differenze tra voti e dati finanziari

se la nostra banca memorizzasse solo dati anonimi

i voti devono essere tangibili e leggibili dall' uomo

i risultati elettorali devono essere verificabili

i risultati elettorali elettronici non sono verificabili

i risultati elettorali elettronici non sono certificabili

lo schema elettorale 1:N

ogni dato può essere alterato da chi gestisce il computer

per votare i computer non servono

la tecnologia può aiutare il voto cartaceo

voto elettronico NON insieme a quello cartaceo!

l'opinione pubblica ed il voto elettronico

i veri pericoli per le Democrazie

però insistono con il voto elettronico

Il nostro mondo di oggi è talmente pieno di computer e apparati elettronici che ci viene naturale pensare che essi possano essere utilizzati anche per le elezioni. In fondo votare non è come eseguire una transazione con la quale aggiungiamo un voto al bilancio "elettorale" del nostro candidato nello stesso modo col quale aggiungiamo una certa cifra al conto corrente del nostro fornitore quando usiamo la carta di credito?

Se voti e dati finanziari avessero le stesse caratteristiche allora potremmo utilizzare una stessa tecnica per entrambi, ma sfortunatamente i dati finanziari e quelli "elettorali" differiscono nel grado di segretezza di cui necessitano e ciò ha profonde conseguenze.

• I dati finanziari sono noti a chi ne è coinvolto (il pagatore, gli intermediari, il beneficiario) ma devono essere mantenuti segreti per tutti gli altri. I dati finanziari sono nominativi: quando paghiamo usando assegni, bancomat o carte di credito, vengono generate ed emesse scritture contabili (ricevute, addebiti, accrediti...) nei quali è specificato un riferimento alla nostra persona (nome o codice) insieme all' ammontare della transazione. E' proprio grazie al fatto di essere nominative che le transazioni economiche sono verificabili sia da noi che dalla nostra banca.
• I voti devono invece essere segreti per tutti dato che la Democrazia necessita che i voti abbiano una segretezza assoluta. Ciascun voto è ovviamente noto a chi l' ha votato (il pagatore), ma deve rimanere ignoto a chiunque altro, in particolar modo all' organizzazione elettorale (l' intermediario) e ai candidati (i beneficiari). Non è possibile dare agli elettori alcuna "ricevuta" della loro scelta elettorale perchè
  • gli elettori potrebbero essere indotti a vendere il proprio voto dato che potrebbero dimostrare per chi hanno votato
  • queste "ricevute", qualsiasi forma possano avere, potrebbero essere usate per verificare se l' elettore sottoposto a pressioni illecite abbia veramente votato come gli è stato ordinato: è facile immaginarsi un criminale (o anche un assessore) mentre controlla la ricevuta di voto di un intimidito elettore.

  Non possimo permetter agli elettori alcuna verifica del proprio voto perchè:

  • dovrebbe essere memorizzato da qualche parte un collegamento tra ciascun voto e colui che lo ha votato e questo è un ovvio pericolo per la segretezza del voto
  • anche se esistesse un modo sicuro per permettere agli elettori dicontrollare come è stato memorizzato il proprio voto, non potremmo fidarci della loro parola. Infatti essi potrebbero riconoscere o disconoscere il voto in seguito a pressioni illecite, a cambiamenti d' opinione o anche solo per invalidare il voto.
  In ogni caso il fatto che sia verificata la corretta corrispondenza tra voto effettuato e voto memorizzato, ciò non implica che il voto sia stato preso in considerazione nello scrutinio.

C'è ancora una differenza tra dati finanziari e voti: il saldo del nostro conto corrente dipende solo dai movimenti che noi facciamo sul conto, mentre il saldo delle elezioni (ossia il loro risultato) dipende dalle transazioni elettorali di tutti gli elettori. Quindi il controllo del nostro nostro voto non assicura in nessun modo la correttezza dei risultati. Possiamo dire che le transazioni economiche sono di tipo 1:1 mentre le transazioni elettorali sono di tipo 1:N

Immaginiamo che la nostra banca iniziasse a memorizzare le transazioni (tutte le transazioni) in modo anonimo e noi non fossimo più "intestatari" di alcuna transazione, ne mediante il nostro nome ne mediante altri codici segreti. Immaginiamo anche di non sapere l' ammontare del nostro stipendio mensile, della bolletta telefonica, dell' assicurazione, delle tasse e così via e che queste cifre ci vangano accreditate e addebitate sul nostro conto corrente senza che a noi ci venga comunicato nulla. Aggiungiamo anche che l' unica informazione sul saldo del nostro conto corrente ci venga data dalla stessa banca una volta all' anno.

