Il 31 agosto 2019, prima del voto sul governo M5s-PD, Casaleggio pubblica sul sito dell’Associazione Rousseau – il Blog delle Stelle – quelle che chiama 10 “fake news” da sfatare sulla sua piattaforma. In questo articolo commentiamo la terza e la quarta, perché il voto su Rousseau non è segreto né sicuro.
Questa serie di articoli – qui il primo – torneranno utili al prossimo voto rilevante sulla piattaforma casaleggese.
Ebbene, Casaleggio nega che bug o errori possano consentire a un utente di votare più volte e che il voto sia riconducibile al singolo utente. Come? Ci sono due tabelle in cui vengono registrate distintamente la partecipazione a un voto e la scelta operata. Per questo solo fatto, spiega, non si può risalire alle preferenze degli attivisti. Inoltre, un solo accoppiamento voto-votante è possibile, ci spiega.
Il fatto che non sia più possibile collegare voto e votante sembra rispondere a una precisa richiesta del Garante della Privacy.
Rousseau segreto, sicuro, verificabile?
Purtroppo non conosciamo il codice di Rousseau né l’architettura del database perché Rousseau li mantiene gelosamente segreti. Dobbiamo fidarci di quello che ci dice Casaleggio, che notoriamente ha un rapporto diciamo conflittuale con la realtà. Questo significa che potrebbero esserci errori di programmazione che nemmeno lui conosce. Questo è molto probabile: Rousseau è una piattaforma proprietaria, sviluppata da un numero ristretto di tecnici e non c’è una procedura codificata per segnalare problemi o bug e tracciarne la risoluzione. Un pessimo modo di gestire un progetto informatico.
Ammettiamo però che incidentalmente dica il vero e – come ipotesi di scuola – che non ci siano errori di programmazione o disservizi durante il voto. Questa soluzione non risolve comunque il problema della segretezza del voto, anzi aggiunge quello della certezza e quello della verificabilità del voto. Infatti, ci sono decine di altri modi per ricollegare il voto al votante. Attraverso i registri, per esempio, che potrebbero essere tutti in ordine cronologico. Sapendo l’ordine dei voti e dei votanti è immediato risalire all’autore di ogni singola preferenza.
Seguiamo comunque il paragone col voto cartaceo che utilizza Casaleggio.
Quando mi reco al seggio, vengo identificato col mio documento e viene segnato sul registro che ho votato per evitare che lo possa fare due volte. Mi viene consegnata una scheda vidimata a cui viene applicato un contrassegno, mi reco in cabina, voto, esco, la scheda viene inserita nell’urna. Alla chiusura dei seggi le schede vengono contate pubblicamente in presenza dei testimoni, rappresentanti di lista e chiunque desideri assistere.
Grazie a questo processo il voto è segreto (nessuno vede la mia preferenza, la mia scheda non è riconoscibile), ma pure certo e verificabile. Certo, perché ho la sicurezza che non venga modificato: la scheda inserita nell’urna rivedrà la luce solo quando la scatola è aperta e i voti conteggiati. Verificabile, perché posso, se voglio, assistere allo spoglio e al conteggio delle schede. Anche in caso di errore, o perfino di manomissione del voto di un singolo seggio, essendo i seggi migliaia ho la ragionevole certezza che – in generale – il processo sia sicuro.
Col voto a distanza, soprattutto quello in rete, una volta che ho fatto clic non so cosa succede. Da lì in poi devo necessariamente fidarmi. Fidarmi delle decine di macchine che il mio segnale attraversa per arrivare al server. Del server stesso.. Dei programmatori. Degli amministratori di sistema. Del sistema di conteggio. Ci sono decine di momenti del processo che possono essere compromessi. Inoltre, la centralizzazione del sistema di voto comporta che una singola manomissione possa compromettere o manomettere l’esito dell’intera consultazione. Non c’è, in questo momento, tecnologia che possa garantire un voto remoto in termini di segretezza, certezza e verificabilità. Semplicemente, non esiste.
Il traffico sul server
Nel post in questione, Rousseau sostiene che l’aggiornamento dei server consenta ora una maggiore sicurezza e velocità delle operazioni di voto. Cita una serie di dati statistici relativi all’ultima operazione di voto prima di quell’articolo, con l’intento di dimostrare che la piattaforma possa gestire un elevato traffico durante le operazioni di voto.
Non c’è dubbio che rispetto a qualche anno fa l’infrastruttura sia migliorata. Ciò detto il solo fatto di poter aumentare le risorse disponibili ovviamente non garantisce affatto che non ci siano stati “errori nel processare i voti”. I sistemi che Casaleggio cita spesso come sicuri e di nuova implementazione, nell’area voto, sono tutt’altro che immuni da problemi di sicurezza. Keycloak, per esempio, presenta numerose falle conosciute. Va in oltre ricordato un fatto statistico: il 70% delle violazioni di sicurezza non sono note. Vale a dire che in 7 casi su 10, chi subisce un attacco informatico non sa di subirlo.
Ci possono essere inoltre attacchi di tipologia non ancora conosciuta.
Insomma, il voto su Rousseau non è affatto segreto, sicuro, immune dagli attacchi o più efficiente del voto cartaceo.