L'amministrazione federale, malgrado il ripetersi di attacchi hacker ad ogni livello, vorrebbe accelerare il processo di digitalizzazione dell'andata alle urne. In alcuni cantoni - come Ginevra e Basilea - si è già proceduto in questo ambito. In altri, come i Grigioni, si è da poco creata la base legale per muoversi in questa direzione mentre nel Canton Uri l'e-voting sarà tema di discussione nella prossima seduta di Gran Consiglio. Un passo che non s'ha da fare afferma il Chaos Computer Club. Manuele Ferrari ha chiesto al portavoce della sezione svizzera del gruppo hacker - che si muove nella legalità e nell'interesse della popolazione - per quale motivo.
Hernâni Marques, per quale motivo il Chaos Computer Club è contrario all'e-voting?
Noi dobbiamo innanzitutto riflettere attentamente su cosa stiamo facendo quando andiamo alle urne. Cosa accade con il pezzo di carta? Sulla scheda c’è una croce, oppure un Sì o un NO, a dipendenza dell’oggetto di voto. Questo passo, credo, lo comprendono tutti. Poi si possono dare questi pezzi di carta ad un bambino e lui li conta. Un secondo bambino fa la stessa cosa e siamo d'accordo che così funziona. Se qualcuno dovesse parlare di complotti – come già successo anche in Svizzera – i voti si possono ricontare. E questo perché si ha la carta in mano. Cosa facciamo invece con computer? Per le votazioni elettroniche così come originariamente introdotte in Germania, sono state sostituite le urne con uno schermo, e un PC. Le persone davano la loro indicazione di voto schiacciando sullo schermo. E un hacker necessita di poco tempo per immaginare cosa si possa fare per falsificare il risultato… Ad esempio far sì che quando un votante schiaccia SPD venga dato il voto alla CDU. Via Internet, se la Svizzera dovesse decidere di introdurre l'e-voting, o meglio l'internet-voting, il problema diventa ancora più grande. E questo perché mettiamo il sistema in rete. www.evote-ch.ch è a disposizione di tutto il mondo! Se guardiamo nel mercato nero, troviamo falle informatiche che si possono comperare. Si schiaccia un bottone e ci si trova al interno di un sistema! Chiaramente noi del CCC non lo facciamo, ma ipoteticamente, se un malintenzionato ha tempo e denaro a sufficienza può fare molti danni. E questo noi non lo possiamo accettare. Un sistema informatico sicuro non esiste e il cittadino, con l’e-voting, non è più in grado di capire cosa stia facendo. Si deve immaginare che una persona getta la propria lettera in una scatola nera gigantesca e qualcosa succede. Naturalmente si può dire che il voto per corrispondenza sia altrettanto attaccabile, ma proprio perché abbiamo a che fare con un numero relativamente alto di persone che lavorano alla posta, noi - come club - non crediamo che sia così semplice bloccare così tutto il suo funzionamento e creare una manipolazione a livello nazionale. A livello locale si possono certamente fare diverse cose - come si può fare anche direttamente alle urne. Imbrogli di questo genere avvengono sempre, ma si vedono. E poi è possibile che da una parte si manipoli in una direzione, dall'altra in un'altra così che nel suo complesso il risultato è corretto - se si fa uso della carta. Con i PC è uno scenario di tutt'altro genere. In teoria dal divano di casa è possibile attaccare un sistema, o anche centinaia di sistemi. Si può falsificare tutto quando una persona non ha il controllo del macchinario. Abbiamo una catena di cose di cui non ci si può fidare: schermo, tastiera, cavi tanto per citarne alcuni. Inoltre tutto l’hardware è cinese anche se c'è scritto Intel o Apple. Inoltre abbiamo una centralizzazione fortissima, ossia le piattaforme sono a Ginevra o in un centro di calcolo della Posta, in cui lavorano pochissime persone. Vuol dire che l'accesso è permesso a pochi eletti che possono però avere grande influsso sul risultato. In Svizzera, durante una giornata di voto, la responsabilità dell’esito delle urne è suddiviso sulle spalle di oltre 70'000 persone. Personalmente mi fido di più di 70'000 persone che di un solo centro informatico. Anche perché chi si trova dietro ai PC si deve fidare di macchinari e tecnologia non suoi, che non capisce. E il risultato non si può ricontrollare in caso di dubbio. Il sistema è costruito per essere perfetto, e questo è un grattacapo, perché non è possibile. E poi in Svizzera, al momento, ci sono sei cantoni che votano elettronicamente facendo capo al sistema del Canton Ginevra. Ma non so se questo procedimento sia legale. In genere si vota nel proprio comune di domicilio. I server del voto elettronico, ad esempio di Basilea città, si trovano in un altro cantone… Un aspetto che andrebbe approfondito anche questo.
