Nell’era del digitale resiste ancora qualche procedura vecchia di millenni, che sembra insostituibile. È il caso delle votazioni politiche e amministrative, che richiedono ancora agli elettori di recarsi in un seggio e segnare una scheda di carta con una matita “copiativa” per esprimere le proprie preferenze.
Per una volta, non è colpa dell’inerzia del legislatore o della burocrazia, ma di un nodo logico che impedisce di costruire un sistema interamente elettronico che garantisca alcune condizioni fondamentali: il diritto di votare, ma senza poterlo fare più volte; la ragionevole certezza che il voto sia realmente segreto e libero da condizionamenti; la sicurezza che il sistema di raccolta e di elaborazione dei voti sia inattaccabile. Anche i sistemi tradizionali sono esposti a questi rischi, ma sorprendentemente il mondo digitale li amplifica in modo esponenziale.
Il voto elettronico è utilizzato comunemente nelle elezioni politiche e amministrative in India, Brasile ed Estonia e, solo in casi particolari, anche in Francia, Svizzera e Regno Unito. È stato sperimentato e poi abbandonato in Olanda e Norvegia. Negli Usa, sono tuttora in vigore sistemi di voto ibridi, nonostante sia ancora vivo il ricordo dei “problemi” che si sono verificati in occasione della semplice lettura ottica dei voti per le presidenziali del 2000, per non parlare delle vicende delle elezioni del 2016 e del 2020.
In Italia sono state condotte diverse sperimentazioni locali. Nella maggioranza dei casi hanno riguardato solo la lettura automatica delle schede. In Lombardia sono state invece utilizzati dei tablet al posto delle schede cartacee in occasione dei referendum consultivi. Nel 2007 la Commissione europea ha incoraggiato l’uso del voto elettronico nelle assemblee degli azionisti, che però hanno meno criticità rispetto alle consultazioni elettorali.
Nel 2009 il Tribunale costituzionale tedesco ha dichiarato il voto elettronico sostanzialmente incompatibile con l’art. 38 della Legge fondamentale, che stabilisce che il Bundestag sia eletto «a suffragio universale, diretto, libero, uguale e segreto», prescrivendo che «tutti i passaggi essenziali di un’elezione [siano] soggetti a un possibile controllo pubblico». Tuttavia, incomprensibilmente non ha messo in discussione il voto via posta, largamente praticato in Germania, che si presta a parecchie manipolazioni.
La prudenza dei giudici tedeschi è giustificata da alcuni insormontabili problemi logici, prima che procedurali. Quello principale è legato a un oscuro teorema, dimostrato negli anni Cinquanta da un certo Henry Gordon Rice nella sua tesi di dottorato. L’enunciato del teorema non sembra avere nulla a che fare con la votazione elettronica, ma ne mina alla base la fattibilità, perché stabilisce l’impossibilità che qualsiasi algoritmo, compreso quello che dovrebbe essere usato al posto delle tradizionali schede e scrutatori, possa essere verificato completamente mediante una procedura anche manuale, se non in casi banali. Questo significa che nessuno può garantire con certezza che le piattaforme per le votazioni elettroniche non abbiano falle tali che, per esempio, il voto risulti identificabile o siano possibili brogli. Tra gli altri, hanno recentemente fornito la dimostrazione formale di questo ed altri “inconvenienti” delle procedure digitali di voto alcuni ricercatori della Università Purdue di Indianapolis.
Per esempio, per garantire che un avente diritto non possa votare più volte, è necessario identificarlo tramite lo Spid o qualsiasi altro sistema, prima di fornirgli una chiave di accesso usa e getta per esprimere il proprio voto. Per farlo, tuttavia, dovrà esistere un archivio degli elettori collegabile a quello dei codici di accesso unici che sono stati consegnati, altrimenti sarebbe sempre possibile il voto multiplo. Naturalmente i due archivi potrebbero essere separati e la regola per associarli potrebbe essere custodita meglio dei codici delle armi nucleari e delle soluzioni degli algoritmi che generano le criptovalute. Tuttavia, per colpa dell’implacabile teorema di Rice, nessuno può assicurare l’assoluta sicurezza del sistema. E infatti i “miners” scoprono ogni giorno nuove unità delle criptovalute risolvendo problemi matematici complicatissimi.
Ma non basta. Ammettiamo pure che il problema del diritto al voto e alla sua segretezza siano risolti, per esempio, consentendo a ogni elettore di “pescare” presso un centro autorizzato un biglietto cartaceo (simile a un gratta e vinci) con il codice abilitante in cambio di una “marcatura” che impedisce altri prelievi. Per esprimere il voto, l’elettore dovrà necessariamente utilizzare qualche app che, per quanto “blindata” e utilizzabile solo in un ambiente protetto da interferenze umane e non, è sempre soggetta alla critica di Rice. In particolare, l’elettore non potrebbe essere certo che ciò che ha digitato e che ha visto su uno schermo corrisponda esattamente al voto registrato nel sistema. A nulla vale l’uso di una blockchain per garantire l’integrità del voto tramite archivi distribuiti, perché ciò renderebbe ancora più tracciabili le scelte, come accade per gli scambi di criptovalute e di token non fungibili.
Lo stesso dubbio radicale tocca il server che raccoglie i voti e li elabora, anche se si adottano accorgimenti ingegnosi come quelli della Lombardia, dove la procedura di voto gira su macchine off-line e prive di dischi fissi che registrano i voti su cd non riscrivibili. In quest’ultimo caso, molto banalmente, la segretezza potrebbe essere violata tramite il reverse engineering della sequenza con cui sono registrati i voti. Perfino un sistema futuristico basato sull’entanglement sarebbe violabile, perché la scheda “quantistica” consegnata all’elettore e gemellata con una depositata nel più vigilato caveau di un ufficio elettorale dovrebbe essere comunque identificabile, altrimenti non si potrebbero conteggiare i voti validamente espressi.
Il solo sospetto che il voto possa essere tracciato mina la credibilità all’intero sistema e quindi condiziona la libera espressione dell’elettore quanto i più tradizionali e rudimentali metodi mafiosi e clientelari. Ma a differenza delle procedure tradizionali, scoprire i brogli è praticamente impossibile perché il voto elettronico è una semplice sequenza di bit “custodita”, si fa per dire, da algoritmi anch’essi soggetti alla critica di Rice. In sintesi, il voto elettronico resta intrinsecamente (e sorprendentemente) meno sicuro e verificabile di uno cartaceo e lo resterà fino a quando qualcuno non avrà smontato un teorema che regge da circa settanta anni. In questo senso si sono espressi recentemente anche i migliori esperti di cybersecurity, che hanno messo in guardia il governo americano sui rischi del voto via internet. (lavoce)
