Migliore protezione del voto elettronico contro la coercizione

- EN- DE- FR- IT
Con metà della popolazione mondiale che si reca alle urne quest’anno, gli scienziati dell’EPFL hanno sviluppato e testato sul campo una nuova tecnologia per combattere la coercizione e la compravendita di voti nelle votazioni online.

Nel 2024 si sono tenute elezioni nazionali o regionali in Paesi che ospitano quasi la metà della popolazione mondiale. Queste elezioni si sono svolte in un contesto di sfide geopolitiche sempre più complesse e di crescenti preoccupazioni circa la libertà, l’equità e la trasparenza del voto in molti Paesi.

In tutto il mondo, le schede cartacee contrassegnate e votate di persona sono di gran lunga la forma di voto più comune . Il voto di persona non è perfetto, ma è lo standard attuale di resistenza alla coercizione. Gli elettori presentano un documento d’identità, entrano in una cabina elettorale, segnano la loro scheda e la depositano nell’urna, mentre l’intero processo è normalmente monitorato da osservatori indipendenti.

Il voto elettronico a distanza è interessante per la sua convenienza e per la potenziale maggiore affluenza alle urne. La tecnologia avanzata di oggi può rendere il voto elettronico universalmente verificabile, in modo che chiunque, non solo i funzionari e gli osservatori elettorali, possa controllare che i voti siano stati conteggiati correttamente. Tuttavia, la maggior parte dei sistemi di voto online è più vulnerabile del voto di persona all’acquisto di voti e alla coercizione, ad esempio quando un’altra persona seduta accanto all’elettore gli dice come votare.

False credenziali per un voto elettronico più sicuro

Per quanto possa sembrare strano, una strategia promettente per affrontare questa vulnerabilità alla coercizione è la falsificazione digitale ufficialmente approvata. I sistemi sperimentali di voto elettronico consentono agli elettori di creare credenziali di voto false che possono dare - o vendere - a un "bullo", che non ha modo di rilevare se sono valide o meno. I voti espressi utilizzando falsi identificatori di voto vengono silenziosamente ignorati e non vengono presi in considerazione nelle elezioni.

Tuttavia, rimangono importanti domande. Gli elettori comuni comprendono la minaccia di coercizione quando si tratta di votare online? Pensano che sia importante? Capirebbero e applicherebbero correttamente la tecnologia di mitigazione che utilizza falsi identificatori?

Nel tentativo di rispondere a queste domande, i ricercatori della Facoltà di Informatica e Comunicazione dell’EPFL hanno condotto uno studio sistematico a Boston, negli Stati Uniti, coinvolgendo 150 partecipanti che si sono registrati e hanno votato in una finta elezione. Nel loro lavoro, presentato al 45° IEEE Symposium on Security and Privacy, i ricercatori descrivono come 120 dei partecipanti siano stati esposti a falsi identificatori, mentre gli altri hanno costituito un gruppo di controllo.

"Nel nostro sistema, le persone devono ancora creare di persona le loro credenziali di voto legittime e falsificate per stabilire una comunicazione affidabile tra l’elettore e l’autorità di vigilanza: questo è il punto di partenza per la fiducia", spiega il professor Bryan Ford, responsabile del Decentralised and Distributed Systems Laboratory (DEDIS). "Ma gli elettori devono farlo solo una volta ogni pochi anni, non ogni volta che c’è un’elezione", continua. "Una volta che gli elettori hanno creato le loro credenziali, possono usarle su qualsiasi dispositivo con cui vogliono votare e possono votare ovunque vogliano".

Tecnologia crittografica all’avanguardia

Per creare i propri identificativi di voto, i partecipanti hanno utilizzato TRIP, un prototipo di sistema di voto online resistente alla coercizione. Sviluppato da Bryan Ford e dal suo team, questo sistema utilizza una tecnologia crittografica consolidata nota come "prova di conoscenza a divulgazione zero" per creare un identificatore reale e uno o più identificatori falsificati. In questo modo, l’elettore sa quale identificativo è reale ma non può dimostrarlo a nessun altro.

"Con TRIP, gli elettori possono stampare sia un documento d’identità vero che un numero qualsiasi di documenti falsi che utilizzano codici QR. Ognuno di essi include una prova di conoscenza a rivelazione zero, valida negli identificativi veri e non valida in quelli falsi. Solo l’elettore che ha creato questi identificativi è in grado di riconoscere la differenza osservando l’ordine delle fasi di stampa. Una volta usciti dalla cabina elettorale, gli identificativi sono indistinguibili l’uno dall’altro", spiega Louis-Henri Merino, assistente di dottorato al DEDIS e autore principale della ricerca.

