Votare online è una cattiva idea? Sì. Ed è pericoloso. Vi spiego perché
Io ve ne parlo adesso, proprio perché in questo periodo se ne parla poco. Siamo lontani da pressioni e da agende politiche che lo riguardino, questo per non schierarmi con nessuno se non con la logica e con la sicurezza informatica, che è la mia unica stella polare.
In Alaska e in Estonia il voto via Internet esiste già, e a chi non è esperto sembra una cosa buona: comodo, veloce, moderno. Ma dovete sapere che il voto via Internet è pericoloso per la democrazia perché sposta il rischio dove non lo controlliamo più. Dal seggio, che è pubblico e verificabile, a casa nostra, su un dispositivo privato, dentro Internet, contro avversari che possono attaccare da lontano e su larga scala.
Primo problema: il dispositivo. Smartphone e computer non sono strumenti elettorali. Sono pieni di app, permessi, estensioni, tracciamenti. Possono avere malware e spyware. Non serve rompere la crittografia: si interviene prima, si cambia la scelta prima dell’invio, si mostra a schermo ciò che l’elettore si aspetta. L’elettore è convinto. Il sistema registra altro.
Secondo problema: il luogo. Il seggio fisico non è folclore. Protegge la segretezza e riduce la coercizione. A casa o al lavoro questa protezione sparisce: pressioni familiari, pressioni economiche, voto di scambio. Nessun protocollo impedisce a qualcuno di guardarti lo schermo o di chiederti una prova.
Terzo problema: la scala. Con la carta, un attacco di massa richiede persone, logistica, rischio, e lascia tracce. Online l’attacco è remoto e scalabile. Un singolo attaccante può colpire molti voti insieme. Qui cambia la natura del rischio.
C’è poi il punto più sottovalutato: il riconteggio. Nel voto cartaceo, se qualcosa non torna, si riaprono le urne e si ricontano le schede. Nel voto via Internet non c’è niente di certo da ricontare. Non ci sono schede fisiche, ci sono dati, bit, log, già passati attraverso software e sistemi che potrebbero essere stati alterati. Se l’alterazione è avvenuta prima o durante l’invio, quel voto è già “nato” sbagliato. Il riconteggio rischia di ricontare solo l’errore.
L’Estonia viene citata come modello universale, ma non lo è. È un paese piccolo, con una storia e una struttura dello Stato che hanno spinto molto sull’identità digitale e sui servizi online. In un paese grande, con milioni di elettori in più, territori diversi, infrastrutture diverse, minacce diverse, la superficie d’attacco cresce e cresce anche la complessità politica e tecnica della gestione delle contestazioni. Se funziona lì, allora funziona ovunque? È sbagliato. C’è un dettaglio che molti saltano: quando l’infrastruttura di identità ha avuto una vulnerabilità ampia, l’uso è stato sospeso e gestito come emergenza. Se identità e voto sono legati, una falla di identità diventa una falla democratica.
Come dimostriamo in caso di anomalia che il voto non era veramente il nostro, senza distruggere la segretezza del voto?
Il voto deve essere controllabile da tutti, deve essere fisico, verificabile anche da chi non capisce informatica. Portarlo su Internet sposta il controllo su codice, infrastrutture, supply chain e attacchi remoti. È un rischio strutturale. Non è un bug da sistemare.