Sarebbe certo un vero incubo e sono certo che nessuno accetterebbe una simile situazione perchè ci impedirebbe di verificare e controllare la correttezza dell' operato della banca: nessuno potrebbe mai contestare alcun saldo che la banca volesse emettere.

Nessuno acetterebbe una situazione del genere neppure se la banca vantasse la propria cristallina onestà e l' assoluta sicurezza delle procedure e dei mezzi tecnologici che utilizza. Per sicurezza tutti noi affideremmo i nostri risparmi ad un'altra banca.

Ma perchè finchè parliamo dei nostri soldi, siamo tutti d' accordo mentre quando parliamo del voto elettronico ci dividiamo?
Con il voto elettronico siamo proprio nella stessa inaccettabile situazione della banca di cui sopra! Infatti neanche le procedure di voto devono mai memorizzare alcuna "scrittura contabile" dalla quale si possa mai risalire ai voti espressi da ciascun elettore (se vogliamo veramente garantire l' anonimato del voto).

Ma se non ci sono "scritture contabili", come sarà possibile controllare che i conti "quadrano"? Non possiamo nel modo più assoluto: nessuno potrà mai verificare i risultati e quindi neppure contestarli.

Per accettare il voto elettronico è quindi necessario un atto di assoluta fede nelle procedure, nei mezzi tecnici e nell' onestà di chi possiede e gestisce i computer sui quali sono eseguite le procedure di voto (esattamente come nell' esempio della banca).

E non riponiamo le nostre speranze sul fatto che il voto elettronico utilizzerà chissa quali nuove e sicure tecnologie: i mezzi tecnici e le procedure sono infatti esattamente gli stessi attualmente usati dalle banche: programmi, computer, e linee di trasmissione dati.

L' unico modo per garantire la segretezza è che i voti siano anonimi. Quindi i voti possono essere:

1. registrazioni (record) anonime. Ecco un esempio di registrazione anonima: ad una ignota signora piacciono le rose nere Dato che solo la signora stessa potrebbe confermare di apprezzare le rose nere, noi dovremmo chiedere a lei di verificare o smentire l' informazione che la riguarda, ma non possiamo farlo perchè ignoriamo chi essa sia. L'assenza di riferimenti all' oggetto o alla persona cui si riferiscono impedisce ogni controllo delle registrazioni anonime e fa si che che esse possano essere credute o meno ma mai verificate.

   Per fortuna nel mondo reale i dati anonimi non sono per nulla frequenti, a dire il vero mi è perfino difficile pensare a file di dati anonimi che possano essere utili a qualcosa (a parte analisi statistiche non verificabili).

   Per assicurare la segretezza del voto tra le informazioni memorizzate non può esserci nulla che possa permettere l' identificazione dell' elettore. Quindi un ipotetico file di voti elettorali potrebbe contenere queste informazioni:

   • il nome o il codice del candidato o del partito votato
   • il nome o il codice del seggio elettorale in cui il voto è stato espresso
   • il nome o il codice del computere che nel seggio ha ricevuto il voto
   • ... altre informazioni tranne qualsiasi cosa che possa portare all' identificazione dell' elettore.

   Quindi i file di voti elettorali dovrebbero contenere questo tipo di informazioni: un ignoto elettore ha votato per il candidato "A" E' ovvio che in questa situazione non è possibile alcuna verifica dei voti memorizzati in quanto gli unici che potrebbero farlo sono i rispettivi elettori, ma nessuno sa chi siano!

   L' affermazione è valida qualunque sia la tecnica usata per raccogliere e memorizzare i voti. Possiamo usare sistemi di crittografia, password segrete, Metodi Elettorali Matematici o qualsiasi altra tecnica, ma alla fine avremo sempre un file di registrazioni anonime come quello descritto sopra.

   Al massimo potremmo verificare che i risultati corrispondano alla somma dei voti memorizzati per ciascun candidato, ma sfortunatamente questa non è sufficiente in quanto non garantisce che i voti memorizzati siano proprio quelli dati dagi elettori. Pertanto non possiamo verificare la correttezza di risultati elettorali basati su registrazioni anonime

2. oggetti tangibili anonimi. Ovviamente è possibile verificare il numero di oggetti fisici anonimi e quindi possiamo verificare i risultati elettorali basati su di essi.

la Democrazia necessita che i risultati siano verificabili quindi non possiamo usare come voti le registrazioni anonime poichè esse non possono essere verificate.

