto non serve a niente (basta fare la foto e poi non confermare), ma un filmato in cui si mostra il voto e la mano che preme OK resta un problema. Ma la domanda è: si può evitare il problema con il voto tradizionale? La risposta è, potenzialmente, sì: basta vietare di portare cellulari, palmari e altri apparati simili nelle cabine; c'è infatti un'apposita circolare del Ministero dell'Interno (76/2003 del 16/05/2003: anche questa recente, a testimoniare che il problema dei brogli è reale). Dato che però non si possono perquisire gli elettori, e dato che un sistema del genere è una manna per il voto di scambio, forse non serve porsi tanti problemi, finché non si risolve questo. Un punto importante però è questo e gli altri brogli che abbiamo visto, per quanto gravi, richiedono che i trucchi siano applicati sezione per sezione, elettore per elettore; potrebbe andare peggio, come vedremo con parlando dei problemi specifici del voto elettronico.

Finora quindi, cosa abbiamo a favore del voto elettronico: una limitata riduzione degli errori, probabilmente trascurabile, la potenzialità di introdurne altri, che non potrebbero essere verificati, e alcune nuove possibilità, come il voto "fuori sede". Abbiamo anche l'eliminazione di alcune tipologie di frode, ma altre rimangono, mentre per la maggior parte non sembrano disponibili informazioni. Io voglio sperare che in realtà il problema dei brogli sia stato affrontato seriamente, anche se non sembra che siano state diffuse informazioni concrete al riguardo. Dovrebbero essere stati quindi esaminati:

  • i brogli possibili e praticati con il sistema attuale;
  • le soluzioni possibili per ridurli ed eliminarli senza passare al voto elettronico;
  • i brogli e problemi che si suppone vengano introdotti dal voto elettronico.

Perché rimane comunque un problema fondamentale che ribadisco: introdurre un sistema innovativo in un'attività così critica è di per sè un grosso rischio, dato dall'incognita delle nuove frodi che saranno certamente possibili, e che non possiamo immaginare a priori nella loro totalità.

A fronte di tutto questo, abbiamo alcuni punti fondamentali a favore del voto tradizionale, primo fra tutti il fatto che tutti i cittadini capiscono come funziona, e sono in grado di capire se viene modificata una procedura in modo insicuro (quantomeno, sono in grado di capirlo se viene spiegato), o se viene seguita male una procedura, in modo da permettere un broglio. Passare al voto elettronico vuole dire togliere tutto dalle mani e dalla testa del cittadino, che diventa un semplice premitore di pulsanti, lasciando tutto in mano ai pochi eletti (non nel senso del voto) che potranno capire come funziona il sistema ed avranno la possibilità di verificarlo.

A questo punto possiamo affrontare i problemi tecnici e implementativi del voto elettronico. Veramente non sarebbe neanche il caso: tutto quanto detto finora mostrerebbe che l'introduzione del voto elettronica sia dannosa, o al meglio dubbia, e che prima di affrontare i problemi implementativi molte questioni andrebbero chiarite, mostrando dei vantaggi effettivi. Parlare dei problemi tecnici potrebbe spostare l'attenzione dai problemi reali, come quando si parla della sicurezza di un'applicazione concentrandosi solo sugli algoritmi di crittografia utilizzati nell'autenticazione. Dato però che gli aspetti implementativi del voto elettronico sono fra più trattati, non si possono trascurare.

Preciso subito che, come detto all'inizio, considero il voto da casa improponibile (quindi il cosidetto voto via Internet); il voto deve avvenire in ambienti che garantiscano un voto "libero e segreto", e la casa o altri ambienti in cui non sia garantito che l'elettore sia solo non danno nessuna garanzia nei contronti del rischio di voto pilotato.

Le possibilità sono quindi:

  • compuer isolati presso il seggio
  • computer in rete locale presso il seggio
  • sistemi in rete geografica che permettano un conteggio ed alcune altre operazioni (o tutte) in modo centralizzato

Un'altra distinzione potrebbe essere se i computer debbano essere fissi in un locale permanentemente adibito a questo uso, o debbano essere installati al momento del voto, come quando adesso si preparano i seggi. Credo che questo secondo caso sia più realistico.

