Questa non è un'urna:

A proposito del voto via Internet per l'Assemblée des Français de l’étranger

(questa è la traduzione italiana di “Ceci n'est pas une urne”, l'articolo originale e la sua traduzione in francese sono reperibili presso: https://www.cs.princeton.edu/~appel/urne.html)

di Andrew W. Appel*

Rocquencourt, Parigi – 14 giugno 2006

Riassunto

Lunedì 5 giugno 2006 ho partecipato a una sessione di formazione per i supervisori (assesseurs) all'elezione globale su Internet per l'Assemblée des Francais de l'etranger (Assemblea dei Francesi all'Estero, n.d.t.). L'Assemblea eleggerà a sua volta 12 membri del Senato francese, quindi la legittimità di questa elezione è importante anche per i cittadini residenti in Francia. Ho notato che molti aspetti del meccanismo di questa elezione renderanno impossibile per gli assesseurs certificare con sicurezza che le elezioni siano state condotte in modo veritiero e senza frodi.

Un normale seggio elettorale francese ha molte garanzie, e ognuna di queste garanzie esiste perché, senza di esse, in passato si sono verificati brogli elettorali. Molti Paesi del mondo – non solo la Francia – hanno sperimentato frodi elettorali, e molti paesi hanno protezioni molto simili. Pertanto, è importante che i valutatori possano vedere con i propri occhi che le urne siano vuote all'inizio delle elezioni, perché in passato è già successo che non lo fossero. Essi possono vedere con i propri occhi l'elettore che entra nella cabina elettorale da solo – perché in passato si praticava la vendita e la coercizione del voto. Gli assesseurs possono vedere l'elettore che deposita una sola scheda nell'urna – che sono esse stesse trasparenti per facilitarne il controllo – perché in passato ci sono stati dei brogli. Possono accertare che nessuno, a parte l'elettore, metta la scheda nell'urna, perché un cicalino suona ogni volta che la feritoia viene aperta. Possono controllare che i voti siano contati correttamente alla fine della giornata – vengono conteggiati pubblicamente, perché in assenza di questa misura ci sono state frodi in passato. Ciò che viene contato sono delle schede elettorali cartacee, che possono essere viste e comprese da chiunque.

Quindi, quando gli assesseurs annunciano i risultati alla fine della giornata, questi sono considerati legittimi perché tutti possono vedere e capire ogni fase del processo. Questo processo ha molte salvaguardie. Ognuna esiste perché senza di essa si sono verificate frodi in passato, e ognuna di esse prevede la partecipazione diretta dei valutatori.

Al contrario, il processo di un'elezione via Internet – questa elezione dell'Assemblea – non ha nessuna garanzia direttamente verificabile da parte degli assesseurs. L'elezione è condotta da un sistema progettato da EADS e implementato da Experian in una stanza ad Aix-en-Provence, ed è monitorato a distanza dai assesseurs da una stanza a Parigi. Da Parigi, gli assesseurs vedono un'immagine video proveniente da una telecamera di Aix-en-Provence. Questa immagine presume di mostrare un'urna elettorale – non un'urna fisica, ma una sala computer. I valutatori vedono anche un browser web che dovrebbe mostrare i dati provenienti dai computer di Aix: il numero di voti già presenti nell'urna virtuale, il numero di elettori registrati, il numero di elettori che hanno già votato.

È possibile programmare un computer per simulare quasi tutti i fenomeni. Un software può eseguire un'elezione regolare così come una fraudolenta. Ogni voto espresso su Internet è ricevuto ed elaborato da un software su un server web di Aix. È molto facile scrivere un software che, quando riceve un voto per il candidato A, depositi nell'urna un voto per il candidato B. Gli assesseurs non hanno modo di sapere quale software sia installato sui computer di Aix, perché EADS ritiene che il software sia un segreto industriale e non vuole mostrarlo agli assesseurs. Anche se EADS glielo avesse mostrato, gli assesseurs non avrebbero avuto modo di sapere se il software presentato fosse lo stesso installato sui computer di Aix-en-Provence.

Nel 2003, l'esercito americano ha commissionato lo sviluppo di un sistema di voto via Internet per consentire ai soldati statunitensi lontani da casa di votare alle elezioni presidenziali del 2004. Prima delle elezioni, l'esercito ha nominato un gruppo di esperti per valutare il sistema prima del suo utilizzo.