In Democrazia il termine "verificabile" significa "verificabile dall' uomo comune" e quindi sono "verificabili" gli oggetti tangibili e direttamente leggibili dall' uomo mentre certamente non lo sono le sequenze di byte memorizzate su un qualche supporto informatico.

I voti devono necessariamente essere oggetti anonimi e tangibili raccolti, trasmessi ed contati in pubblico.

Non è per caso che da oltre due secoli votiamo con schede di carta e procedure elettorali pubbliche

Democracy also requires electoral results to be verifiable, thus we can't use anonymous records as votes since can't be verified.

In Democracy the term "verifiable" means "verifiable by the common people", thus we can't honestly think a string of bytes recorded on some electronic media as a physical object because it can't be directly verified by any human being.

votes must be anonymous human-readable tangible objects
collected, transmitted and tallied up publicly.

It is not by chance that democracies have always used ballot papers and public electoral procedures!

Al fine di superare il problema teorico della impossibilità di verificare risultati elettronici, vengono suggerite alcune presunte soluzioni:

1. Voter Verified Balloting Leggi VVPAT.
2. La possibilità che gli elettori verifichino il proprio voto. Se gli elettori verificassero come il loro voto è stato memorizzato, allora i risultati elettorali sarebbero automaticamente verificati. Io credo che questa soluzione non è praticabile perchè per avere la certezza del risultato sarebbe necessario che
   • tutti gli elettori verificassero il proprio voto TUTTI INSIEME nello stesso momento in cui i voti vengono contati mendiante una procedura assolutamente sicura, libera da errori e frodi. Ovviamente ciò non potrebbe mai accadere in realtà. Se il conteggio non fosse contemporaneo alla verifica di tutti i voti, non potremmo avere la prova che siano tutti conteggiati come dovrebbero: è un giochino programmare qualsiasi computer in modo che visualizzi all' elettore il suo vero voto e, però, non lo prenda in considerazione durante il conteggio.

   Inoltre non possiamo costruire alcun sistema che possa permettere agli elettori di verificare come è memorizzato il proprio voto perchè:

   • i voti non sarebbero più anonimi dato che sarebbero rintracciabili chi li ha votati (altrimenti come sapremmo chi può verificarli?). Non avremmo più il requisito di anonimità poichè esisterebbe la possibilità di collegare il voto a chi lo ha votato. Ciò rimarrebbe vero anche se la "chiave" di questo collegamento fosse disponibile soltanto all' elettore stesso. Nel voto cartaceo questa "chiave", questo collegamento sono del tutto inesistenti. Se anche ci fosse un modo sicuro che permettesse agli elettori di verificare come è stato memorizzato il proprio voto....
   • non abbiamo modo di stabilire se eventuali reclami siano onesti o meno dato che per la sicurezza degli elettori non può essere rilasciata loro alcuna "ricevuta" di come hanno votato, non abbiamo modo di confermare o negare presunti errori di memorizzazione denunciati dagli elettori in seguito alla verifica dei propri voti.
     Se anche esistesse un algoritmo che permettesse la verificazione del voto preservandone l' anonimità, dovremmo usarlo con grande cautela.Infatti in ogni caso all' elettore verrebbe mostrato il proprio voto e quindi sarebbe come se gli fosse stata rilasciata una ricevuta dicome ha votato. Ma le "ricevute" di voto non si possono dare!.
   • dobbiamo prevedere cosa fare in caso di presunti errori. Qualsiasi processo di verifica deve prevedere almeno due possibili conclusioni: una se la verifica è positiva ed una se è negativa. Se il prototipo della nuova automobile supera la verifica iniziamo la sua produzione in larga scala, ma se non la supera non iniziamo certo la produzione!
     Ma cosa potremmo fare se qualcuno si lamentasse che il suo voto è memorizzato diversamente da come lui dichiara di aver votato? Non possiamo avere prove ne a favore ne contro questa lamentela, l' elettore potrebbe essere avere ragione oppure potrebbe semplicemente aver cambiato opinione, ma nessuno lo può dire con certezza. In quese condizioni possiamo permettere all' elettore di modificare il voto memorizzato a suo nome? Così facendo si altera, seppur di poco, il risultato numerico dell' elezione. E se fossero 500.000 gli elettori che lamentano un errore a proprio danno? Certamente il candidato risultante (fino a quel momento) eletto non sarebbe certamente d' accordo a rimettere tutto in gioco. Potremmo forse annullare le elezioni lasciando il potere in un pericoloso vuoto di legittimità? Evidentemente no! Quindi la verifica di elezioni elettroniche è un processo molto strano: in qualunque modo vada i risultati devono per forza essere confermati! Senza accorgecene siamo entrati in un ciclo vizioso:
     1. a causa degli enormi interessi in ballo (stiamo parlando del diritto di governare persone, popoli e nazioni), vogliamo che i risultati elettorali siano verificabili.
     2. vogliamo usare un sistema elettronico per il voto e scopriamo che l' unico modo per verificare i risultati è verificare ogni singolo voto.
     3. eventuali difformità rilevate dagli elettori tra il voto che loro asseriscono di aver dato e quello effettivamente memorizzato non possono essere provate, quindi non si possono ne modificare i risultati ne, tanto meno, annullare le elezioni a causa loro.
     4. se per principio non possiamo accettare lamentele di fatto accettiamo qualsiasi risultato e quindi ci comportiamo come se ritenessimo frodi ed errori impossibili, contraddicendo quinto il punto 1)
     Se qualcuno può onestamente dire che non abbiamo bisogno che i risultati siano verificabili, bene, usi pure il voto elettronico. Tutti gli altri tornino al punto 1)