Vorrei precisare innanzitutto che mi rifiuto di prendere in considerazione i risultati "positivi" di piccole sperimentazioni, almeno per quanto riguarda i brogli; solo un idiota, avendo la possibilità di truccare le elezioni, rischierebbe di scoprire i propri giochi durante una sperimentazione. Al massimo si può verificare, con i limiti dati dai piccoli numeri, quanto spesso si guastano i touchscreen e cose simili. Si potrebbe anche verificare se gli elettori riescono ad usare il sistema, e soprattutto se si sentono tutelati, nell'espressione del proprio voto, da questo sistema come o più che con quello manuale; non è una questione trascurabile, indipendentemente dalla validità dello strumento, perché può influire sulla futura propensione al voto... sarei curioso di sapere se questa domanda viene loro fatta.

Vediamo quindi alcuni dei problemi che possono nascere dall'uso di computer e reti. Per prima cosa, dobbiamo immaginarci alcune decine di migliaia di sistemi (uno per ogni cabina), ognuno dei quali deve essere configurato, sigillato, portato presso i seggi, connesso alla rete elettrica e acceso. Il primo problema dopo la distribuzione è, chiaramente, cosa succede quando uno dei sistemi non inizia subito ad operare correttamente. La soluzione ovvia è che venga sostituito, senza rompere i sigilli (sigilli che devono riguardare anche schermo, tastiera e ogni altro componente). Si tratta di un problema organizzativo non da poco, ma senz'altro risolvibile; certamente più costoso della distribuzione delle schede cartacee (le cabine, i tavoli e le urne sono poco critici e immagino che restino normalmente in qualche magazzino dei Comuni, cosa che con i computer ovviamente non si può fare). Il computer deve permettere di esprimere il voto (tastiera o touchscreen) ma almeno la parte in cabina deve essere difficile da danneggiare o manomettere (sarebbe facile altrimenti causare disservizi nelle sezioni in cui è nota la prevalenza di un partito avversario: i tempi per il voto si allungano, qualche elettore si stufa e se ne va). Ci si può chiedere innanzitutto cosa succede quando uno o più computer si guastano durante la votazione: quanti sistemi devono essere disponibili per la sostituzione? Dove devono essere conservati, garantendo che non siano manomessi? Qual è il "tempo di fermo" accettabile, per non rischiare di aver influito sul risultato della votazione? E poi, se un sistema si guasta, come ci si comporta nei confronti dei voti in corso o già effettuati? Come si gestisce il sistema guasto, in modo da evitare che possa essere utilizzato ad esempio per generare voti? Se si comincia a parlare di rete, a questo si aggiungono i problemi di connettività. Non mi dilungo su questo aspetto, è chiaro che le soluzioni esistono, ma non credo che si possa parlare di riduzione dei costi o semplificazione nella gestione del seggio; oltretutto in questa attività (e nel servizio di assistenza continuo durante le votazioni e gli scrutini) deve essere coinvolto personale con una preparazione specifica, almeno per quanto riguarda la connettività (la preparazione per quanto riguarda i sistemi non dovrebbe essere richiesta, dato che vorrebbe dire intervenire sui sistemi stessi, che escluderei). Non credo che un sistema di voto possa prescindere dall'essere in rete, almeno locale: in caso contrario, se il sistema si guasta si rischiano di perdere i voti già generati; in alternativa, si dovrebbero utilizzare ridondanze che renderebbero il sistema ancora più costoso.

Abbiamo poi una categoria di attacchi che non è presente con il voto tradizionale, legata ad esempio all'uso di tecniche "tipo Tempest" per rilevare cosa succede nella cabina (qualcuno suggerisce anche per danneggiare il sistema nelle sezioni in cui è noto che prevale un avversario). È un tema che è stato molto di moda qualche anno fa ma del quale non si parla più molto, anche se in realtà niente lo ha reso meno interessante. Ci dovremmo quindi chedere ad esempio, quanto può essere facile monitorare le informazioni che vengono trasmesse dal touchscreen lungo il cavo quando un elettore sceglie un simbolo, o se è monitorabile lo schermo stesso, e quanto possa essere possibile danneggiare le possibili protezioni in modo non banalmente riconoscibile, o quanto non possa essere possibile addirittura amplificare i segnali. Ad esempio anche sistemi con lo schermo LCD, contrariamente ad una convinzione diffusa, possono essere facilmente leggibili.