Questi esperti hanno redatto un rapporto, il “rapporto SERVE”(www.servesecurityreport.org), che conclude che che ci sono troppi problemi con il voto via Internet: in particolare la vulnerabilità delle macchine client al dirottamento del voto da parte di dei virus, la vulnerabilità dei server e l'impossibilità generale per i valutatori di sapere cosa fa il software. Sulla base del rapporto SERVE, l'esercito americano ha deciso di abbandonare il voto via Internet. In qualità di esperto di sicurezza informatica e tecnologie di voto credo che sia stata una decisione saggia.

Introduzione

Lunedì 5 giugno 2006 ho partecipato a una sessione di formazione a Parigi presso il Ministero degli Affari Esteri francese, vicino all'Arco di Trionfo. Lo scopo dell'incontro era quello di formare gli assesseurs ufficiali dell'ufficio centrale di voto (bureau de vote) di un'elezione condotta via Internet. Tra il 6 e il 18 giugno i cittadini francesi che vivono all'estero (in Europa, Asia e Medio Oriente) voteranno per i loro rappresentanti (conseillers) in un'Assemblea di 155 persone. I rappresentanti dell'Africa e delle Americhe sono stati eletti nel 2003 e lo saranno nuovamente nel 2009.

L'Assemblea rappresenta gli interessi dei cittadini francesi all'estero presso il governo francese, ed elegge anche 12 senatori per il Senato francese, che ha potere sulle leggi e sul governo della Francia.

Come funzionano le elezioni normali in Francia

Come nella maggior parte delle democrazie, la Francia ha leggi specifiche che regolano il funzionamento dei seggi elettorali (bureaux de vote). Ci sono gli assesseurs (che in diversi Stati americani si chiamerebbero “pollworkers” o “election judges”) (”rappresentanti di lista” in italiano, n.d.t.) che sono fisicamente presenti nei seggi per tutta la giornata elettorale e sorvegliano le elezioni per assicurarsi che si svolgano in modo legale e senza imbrogli.

La maggior parte delle elezioni francesi si svolge con schede cartacee. A differenza degli Stati Uniti, dove gli elettori segnano con la matita un'unica scheda prestampata, in Francia viene data loro la possibilità di scegliere tra più schede prestampate, ognuna preparata da ciascun partito politico. L'elettore porta almeno due di queste schede nella cabina elettorale (isoloir), ne mette una sola nella busta ufficiale, esce dalla cabina elettorale e deposita la busta contenente la scheda (bulletin) nell'urna. Il termine francese urne deriva dal latino urna “vaso, recipiente”. I Romani votavano lasciando cadere piccole palline in vasi di terracotta. Oggi in Francia l'urne è una scatola con serratura e una fessura sulla parte superiore. L'elettore non fa alcun segno di matita sulla scheda, e infatti qualsiasi segno di questo tipo, per legge, la invalida. Questo potrebbe sorprendere un elettore americano: come può l'elettore francese votare per il Presidente, il Rappresentante, il Senatore, il Sindaco, il Governatore, lo Sceriffo e Accalappiacani tutti insieme con questo sistema? Ma la Francia non ha un sistema federale come gli Stati Uniti, e si vota solo per una cosa alla volta: c'è un'elezione per il Presidente, un'altra per il Parlamento e un'altra per il Consiglio comunale. Quando c'è una sola contesa sulla scheda elettorale, il metodo di selezionare una scheda da uno dei vari mucchi di schede prestampate funziona benissimo.

I segni di matita su una scheda potrebbero essere utilizzati da un elettore per identificarsi, dimostrando a un capo politico locale (ipoteticamente) corrotto come ha votato.

Ceci n'est pas une urne Ceci n'est pas une urne

Presumibilmente, la Francia (come gli Stati Uniti) ha avuto problemi nella sua storia con l'acquisto di voti e la coercizione, e ha istituito procedure per evitarlo: il voto segreto, in cui nessun altro può vedere come si è votato e non si può dimostrare come si è votato nemmeno volendo.

