Per chi non l’avesse capito, il voto elettronico non mi convince. Mi convince invece lo scrutinio elettronico, se fatto con criterio e con la disponibilità di schede cartacee per la verifica in caso di problemi. Questo articolo mette in evidenza che il problema del voto/scrutinio elettronico non è solo scrivere algoritmi, cosa comunque tutt’altro che semplice, ma realizzare un sistema che abbia determinate garanzie di robustezza e auditabilità. Il passo successivo è risalire alla base del problema di multilateral security, che deve comprendere chi realizza, verifica e gestisce il sistema. Il concetto di “sicurezza multilaterale” è secondo me fondamentale nella sicurezza, eppure i riferimenti a questo concetto sono pochissimi (ad esempio questo), nonostante non sia strettamente legato all’informatica, e non ha neppure un suo spazio su Wikipedia. Il problema di base della sicurezza multilaterale è semplice: quando più entità utilizzano un sistema, queste entità possono avere esigenze di sicurezza diverse, anche contrastanti. Il sistema deve essere quindi progettato in modo da soddisfare tutte queste esigenze o, dove non è possibile, trovare un compromesso concordato fra le esigenze contrastanti. Dovrebbe essere abbastanza evidente che se la progettazione è affidata a una delle parti, è molto probabile che questa tenterà di far prevalere le proprie esigenze, e sarà portata a curare maggiormente gli aspetti di sicurezza che le interessano rispetto a quelli che interessano alle altre parti.
Nella maggior parte dei casi ci si trova proprio nella situazione in cui il sistema è progettato da una delle parti interessate. Un’azienda ad esempio, nel progettare un proprio servizio, tipicamente considererà prima le proprie esigenze, secondariamente quelle dei propri clienti e del proprio personale, e “se ne avanza” quelle di altre parti.
Torniamo adesso al voto elettronico. Spesso alle argomentazioni sulle difficoltà di realizzare un sistema di voto elettronico viene obiettato che se si riescono a progettare sistemi sicuri per, ad esempio, per determinati contesti militari, allora si riuscirà a progettare un sistema sicuro per il voto elettronico, che è un problema decisamente più semplice una volta trovati gli algoritmi adatti. Quello che sfugge a questo ragionamento è che chi dovrebbe sviluppare e (far) gestire un sistema di voto elettronico è parte in causa, e in una logica di sicurezza multilaterale tutela i propri interessi. Nella gestione del progetto di un sistema per il controllo di un missile, non ci sono tante parti in causa: chi gestisce il progetto è chi stabilisce le esigenze di sicurezza. Nel caso del voto elettronico, gli interessi dei diversi partiti, dei cittadini e del governo uscente sono diversi (in generale, solo “i cittadini” sono interessati al corretto funzionamento del sistema, le altre parti sono interessate a vincere le elezioni). Per questo il voto manuale è “gestito” da molte parti, e fra queste i cittadini e i rappresentanti delle diverse liste giocano un ruolo fondamentale nel garantire la correttezza delle operazioni. Un sistema di voto elettronico sarebbe progettato e “gestito” dalla maggioranza in carica, che è una parte in causa. L’interesse del governo o della maggioranza parlamentare non è avere delle elezioni corrette, ma vincere nuovamente le elezioni. Anche volendo dare credito di una grande onestà ad uno specifico governo, sarebbe veramente una pessima pratica basare la progettazione di un sistema su questa fiducia, non fosse altro perché maggioranze e le persone cambiano ma i meccanismi di voto restano. Mentre il meccanismo attuale è un chiaro esempio di gestione della sicurezza multilaterale, con ognuna delle parti in causa coinvolta nella verifica della correttezza delle operazioni, un sistema di voto elettronico sarebbe ad esempio pesantemente influenzato dalla scelta dell’azienda appaltatrice per la fornitura. Anche senza fare della facile ironia sulla gestione degli appalti in Italia, si possono vedere le recenti traversie di Diebold negli U.S.A. a questo riguardo, tanto che l’azienda ha deciso di cambiare nome (del resto, cercando con Google si trovano certo più notizie di fallimenti, spesso per mancanza di controllo sui fornitori degli apparati, che di successi). E sulla rilevanza della maggiornanza corrente si possono vedere le infinite polemiche relative al voto in Florida. Non bisogna dimenticare che il voto non è una semplice procedura di cui bisogna garantire la correttezza: è anche necessario che i cittadini abbiano fiducia nella correttezza del risultato, e qualsiasi cosa mini questa fiducia è estremamente dannosa, a prescindere dalla reale presenza di errori.
Bene, il modello di Chaum sembra avere tante delle caratteristiche che ritengo importanti in un sistema di voto elettronico. La più importante è che l’audit del sistema non è un genetico e del tutto ipotetico “audit del codice”, ma è una ben definita procedura di audit del sistema, in cui sono individuate con chiarezza le proprietà che si vogliono garantire con l’audit (non un generico “corretto funzionamento del sistema”), e il meccanismo si basa sulla corretta implementazione di quelle proprietà, e non di tutto il sistema. L’altro aspetto importante è che l’audit post voto coinvolge tutti i cittadini e tutte le parti in causa, e non un gruppetto di tecnologi ” selezionati”. Si tratta quindi di un sistema che, in un’ottica di sicurezza multilaterale, è decisamente preferibile.
Infine (ma lo devo ancora studiare bene), il meccanismo della doppia scheda sembra offrire la possibilità di sfuggire anche al controllo delle fotocamere dei cellulari, problema che non si risolve certo con la matematica. Per questo servirebbe però anche (e nel frattempo) un po’ di sicurezza fisica. Credo che la prima cosa da fare sarebbe rivedere le cabine elettorali. Lo scopo della cabina non è infatti coprire tutta la persona, ma impedire che si veda cosa sta votando. La cabina non deve essere necessariamente come quella italiana. Anche se ci sono cabine decisamente poco protette, come questa, altre coprono meno la persona, oltre ad avere altri vantaggi (ad esempio questa). Una cabina che copra i lati e la schiena dell’elettore, ma che lasci scoperto l’elettore da metà busto in su, seppure con un piano inclinato che copra la scheda e con una distanza di rispetto davanti perché nessuno si possa avvicinare (magari mettendoci un tavolo per lasciare eventuali borse…) sarebbe probabilmente un deterrente efficace contro l’uso di fotocamere dei cellulari. E’ possibile che la soluzione al problema delle foto sia da richiedere a un falegname, più che a un luminare dell’informatica? Comunque sia, se si vogliono migliorare i meccanismi di voto, algoritmi e computer sono forse una parte della soluzione, ma certamente sempre più spesso anche una parte del problema.