Infine, serve qualcosa per abilitare il singolo elettore ad un singolo voto; si può abilitare dall'esterno il sistema ad un singolo voto in modo riconoscibile, ad opera del presidente, o magari si può usare una carta di identità elettronica, cosa che all'elettore può far venire il dubbio che la sua identità venga associata al voto (se non si fida cosa fa, non vota? Probabilmente non vota, il che riduce la percentuale di votanti che, a torto o a ragione, non si fidano dell'operato del governo).

A questo punto si pone il problema ovvio: cosa garantisce l'elettore, e il cittadino in generale, che il suo voto venga conteggiato correttamente, e che sia segreto? L'unica risposta possibile in un sistema di voto elettronico è: " perché te lo dico io". Si può discutere di chi sia l'"io", e di quali procedure debba seguire, ma una cosa è certa: il cittadino non può verificare direttamente il sistema di voto, in particolare per quanto riguarda la segretezza, e in generale non può capire perché funziona. In realtà, nessuno è in grado di garantire che il sistema funzioni, nè che sia esente da trucchi. Vediamo perché. Al centro del tutto c'è ovviamente il software, che può comprendere sia quello "caricato" sul sistema (sistema operativo più l'applicativo che gestisce le operazioni di voto), sia il firmware. In generale, non sappiamo:

  • quale software ci sia effettivamente sul computer;
  • cosa fa il software sul computer

Il primo punto dovrebbe essere gestito installando il software presso un centro "fidato", eliminando poi ogni dispositivo adatto a caricare dati sul computer e sigillando il computer stesso. Abbiamo quindi un primo centro di cui l'elettore si deve fidare.

Tuttavia, prima di essere installato il software deve essere compilato. Anche questa fase è critica: dal compilato ad esempio si estraggono le checksum che possono essere usate per verificare le installazioni, ad esempio dopo il voto in sezioni "contestate". Anche la compilazione deve essere svolta da un centro fidato (sperabilmente almeno da persone diverse da quelle del primo centro).

Infine, deve essere scritto il codice. Questa è per certi versi la fase più critica, perché sappiamo che le possibilità di inserire backdoor nel software sono moltissime, difficili da riconoscere. Sul problema della scrittura del software torneremo dopo; per ora ipotizziamo di avere del software assolutamente sicuro, privo di errori e backdoor (come sorgente), e concentriamoci su queste ultime fasi: compilazione, installazione e sigillatura. Ognuna di queste fasi ha la potenzialità di rendere completamente inutili le garanzie della fase precedente (rispettivamente scrittura del codice, compilazione e installazione), perché in ognuna di queste fasi il sistema può essere manomesso quato basta per truccare la votazione. Naturalmente è possibile aumentare (arbitrariamente) i controlli su queste fasi: gruppi diversi possono compilare lo stesso codice nello stesso ambiente, e devono avere risultati identici; i sistemi installati possono essere verificati a campione (al limite possono anche essere più i sistemi verificati di quelli fatti passare). A questo punto però dobbiamo fare una verifica di realismo: non stiamo discutendo di come potrebbe funzionare il sistema, ma di come funzionerà, e se si sbaglia qualcosa qui (o lo si realizza male nel seguito) non ci giochiamo i voti di una sezione, ma quelli di uno Stato. Questo è uno dei grossi svantaggi, e rischi, del voto elettronico: mentre i brogli tradizionali devono essere praticati sezione per sezione, elettore per elettore, perché dal conteggio in sezione in poi tutte le procedure sono pubbliche e verificabili, qui con un solo colpo ben assestato si possono vincere tutte le sezioni.
Se facciamo la nostra verifica di realismo, non ci dobbiamo immaginare un modello in cui N entità fidate indipendenti confrontano i loro risultati, ma ci dobbiamo immaginare innanzitutto un obiettivo (governare uno Stato) per il quale si spendono ogni anno milioni per campagne elettorali, nonché in altre attività di lobby, o presumibilmente anche meno legali; un obiettivo per il quale si sono fatte guerre e rivoluzioni: anche solo a vederla dal punto di vista economico, il "business case" per cercare di influenzare il processo c'è tutto. E non è che per l'Italia non valga più la pena di fare guerre e rivoluzioni (nè che non ci sia chi sarebbe disposto a farle), è che sperabilmente è un mezzo che al momento non funziona. Non dobbiamo quindi immaginarci N ipotetiche entità indipendenti, ma una realtà in cui certe categorie di appalti pubblici, che sia o meno per merito, vanno ad aziende "prevedibili", e quindi è quantomeno prevedibile quali siano le aziende su cui può interessare investire, se non lo si è già fatto. Non sarebbe difficile, una volta assunto il controllo dell'azienda o di parte di essa, far assumere persone fidate in ruoli chiave a tutti i livelli. Dobbiamo quindi prima di tutto chiederci quanto sia realistico che i poteri che sarebbero interessati ad influenzare il voto rimangano lontani da tutto questo processo di preparazione dei sistemi, che per inciso è probabilmente anche un grosso appalto. Poi ci dobbiamo chiedere di nuovo: ma dobbiamo davvero correre questo rischio? Ne vale la pena?