Come in ogni elezione ben condotta con schede cartacee, gli assesseurs sorvegliano le urne tutto il giorno per assicurarsi che nessuno inserisca una scheda quando non dovrebbe. All'inizio della giornata verificano che l'urna sia vuota. Nella maggior parte dei Paesi questo avviene aprendo l'urna, ma in Francia l'urna è trasparente! Questo esempio di trasparenza nelle procedure elettorali è molto eclatante: gli assesseurs possono controllare il contenuto dell'urna dall'inizio alla fine. È chiaro che ciò risponde al fatto che la Francia (come gli Stati Uniti) deve aver avuto in problemi in passato con il pre-riempimento delle urne e altre forme simili di imbroglio. (Gli americani potrebbero chiedersi: “Ma i giudici elettorali non possono vedere ciò che è segnato sulle schede in un'urna trasparente? Ma ricordate che l'elettore mette la sua scheda in una busta prima di depositarla).

Alla fine della giornata elettorale, i voti vengono contati. Questo viene fatto dai cittadini in piena vista degli assesseurs, che sono i rappresentanti dei partiti politici. Un mio collega in Francia (quest'anno sono in visita all'INRIA, il laboratorio nazionale di ricerca informatica francese) racconta che una volta, mentre votava a tarda ora, è stato invitato a rimanere per aiutare a contare i voti. L'urna viene aperta e il suo contenuto rovesciato sul tavolo, le buste vengono aperte una per una e si contano le schede. Queste elezioni sono facili da contare a mano, dato che c'è solo una contesa sulla scheda. Non raccomanderei questo metodo per un'elezione americana in cui ce ne sono molte. La scansione ottica con riconteggi manuali in distretti selezionati a caso credo siano il metodo migliore in quel contesto. Questo conteggio dei voti con i rappresentanti di tutti i partiti presenti è esattamente quanto avviene negli Stati Uniti nei riconteggi manuali. Chiaramente la Francia (come gli Stati Uniti) ha avuto in passato problemi di corruzione nel conteggio dei voti.

A differenza degli Stati Uniti, la Francia non ammette il voto in assenza (vote par correspondance) in una normale elezione. A quanto pare, in passato le schede di assenti erano associate a problemi di imbrogli (o vendita di voti, o coercizione).

Alla fine della giornata elettorale, gli assesseurs scrivono e firmano un procès-verbal, cioè una dichiarazione scritta dei risultati dell'elezione presso questo bureau de vote e della loro personale constatazione se l'elezione si è svolta senza brogli e secondo le normali procedure.

Mi sono dilungato in questa lunga digressione sul metodo con cui si svolgono le elezioni normali in Francia solo per illustrare che la legge francese prevede molte regole specifiche su come si svolgono le elezioni con scheda cartacea e su come gli assesseurs devono svolgere il loro lavoro.

Ma l'incontro a cui ho partecipato lunedì per gli assesseurs riguardava come imparare a svolgere il loro lavoro in un'elezione condotta via Internet. Come si può immaginare, le procedure sono un po' diverse.

Voto via Internet per l'Assemblée

Gli aventi diritto al voto per queste elezioni sono oltre 500.000. Nell'elezione dell'Assemblée del 2006, ogni cittadino ha la possibilità di votare di persona presso un consolato francese all'estero, per posta fisica o via Internet. Al 6 giugno, circa 28.000 elettori avevano scelto di votare via Internet, pari a circa un terzo dell'affluenza tipica per le elezioni. Ogni Paese o regione del mondo ha i propri rappresentanti; per esempio, gli elettori francesi provenienti dai Paesi scandinavi sceglieranno uno tra le varie liste di candidati specifiche per quell'insieme di Paesi.

Come in ogni elezione, il compito degli assesseurs è quello di supervisionare l'elezione e assicurarsi, con i propri occhi, che ogni elettore sia legittimo, che ogni elettore legittimo abbia l'opportunità di votare, che ogni elettore depositi un voto – e non più di uno – nell'urna, che non vi siano manomissioni dell'urna durante le elezioni, che il contenuto dell'urna sia vuoto all'inizio delle elezioni e che il contenuto dell'urna sia accuratamente contato alla fine delle elezioni. Il 5 giugno, il giorno prima dell'inizio delle elezioni, si è tenuta una sessione di formazione per gli assesseurs. Gli istruttori di questa sessione erano tre ingegneri dell'EADS, l'azienda che ha prodotto il software e costruito le apparecchiature, e uno di Experian, l'azienda a cui è stato affidato l'appalto. EADS è un grande azienda europea in campo militare e aerospaziale; Experian è una filiale di “soluzioni informatiche” di una grande azienda britannica.

