Test di intrusione nell’E-Voting della Posta: una grande finta!

La Cancelleria federale e la Posta Svizzera si danno indifferenti sugli attacchi informatici già mostrati sull’E-Voting, e annunciano ora una Hacker-Challenge («test di intrusione») da svolgersi sul sistema della ditta spagnola Scytl, che la Posta impiega in Svizzera. Per un compenso piuttosto ridicolo si chiamano 400 persone da tutto il mondo ad attaccare il sistema già dimostrato insicuro d’altro canto. I promotori dell’iniziativa popolare per una moratoria sull’E-Voting sono costernati per l’esercizio superficiale ed inutile.

La Confederazione lavora sulll’E-Voting sin dal 2000. Due terzi dei cantoni avrebbero dovuto impiegare l’E-Voting entro il 2019. L’euforia però non sembra perdurare nei Cantoni. Da quelli partecipanti ai test, parecchi si sono di nuovo ritirati, per ultimo il Canton Jura. Precedentemente il Canton Ginevra aveva dichiarato di abbandonare il proprio sistema, ufficialmente per ragioni di costi. Dapprima il Chaos Computer Club Schweiz (CCC-CH) aveva dimostrato a regola d’arte che il sistema E-Voting cede ai primi tentativi di attacco, come un coltello caldo passa nel burro. Il CCC-CH è perciò anche tra i sostenitori più accaniti della moratoria sul voto elettronico. E per Jean Christoph Schwaab, ex consigliere nazionale PS del Cantone di Vaud e membro del comitato del’iniziativa, il test di intrusione è «una pura farsa che costa 250’000 franchi. L’idea di poter escludere tutti i metodi di hacking è una speranza ben intenzionata».

Inoltre, nel «test di intrusione» vengono esclusi proprio quegli attacchi in grado di falsificare efficacemente le votazioni e le elezioni – sono proprio quei mezzi che gruppi criminali organizzati e attori statali hanno a disposizione, per i quali   vengono investite somme di denaro notevoli da parte di questa clientela e i gruppi strategici. Questi non riveleranno sicuramente il loro arsenale in compenso di modiche cifre tra 100 e 50’000 franchi alla Confederazione o la Posta.

Anche Nicolas A. Rimoldi, coordinatore della campagna dell’iniziativa per una moratoria sull’E-Voting, non può che rallegrarsi di questo hacking di prova con 400 partecipanti: «I risultati decisivi sono disponibili da tempo: il voto elettronico svizzero ha falle di sicurezza dimostrabili, e gli obiettivi richiesti (la maggiore partecipazione al voto; la maggior incentivazione die giovani) sono stati mancati. Il governo federale forza la marcia per l’introduzione, trascurando sempre di più la sicurezza. Gli attacchi fondamentali segnalati dal CCC-CH sono ancora oggi possibili su entrambi i sistemi (Ginevra con sei cantoni e la Posta con quattro cantoni) e sono applicabili anche nelle votazioni dell’8 febbraio – non è dunque affatto il caso che la «sicurezza è anteposta alla velocità» come dice la Cancelleria stessa. Invece la Confederazione continua a mantenere aperte le piattaforme di voto elettronico per la votazione sull’iniziativa «per fermare la dispersione degli insediamenti», il che è irresponsabile. Rimoldi ritiene che sia un’esuberanza ufficiale di invitare potenziali aggressori – senza escludere servizi segreti stranieri e le organizzazioni criminali – a testare i loro strumenti di attacco contro pagamento.

Con l’insistere sul voto elettronico la Svizzera è isolata internazionalmente. Ad eccezione dell’Estonia, dove una parte degli elettori votano elettronicamente, tutti gli Stati europei hanno rinunciato al voto elettronico. In primo luogo a causa di indiscutibili preoccupazioni in materia di sicurezza, ma anche perché tutti gli approcci utilizzano comunque la via postale per consegnare agli elettori codici di accesso e di riconoscimento.

Con la moratoria sul voto elettronico sarebbe possibile ripristinare un dialogo costruttivo sulla questione del voto elettronico. Cinque anni sono sufficienti per analizzare le evidenti e inaccettabili carenze del sistema attuale, valutare l’importanza democratica del voto elettronico e infine rispondere all’importante domanda sui costi. Gli standard di sicurezza altamente costosi nelle assicurazioni, banche e imprese di armamento (Ruag) vengono chiaramente mancati nel voto elettronico. E nonostante l’impegno maggiore di questi, anch’essi finiscono per essere ripetutamente vittime di attacchi hacker.

Nel governo federale infine non è permessa l’autocritica nei confronti del voto elettronico. Secondo il Tages-Anzeiger (15.10.2017), è in circolazione una direttiva interna che ordina ai responsabili di non pubblicare notizie negative sulla sicurezza dell’E-Voting. Fino ad oggi la notizia è rimasta non negata. Per Rimoldi, tutto questo va contro la cultura di discussione aperta e schietta necessaria nella comunità sulla sicurezza informatica.

Comitato d’iniziativa

Revisioni del testo:

• 8 Feb 2019 17:40 – prima pubblicazione
• 8 Feb 2019 18:30 – minori correzioni ortografiche nel titolo e nel testo