I risultati elettorali elettronici NON sono verificabili!

Poichè il voto deve ovviamente essere segreto, allora il modo di scrutinarlo, il modo di contare i voti, deve essere completamente aperto e visibile, altrimenti la gente perde la possibilità di verificare i risultati. L' unico modo di avere ciò è di scrutinare in pubblico schede di carta!

Guarda caso sono proprio le procedure di voto adottate fino ad oggi da tutte le democrazie liberali: espressione di voto scritta in segreto su una scheda anonima che viene prima mischiata a centinaia di altre schede dello stesso tipo e poi scrutinata in pubblico insieme alle altre.

Le schede cosí prodotte sono oggetti materiali tangibili, leggibili ad occhio nudo, anonimi, duraturi nel tempo e quindi verificabili in seguito. Le procedure di scrutinio, se il controllo pubblico è effettivamente esercitato, garantiscono che tutte le schede del seggio siano regolarmente interpretate. In questo modo gli elettori hanno la certezza che i propri voti siano bene interpretati anche se l'anonimato delle schede non permette loro di identificare il proprio, o altrui, voto durante lo scrutinio. I risultati dello scrutinio di ogni seggio sono numeri visibili ad occhio nudo, ed essendo pubbliche anche le procedure di somma, sono verificabili da tutti anche le somme ai vari livelli di aggregazione dei risultati (comune, provincia, regione, nazione).

Le procedure pubbliche e ripetibili (e perciò voti che siano oggetti tangibili, come le schede) sono l'unico sistema idoneo a garantire l'anonimato ed assicurare il corretto computo dei voti.

Al fine di superare l' ineludibile fatto che i voti elettronici NON sono verificabili c'è chi suggerisce che essi possano essere certificati ossia dichiarati affidabili o meno a seconda di varie informazioni. Noi elettori potremmo fidarci e quindi accettare voti "certificati". Ci sono molte persone ed organizzazioni che dichiarano di poter certificare i rirultati di elezioni elettroniche (specialmente se esse sono eseguite utilizzando i loro hardware e software!).

Purtroppo sappiamo che da secoli e millenni gli uomini fanno le peggiori porcherie pur di arrivare al potere e per mantenerlo. A questo proposito mi piace sottolineare che in democrazia lo scopo primario di ogni meccanismo elettorale è di assicurare che i risultati corrispondano alla volontà degli elettori e non a quella di chi gestisce le operazioni.

Nelle elezioni errori e brogli non possono essere scoperti dal fatto che producono risultati errati (come invece avviene nella maggior parte degli altri apparati tecnici), dato che i risultati non sono noti a priori. L' unico modo di certificare un risultato elettorale elettronico è assicurare che l' intero processo elettorale (macchine ed esseri umani) sia ben progettato, ben costruito e che abbia funzionato senza problemi fino all' ultima operazione elettorale.

Ma, ovviamente, nessuno in buona fede può essere certo al 100% che l' intero processo elettorale (macchine ed esseri umani) sia ben progettato, ben costruito e che abbia funzionato senza problemi fino all' ultima operazione elettorale. Inoltre perfino il più perfetto meccanismo elettorale può garantire risultati affidabili solo se chi lo gestisce è onesto al 100% !

In ogni caso il processo di certificazione, essendo molto tecnico e complesso, non può essere fatto sotto il controllo dell'opinione pubblica (come accade, invece, per il voto cartaceo), ma solo da professionisti in informatica e telecomunicazioni. L' opinione pubblica, data l' assenza di qualsiasi prova tangibile, deve fidarsi ciecamente delle conclusioni di questi certificatori (ovviamente i venditori di hardware e software dimenticano di dirlo). Non mi sembra proprio che ciò possa chiamarsi controllo democratico.

