In questa prospettiva il seggio telematico deve essere realizzato come un sistema in grado di assicurare sia l’anonimato e segretezza del voto, sia la tempestiva regolarità e l’efficienza delle operazioni di scrutinio nonché la massima facilità di utilizzo anche da parte di persone prive di qualsiasi conoscenza informatica.

Garanzie del voto telematico

SEGRETEZZA DEL VOTO

· Il sistema memorizza il numero dei votanti.

· Nessuno in alcun modo è in grado né al momento della votazione, né dopo, di associare l’elettore ai voti che ha espresso.

 

SICUREZZA DEL VOTO

· Il sistema che costituisce il seggio elettorale colloquia costantemente con gli elaboratori centrali (server) con i quali scambia dati ogni volta che ogni singola operazione viene effettuata. Dopo ciascuna votazione la preferenza viene trasmessa e non è più modificabile, proprio come una scheda depositata nell’urna.

 

 

ULTERIORI GARANZIE

· I risultati sono disponibili solo alla fine delle elezioni.

· Non vi è la possibilità di vedere o capire come stanno votando elettori in altre postazioni.

· I computer sono installati in uno spazio consono alla circostanza per permettere l’afflusso contemporaneo di un certo numero di persone senza che si creino disguidi o momenti di confusione. Si tenga presente a questo proposito comunque l’estrema velocità di un sistema telematico automatizzato.

· Un programma o una funzione dedicati si occupano di calcolare la somma dei voti per ogni candidato, semplificando le operazioni ed evitando in tal modo possibili errori dovuti al fattore umano.

· I risultati sono disponibili al pubblico immediatamente dopo il termine delle elezioni sia su carta che sul sito Web dell’Ateneo.

· Il responsabile amministrativo garantisce tutto l’iter procedurale delle operazioni di voto ed ha il compito di effettuare gli scrutini; è l’unico che può aprire l’urna, decifrare e rendere disponibili i risultati delle elezioni così come avviene per le elezioni delle commissioni delle valutazioni comparative per il reclutamento del personale docente e ricercatore.

· il sistema si appoggia su una Public Key Infrastructure e utilizza algoritmi di crittografia riconosciuti come standard internazionali.

 

Realizzazione tecnica

Il sistema è stato realizzato dal CINECA (Consorzio interuniversitario) in collaborazione con il sottoscritto (che ha già acquisito una notevole esperienza nell’ambito del voto elettronico) e il SE.S.I (Servizio per il Sistema Informativo) dell’Ateneo e il responsabile informatico delle procedure di valutazione comparativa del personale docente e ricercatore.

Per molti aspetti il sistema si presenta più semplice di quello approntato per le elezioni delle commissioni nelle procedure di valutazione comparativa, poiché si tratta del voto di un numero più ristretto di persone (il personale docente e ricercatore a cui vanno sommati i rappresentanti degli studenti e del personale tecnico-amministrativo così come previsto dallo statuto vigente, circa 2000 persone). La semplicità del sistema di voto elettronico proposto è assicurata anche dal fatto che gli elettori non devono votare per alcune tipologie di procedura o di settore scientifico disciplinare.

Per motivi di sicurezza e proprio perché il sistema è già garantito dalla Certification Authority emessa dalla Commissione di esperti nominata con decreto del MURST del 19 marzo 1999 e composta da cinque esperti designati dal MURST, dall'AIPA, dalla CRUI e dal CUN si è utilizzato lo stesso sistema e la stessa interfaccia delle valutazioni comparative, con otto postazioni telematiche dotate dello specifico software per votare.

Compito della Commissione è stato quello di esaminare gli aspetti di sicurezza del sistema e determinare se questi sono sufficienti a garantire segretezza, anonimato e integrità dei voti.

La Commissione ha certificato che il sistema può essere applicato ad elezioni reali e rispetta i requisiti di sicurezza richiesti e che pertanto può essere utilizzato per analogia anche per altre tipologie di votazione.

Le preferenze espresse dagli elettori sono state quindi inviate mediante l’utilizzo della linea ISDN ai server installati presso il CINECA e memorizzate in un database accessibile, solo al termine della tornata elettorale, ai responsabili amministrativo e informatico delle procedure di valutazione comparativa; gli stessi fungeranno da amministratori incaricati e controlleranno il corretto funzionamento della procedura, senza tuttavia poter risalire, come descritto in precedenza, all’identità dell’elettore.

La garanzia del sistema di voto proposto è la stessa di quella prevista per le procedure telematiche di voto a livello nazionale per le valutazioni comparative. E’ stato infatti previsto l’utilizzo delle smart card dedicate in dotazione al responsabile dell’UO7 per l’abilitazione delle postazioni elettorali e per l’effettuazione dello scrutinio finale l’unico strumento in grado di decifrare le preferenze espresse, con chiavi certificate da una Certification Authority. In buona sostanza i voti vengono cifrati presso il seggio, conservati in forma cifrata presso l’Urna Centrale, inviati al seggio al termine della votazione e decifrati con la chiave privata del responsabile dell’UO7. Prima dello scrutinio finale, chi detiene i voti non ha la chiave per decifrarli, mentre chi ha la chiave non dispone dei voti.