Ho partecipato alla sessione di formazione come osservatore, non in veste ufficiale. Durante la formazione sono state spiegate diverse cose: Come gli elettori si erano già registrati per il voto via Internet; come gli elettori avrebbero interagito con il sistema; l'architettura generale dell'installazione di Aix-en-Provence (nel sud della Francia); e l'interfaccia utente con cui gli assesseurs di Parigi potessero monitorare le elezioni che si svolgevano nell'impianto di Aix. In realtà, lo scopo principale dell'incontro è stato quello di spiegare l'interfaccia utente, attraverso una serie di diapositive in PowerPoint.

Come ci è stato spiegato, prima delle elezioni ogni elettore visita un sito web per scaricare un'applet Java che sarà l'interfaccia utente per il voto. In quel momento viene testata la compatibilità della macchina dell'utente, del sistema operativo e della macchina virtuale Java. L'utente può essere avvisato di scaricare la macchina virtuale Java, oppure può essere avvisato che il suo sistema non è compatibile e che deve trovare un altro computer su cui votare o di ricorrere a uno degli altri due metodi (di persona o per posta) per votare.

Viene utilizzata un'applet Java, anziché un normale HTTP, in modo che il voto possa essere crittografato e poi firmato prima di essere inviato su un canale SHTTP (sic, n.d.t.). Crittografare il voto e firmarlo sul computer del cliente dovrebbe garantire la segretezza e l'autenticità del voto. Spiegherò nel seguito perché non è possibile per gli assesseurs valutare se l'applet Java garantisca effettivamente la segretezza e l'autenticità.

L'applet Java, in esecuzione sul computer dell'elettore, trasmette la scheda a un server web di Aix-en-Provence. Ci sono diversi server di questo tipo in funzione in parallelo, tutti nella stessa stanza sicura. In questa stanza si trovano anche un computer con un database dell'elenco degli elettori aventi diritto (il computer Liste), un altro computer con un database contenente i voti già espressi (il computer Urne), e un terzo computer contenente il software per la gestione delle elezioni (il cimaomputer Supervision).

In una stanza a 760 chilometri di distanza, in un edificio del Ministère des Affaires Etrangères in un quartiere molto carino di Parigi, ci sono molte altre macchine. Questa è la stanza utilizzata dagli assesseurs. Una di queste macchine è collegata tramite VPN (rete privata virtuale) alla macchina della Supervisione ad Aix, e quindi tutti i PC in questa stanza a Parigi sono collegati in rete (con vari router e firewall) alle macchine di Aix.

La sessione di formazione si è svolta nella stessa stanza che gli assesseurs avrebbero utilizzato effettivamente, così ho potuto vedere di persona le macchine e i cavi di Parigi. Non ho visto la sala di Aix, ma me ne hanno parlato gli ingegneri di EADS ed Experian. Alla sessione di formazione di lunedì c'erano circa otto assesseur; la maggior parte di loro non sembrava essere esperta di tecnologia. Sono stati invitati a visitare Aix, ma era abbastanza chiaro che nessuno di loro aveva intenzione di farlo.

Sui PC di Parigi c'è un'interfaccia utente basata sul browser Microsoft Internet Explorer, che presume di mostrare i dati trasmessi dalla macchina della Supervisione di Aix.

Scrivo “presume” perché, dal momento che io e gli assesseurs siamo seduti in una stanza a Parigi, è impossibile per noi sapere quale sia la fonte dei numeri visualizzati sullo schermo. Tutto ciò che abbiamo è la garanzia dei quattro ingegneri che gestiscono la sessione di formazione. Così come non ho modo di essere sicuro che i dati provengano da Aix-en-Provence, non ho nemmeno elementi per sospettare che non provengano da Aix. Continuerò a scrivere “presumere” per indicare che “questo è ciò che ci è stato detto”.

