Il Voto Elettronico

Sono fermamente contraria all'impiego di qualsivoglia sistema interamente elettronico o basato su Internet per l'utilizzo nell'ambito di una votazione segreta o per applicazioni di conteggio dei voti. Le ragioni della mia opposizione sono molteplici, e sono espresse nei miei scritti come in quelli di altri stimati esperti di sicurezza informatica. Per riassumere brevemente il mio parere (basato su quasi due decenni di ricerca) in merito a tale questione affermo quanto segue:

• I sistemi interamente elettronici non offrono alcun mezzo tramite il quale l'elettore possa veramente verificare che il voto da lui espresso corrisponda a quanto registrato, trasmesso, o conteggiato. Qualunque programmatore è in grado di scrivere codice che mostra una cosa sullo schermo, ne registra un'altra, e ne stampa un'altra ancora. Non si conosce alcun sistema che consenta di assicurarsi che questo non avvenga all'interno di un sistema di voto.

• I sistemi di voto elettronico privi di singoli tabulati che possano essere esaminati da parte degli elettori, non forniscono una possibilità di verifica indipendente (nonostante il produttore affermi il contrario). Al pari di tutti i sistemi di voto (in particolare quelli elettronici) sono soggetti ad errori, e la possibilità di effettuare in alternativa un riconteggio manuale dei voti è fondamentale.

• Nessun sistema di voto elettronico è stato certificato per soddisfare anche il più basso degli standard internazionali di sicurezza informatica o del governo degli Stati Uniti (come ad esempio la norma ISO Common Criteria o la sua antesignana, TCSEC / ITSEC), né gli è stato mai nemmeno richiesto di conformarsi con essi. Quindi, nessun attuale sistema di voto elettronico è stato regolarmente convalidato come sicuro.

• Non viene richiesto di seguire alcuno standard nel mostrare i voti, e quindi i ballottaggi computerizzati possono essere (e sono stati) costruiti per confondere in ugual maniera (o di più) di quello in "stile farfalla" che è stato utilizzato in Florida nelle elezioni del 2000, attribuendo un vantaggio ad alcuni candidati sugli altri.

• Il voto elettronico ed il relativo conteggio delle preferenze rendono i compiti svolti dagli scrutatori, dai rappresentanti di lista e dai responsabili di seggio puramente procedurali, ed elimina ogni possibilità di poter eseguire controlli bipartisan. La correttezza di ogni elezione computerizzata è quindi affidata al piccolo gruppo di persone che assembla, programma e mantiene le macchine.

• Sebbene i condannati per gravi crimini ed i cittadini stranieri non abbiano diritto di voto nelle elezioni degli Stati Uniti (in molti Stati), non esistono leggi in materia riguardanti i produttori di sistemi di voto, i programmatori ed il personale amministrativo. I criminali e gli stranieri possono (e lo fanno!) lavorare nella struttura ed anche essere titolari di alcune delle società produttrici di macchine per il voto che forniscono apparecchiature ai Comuni Statunitensi.

• La crittografia non fornisce alcuna garanzia al riguardo della privacy o della correttezza dei voti espressi. I sistemi crittografici, anche quelli molto forti, possono essere violati o infranti, lasciando in questo modo i risultati del voto così come l'identità dei votanti aperti a sguardi indiscreti. Uno dei migliori esperti di crittografia della nazione, Bruce Schneier, ha espresso le sue preoccupazioni in merito, ed ha raccomandato che nessun sistema di voto computerizzato venga adottato a meno che esso fornisca anche una scheda fisica di carta marcata dall'elettore che possa essere utilizzata a scopi di riconteggio e verifica. Un altro illustre crittografo, David Chaum, ha inoltre espresso il suo sostegno verso i metodi di scrutinio basati su schede cartacee.

• Il voto tramite Internet (che sia espresso in un seggio o a distanza) lascia vie aperte di attacco da parte dell'intero pianeta. Considerando che la maggior produttore dei produttori di software al mondo non è in grado di proteggere la propria azienda ed i propri prodotti da un attacco tramite Internet, si può capire come i sistemi di voto (creati dall'una o dall'altra azienda) non saranno migliori (e saranno probabilmente peggiori) in termini di vulnerabilità.

• Il voto tramite Internet a distanza implica problemi di autenticazione non risolvibili, che possono portare a compromettere la privacy dell'elettore, e consentire il voto di scambio e sotto coercizione. Inoltre, questa forma di voto non fornisce eguale accesso al voto a tutti i cittadini, specie ai poveri, a quelli delle zone rurali non ben servite dai fornitori di servizi Internet, agli anziani e ai disabili. Per queste ragioni, i sistemi di voto a distanza tramite Internet non dovrebbero essere utilizzati per eleggere alcun governo.

È un fatto appurato come l'industria informatica non sia in grado, attualmente, di garantire un'elezione sicura ed affidabile facendo uso esclusivamente di dispositivi elettronici. Un esame approfondito delle promesse dei fornitori, ed i problemi riscontrati sul campo nelle varie elezioni, hanno dimostrato l'esistenza di notevoli lacune e gravi vulnerabilità. Le comunità che fanno affidamento su promesse di sicurezza e di precisione al momento di acquistare di sistemi di voto elettronico, corrono il pesante rischio di indire delle elezioni i cui risultati potrebbero essere un giorno contestati - e su cui non saranno in grado di fornire un controllo indipendente che possa verificare la validità dello scrutinio. In breve, si ripeterebbe quanto visto in Florida. Ancor peggio, difetti del sistema potrebbero palesarsi anni dopo le elezioni, calando un'ombra di dubbio su tutti i precedenti risultati.

Alcune comunità hanno scoperto che i sistemi di voto basati su schede preparate manualmente, integrati con dispositivi di marcatura assistita delle schede per l'uso da parte dei disabili e di persone con problemi di lingua e di alfabetizzazione, possono essere generalmente acquistati e mantenuti per molto meno della metà del prezzo di un sistema di registrazione diretta elettronica (DRE) con touch-screen o immissione tramite pulsanti, o di un DRE / VVPAT (un DRE con una stampante per schede). I dispositivi di marcatura delle schede non hanno bisogno di essere elettronici o basati su computer. Le schede Opscan possono essere interamente conteggiate a mano. Le configurazioni di marcatura delle schede opscan + promettono di aumentare la fiducia degli elettori offrendo loro il meglio in termini di affidabilità, usabilità e possibilità di riconteggio, oltre ad essere molto efficaci.

È quindi prioritario per tutti coloro che abbiano a che fare con elezioni di ASTENERSI dall'adottare QUALUNQUE sistema che non comprenda un indiscutibile, anonima scheda cartacea che possa essere verificata in modo indipendente dall'elettore prima di imbucarla, utilizzata dalla commissione elettorale per dimostrare la veridicità dei totali determinati da qualsiasi voto elettronico, che rimanga disponibile per essere controllata manualmente e riconteggiata.

Dal 2003, a causa di problemi non risolvibili riguardanti l'attuazione e la diffusione dei sistemi DRE / VVPAT, e le difficoltà incontrate nell'utilizzo delle VVPAT all'atto dei riconteggi, ho raccomandato (e continuo a raccomandare) che i Comuni acquistino SOLO sistemi di marcatura delle schede opscan +.