Migliorato l’E-Voting della Posta, ma ancora punti deboli

Il sistema di voto elettronico sviluppato dalla Posta è migliorato sensibilmente da quando la Cancelleria federale ha deciso di sottoporlo a una verifica indipendente svoltasi dal luglio 2021 a questo febbraio. Tuttavia sussistono ancora problemi, alcuni dei quali abbastanza importanti da richiedere notevoli lavori.

I primi rapporti d’esame, pubblicati oggi, realizzati da specialisti indipendenti su mandato della stessa Cancelleria federale coprono quattro settori: il protocollo crittografico del sistema, il software utilizzato, l’infrastruttura e l’esercizio presso la Posta, nonché un test d’intrusione cui deve essere esposto il sistema.

La verifica su ogni settore, basata sulle versioni del sistema dall’estate all’autunno 2021, è stata svolta da più esperti. L’esame dell’infrastruttura e dell’esercizio nei Cantoni è ancora in corso.

Sistema migliorato...

I risultati sotto forma di rapporti d’esame mostrano che dal 2019 il sistema di voto elettronico della Posta è stato notevolmente migliorato. La documentazione è strutturata in modo più chiaro, completo e adeguato.

Anche il codice sorgente riceve perlopiù buoni voti. Inoltre, la valutazione dei processi di sviluppo del sistema è buona. Dal test d’intrusione è emerso che nessuno degli attacchi sferrati in questo contesto è andato a buon fine.

...ma ci sono ancora punti deboli

I rapporti indicano tuttavia che il sistema richiede ulteriori migliorie, in parte importanti. Le lacune riscontrate riguardano tra l’altro il protocollo crittografico che deve garantire la verificabilità nel rispetto della segretezza del voto. Quanto riscontrato è stato comunicato alla Posta affinché potesse procedere alle necessarie migliorie.

Risolto questo problema, il sistema sarà nuovamente sottoposto a una verifica indipendente per sincerarsi che esso ottemperi ai requisiti di sicurezza definiti nelle basi legali rielaborate concernenti l’impiego di sistemi di voto elettronico. Tali basi legali – l’ordinanza sui diritti politici (Odp) e l’ordinanza della CaF concernente il voto elettronico (Ove) – saranno ultimate entro la metà del 2022; in seguito l’Odp sarà sottoposta al Consiglio federale per la messa in vigore, mentre l’Ove sarà posta in vigore dalla Cancelleria federale.

Quando le nuove basi legali e i rapporti finali della verifica indipendente saranno disponibili, i Cantoni potranno richiedere al Consiglio federale un’autorizzazione di principio per l’impiego del sistema di voto elettronico della Posta in occasione di consultazioni federali. L’analisi dei rischi e la responsabilità per un eventuale impiego restano di competenza sia dei Cantoni, in quanto responsabili dello svolgimento delle votazioni, sia della Confederazione, in quanto autorità che rilascia l’autorizzazione.

130 falle

In una nota odierna, il Gigante giallo precisa di aver sottoposto la sua versione Beta, pronta all’inizio del 2021, al banco di prova di esperte ed esperti internazionali, tra cui anche specialisti di crittografia e hacker etici, con l’obiettivo di individuare ed eliminare tempestivamente eventuali falle.

Nel corso delle analisi, la Posta ha sviluppato ulteriormente la versione beta e pubblicato varie release. Seguiranno ulteriori rielaborazioni. Grazie alle analisi e ai test ha ricevuto circa 130 segnalazioni. Quattro di queste riportavano un livello di gravità "elevato" a cui la Posta ha rimediato presentando proposte di soluzione o attuando direttamente la correzione nel sistema. Per ora non sono emersi risultati "critici" del massimo livello di gravità. L’azienda ha ricompensato coloro che hanno individuato i diversi punti deboli con una somma che a oggi ammonta a circa 97mila franchi.

Primi Cantoni interessati

Stando al calendario della Posta, il sistema di voto elettronico potrebbe diventare operativo già nel 2023. Si tratta di un obiettivo ambizioso, ha affermato Urs Bruderer, portavoce della Cancelleria federale, a Keystone-Ats. A ogni modo, ci sono già alcuni Cantoni interessati, come Basilea Città, Turgovia e San Gallo, che vorrebbero eseguire delle prove col nuovo sistema.

La Svizzera non ha attualmente un sistema di voto elettronico. La Posta ha ritirato il suo sistema nel 2019 dopo la scoperta di diverse vulnerabilità, per poi rimettersi al lavoro. Ginevra ha fatto lo stesso nel 2018, ma per motivi finanziari.