I risultati elettorali sarebbero certificati da quel tipo di persone e di società che hanno certificato i bilanci della ENRON fino al giorno del suo enorme crack!

Non vedo alcun motivo perchè essi dovrebbero comportarsi diversamente quando si tratta di attribuire il governo su nazioni di centinaia di milioni persone e quando la loro disonestà sarebbe aiutata dalla impossibilità di ogni controllo in mancanza di registrazioni dei voti effettuati.

Neppure il Candide di Voltaire sarebbe cosí ingenuo di fidarsi della onestà di persone (e partiti, lobbies e grossi interessi economici) che lottano per il mantenimento o la conquista del potere politico.

N.B. Le frodi della ENRON sono state scoperte perchè il denaro è un oggetto fisico e tracciabile e quindi gli investingatori hanno potuto trovare individuare e seguire le transazioni illecite. Invece in caso di brogli elettorali elettronici non si potrebbe investigare nulla perchè le uniche prove circa le intenzioni di voto degli elettori sarebbero i voti memorizzati i quali, essendo non verificabili in quanto anonimi, potrebbero essere già stati alterati.

Errori o brogli possono essere scoperti dalla pubblica opinione solo se i risultati sono grossolanamente improbabili o impossibili: un singolo canditato con il 99% dei voti, oppure un numero di voti superiore a quello dei votanti. Ma, in caso di brogli elettorali, solo uno stupido renderebbe pubblici risultati cosí evidentemente errati.

Il voto elettronico implementa una relazione 1:N dove 1 è il servizio elettrale e N sono gli elettori che, singolarmente, esprimono il proprio voto direttamente al servizio 1. Alla fine il servizio 1 comunica i voti ottenuti da ciascun candidato.

Per ovvie ragioni dobbiamo agiungere a tale relazione la condizione di segretezza che garantisce che nessuno, neppure il servizio elettorale, possa mai conoscere il voto espresso da ciascuno degli N elettori.

É facile capire che nelle citate condizioni, i risultati della relazione 1:N sono assolutamente NON VERIFICABILI in quanto 1 può annunciare qualsiasi risultato e nessuno è in grado di provare ne che sia corretto ne che sia errato.

Nulla è meglio di un semplice esempio! Immaginiamo che nel condominio dove abitate si debba decidere se fare o meno dei lavori il cui maggior beneficiario sia l' amministratore del condominio stesso. A vostra tutela voi condomini pretendete che il voto sia segreto, ed immaginiamo che l' amministratore organizzi le votazioni nel seguente modo:

• L'amministratore 1 se ne sta nel suo appartamento, in attesa vicino al citofono.
• Voi condomini N, uno per uno, suonate al suo campanello e, tramite il citofono, dite il vostro voto facendo in modo che nessun altro vi ascolti.
• Alla fine del voto l' amministratore 1 comunica a tutti i risultati della votazione.

Non è necessario ragionare molto per capire che l' amministratore 1 potrebbe divulgare il risultato a lui più confacente senza che nessuno possa mai dimostrarne la falsità. Inoltre l' amministratore potrebbe cercare di riconoscere (magari dalla voce) come hanno votato i singoli condomini.

Sono assolutamente certo che nessuno di voi accetterebbe questa situazione nel proprio condominio! Eppure questo è l' esatto schema di quanto avviene col voto elettronico!

Infatti con il voto elettronico applicato a qualsiasi tipo di elezioni lo schema concettuale è esattamente quello del condominio di cui sopra:

• Una organizzazione 1 ha un computer centrale presso la propria sede e gestisce le procedure di voto
• Gli elettori N esprimono il proprio voto premendo un pulsante oppure toccando uno schermo sensibile (touch screen) di un computer locale collegato a quello centrale tramite una rete informatica.
• Alla fine del voto l' organizzazione 1 comunica a tutti i risultati della votazione.

Ovviamente questa organizzazione ha la stessa funzione dell' amministratore del condominio e, dipendendo direttamente dal governo in carica o essendo dallo stesso pagata per svolgere le operazioni di voto (e chissà per quanti altri contratti o appalti in passato e specialmente in futuro!), ha anche gli stessi vantaggi a falsare i risultati.

É facile capire che la non verificabilità dei risultati è insita nel modello di votazione e non dipende nè dalla tecnologia usata per trasmettere i risultati al computer centrale, nè da come in esso sono memorizzati.