Veniamo poi al software. Dopo tutti i discorsi fatti, credo che la pubblicità (e pubblicazione) dei sorgenti di tutto il sistema sia un'esigenza ovvia. In realtà dovrebbe essere pubblico l'intero ambiente di compilazione, in modo che possa a sua volta essere verificato e in modo che l'intera operazione e le relative checksum possano essere pubblicamente verificate. Chiaramente qui "pubblicamente" ha il significato limitato che ho già sottolineato, cioè che il controllo passa dalle mani dei cittadini alle mani degli informatici. Spesso, quando i sorgenti non vengono pubblicati ci si barrica dietro "la possibilità da parte di malintenzionati di trovare vulnerabilità e sfruttarle". Questa stessa frase dovrebbe essere la dimostrazione chiara che chi sostiene la segretezza del codice non si illude di poter realizzare un sistema senza errori, e soprattutto senza errori che possano essere sfruttati per influenzare i risultati. Si segue quindi la strada di tenere segreto il codice, nella speranza (e nell'illusione) che gli errori non vengano scoperti, ma spesso anche nell'illusione che il processo stesso di produzione del software non possa essere manipolato. Si toglie quindi definitivamente di mano al cittadino la possibilità di verificare, seppure con grossi limiti, che la democrazia nel suo paese esista ancora, e non sia sparita nelle mani di chi ha comprato i vari pezzi del sistema di produzione del software. In questi casi si parla anche spesso di verifica del software "da parte di esperti riconosciuti vincolati da accordi di riservatezza", allo scopo di garantire la correttezza e indipendenza della verifica pur senza rivelare segreti industriali. Quanto sia altrettanto senza senso questa posizione lo vediamo subito. Adesso infatti affrontiamo i problemi di verifica del codice anche posto che sia pubblico, e quindi sia coinvolto un gran numero di esperti; potremo di conseguenza valutare quanto possa essere completa la verifica da parte di pochi esperti fidati.

Cominciamo con alcuni casi noti.

Alla fine del 2003 viene reso noto che qualcuno ha tentato di introdurre una backdoor nel kernel di Linux: due righe di codice ben camuffato, tanto da sembrare un semplice controllo: l'unica differenza è che c'è un = anziché un ==, ma tanto sarebbe bastato per permettere a chi l'avesse conosciuta di assumere il controllo del sistema partendo da un qualsiasi processo.

Casi analoghi ce ne sono stati parecchi; uno dei più interessanti ha colpito il pacchetto Tcpwrapper nel 1999, e comprendeva l'inserimento di comandi nascosti non (solo) nel codice, ma nel Makefile; nel caso specifico, per avvertire dove veniva compilato il codice, ma non sarebbe difficile ad esempio inserire nel Makefile i comandi per modificare il codice durante la compilazione, aggirando qualsiasi controllo sui "sorgenti" (questo e problemi simili mostrano come sia importante pubblicare l'intero ambiente, librerie comprese).

Gli esempi mostrati sono tutti relativi a software open source o con licenze simili. Semplicemente, nel caso dell'open source, essendo il sorgente pubblico, è più difficile far passare inosservati certi incidenti, e c'è comunque l'abitudine e la tendenza a dichiarare pubblicamente quello che è successo. Nel caso di sorgenti chiusi, la cosa più probabile è che l'azienda che subisce l'attacco passi la cosa sotto silenzio, producendo appena possibile una patch (e lasciando scoperti nel frattempo i suoi clienti).