La mancanza di fiducia nel sistema, dunque, è da ricondurre al fatto che non è possibile dimostrare che sia stato compiuto un imbroglio...
Esattamente, e questo è un problema gigantesco. Già la sola dichiarazione che vi sia stato un imbroglio – anche da parte di qualcuno al di fuori della Svizzera nei media – creerebbe gran scompiglio. Se si comincia a mettere in dubbio i risultati, ci ritroviamo nella stessa situazione degli Stati Uniti e delle accuse contro la Russia. Ancora siamo su uno scalino più basso, ma la discussione base è se possiamo ancora credere al risultato uscito dalle urne o meno. E questa è la cosa peggiore, perché in questo modo viene a mancare la fiducia nella democrazia. Per questo motivo è necessario riflettere attentamente su cosa facciamo. Se dopo ogni votazione dobbiamo discutere se la Russia, la Cina, gli Stati Uniti o un sedicenne qualunque ha acquistato sul mercato nero una falla informatica e attaccato la Svizzera, non è dove vogliamo andare a finire. E che gli attacchi sono una realtà, si sa. E se si può falsificare un voto, se ne possono falsificare anche 100, 1000, 10'000. E tutti stando seduti comodamente sulla poltrona di casa. È questa la grande differenza rispetto alla carta, dove bisogna metterci mano, bisogna organizzare persone, e per aver effetto serve un gran numero di persone. E poi ci sono nazioni come Cina, Francia o USA - e questo è documentato - che hanno gruppi di hacker al soldo dello Stato. La NSA ha il gruppo PHO che non fa altro che trovare accessi nei sistemi di sicurezza. Se la Svizzera abbia un gruppo simile, non lo so, ma che la NSA abbia piani sul come pilotare impianti industriali e sistemi di e-voting è un dato di fatto. Stando ai documenti resi pubblici da Edward Snowden e wikileaks, se esistono 10 sistemi per attaccare un sistema informatico, vengono usati tutti e 10. I più costosi solo se questo è proprio necessario. Una via costosa, ad esempio, è inserire delle microspie direttamente nell'hardware. E questo attraverso il controllo delle spedizioni postali. Il pacco con un pc arriva alla frontiera. Viene aperto, inserita la microspia, richiuso e rimesso in moto, senza che chi riceve il pacco se ne renda conto. Tutte cose già successe.
Fino a qui i pericoli. Ma voi come intendete muovervi, ora, per rendere attente le autorità dei pericoli che l'e-voting porta con sé?
Innanzitutto abbiamo contattato la Cancelleria federale. La loro reazione non è stata positiva, malgrado tutto quanto abbiamo raccontato loro, tutte cose che siamo in grado di dimostrare. Noi valutiamo il pericolo dell'e-voting semplicemente in modo completamente diverso, rispetto a loro. Nel frattempo la nostra posizione viene però condivisa. Ad esempio c'è il sito www.noevoting.ch gestito da un ex militare dell'esercito svizzero che afferma che è completamente assurdo credere di poter garantire la sicurezza dell'e-voting, un sistema civile, viste le difficoltà per proteggere i sistemi militari. E a questo proposito, lui ha redatto un documento che spiega come l'e-voting corrisponda alla fine della democrazia. Oltre a dimostrare quali sono tutti i problemi che internet porta con sé, noi del CCC abbiamo la possibilità di contestare i risultati delle urne, o meglio dei risultati usciti dai voti consegnati alle urne in modo elettronico. E con un lungo processo, portare le nostre contestazioni anche in tribunale. E in tutti i cantoni. E i tribunali dovranno rispondere alla domanda se è possibile avere fiducia nel sistema oppure no. E a questa risposta siamo interessanti, perché ad esempio in Germania, nel 2008, il Chaos Computer Club ha colpito e dimostrato come il sistema fosse manipolabile. E l'anno seguente è stato deciso di abolire il voto elettronico. Per questo motivo si è deciso che il sistema per votare e per controllare i voti – in Germania – deve essere fatto in modo che ogni singola persona sia in grado di comprenderlo. Perché solo in questo modo il singolo è in grado di avere fiducia nel sistema. E questa potrebbe essere una via da seguire anche qui in Svizzera.