E' perciò evidente che questo modello di votazione, dato che non permette alcuna verifica dei risultati, è intrinsecamente NON adatto alle elezioni politiche

• nel voto tradizionale (svolto come in Italia) è il pubblico che conta i voti in ciascun seggio lasciando all' organizzazione elettorale il mero compito di sommare tutti i risultati.
• nel voto elettronico è l' organizzazione elettorale a "contare" i voti ed emettere i risultati fuori da ogni controllo democratico

Per la verità dobbiamo sapere che nella realtà la realizzazione su larga scala dello schema 1:N ha molti più problemi!

Nell' esempio del condominio solo l' amministratore può alterare i risultati o cercare di identificare i votanti, invece nella realtà per collegare gli N elettori all' organizzazione elettorale 1 dobbiamo usare computer e reti di trasmissioni del voto elettronico. In questa situazione anche chi è esterno alle procedure di voto può interferire con i risultati del voto.

É infatti tecnicamente possibile agire in modo fraudolento a tutti i livelli del sistema di voto: nel computer di voto al seggio, nella trasmissione dei dati al computer centrale e nel computer centrale.

Nel voto elettronico quindi sono molti i soggetti che possono

1. alterare i voti espressi
2. identificarsi in modo fraudolento e votare al posto di altri
3. memorizzare il nome o un codice identificativo dell' elettore assieme al suo voto.

I guai aumentano se si usa INTERNET come rete informatica (per collegare i computer presenti nei seggi con il computer centrale), perchè tutte le problematiche sopracitate sarebbero enormemente più difficili da risolvere in quanto gli "attacchi" potrebbero provenire dal mondo intero cosí come i Virus, i Cavalli di Troia informatici e quant' altro.

Qualcuno, molto ottimista e fiducioso, propone che l' elettrore, invece di recarsi al seggio elettorale, possa votare da casa. Questo è il peggior tipo di voto elettronico perchè, oltre ai rischi già identificati, è possibile che il voto venga esercitato sotto il controllo e la minaccia di delinquenti che quindi impongano le proprie scelte agli elettori. In molti Paesi del mondo questa minaccia è tutt'altro che teorica.

Non lo dice mai nessuno con chiarezza ma, chi può accendere e spegnere un computer ha il controllo completo su di esso e su tutti i dati ed i programmi in esso contenuto: ci possiamo inventare tutte le password, i PIN, i codici e le procedure di sicurezza che vogliamo, ma chiunque potrà sempre modificare,cancellare e aggiungere dati e programmi memorizzati sui propri computer!

Nel mondo reale, nel quale le transazioni e i dati non sono anonimi, la sicurezza nei confronti di chi gestisce i computer è ottenuta verificando i loro dati con altri fuori dal loro raggio d' azione (ricevute cartacee, scritture contabili in computer appartenenti ad altre banche...)

Nel mondo "anonimo" del voto elettronico non possiamo avere alcun riferimento a dati esterni per verificare la correttezza dei voti memorizzati e quindi non abbiamo alcuna protezione contro l' eventuale disonestà di chi possiede i computer usati per il voto.

Il problema è molto ben conosciuto tanto che nessuno ha mai provato a risolverlo! Infatti tutti i progetti ed i prototipi di voto elettronico fino ad ora realizzati hanno affrontato (e solo parzialmente risolto) i problemi dell'identificazione dell'elettore, della privacy del suo voto rispetto a terzi, e della falsificazione del risultato effettuata da terzi esterni al meccanismo elettorale, ma hanno ignorato il nodo irrisolvibile della possibilità che sia il possessore dei computer a violare e manipolare i dati.

La mia esperienza di informatico che da 30 anni lavora nel campo dei supercomputer mi da la certezza che i risultati del voto elettronico sono facilmente modificabili da chi gestisce il voto e che nessuno avrà mai alcuna possibilità di accorgersene.

Quindi chi gestisce il voto elettronico può modificare qualsiasi risultato con un semplice "clic" e nessuno potrà mai accorgersene.

Nel caso del voto elettronico applicato ad elezioni politiche sarà il governo in carica (uscente) a gestire i computer e quindi a poter falsare, senza tema di smentita, i risultati elettorali. Ne avrà la possibilità tecnica oltre a un indubbio interesse!

I computer sono macchine meravigliose assolutamente necessarie per svolgere lavori complessi dove la velocità e/o la potenza di calcolo sono importanti. Sono infatti usati nel riconoscimento automatico di immagini, nella guida di missili ed aeroplani, nella robotica chirurgica, nella gestione di impianti nucleari, nella gestione della rete telefonica mondiale, etc, etc.