Quello che ci interessa però non è un confronto fra sorgenti aperti e chiusi per quanto riguarda l'inserimento di backdoor: quello che ci interessa è quanto può essere difficile riconoscerle, anche avendo i sorgenti a disposizione. Basta un =, un comando in un Makefile, un paio di virgolette e il codice cambia completamente. Questo richiede di leggere, capire ed analizzare carattere per carattere tutto il codice: purtroppo temo che solo un informatico (che ha provato a farlo) si renda conto di quanto sia improbo questo compito. Gli stessi sviluppatori quasi sempre trovano queste modifiche con controlli di integrità, o verificando i cambiamenti rispetto alla versione precedente; rileggendo semplicemente il codice l'errore passa inosservato. Ma queste erano backdoor "inserite", non nate insieme al codice perché messe dall'autore. Che un esperto (di cosa poi? di sicurezza, dell'applicazione, di programmazione, o di tutte queste cose insieme?) leggendo il codice riesca a trovare una backdoor ben camuffata dall'autore del codice mi sembra estremamente difficile.

A questo aggiungiamo un altro problema, del quale ho sentito in un incontro di alcuni anni fa sull'uso di software open source nella Pubblica Amministrazione. Si stava discutendo dell'ipotesi che l'uso di software open source garantisse la P.A. contro la dipendenza da un fornitore: avendo la disponiblità competa dei sorgenti, se il fornitore non è più adeguato alle esigenze, è possibile passare ad un altro fornitore, dandogli i sorgenti da modificare/mantenere. L'obiezione che era stata portata, è che una licenza open source è una cosa molto diversa dall'avere software realmente riutilizzabile. Ad esempio, se uno dei tipici grossi sviluppatori italiani fornitori delle P.A. fosse costretto a fornire il software con licenza open source, tutto quello che dovrebbe fare sarebbe scrivere il codice (o parte di esso) in modo illeggibile (pur senza essere "offuscato", cosa che violerebbe i requisiti per la licenza open source), abbastanza da essere completamente inutilizzabile ad eventuali terzi, mantenendo di fatto la dipendenza dal fornitore. L'obiezione mi sembra molto sensata, e senza dubbio si applicherebbe anche al sistema di voto elettronico, sul quale il fornitore vorrebbe mantenere il controllo. Se anche si abbandonasse la strada del codice segreto, ci troveremmo quindi anche di fronte con molta probabilità a del codice volutamente difficile da leggere. Bisognerebbe quindi entrare nel merito di valutare quanto sia o non sia facile verificare il codice prima di accettarlo, in modo da poterlo sottoporre a pubblico scrutino... vi immaginate una cosa del genere, in mezzo alle pressioni di tempi, politiche ed economiche per terminare il progetto? Credo che un risultato decente sia decisamente poco realistico, e se mai ci si arrivasse, non ci sarebbe da stupirsi se "al cittadino" rimanessero pochi giorni per la verifica, prima che il sistema venga utilizzato. Verifica fatta non "dagli elettori", ma dai pochi fra questi che abbiano il tempo e la capacità di esaminare il codice.

In tutto questo discorso, non si deve solo pensare ai sistemi della periferia, ma anche all'eventuale nodo centrale che raccolga i voti e si occupi del conteggio. Immaginiamoci ad esempio un sistema, in periferia o al centro, che quando riceve una certa sequenza di voti (la chiave di attivazione) inizi a conteggiare il 20% di voti in più ad una lista, o ad un candidato, ad esempio il primo della chiave: un sistema di questo tipo passerebbe tranquillamente qualsiasi test funzionale, perché tutto andrebbe bene finché non fosse inserita la chiave giusta. Il problema che ci dobbiamo porre, ed è importante sottolinearlo ancora, non è come si potrebbe scrivere il codice per evitare questi problemi, ma come riconoscere nel codice questi problemi quando sono stati introdotti volutamente: quante persone colluse o ricattate vale il controllo di uno Stato, o anche di una Amministrazione?