Ma avete intenzione di compiere qualche attacco pure voi?
No! Anche se nel CCC ci sono zone d'ombra, dove ci siamo mossi forse non nella legalità più completa, non abbiamo pianificato azioni illegali. Siamo a disposizione per compiere attacchi a sistemi, ma su richiesta. E questo per dimostrare che attacchi sono possibili e che possono avere conseguenze. Ci sono molte altre vie che si possono seguire, come l'iniziativa popolare - visto che le votazioni sono un problema politico. Si potrebbe ad esempio pensare ad introdurre nella Costituzione federale l'obbligatorietà di comprendere il processo dello scrutinio dei voti senza la necessità di aiuti esterni o conoscenze specifiche nel ramo della tecnica, analogamente a quanto fatto in Germania. Il problema dell'amministrazione federale è che è confrontata con questo tema da ormai 17 anni. Posso capire che perderebbe la faccia, se ora dovesse decidere di rinunciare all’e-voting. Ma se ci guardiamo attorno, ci sono altri paesi che hanno rinunciato a questa via. La Germania, nel 2009, ha eliminato tutti i pc presenti nei centri di voto. I computer si trovano ora nei magazzini del Chaos Computer Club e li usiamo per giocare a scacchi. Una perdita, per il governo tedesco di dozzine di milioni di euro. La Norvegia, dopo 10 anni di test sull’e-voting ha deciso che il processo democratico digitale è troppo pericoloso e quindi ha rinunciato. E la Norvegia è un paese sempre all'avanguardia per quanto riguarda la tecnologia e la digitalizzazione. La stessa cosa è successa da poco anche in Finlandia, dove lo scorso dicembre il governo ha consigliato di rinunciare all'e-voting perché il pericolo è stato valutato troppo elevato. A questa conclusione dobbiamo arrivare anche qui in Svizzera: Consiglio Federale e Amministrazione Federale devono ammettere di aver sbagliato, di non aver tenuto sufficientemente conto dei pericoli e abbandonare il progetto. E lo diciamo noi, che amiamo la tecnica, il mondo dei computer, e li studiamo. Ma ci sono momenti dove bisogna tirare una linea e dire STOP! Qui è troppo pericoloso. L'impresa non vale la resa. Una centrale nucleare, in Svizzera, non è collegata a internet. Anche perché le conseguenze, se qualcuno riuscisse ad assumere il controllo da fuori e muovere le barre di uranio, sono incalcolabili. Potrebbe di fatto scomparire tutta una regione della Confederazione. E anche i lavori di manutenzione vengono svolti da diverse persone contemporaneamente e sempre in loco. Centrale atomica e democrazia chiaramente non sono la stessa cosa ma sono entrambe cose che appartengono ad una dimensione che non si può più valutare. Se parliamo di soldi, un imbroglio attraverso l'e-banking si può monetizzare. Se qualcuno mi ruba la password di twitter o entra illegalmente nel mio account di posta elettronica ne va della mia reputazione o perdo soldi. Se il danno è sistemico all'interno di una banca, questa è assicurata. Una centrale atomica collegata ad internet non l'assicura nessuno. Lo stesso vale per la democrazia. La certezza che non avvengano imbrogli non l'assicura nessuno. Stiamo parlando di chi saranno ad esempio le prossime persone che siederanno nel Consiglio Nazionale, se avremo un paese più di destra o di sinistra. Tutti rischi che non si possono assicurare e che non si vogliono correre.
Ambiti in cui una digitalizzazione ha senso, in ambito politico, ce ne sono?