Ma nelle elezioni dobbiamo solo sommare voti, cioè contare 1 + 1 + 1 ... + 1. Non mi pare che per fare questa semplice somma ci sia bisogno della potenza dei computer! E neppure della loro velocità dato che aspettare una notte per avere i risultati elettorali è più che accettabile. Quindi l' uso dei computer oltr a essere pericoloso è anche inutile!

L' uso dei computer nelle votazioni non è una necessità, ma solo una pericolosa moda con un enorme giro d'affari.

Dunque possiamo usare i computer dappertutto tranne che nel voto, ma questa limitazione non deve preoccuparci: è molto probabile che l' umanità sopravviverà lo stesso!

Abbiamo dimostrato che affinchè le elezioni siano democratiche e verificabili dobbiamo usare le schede di carta ed evitare l' uso di computer.

Ciò non significa che non possiamo utilizzare alcuna tecnologia! Infatti sia il voto sia lo spoglio di schede cartacee può essere assistito da apparati tecnologici:

• le schede possono essere votate:
  1. manualmente dagli elettori
  2. stampate da apparecchiature offline secondo le indicazioni date dall' elettore (quelli stampati sarebbero i voti veri e propri e non le semplici VVPAT). Gli elettori verificano che la scheda risultante sia proprio quella che esprime la propria volontà di voto e poi la inseriscono nell' urna. Le apparecchiature, che devono essere presenti in ogni cabina elettorale, possono far uso di video ed audio per aiutare quei elettori con problemi di vista o di lingua.
• le schede possono essere spogliate:
  3. manualmente dagli scrutatori
  4. usando lettori ottici offline, i cosiddetti PCOS

L' elezione di tipo 2+4 è quella che usa più elettronica, mentre quella 1+3 è il tradizionale voto cartaceo senza alcun uso di elettronica (voto e conteggio entrambi manuali). Anche le elezioni di tipo 1+4 e 2+3 sono possibili per avere risultati verificabili e certi.

Come si vede è possibile usare con sicurezza solo poca elettronica: sono usabili solo un paio di apparati: uno per stampare i voti e l'altro per leggerli. Tali apparati possono essere, anzi di sicuro saranno, computer. In ogni caso è assolutamente necessario che gli apparati funzionino sempre off-line (scollegati da qualsiasi rete o altro computer) perchè questo è l' unico modo eer essere certi che i loro risultati non siano ne manipolati ne monitorati da lontano. Il fatto di essere off-line è condizione necessaria ma non sufficente ai fini della sicurezza dei risultati perchè, ovviamente, anche gli apparati off-line possono essere manomessi o addirittura essere prodotti giá "taroccati".

Tutti i programmi di computer scritti per migliorare l' accessibilità del voto possono essere usati per le elezioni cartace. La sola differenza è che i voti dovranno essere stampati sulle schede anzichè essere trasmessi a qualche altra apparecchiatura elettronica, ma ciò non complica certo l' atto del votare.

Per ora i vari esperimenti di voto elettronico sono sempre accompagnati da un uguale voto cartaceo. Si deve votare anche su carta perchè è il voto cartaceo quello che fa fede per i risultati e ciò significa chiaramente che il voto elettronico è solo un costoso modo per dimostrare come le società di hardware & software siano capaci a produrre macchine per il voto

Abbinare la votazione cartacea a quella elettronica serve a darci confidenza con la seconda. Se i costruttori di hardware e software riusciranno per qualche anno a non avere (o a nascondere) problemi con le elezioni, saremo tutti convinti che il voto elettronico dia risultati giusti e, quindi, alla fine accetteremo di fare a meno dell' ormai inutile (!!) controllo cartaceo.

E qui si apre una montagna di rischi perchè gli apparati elettronici non rimangono fissi e stabili per sempre e quindi ci saranno nuove versioni software, nuove architetture hardware, nuove tecnologie di rete, nuove tecniche di pirataggio informatico... Inoltre ci dovremo fidare di nuovi azionisti, di nuovi management e di nuovi lavoratori delle ditte che fabbricano l' hardware e il software per il voto elettronico.

Alla fine, nonostante tutte queste novità che possono incidere sui risultati finali, noi saremo costretti ad accettare passivamente qualsiaisi risultato ci diano perchè non avremo più le schede di carta con le quali verificarlo.

P.S. Nelle elezioni non sperimentali ma vere (come in India, Brasile e USA) non c'è il doppio voto elettronico-cartaceo (ma o l'uno o l' altro) ed infatti i risultati elettronici sono stati accettati senza alcuna verifica.

