Il metodo Mercuri per il voto elettronico

Prendo spunto dalle discussioni recenti sul voto per le primarie nel New Hampshire. A quanto pare si sono diffuse voci sul fatto che i risultati delle primarie in quello Stato sarebbero state “hackerate”, ovvero ne sia stata manipolata la parte automatizzata. C’è addirittura un video su Youtube. I dubbi deriverebbero da una discrepanza considerevole fra i risultati dei conteggi fatti a mano e quelli fatti a macchina. Una volta tanto sembra non si stia parlando di voto elettronico ma di scrutinio elettronico. La maggior parte delle voci è concorde nel dire che una manipolazione “elettronica” del voto non è possibile perché le schede cartacee sono ancora lì, pronte per essere ricontate. Così qualche candidato ha cominciato a chiedere di ricontarle. Prima di discutere la questione del cosidetto “paper trail”, vorrei sottolineare come in questo periodo negli USA, in Italia e nel mondo è difficile sentire parlare di elezioni senza sentire accuse di brogli. In questo clima, la credibilità del processo di voto è critica, come anche la capacità di dimostrare agli elettori non che i brogli non ci sono stati, ma che non sono stati possibili. Ricordo di nuovo le accuse di manipolazioni dei conteggi complessivi alle ultime politiche italiane: il fatto che ci siano stati un conteggio e una raccolta manuali e che le schede fossero disponibili per la verifica ha fatto sì che alla fine i dubbi siano stati sostanzialmente fugati. In questo periodo, passare a sistemi di voto in cui l’elettore si deve fidare della parola di un tecnico (“le macchine non sono manomesse, ve lo garantisco io anche se non siete in grado di capire il perché”) mi sembra particolarmente inopportuno; è importante che l’elettore sia in grado di comprendere di persona perché il suo voto è conteggiato correttamente. Parliamo comunque adesso del paper trail, ovvero della traccia cartacea del voto, e ne parliamo in riferimento al metodo di voto che più di tutti esemplifica questo concetto, ovvero il metodo Mercuri.

Ultimamente mi è capitato in più di un’occasione di discutere di questo metodo, e quindi ho pensato che valga la pena di parlarne in modo un po’ più approfondito. Il nome del metodo deriva da Rebecca Mercuri, che lo ha concepito nella sua tesi di Ph.D. Si tratta di un sistema cosiddetto di Voter Verified Paper Audit Trail, traccia cartacea verificata dal votante. Il metodo Mercuri è alla base di molti dei sistemi di voto elettronico attualmente studiati e con caratteristiche di sicurezza decisamente migliori della maggior parte di quelli attualmente in uso. È stato concepito da Rebecca Mercuri, una ricercatrice di Harward.

La sostanza del metodo è questa. Un computer permette all’elettore di esprimere il proprio voto, ma quando il voto è espresso, anziché registrarlo semplicemente, stampa una scheda cartacea; la scheda cartacea viene mostrata all’elettore attraverso un vetro, in modo che la possa verificare ma non manipolare. Se l’elettore conferma che quello sulla scheda è il voto che ha espresso, allora la scheda viene lasciata cadere in un’urna e il voto viene (anche) registrato in memoria. In caso contrario, la scheda viene distrutta e l’elettore può correggere la propria scelta. In questo modo l’elettore è garantito del fatto che ha visto una scheda cartacea con il suo voto correttamente registrato andare nell’urna, come nel voto tradizionale, scheda che potrà essere usata per verifiche a campione o per un riconteggio. Questo metodo apparentemente è ideale: l’elettore può avere tutto il supporto possibile dalla macchina per evitare errori (preferenze dove non ci vanno ecc.), la scheda è stampata e quindi molto più anonima di quelle scritte a mano, il conteggio è veloce come per il voto elettronico, il conteggio manuale è possibile, togliendo criticità a quello elettronico e alla sua manomissione, e durante il riconteggio manuale gli scrutatori non hanno la possibilità di manomettere le schede con segni o simili, dato che sarebbero riconoscibili rispetto alla stampa originale. Idealmente, protegge anche dalle fotocamere dei cellulari, dato che l’elettore può fotografare la scheda e poi eliminarla. In realtà è da vedere se il fatto di scartare una scheda, evento che difficilmente non è rilevabile da chi è nei locali in cui avviene il voto, non viene rilevato come tentativo di barare nel voto di scambio. Per migliorare ulteriormente la protezione in questo senso, visto che adesso sono comuni anche le videocamere nei cellulari, il fatto che scheda e schermo siano sempre in posizioni fisse permette probabilmente di realizzare le postazioni di voto in modo che il voto rimanga comunque segreto ma nello stesso tempo l’elettore sia almeno parzialmente in vista, in modo che se si mette a fare cose strane possa essere individuato. Ad esempio, il pulsante per accettare il voto potrebbe essere in vista, cosa che renderebbe complesso filmare e accettare il voto contemporaneamente; non dimentichiamo che il problema del voto filmato con il cellulare per garantire il voto di scambio non è un problema destinato a sparire da solo, ma anzi a peggiorare. Infine, la scheda bianca potrebbe comunque essere marcata come tale, evitando il rischio che possa essere “votata” successivamente (problema se non sbaglio ventilato alle ultime politiche italiane).

Quali sono i limiti? Il primo è comune a tutti gli apparati elettronici, ovvero le emissioni: il cosiddetto effetto Tempest. In pratica, computer e monitor quando sono attivi emettono delle radiazioni elettromagnetiche, e queste emanazioni variano in funzione di quello che l’apparato sta facendo. Da tempo si sa che è possibile ricevere a distanza anche di decine di metri queste emanazioni e, in molti casi, capire che cosa sta facendo l’apparecchio. In alcuni esperimenti è stata riprodotta fedelmente a distanza l’immagine che appariva in quel momento sul monitor. Per chi pensa che sia fantascienza, suggerisco di leggere questo rapporto su come questo effetto sia stato utilizzato per mostrare una vulnerabilità di alcune macchine per il voto elettronico in Olanda, permettendo di riconoscere a distanza, e con un’apparecchiatura artigianale, quando veniva scelto un certo partito.

Un altro punto di attenzione riguarda l’ordine delle schede e la possibilità di utilizzarlo per riconoscere il voto. Da questo punto di vista bisogna ad esempio fare attenzione che la stampa non possa essere alterata dal software del sistema: basta qualche pixel modificato per permettere di riconoscere la sequenza dei voti in un modo non rilevabile a occhio nudo, e dalla sequenza dei voti e dal registro dei votanti è possibile risalire a chi ha votato chi. Marcature simili potrebbero poi essere già presenti sui fogli, magari in colori tenui per non essere visibili, sullo stile delle marcature che alcune stampanti metterebbero sui fogli per permettere di riconoscerne l’origine. Meglio, la rilevazione di marcature e anomalie dovrebbe essere parte delle verifiche a campione, dato che l’ipotesi è di poter non fidarsi del software del sistema.

Insomma, le possibilità di frode ci sono, ma il sistema sembra offrire molti più appigli di altri nell’affrontarle… una volta individuate 😉 E sembra anche offrire qualche possibilità concreta di ridurre le frodi esistenti, anziché generiche affermazioni sulla “maggiore sicurezza del voto elettronico”. Con qualche difficoltà tecnica: è certamente un sistema più complesso e delicato di molti altri. E naturalmente con alcune cautele, in particolare per quanto riguarda la catena di custodia delle schede votate (secondo il video di Blackboxvoting, tanto per cambiare qui negli USA sono carenti).

This entry was posted in ict, Sicurezza, Varie. Bookmark the permalink.