Dal momento che gli assesseurs sono tenuti a firmare un verbale che attesta che hanno visto l'urna vuota, una delle schermate disponibili attraverso l'interfaccia utente ha lo scopo di mostrare il numero di schede registrate nel database dell'Urne. All'inizio del periodo elettorale, gli assesseurs devono verificare che l'urna sia vuota; quindi sono interessati a vedere che questa schermata dell'interfaccia riporti 0 voti nell'Urne. C'è anche una videocamera che presume di mostrare la sala di Aix su uno schermo a Parigi, perché una delle cose che gli assesseurs sono tenuti a verificare è “chi ha accesso alle urne?”.

Ci è stato spiegato lo scopo di diverse altre schermate dell'interfaccia del browser web. Gli assesseurs hanno l'opportunità di interrogare il database degli elettori eleggibili, di vedere quali elettori hanno votato e quali no, di vedere quali elettori hanno intenzione di votare via Internet. Possono anche vedere il formato delle schede elettorali presentate agli elettori in ogni distretto elettorale (ogni Paese o regione).

C'è anche una schermata chiamata Supervision che può “controllare l'avanzamento sonoro delle elezioni” (contrôler le bon déroulement de l'élection). Apparentemente questo include controlli di coerenza sul database Liste, controlli di coerenza sul database Urne, coerenza tra l'elenco degli elettori che hanno presentato formalmente il loro voto (émargement) e il numero di voti nell'Urne, e così via. Questa schermata, come le altre, presume di mostrare il funzionamento dei programmi informatici di Aix.

Sembra “ovvio” che il computer web-server di Aix abbia il compito di “aprire le buste” e “depositare i voti nel database dell'Urne”. I computer fanno qualunque cosa per cui siano stati programmati: un programma di computer, scritto da un dipendente di EADS e in esecuzione sul computer del server web, ha il compito di decifrare i messaggi ricevuti dalle macchine degli elettori e di e, a sua volta, trasmettere i messaggi all'Urne. Il messaggio trasmesso all'Urne può corrispondere o meno al voto ricevuto dall'elettore – dipende da come è scritto il programma. Questo programma fa un lavoro accurato e fedele di interpretazione delle schede elettorali? Non si può dire solo eseguendo dei test prima delle elezioni, perché è facile scrivere programmi per computer che si comportano in un modo prima del 12 giugno e in un altro dopo.

Si potrebbe pensare che l'esame del programma informatico sia utile per verificare che interpreti accuratamente i voti. Ma agli assesseurs non viene data la possibilità di esaminare questi programmi informatici, con la motivazione che si tratta di segreti commerciali. Anche se potessero esaminarli, può essere estremamente difficile capire cosa fa un programma per computer in ogni possibile circostanza: in particolare, se contenga bug involontari o frodi deliberate che alterino i voti ricevuti via Internet dall'applet Java in esecuzione sui computer degli elettori.

Anche se gli assesseurs potessero esaminare i programmi e comprenderli, è estremamente difficile sapere se si tratta del programma effettivamente in esecuzione sul computer di Urne. Se avete un computer davanti a voi, potete chiedergli di stampare i programmi installati sul disco rigido, ma si sta chiedendo a un programma di computer installato sulla macchina di leggere il disco rigido, e non si sa se il programma stia dicendo la verità. È possibile aprire la macchina e rimuovere il disco rigido, per leggerlo da un altro computer di cui ci si fida: in questo modo si sa che cosa c'è sul disco rigido, ma non si sa se il software nel BIOS del computer (che si trova in un altro punto della scatola rispetto al disco rigido) stia effettivamente eseguendo il programma dal disco rigido o stia eseguendo un altro programma. E non c'è bisogno di dire che gli assesseurs non sono invitati a venire ad Aix con un cacciavite e smontare il disco rigido del computer Urneper esaminarlo.

Lo stesso vale per l'applet Java in esecuzione sul computer dell'elettore. Non è stato mostrato agli assesseurs il codice sorgente di questo programma. I periti non hanno modo di sapere direttamente che questo programma gira effettivamente sulla macchina dell'elettore.

In effetti, nemmeno gli ingegneri di EADS ed Experian sanno cosa sia in esecuzione sulla macchina dell'elettore. Al massimo possono sapere quale programma Java viene inviato all'elettore.

Ma non possono sapere se la Java Virtual Machine (il programma del computer nel browser dell'elettore che sia stata danneggiata da un virus. Eventuali falle di sicurezza nel sistema operativo o nel browser web dell'elettore, ovvero virus e spyware che possono aver infettato il computer dell'elettore, possono alterare il comportamento dell'applet Java. Questo significherebbe che l'elettore vedrebbe sul proprio schermo che le caselle sono selezionate per una particolare lista di candidati, ma il voto effettivo inviato potrebbe essere molto diverso.