Accesso al sistema di voto

Il sistema migliore per semplicità ed efficacia è stato quello di produrre una coppia composta da codice personale e chiave di identificazione per ciascun elettore tutte diverse tra loro e in numero pari a quello degli elettori; è stat quindi generata una coppia di identificativi nominativi personali per ogni elettore. Tali informazioni sono state stampate dal CINECA su carta dello stesso tipo di quella dei certificati elettorali utilizzati per le elezioni nelle procedure di valutazione comparativa. I documenti ovviamente verranno prodotti in modo che il contenuto non possa essere visibile se non aprendo il certificato stesso.

Pertanto ogni persona avente diritto al voto che si è presentata al seggio ha ricevuto dal personale incaricato il proprio certificato necessario per accedere al sistema di voto.

Il server controlla la validità della login e della password e memorizza lo stato di ‘elettore (cognome e nome) che ha votato’ in modo tale che non possa essere più utilizzata al termine della sessione di voto (one time use).

Nel caso un elettore provasse a ricominciare l’operazione di voto senza uscire dalla postazione telematica elettorale, il sistema risponderà prontamente con un messaggio del tipo "l’elettore ha già votato" e segnalerà l’avvenuta conclusione delle operazioni di voto da parte dell’elettore al personale del seggio elettorale mediante l’attivazione della stampante di sistema dedicata contenente la dizione "postazione n….; Cognome e nome ha votato".

Ogni volta si preveda una tornata elettorale e nei casi di ballottaggio, secondo i casi descritti dallo Statuto, si genererà un nuovo insieme di login e password in modo del tutto casuale.

Procedura di voto

Seggi Elettorali

Ogni postazione di voto è stata dotata di un apposito lettore di smart card. Per abilitare la postazione deve essere inserita la smart card nell’apposito lettore digitando il codice PIN dedicato.

Questa operazione è stata compiuta dal responsabile amministrativo dell’ufficio reclutamento con la collaborazione del referente informatico così come attualmente avviene al momento dell’apertura del seggio per le votazioni delle commissioni delle valutazioni comparativa.

L’elettore accede alla postazione di voto, apre il proprio certificato elettorale e digita il proprio codice personale. Il sistema gli mostra l'identità associata a tale codice e chiede all'elettore di confermarla. Questa fase serve ad evitare che un errore nella digitazione del codice possa condurre ad una erronea identificazione dell'elettore.

Quando l'elettore conferma la propria identità, il sistema gli chiede di digitare la chiave segreta di identificazione.

Se la chiave è corretta, l'elettore viene finalmente accreditato presso il sistema.

L’interfaccia presenta a questo punto la lista degli eleggibili per la votazione in corso: a ciascun nominativo è associato un numero progressivo e fra le scelte possibili è prevista anche la "scheda bianca".

Prima che la preferenza espressa venga inviata all'Urna Centrale, viene richiesta una ulteriore esplicita conferma della propria volontà all'elettore, onde evitare che un tasto premuto accidentalmente possa provocare effetti non voluti.

Dopo tale conferma, il voto viene cifrato e inviato all’Urna Centrale, che a sua volta accusa ricevuta. Con l’invio, la preferenza diviene non più modificabile, né revocabile.

Per ragioni di sicurezza, così come accade nelle elezioni tradizionali, non è possibile frazionare l'operazione di voto: un elettore che è entrato in cabina ed ha iniziato la procedura non può uscirne, pretendendo poi di rientrarvi in un momento successivo per completarla.

Quando l’elettore ha terminato la procedura, la stampante del seggio stampa una riga del verbale contenente data, ora, numero della postazione, cognome e nome dell’elettore e l’indicazione "ha votato".

In caso di problemi tecnici, quale blocco del calcolatore, della rete, ecc., sarà possibile ripetere l’operazione fino a quando un voto non sarà correttamente giunto all’Urna Centrale.

Il funzionamento della postazione di voto è subordinato alla presenza nel lettore della smartcard abilitante, che viene inserita all’apertura dal presidente di seggio. Ogni inserimento ed estrazione della smartcard viene riportato sul verbale prodotto dalla stampante del seggio

Svolgimento delle operazioni di scrutinio

Lo scrutinio dei voti può essere effettuato solo dal responsabile dell’ufficio reclutamento e può avvenire solo dopo la chiusura delle operazioni di voto e l'effettuazione, da parte del CINECA, di una copia di sicurezza (backup) del contenuto dell'Urna centrale.

Il Responsabile dispone di una smartcard personale contenente la chiave privata per la decodifica dei voti che sono stati cifrati con la sua chiave pubblica.

