Tutti i buchi del voto elettronico: la multa del Garante a Rousseau/3

Inchiesta speciale/3
Senza Bavaglio
novembre 2020

Quando si parla di voto online, in Italia abbiamo un esempio eccezionale: la piattaforma Rousseau. Nata per esprimere gli orientamenti e le scelte della base del Movimento Cinque stelle, gestita dalla Casaleggio associati, la Piattaforma è finita nel mirino del Garante Privacy italiano per diverse irregolarità rispetto appunto all’applicazione del Regolamento europeo sulla protezione dei dati (GDPR 2016/679 entrato in vigore nel maggio del 2018). Un regolamento che il resto del mondo ci invidia e molti Paesi stanno copiando.

Con il provvedimento 4 aprile 2019 il Garante italiano ha multato la piattaforma con un’ammenda amministrative di 50 mila euro.

Il documento riguarda vari aspetti di violazioni della Privacy, ad esempio la poca sicurezza di stoccaggio dei dati personali degli iscritti. Ma i passaggi che più interessano la nostra inchiesta sono quelli relativi al voto online. Ecco che cosa scrive il Garante, allora presieduto da Antonello Soro:

“la rilevata assenza di adeguate procedure di auditing informatico, escludendo la possibilità di verifica ex post delle attività compiute, non consente di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati). Infatti, gli addetti tecnici alla gestione della piattaforma e, in particolare, coloro che svolgono la funzione di Dba (Data Base Administrator), pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing.

 Quindi prima di tutto il Garante sottolinea che non c’è possibilità di verificare ex-post le attività compiute dall’amministratore. Proprio quello come spiegava l’esperto numero 2. Ma continuiamo la lettura del Provvedimento 4 aprile 2019:

“La regolarità delle operazioni di voto è quindi affidata alla correttezza personale e deontologica degli incaricati di queste delicate funzioni tecniche, cui viene concessa una elevata fiducia in assenza di misure di contenimento delle azioni eseguibili e di suddivisione degli ambiti di operatività, cui si aggiunge la pratica certezza che le attività compiute, al di fuori del ristretto perimetro soggetto a tracciamento, non potranno essere oggetto di successiva verifica da parte di terzi (cfr. par. 2.1 lett. b) e 3.3.).

In questo senso, la piattaforma Rousseau non gode delle proprietà richieste a un sistema di evoting, come descritte, per esempio, nel documento “E-voting handbook – Key steps in the implementation of e-enabled elections” pubblicato dal Consiglio d’Europa a novembre 2010 e nel documento “Recommendation CM/Rec(2017)5 of the Committee of Ministers to member States on standards for e-voting” adottato dal Comitato dei Ministri del Consiglio d’Europa il 14 luglio 2017, che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico”.

 Protezione delle schede elettroniche e anonimato dei votanti. Altri due concetti da tenere a mente. Continuiamo a leggere:

“La stessa, infatti, non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione (in particolare, degli amministratori di sistema e dei DBA – data base administrators), né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività.

In questo senso sussistono forti perplessità sul significato da attribuire al termine “certificazione” (cfr. par. 2.2) riferito dal titolare del trattamento all’intervento di un notaio o di altro soggetto terzo di fiducia in una fase successiva alle operazioni di voto, con lo scopo di asseverarne gli esiti. Non c’è dubbio, infatti, che qualunque intervento ex post di soggetti di pur comprovata fiducia (notai, certificatori accreditati) poco possa aggiungere, dal punto di vista della genuinità dei risultati, in un contesto in cui le caratteristiche dello strumento informatico utilizzato, non consentendo di garantire tecnicamente la correttezza delle procedure di voto, non possono che produrre una rappresentazione degli esiti non suscettibile di analisi, nell’impossibilità di svolgere alcuna significativa verifica su dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del procedimento di votazione e scrutinio antecedente la c.d. “certificazione”.

“Correttezza delle procedure di voto”. E “voti tecnicamente alterabili in ogni fase di procedumento di votazione e scrutinio antecedente la certificazione” sono parole che fanno rabbrividire.

Tra poche settimane voteremo sulla piattaforma di Eligo al Consiglio dell’Ordine nazionale dei giornalisti quattro membri dell’esecutivo che si sono dimessi per protesta contro il presidente in carica Verna. Facilmente ci si servirà di Eligo anche per la votazione del prossimo consiglio nazionle e di quelli regionali. Siccome a noi di Senza Bavaglio sembra una questione di democrazia garantire la correttezza del voto e dello spoglio chiediamo che:

1) le regole dello svolgimento della votazione e dello spoglio siano rese pubbliche e siano conosciute da tutti gli aventi diritto al voto

2) che nella commissione elettorale ci siano rappresentanti di lista in veste di osservatori

3) che le chiavi di apertura dello spoglio siano multiple, consegnate a più persone compresa la Commissione elettorale e lo spoglio possa iniziare solo grazie all’inserimento di tutte le chiavi in contemporanea.

Senza Bavaglio
twitter @sbavaglio
(3 – fine)

Questa la prima puntata dell’inchiesta sul voto elettronico

I rischi del voto elettronico all’Ordine e gli inquietanti scenari comparsi all’INPGI/1

Questa la seconda puntata dell’inchiesta sul voto elettronico

Votazione Inpgi 2020: quando la dirigenza decide le regole del gioco/2

 

 

 

 

 

Condividi questo articolo