Gli assesseurs non possono vedere l'elettore entrare in un isoloir (cabina elettorale) perché non c'è un isoloir. In realtà, l'elettore può facilmente vendere il proprio voto – o essere costretto – perché un'altra persona può vederlo mentre vota.

Infatti, nel 2003 le forze armate statunitensi hanno commissionato lo sviluppo di un sistema di votazione via Internet, il “Secure Electronic Registration and Voting Experiment (SERVE)”, per consentire ai soldati americani lontani dai loro Stati di origine di votare alle elezioni presidenziali del 2004. Prima delle elezioni, l'esercito ha riunito una commissione di esperti per valutare il sistema prima di utilizzarlo. Questi esperti hanno prodotto un rapporto, “Rapporto SERVE” (www.servesecurityreport.org) in cui si conclude che ci sono troppi problemi con il voto via Internet – in particolare, la vulnerabilità dei computer client al dirottamento di voti tramite di virus, la vulnerabilità delle macchine server e l'impossibilità generale per i valutatori delle elezioni di sapere cosa fa il software. Sulla base del rapporto SERVE, le forze armate statunitensi hanno deciso di abbandonare il voto via Internet e non hanno utilizzato il sistema SERVE nelle elezioni presidenziali del 2004. In qualità di esperto di sicurezza informatica e di tecnologia di voto, ritengo che sia stata una decisione saggia.

I francesi colti capiscono la differenza tra l'oggetto e l'immagine dell'oggetto, come dimostra il famoso dipinto dell'artista belga René Magritte, “Il tradimento delle immagini”. Si tratta di un dipinto realistico di una pipa da tabacco, con la scritta sulla tela “Ceci n'est pas une pipe” (questa non è una pipa). La rappresentazione della cosa non è la cosa – o forse si intendeva dire che i nomi che scegliamo per le cose sono arbitrari.

Gli assesseurs di una normale elezione francese vedono con i loro occhi un'urna elettorale fisica. Possono toccarla con le loro mani per assicurarsi che non sia un miraggio. Possono vedere e sentire ogni elettore avvicinarsi all'urna e depositare una busta. L'immagine di un'urna francese che ho mostrato è, mi dicono, l'aspetto reale dell'urna. Ma l'immagine non è la realtà.

Quando gli assesseurs dell'Elezione dei Consiglieri all'Election des Conseillers à l’Assemblée des Français vedono lo schermo di un computer a Parigi che dice “0 voti nell'urna”, non vedono un'urna elettorale. Stanno vedendo una rappresentazione, a Parigi, che pretende di essere una comunicazione da una macchina di Supervisione di Aix, che a sua volta pretende di essere connessa a una macchina Urne di Aix, che a sua volta afferma di far girare un certo software. Gli assesseurs non vedono nemmeno una rappresentazione o un'immagine di quel software, in quanto è ritenuto segreto commerciale. Gli assesseurs non vedono l'elettore avvicinarsi all'urna; in realtà, non c'è alcun modo per sapere che il voto registrato dall'elettore sia effettivamente trasmesso al server web di Aix, o che il server web di Aix trasmetta con precisione il voto all'Urne.

Il chiaro consenso degli esperti di informatica di tutto il mondo che hanno studiato questi problemi è che non ci si può fidare delle elezioni via Internet, per tutte le ragioni che ho spiegato: gli elettori e i partiti politici non possono controllare il funzionamento del software e dell'hardware che serve per il voto. Pertanto non mi è chiaro come gli assesseurs possano firmare qualcosa che non sia un'immagine surrealista di un vero e proprio procès-verbal.


* Informazioni sull'autore: Andrew W. Appel è professore di Informatica presso l'Università di Princeton nel New Jersey, USA. Da luglio 2005 a luglio 2006 è visiting professor presso l'Institut National de Recherche en Informatique et en Automatique, il laboratorio nazionale francese di ricerca informatica, a Rocquencour, Francia. Il professor Appel svolge attività di ricerca e di insegnamento sulla sicurezza informatica e ha tenuto un corso a Princeton sulla storia e la tecnologia del voto.