Naturalmente non è finita qui. Non siamo nemmeno ancora entrati nel merito delle parti del sistema certamente più studiate, ovvero quelle dell'autenticazione, della protezione del canale, dell'anonimato che consenta comunque una verificabilità dei voti e dei risultati. Qui è dove probabilmente si è lavorato di più, ed è comprensibile, dato che ci si muove "dentro" al sistema informatico, dove i modelli funzionano meglio e dove c'è più esperienza (spesso riducendo la sicurezza del voto al controllo degli accessi da parte di utenti o intrusi). Ma come è ormai sempre più chiaro, la sicurezza è fatta sì di strumenti, ma per buona parte anche di procedure e contesto. Trovo che comunque i dettagli degli algoritmi siano in realtà l'aspetto meno interessante, e che ci si dovrebbe trovare ad affrontare questi problemi solo dopo averne affrontati e risolti, o almeno chiariti, molti altri che ho descritto fino a qui.

E ci sono soprattutto (sì, lo ripeto) i problemi, gli errori e i brogli che adesso non ci immaginiamo neanche, ma che ci sono sempre in un nuovo sistema; al contrario del voto manuale che, con i suoi pregi e difetti, funziona da un po' di anni...

Ma allora, l'informatica non può fare niente per migliorare le procedure di voto e scrutinio? Certamente può fare molto. Una prima cosa che può fare è velocizzare le procedure di scrutinio, riducendo gli errori. Ad esempio, sistemi a lettura ottica (se ne stanno sperimentando) che vengano però in parallelo verificati manualmente dagli scrutatori, eliminerebbero tutte le lunghe operazioni di scrittura, che potrebbero essere svolte (seppure con un log su carta) in modo automatico; questo potrebbe ridurre enormemente sia gli errori di conteggio che i tempi. Guai però a togliere la verifica degli scrutatori e dei rappresentanti di lista, il sistema tornerebbe ad essere critico. Mentre c'è un motivo per non informatizzare il voto, non vedo motivo per non informatizzare il conteggio, pur con tutta una serie di cautele e comunque con dei risultati scritti (stampati) verificabili.

Forse si potrebbe fare di più: all'elettore un computer in cabina presenta la scheda, l'elettore sceglie il voto su un touchscreen e il sistema stampa la scheda; il lettore la controlla a la lascia passare nell'urna (questo è sostanzialmente il "Mercuri method"). Un sistema di questo tipo potrebbe prevenire vari tipi di brogli: non si sa quale scheda andrà in mano all'elettore, la stampante la prende direttamente dalla pila, l'elettore non scrive sulla scheda e quindi non può manometterla, e la scheda può essere messa direttamente nell'urna, senza che venga toccata da nessuno. Schede così realizzate sarebbero molto più facili da leggere automaticamente, e potrebbero avere anche dei codici di controllo per evitare errori di lettura. Naturalmente rimane aperto il problema della videocamera in cabina, e credo comunque che siano questi i problemi che vanno risolti, alla luce delle esperienze italiane, e non quelli degli errori.

Chiaramente soluzioni di questo tipo vanno considerate con cautela, nessuna procedura si improvvisa: i problemi con Tempest ad esempio rimarrebbero, mentre sarebbe meno critico il software del sistema, dato che il voto alla fine è stampato. Bisognerebbe evitare problemi banali, come la riconoscibilità dal suono di cosa la stampante sta stampando, o cosa succede quando una stampante si inceppa, ed evitare "flop" analoghi a quello delle punzonatrici in Florida. Tutte cose su cui mi sembra comunque più semplice e tranquillo lavorare che su un vero sistema di voto elettronico.

Per finire, cosa pensano del voto elettronico le altre persone che si occupano di sicurezza informatica? Ovviamente io non dico niente di nuovo, anzi sono in buona compagnia. Se guardiamo in giro, sembra che siano molte più le opinioni contrarie di quelle favorevoli, il che potrebbe far venire il dubbio che la volontà di introdurre il voto elettronico non abbia molto a che fare con una valutazione oggettiva dei rischi associati; ovvero, che spesso si dia per scontato che il voto elettronico debba essere introdotto e sia certamente meglio di quello tradizionale, e i tecnici siano consultati solo per cercare di renderlo meno rischioso possibile.