Purtroppo, nonostante l' opposizione fatta, soprattutto negli USA, da tantissimi informatici, l' uso dell' elettronica nelle procedure di voto sembra essere inarrestabile. Esiste in tal senso una fortissima pressione esercitata dai venditori di apparati per il voto elettronico, ma il problema maggiore é che la pubblica opinione e, soprattutto, la classe politica ed intellettuale non si avvedono dei rischi che il voto elettronico comporta. Esse sembrano aver dimenticato che le attuali procedure di voto pubbliche e verificabili servono in primis ad impedire brogli elettorali da parte di chi gestisce il potere. Infatti i governi hanno nella propria conferma il movente per fare brogli elettorali e nella gestione dell' apparato elettorale il mezzo ideale per farlo.

Il voto attribuisce quel potere da sempre ambito da persone, partiti politici, gruppi economici, gruppi criminali, gruppi terroristici di tutto il mondo. E' il potere di governare su milioni di persone e di fare e disfare imperi economici e non necessariamente per il bene comune. Che il desiderio di potere non sia stato imbrigliato una volta per tutte nelle maglie della democrazia é dimostrato dal fatto che pochi mesi fa, nella nostra civile Europa, qualcuno ha avvelenato l' avversario politico con la diossina per ucciderlo. Pensate si sarebbe fermato davanti alla contraffazione di tabulati anonimi?

L' opposizione al voto elettronico va contro il pensiero "tecnologista" tanto in voga e quindi é difficile da inserire in qualunque agenda politica, eppure il voto elettronico é un argomento da approfondire e dibattere prima che anche nel nostro Paese qualche multinazionale dell' informatica abbia l' appalto delle elezioni politiche elettroniche e decida fuori da ogni controllo democratico chi saranno i nostri prossimi governanti.

I cittadini, tutti i cittadini, devono poter scegliere se vogliono affidarsi a risultati elettorali non verificabili oppure se vogliono continuare a votare con le schede cartacee e le procedure di scrutinio pubbliche che non hanno mai generato dubbi circa la legittimitá dei risultati.

La democrazia non sopravviverà al voto elettronico perchè esso cambia la natura stessa del voto

La base di ogni democrazia è che la gente abbia una conoscenza piena di come vanno le cose. Infatti si partecipa alla vita politica avendo libero accesso alle informazioni, alle notizie e ai documenti rguardanti il paese ed il suo governo. E' per questo motivo che i mezzi di informazione devono essere liberi e plurali. Il voto è solo un aspetto della partecipazione politica, un aspetto che si rinnova ad ogni elezione.

Oggi il vero pericolo per le democrazie è la concentrazione in poche persone del potere economico e dei media e certamente non è pericoloso il fatto che si voti con le "vecchie" schede di carta. Quindi è ovvio che per rivitalizzare la democrazia non basta cambiare le schede elettorali in "byte elettorali"!

Questo anche perchè le macchine di voto elettronico sono sotto il completo controllo di quella oligarchia economica che è il principale pericolo per la democrazia. E' un fatto che in tutto il mondo sono pochissime le ditte che progettano, producono, sviluppano e vendono apparati di voto elettronico. E' anche un fatto che è difficilissimo sapere a chi tali ditte appartengano.

Riassumendo abbiamo i seguenti punti:

• non è possibile garantire la verificabilità di dati anonimi
• i risultati di relazioni 1:N sono per lor natura NON verificabili
• le frodi di chi possiede i computer NON sono verificabili
• i risultati elettronici NON sono verificabili
• i risultati elettronici NON sono certificabili
• le schede di carta hanno funzionato bene per oltre 200 anni in tutte le democrazie occidentali

Sono tutti punti favorevoli al voto tradizionale e contrari a quello elettronico! Ma nonostante ciò governi e venditori di hardware & software spingono proprio perchè noi si usi il voto elettronico !

Nella loro propaganda vogliono farci credere che il voto elettronico ponga solo problemi tecnici e ci nascondono, invece, che è la natura stessa del voto a costituire un ostacolo teorico, direi "filosofico", all' uso dell' elettronica e dell' informatica nello svolgimento del processo elettorale.

Per farci accettare il voto elettronico i suoi (interessati) sostenitori si vantano di offrire soluzioni tecniche per tutti i problemi, ma nessuna soluzione tecnica è possibile per problemi che tecnici NON sono!

A causa degli enormi interessi politici ed economici in gioco nelle elezioni, molta gente, molte nazioni, molti gruppi criminali e teroristici avrebbero interesse ad alterarne i risultati (e molti di essi sono cosí potenti da avere molte possibilità di successo). Quindi, per il bene della democrazia è estrememente importante che i risultati di qualsiasi elezione siano veramente quelli espressi dalla volontà popolare.