Si, ad esempio per la raccolta firme per referendum o per un'iniziativa, a partire dal livello comunale, su su fino a quello federale. Qui siamo favorevoli perché il rischio è di tutt'altro genere. Qui il pericolo maggiore è che si raccolgano troppe firme, che ci sia un numero maggiore di iniziative che vengono portate davanti al popolo. Ma da un lato si potrebbe aumentare il numero minimo necessario per renderle valide e dall'altro, essendo queste note, per i comuni è possibile effettuare controlli, ad esempio chiamando telefonicamente le persone e chiedere se veramente hanno firmato un’iniziativa. Un processo costoso, certamente, ma fattibile. Nel caso si dovesse avere il dubbio di un possibile broglio, il tutto può poi essere bloccato, verificato, e semmai si riparte da zero. E per finire, anche nella peggiore delle ipotesi, sarebbero ancora i cittadini, penna e scheda alla mano, a decidere del loro esito. O ancora si potrebbe lavorare su piattaforme che permettano ai cittadini di aiutare i parlamentari nello svolgimento dei loro lavori, la Liquid Democracy. Di possibilità ce ne sono moltissime. E tutte molto meno pericolose dell’e-voting.
Manuele Ferrari
%20--%3e%3csvg%20version='1.1'%20id='Layer_1'%20xmlns='http://www.w3.org/2000/svg'%20xmlns:xlink='http://www.w3.org/1999/xlink'%20x='0px'%20y='0px'%20viewBox='0%200%20138.2%2048'%20style='enable-background:new%200%200%20138.2%2048;'%20xml:space='preserve'%3e%3cstyle%20type='text/css'%3e%20.st0{fill-rule:evenodd;clip-rule:evenodd;fill:%23AF001E;}%20.st1{fill-rule:evenodd;clip-rule:evenodd;fill:%23FFFFFF;}%20%3c/style%3e%3cpath%20class='st0'%20d='M0,48h138V0H0V48z'/%3e%3cpath%20class='st1'%20d='M9.3,31.7l-0.4,2.7C8.8,35,9,35.2,9.5,35.3c2,0.2,4,0.3,6.1,0.3c5.6,0,9.7-1.8,9.7-7.1c0-3.1-1.3-5.4-6-6.6%20l-2.6-0.7c-1.8-0.5-2.6-1-2.6-2.3c0-1.9,1.7-2.2,3.3-2.2c2.2,0,4.4,0.2,5.3,0.2c0.9,0.1,1.2,0,1.3-0.8l0.4-2.6c0-0.1,0-0.2,0-0.3%20c0-0.1-0.1-0.2-0.1-0.3s-0.1-0.1-0.2-0.2c-0.1,0-0.2-0.1-0.3-0.1c-2-0.2-4.1-0.3-6.1-0.3C11.8,12.4,9,14.9,9,19c0,3.6,2,5.8,5.4,6.7%20l2.6,0.7c2.1,0.6,3,1.2,3,2.5c0,2-1.3,2.3-4.6,2.3c-1.5,0-4-0.2-4.9-0.3C9.6,30.9,9.4,31,9.3,31.7'/%3e%3cpath%20class='st1'%20d='M36.4,23.6l-0.3,1.5C36