Riferimenti (nota: alcuni link e articoli possono essere citati più volte nel materiale che segue; non sono interessanti solo gli argomenti, ma anche quante diverse fonti, anche autorevoli, concordano)

Gli esperimenti in Italia:
http://www.interno.it/news/pages/2002/200211/news_000017722.htm Sembra che avere i risultati in tempo reale sia molto importante...
http://www.interno.it/news/pages/2004/200406/news_000019631.htm Questo ha molto più senso

Il referendum del 1991:
http://www.dirittocostituzionale.mi.it/parlamentare/referendum/referendum.htm
http://www.repubblica.it/online/album/novantunox.html

Il voto di scambio e l'introduzione del 416-ter c.p. con il D.L. 8 giugno 1992, n.306, art. 11
http://www.infoleges.it/Service1/scheda.aspx?id=9326&articolo=52212&service=1&ordinal=0&articolofrom=&articoloto=
http://www.dial.it/progetto_campania/fondcols/colella2.htm
http://digilander.libero.it/buonomo/votoscambio.html
Il problema è noto, ma le soluzioni?
ttp://www.cittadinolex.kataweb.it/Article/0,1519,24051%7C9,00.html
http://news.bbc.co.uk/2/hi/technology/3033551.stm

Un articolo interessante, che sottolinea fra l'altro come il voto a distanza non sia compatibile con la nostra Costituzione:
http://www.diritto.it/articoli/dir_tecnologie/orofino.html

Un sito italiano particolarmente ricco di materiale nella sezione link: http://www.voto-elettronico.it/ È interessante che in http://www.voto-elettronico.it/TERMINI/italians_it.php affermi: " Con le attuali procedure di voto e scrutinio vi assicuro, per esperienza diretta come presidente di seggio, che in Italia per fare imbrogli al seggio ci vuole l’accordo (o l’ignavia) di tutti i componenti e di tutti i rappresentanti di lista"...

Alcuni link in Europa; qualcuno trova dati sulle frodi in uso nei sistemi tradizionali, e che si vogliono evitare? È interessante vedere come i sitemi di voto remoto (via Internet, cellulare, ecc.) non affrontino il problema della libertà dell'espressione del voto
http://www.admin.ch/ch/f/egov/ve/links/links.html
http://www.eucybervote.org/
Questo è il progetto europeo è ancora in corso;   http://www.e-poll-project.net/
TrueVote (mi piace il passaggio della presentazione in cui dice che "Il voto elettronico è reso sicuro grazie alla crittografia"); http://www.true-vote.net/home.html

Le famigerate "butterfly ballot"della Florida: forse alcuni voti "punzonati" per Gore sono andati a Buchanan. Si può fare di meglio?
http://www.andrys.com/vballot.jpg e l'articolo http://www.andrys.com/flballot.html
E gli altrettanto famosi "hanging chad":
http://www.cs.uiowa.edu/~jones/cards/chad.html

Il "Mercuri method":
http://www.redbrick.dcu.ie/~afrodite/E-Voting/Report/node16.html
Una demo di "sistema truffaldino": http://www.wheresthepaper.org/

Horror stories su errori in sistemi di voto elettronico (e ce ne sono ancora pochi, e dovrebbero essere tanto sotto osservazione!).

http://www.verifiedvoting.org/article_text.asp?articleid=997
http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&node=&contentId=A6291-2003Nov5
http://www.newsforge.com/article.pl?sid=03/07/25/1349255&tid=4
http://www.ljworld.com/section/election02/story/103526

E naturalmente, sono strumenti che bisogna imparare ad usare...
http://www.nwfusion.com/news/2003/1112votinmachi.html

Questo sito:
http://www.cs.uiowa.edu/~jones/voting/ ha molto materiale ed
un articolo particolarmente divertente...
http://www.cs.uiowa.edu/~jones/voting/myth-fact-md.html

Commenti sui problemi (reali) legati al voto elettronico negli Stati Uniti

http://www.economist.com/printedition/displayStory.cfm?Story_ID=2374391
http://www.securityfocus.com/news/7728
http://www.blackboxvoting.org/
http://www.wired.com/news/print/0,1294,62109,00.html
http://www.wired.com/news/business/0,1367,62294,00.html
Il rapporto al quale molti si riferiscono:
http://www.raba.com/press/TA_Report_AccuVote.pdf

In Australia sembra che vadano meglio:
http://www.wired.com/news/ebiz/0,1272,61045,00.html

Questo va letto assolutamente: http://techaos.blogspot.com/2004/05/indian-evm-compared-with-diebold.html Si valuta il rischio, si vedono i benefici in un contesto specifico... e si sceglie volutamente una soluzione a bassa tecnologia.