Una tecnologia ancora da adottare

Dei 120 partecipanti allo studio esposti ai falsi identificatori, quasi tutti ne hanno compreso l’uso (96%), mentre poco più della metà ha dichiarato che avrebbe creato falsi identificatori in uno scenario di voto reale se ne avesse avuto l’opportunità. Tuttavia, il 10% dei partecipanti ha votato per errore con un documento falso.

Il 22% di coloro che hanno partecipato allo studio ha dichiarato di aver sperimentato personalmente o di essere a conoscenza di episodi di coercizione o acquisto di voti. I partecipanti ritengono che il sistema a prova di coercizione sia generalmente affidabile quanto il voto di persona con schede cartacee marcate a mano.

Complessivamente, dei 150 partecipanti che hanno utilizzato il sistema, l’87% è stato in grado di creare i propri login senza assistenza e l’83% è stato in grado di crearli e utilizzarli correttamente. I partecipanti hanno assegnato al sistema un punteggio di 70,4 sulla scala della facilità d’uso, leggermente superiore alla media del settore, pari a 68.

Rafforzare la democrazia

"Sono interessato al voto elettronico perché la democrazia è da tempo una mia preoccupazione. Deve garantire una partecipazione più regolare, assicurando al contempo fiducia e riservatezza. Per far funzionare meglio la democrazia, non possiamo trarre vantaggio dalle tecnologie odierne se non risolviamo i problemi di trasparenza e coercizione", afferma Bryan Ford. "I nostri risultati sembrano confermare l’importanza del problema della coercizione in generale e confermano che i falsi identificativi potrebbero essere un possibile mezzo di mitigazione. Tuttavia, i tassi di errore dell’utente rimangono una sfida significativa per l’usabilità da affrontare in futuro".

Sebbene lo studio sia stato condotto negli Stati Uniti, i ricercatori dell’EPFL ritengono che la tecnologia potrebbe essere utilizzata anche in Svizzera. A loro avviso, il sistema di voto per corrispondenza svizzero, come i sistemi di voto elettronico, non soddisfa il requisito di non costringere gli elettori, poiché anche loro votano in un ambiente non controllato.

"L’atteggiamento della Svizzera è fondamentalmente quello di dire che la coercizione è illegale e che gli svizzeri rispettano la legge, quindi non accade. Mi piacerebbe vedere uno studio su come gli svizzeri percepiscono la coercizione e la loro percezione di potenziali soluzioni. Infine, mi piacerebbe molto che accanto a questo tipo di piattaforma venissero sviluppati approcci più partecipativi alla democrazia. Possiamo rafforzare fondamentalmente la democrazia con un sistema che sia davvero sicuro da usare?

Come funzionerebbe in pratica il TRIP?

Andrea (non è il suo vero nome), che ha appena compiuto 18 anni, vota per la prima volta. Il suo Paese sta organizzando un voto online: il primo passo per Andrea è recarsi di persona in un’area dedicata, dotata di cabine per la privacy e del sistema TRIP, per creare i suoi identificatividi voto.

Andrea ha scelto di creare due falsi identificativioltre alsuo vero identificativo di voto. Per creare ciascuno di essi, Andrea utilizza un chiosco nella cabina della privacy per stampare una ricevuta cartacea e inserirla in una busta speciale, anch’essa ottenuta dalla cabina. Mentre si trova ancora nella cabina, Andrea utilizza una penna per contrassegnare la busta contenente la sua vera ricevuta in un modo che solo lei conosce e che ricorderà in seguito. Quando esce dalla cabina, ha tre buste, ognuna contenente una delle sue credenziali - ma solo Andrea conosce le sue vere credenziali, che le permetteranno di votare alle elezioni. I suoi duedocumenti falsile permetteranno di votare, ma quei voti non conteranno.

Andrea vive con i suoi genitori, che l’hanno esortata a votare per il partito politico che sostengono. Il giorno delle elezioni, Andrea deve votare online insieme ai genitori, come da tradizione familiare. Per questo voto, però, utilizza uno dei suoi falsi identificativi. Il voto che ha espresso sotto la supervisione dei genitori è stato poi cancellato al momento dello spoglio dei voti perché era stato espresso con un documento falso e non è stato possibile risalire a lei. Per poter votare liberamente per il partito politico di sua scelta, all’insaputa dei genitori, Andrea usa il suo vero documento d’identità pervotare online in un altro momento, quando va a trovare un caro amico di cui si fida. Solo questo voto reale viene preso in considerazione per le elezioni.