,25.4,36,25.6,36,25.9c0,0.4,0.1,0.8,0.4,1.1l4.2,7.6c0.1,0.3,0.3,0.5,0.6,0.7%20c0.3,0.2,0.6,0.2,0.9,0.2h3.8c0.5,0,1.1-0.3,0.5-1.2l-5.1-8.6c1.7-1.1,3.6-2.6,3.6-6.1c0-4.4-2.5-6.9-7.9-6.9h-7.8%20c-0.7,0-0.9,0.2-0.9,1v20.8c0,0.7,0.2,1,0.9,1h3.2c0.7,0,0.9-0.2,0.9-1V16.8h3.3c2.1,0,3.1,0.8,3.1,2.8c0.1,0.6,0,1.2-0.3,1.6%20c-0.3,0.5-0.7,0.9-1.3,1.1C37.1,22.7,36.8,22.3,36.4,23.6z'/%3e%3cpath%20class='st1'%20d='M66.1,34V22.7c0-0.7-0.2-1-0.9-1h-5.8c-0.7,0-0.9,0.2-0.9,1v2.5c0,0.7,0.2,0.9,0.9,0.9h1.7v5%20c-0.6,0.1-1.1,0.1-1.7,0.1c-4.8,0-6-3.1-6-7.4c0-5.4,2-6.8,6.5-6.8c1.3,0,3.1,0.1,4.1,0.2c1,0.1,1.2,0,1.3-0.8l0.4-2.5%20c0.1-0.7,0-1-0.8-1.1c-1.8-0.2-3.6-0.3-5.4-0.2c-8.2,0-11.6,4.3-11.6,11.3s2.7,11.9,11.3,11.9c2,0.1,4,0,6-0.4%20C65.9,35.2,66.2,34.9,66.1,34'/%3e%3cpath%20class='st1'%20d='M74.9,31.7l-0.4,2.7c-0.1,0.5,0.2,0.7,0.6,0.8c2,0.2,4,0.3,6.1,0.3c5.6,0,9.7-1.8,9.7-7.1c0-3.1-1.3-5.4-6-6.6%20l-2.6-0.7c-1.8-0.5-2.6-1-2.6-2.3c0-1.9,1.7-2.2,3.3-2.2c2.2,0,4.4,0.2,5.3,0.2c0.9,0.1,1.2,0,1.3-0.8l0.4-2.6c0-0.1,0-0.2,0-0.3%20c0-0.1-0.1-0.2-0.1-0.3s-0.1-0.1-0.2-0.2c-0.1,0-0.2-0.1-0.3-0.1c-2-0.2-4.1-0.3-6.1-0.3c-5.8,0-8.6,2.6-8.6,6.6%20c0,3.6,2,5.8,5.4,6.7l2.6,0.7c2.1,0.6,3,1.2,3,2.6c0,2-1.3,2.3-4.6,2.3c-1.5,0-4-0.2-4.9-0.3C75.3,30.8,75,30.9,74.9,31.7'/%3e%3cpath%20class='st1'%20d='M93.1,31.7l-0.4,2.7c-0.1,0.5,0.2,0.7,0.6,0.8c2,0.2,4,0.3,6.1,0.3c5.6,0,9.7-1.8,9.7-7.1c0-3.1-1.3-5.4-6-6.6%20l-2.6-0.7c-1.8-0.5-2.6-1-2.6-2.3c0-1.9,1.7-2.2,3.3-2.2c2.2,0,4.4,0.2,5.3,0.2c0.9,0.1,1.2,0,1.3-0.8l0.4-2.6c0-0.1,0-0.2,0-0.3%20c0-0.1-0.1-0.2-0.1-0.3c-0.1-0.1-0.1-0.1-0.2-0.2c-0.1,0-0.2-0.1-0.3-0.1c-2-0.2-4.1-0.3-6.1-0.3c-5.8,0-8.6,2.6-8.6,6.6%20c0,3.6,2,5.8,5.4,6.7l2.6,0.7c2.1,0.6,3,1.2,3,2.6c0,2-1.3,2.3-4.6,2.3c-1.5,0-4-0.2-4.9-0.3S93.1,30.9,93.1,31.7'/%3e%3cpath%20class='st1'%20d='M120.2,23.6l-0.3,1.5c-0.1,0.3-0.1,0.5-0.1,0.8c0,0.4,0.1,0.8,0.3,1.1l4.2,7.6c0.1,0.3,0.3,0.5,0.6,0.7%20c0.3,0.2,0.6,0.2,0.9,0.2h3.8c0.5,0,1.1-0.3,0.5-1.2l-5.1-8.6c1.7-1.1,3.7-2.7,3.7-6.1c0-4.4-2.5-6.9-7.9-6.9H113%20c-0.7,0-0.9,0.2-0.9,1v20.8c0,0.7,0.2,1,0.9,1h3.2c0.7,0,0.9-0.2,0.9-1V16.8h3.3c2.1,0,3.1,0.8,3.1,2.8c0.1,0.6,0,1.2-0.3,1.6%20c-0.3,0.5-0.7,0.9-1.3,1.1C120.9,22.7,120.6,22.3,120.2,23.6'/%3e%3c/svg%3e)