Le posizioni a favore di un voto elettronico "verificabile" sono molte, e secondo me presentano i loro argomenti meglio di chi è genericamente a favore del voto elettronico:
http://www.verifiedvoting.org/
http://www.epic.org/privacy/voting/
Questo articolo merita di essere letto dall'inizio alla fine: http://www.spectrum.ieee.org/WEBONLY/publicfeature/oct02/evot.html
Particolarmente interessante questa, visto che viene da professionisti dell'informatica:
https://campus.acm.org/polls/ ( il link immagino che cambierà) e la pagina dell'ACM sul voto elettronico: http://www.acm.org/usacm/Issues/EVoting.htm

Sembra che in Nevada abbiano usato un log cartaceo: http://www.siliconvalley.com/mld/siliconvalley/9647591.htm ; dato che ci sono stati dei dubbi sulla possibilità di perdita di segretezza del voto, sarebbe interessante sapere come sono realizzati. Dice che il voto è stato senza grossi problemi... problemi rilevabili, si intende. http://www.usatoday.com/tech/news/techpolicy/evoting/2004-09-08-nv-evote-system_x.htm La scelta è dovuta anche a proteste per problemi e conflitti di interesse altre soluzioni; secondo me questo dovrebbe mettere in dubbio il voto elettronico in sè, non far cambiare fornitore.

Una volta adottato il voto elettronico, è chiaro che non conviene mantenere quello cartaceo: http://www.siliconvalley.com/mld/siliconvalley/9662979.htm Saranno più i voti che si guadagnano, o quelli che si perdono?

Ci sono anche posizioni contrarie, secondo il principio che se il sistema attuale non funziona, la soluzione non è correggerlo ma sostituirlo con uno nuovo:
http://www.aapd.com/dvpmain/pollaccess/principlevote.html (interessante l'idea che l'uso di un computer per votare sia meno "discriminante rispetto al livello culturale" di un sistema manuale). Molto più interessante questo: http://www.cpsr.org/conferences/cfp93/shamos.html Credo che sia anche un esempio di come è difficile portare le esperienze di uno stato, positive e negative, in un altro stato; a questo proposito, è interessante notare che a quanto pare contare i voti a mano non è molto diffuso negli USA: http://www.newsaic.com/ftvsnl27-01n.html

Forse si possono migliorare i vecchi sistemi?
http://www.informatics-review.com/thoughts/usability.html
http://jerz.setonhill.edu/design/usability/use-ballot.htm

Aggiornamenti su Tempest
http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-577.pdf
http://www.eskimo.com/~joelm/tempest.html

Siti di personaggi che si occupano di sicurezza ed hanno qualcosa da dire sul voto elettronico:
Avi Rubin: http://www.avirubin.com/vote/ e in particolare http://avirubin.com/vote/ita.challenge.pdf
Ronald L. Rivest: http://theory.lcs.mit.edu/~rivest/voting/index.html
Bruce Schneier:
http://www.schneier.com/crypto-gram-0312.html#9
http://www.schneier.com/crypto-gram-0404.html#4

Backdoor nel software:
http://www.theregister.co.uk/2003/11/07/linux_kernel_backdoor_blocked/
http://packetstorm.linuxsecurity.com/9901-exploits/tcpwrapper-backdoor.txt
http://www.securityfocus.com/news/6671
http://www.securityfocus.com/news/1113

Materiale vario:
http://msnbc.msn.com/id/4274389/
http://www.aceproject.org/main/english/
http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&contentId=A17147-2004Feb5&notFound=true
http://www.leagueissues.org/lwvqa.html
http://news.com.com/2100-1028_3-5227789.html
http://www.comune.torino.it/delibere/2000/2000_09166.html
http://www.diritto.it/articoli/osservatorio_voto_telem/tesimaster.pdf
http://www.ejfi.org/Voting/Voting.htm (le frodi negli Stati Uniti sembrano ben diverse da quelle italiane: da noi, spero, a nessuno verrebbe in mente di accettare l'85% dei voti per posta...)
http://www.redbrick.dcu.ie/~afrodite/E-Voting/Report/report.html



.