di Paolo Becchi su Libero, 11/08/2017


Giovanni Ziccardi è professore di Informatica giuridica all’Università di Milano; è autore di molti saggi sul mondo della rete, nonché direttore della rivista scientifica “Ciberspazio e diritto”. Con lui parliamo di voto elettronico e di quello che sta succedendo con la piattaforma Rousseau, il software adoperato dalla Casaleggio& Associati.

Partiamo dal mio servizio su Libero del 3 di agosto. Cosa pensi della mia dura critica alla “piattaforma Rousseau”? Potresti spiegare bene la differenza tra “codice aperto” e “codice chiuso”?

«Sono d’accordo sulle critiche che hai mosso, sia politiche/giuridiche, sia tecniche. Su quest’ultimo punto sono ancora più drastico di te: non è possibile iniziare a discutere di sistemi per il voto elettronico, per la democrazia elettronica, se non vi è alla base un codice basato sulla filosofia del software libero. Ti va dato merito che sei stato l’unico a mettere il dito nella piaga, perché al di là del voto elettronico hai sottolineato il fatto che il software adoperato dal M5s non è libero».

Cosa intendi per “software libero”?

«Il software libero è l’unico che consente una democraticità nel processo, una possibilità costante di scrutinio del codice sorgente (le istruzioni, ndr) da parte di tutti e, quindi, anche una maggiore sicurezza. Il software chiuso, o proprietario, invece, è già viziato alla base: “ci si deve fidare”, ma non si può comprendere come funziona. Ora, ci si può fidare, forse, di un software chiuso per la videoscrittura, o di un videogioco, ma non di una piattaforma che governi e incida sui processi democratici».

Quali sono i pericoli di un software proprietario?

«Il gestore della piattaforma può vedere i voti, può cambiarli, può tracciarli, può profilare i votanti, può impedire a gruppi di opposizione interni di votare, può dare un peso diverso ai vari voti. È sovrano, insomma, può cambiare il bianco in nero a suo piacimento con un clic, in maniera invisibile e non tracciabile».

Ci sono dei rischi per il sistema democratico quando il più grande partito è guidato da una piattaforma gestita da una società commerciale che si occupa di marketing in rete?

«I rischi che vedo sono soprattutto quelli informatici: gli avvenimenti recenti hanno dimostrato come sia mancato un piano di sicurezza informatica serio. Non si è compreso, forse, come il processo di raccolta e gestione di voti sia un servizio critico, che raccoglie dati sensibili dei cittadini, collegati alle loro opinioni politiche. Perdona il paragone, ma non c’è differenza, dal punto di vista del rischio e delle responsabilità, dal gestire la rete di un ospedale (con i dati dei pazienti) e la rete di un partito orientata alla raccolta dei consensi e dei voti: sono tutti e due dati sensibili, che prima di essere trattati devono essere resi inaccessibili dall’esterno».

La “piattaforma Rousseau” è stata presentata come la realizzazione della democrazia diretta…

«Sulla carta la piattaforma si propone obiettivi miranti a una democrazia nella gestione del processo politico, ma sono convinto che un sistema di questo tipo debba essere democratico anche nel Dna informatico, ossia nel modo in cui le funzioni sono gestite e documentate. Io trovo molto interessante e innovativa la possibilità di fare agire il singolo in un contesto politico per poi tradurre la sua volontà, espressa online, in azione politica concreta, ma non si può pensare a un sistema simile che operi nella segretezza, nella fiducia che bisogna avere in chi ha allestito la piattaforma. Anche se non ci fossero stati attacchi dall’estero, il sistema era già viziato dall’interno e, quindi, tutto fuorché democratico».

Puoi spiegarci meglio i rischi del voto elettronico. Ho forti dubbi sul voto elettronico, se staccato da quello cartaceo.

«Il problema del voto elettronico ha una lunga storia, che ha condizionato tornate elettorali negli Stati Uniti ma anche in India. Tutti i sistemi per il voto elettronico presentano delle vulnerabilità, dovute o a “bachi di sicurezza” nello sviluppo delle macchine per il voto e del loro software, o alla loro segretezza, o a punti deboli nel percorso di voto. Potrà sembrare un’eresia, ma una doppia verifica fatta col cartaceo (ossia un sistema di stampa di una ricevuta di voto o di una certificazione cartacea poi verificabile) è il modo migliore per rafforzare il tutto. Il problema è che un’alterazione del voto elettronico può cambiare migliaia di voti in pochi secondi, mentre alterare il cartaceo è sì possibile ma non su larga scala. Un sistema per il voto elettronico può essere sperimentato solo se c’è un secondo sistema di “backup”, di verifica manuale e cartacea, da usare in caso di emergenza. Fidarsi solo dell’elettronico è molto rischioso».

E sul voto elettronico in Lombardia cosa pensi?

«Bisognerà fare molta attenzione alle macchine/tablet che verranno usate. La sicurezza dipende dalla loro resistenza ad attacchi e alla possibilità in caso di dubbio di fare una verifica manuale e di ripercorrere il percorso di voto di ciascun cittadino. Non dovrebbe poi essere possibile intervenire sul voto, né vedere le identità dei votanti, perché la macchina può essere uno strumento per profilare l’elettore».

Veniamo agli attacchi hacker al sistema Rousseau, da molti questi hacker vengono descritti come dei criminali io li considero degli eroi della libertà – mi piace “rogue0” perché non scende a compromessi – che ci vogliono far capire non solo il pericolo di quel sistema ma la sua totale vulnerabilità. Certo che rogue() si fosse impadronito dell’intero database, se fosse vero, sarebbe dirompente.

«Anche io ammiro molto le azioni degli hacker: senza alcun interesse che non sia la diffusione della conoscenza e la libertà, cercano le vulnerabilità nei sistemi di interesse pubblico e rendono disponibili a tutti i risultati delle loro azioni. Purtroppo spesso sono perseguiti, soprattutto quando toccano segreti industriali o servizi critici».

L’azienda che dirige il M5S non rischia conseguenze penali e civili per la mancata custodia di dati sensibili? E poi chi si era iscritto sul portale al M5S non si era mica anche iscritto all’Associazione Rousseau?

«Responsabilità civili e penali connesse in particolare al “data breach” (la breccia nel sistema informatico, ndr) e alla mancata adozione di misure di sicurezza minime e idonee sono, a mio avviso, evidenti. L’attacco a “Rousseau” sembra si sia basato su una vulnerabilità del sistema datata e già nota. Il prossimo anno con l’avvento del nuovo Regolamento Europeo per la protezione dei dati (GD-PR), il tema dei data breach (e della loro denuncia) sarà sanzionato ancora più pesantemente. Sul resto ci sarà lavoro per gli avvocati, se gli iscritti al M5S decideranno di attivarsi».

Annunci