Per effettuare lo scrutinio può essere utilizzata una qualunque delle postazioni usate per il voto. Il Responsabile inserisce la propria smartcard nel lettore e digita il PIN. Il software presso il client, dopo aver verificato con l’Ufficio Elettorale Centrale che l’elezione sia chiusa, si fa consegnare dall’Urna Centrale i voti cifrati. La smartcard decifra i voti e i risultati vengono visualizzati e stampati.

Urna Centrale

L’urna centrale è il computer (server) che deve memorizzare i vari voti in un database dedicato ed indipendente. I risultati saranno disponibili solo alla fine della tornata elettorale. Verranno memorizzati nei server i seguenti dati:

· inizio e termine delle elezioni per ogni giorno di votazione;

· numero dei votanti per ogni giorno di votazione;

· numero di votanti finali;

· numero di preferenze espresse per ogni candidato calcolato in fase di scrutinio;

· numero di schede bianche.

 

 

All’inizio della tornata elettorale sul server sono presenti i nomi dei candidati che hanno presentato la candidatura e questi vengono proposti alle postazioni client affinché gli elettori possano esprimere la loro preferenza.

Ricordo che il meccanismo elettorale del nostro Ateneo prevedeva la possibilità di presentare, nei casi contemplati, nuove candidature oltre ad eventuali turni di ballottaggio e quindi anche il sistema è stato implementato per rispondere a queste evenienze.

Subito dopo la chiusura delle operazioni di voto, il sistema si predispone e procederà al calcolo delle preferenze scrutinate soltanto mediante l’utilizzo della smart card del responsabile sulla postazione di voto. I risultati sono stati resi subito disponibili sul sito Web dell’Ateneo.

Tutti i dati memorizzati sono stati mantenuti costantemente in parallelo per evitare perdita di informazioni.

Devono essere continuamente disponibili, affidabili e consentire il recupero dello stato anche in caso di guasti (interruzione elettrica etc.).

Per questo sistema di voto telematico sono state utilizzate le stesse strumentazioni già in uso per le elezioni dei membri delle commissioni delle valutazioni comparative per il reclutamento del personale docente e ricercatore:

· tre postazioni telematiche di voto (Tastiera, monitor, Java station);

· un router;

· una linea ISDN;

· una stampante e il relativo print server.

 

Accanto a questa strumentazione sono stati installati altre cinque postazioni di voto, un’altra linea ISDN, un router ed una stampante da utilizzare in caso di guasto alle altre apparecchiature; presso il CINECA saranno presenti invece due server.

Il sistema consente così di gestire tranquillamente le preferenze espresse dagli elettori contemporaneamente.

Il funzionamento elettrico di tutte le apparecchiature utilizzate è stato garantito da appositi gruppi di continuità.

Architettura tecnica del sistema a cura del Cineca

I componenti fondamentali del sistema di voto telematico sono:

La Public Key Certification Authority (CA);

L’Ufficio Elettorale Centrale (UEC);

L’Urna Centrale (UC);

I seggi;

La rete di comunicazione.

 

Uno degli elementi caratterizzanti l’architettura è la presenza di due server centrali, l’UEC e l’UC, fisicamente separati e organizzati in maniera da consentire la separazione dell’identità dell’elettore dai voti da questi espressi. L'uso della cifratura delle preferenze espresse, inoltre, consente di inficiare eventuali tentativi di incrociare i dati.

I server centrali (collocati presso il Cineca a Casalecchio di Reno) si trovano in un ambiente fisicamente controllato e vigilato 24 ore al giorno, 7 giorni su 7 e offrono garanzie di alta affidabilità, tali da consentire il corretto funzionamento anche in presenza di un singolo guasto su un qualunque apparato.

La Public Key Certification Authority

L’autorità di certificazione (Certification Authority, CA) costituisce l’infrastruttura di base per identificare due tipi di entità:

il Responsabile del Procedimento (RdP) di elezione del Rettore;

le postazioni di voto.

 

A ciascuna entità viene rilasciato un certificato digitale in formato X.509v3, memorizzato su una smartcard crittografica.

L’Ufficio Elettorale Centrale

Compito dell’Ufficio Elettorale Centrale (UEC) è quello di conservare i dati relativi alla votazione in corso. In particolare l’UEC gestisce la lista degli aventi diritto al voto (elettorato attivo), degli eleggibili (elettorato passivo) e dello stato di ciascun elettore attivo per quanto riguarda l'esercizio del proprio diritto di voto. Emette le autorizzazioni al voto e tiene traccia del loro utilizzo dialogando con l’Urna Centrale. Conserva inoltre una copia dei certificati X.509 di tutte le entità coinvolte nelle operazioni.

Le uniche informazioni non gestite dall’UEC sono quelle che riguardano il contenuto dei voti espressi.

L’Urna Centrale

L’Urna Centrale (UC) è il contenitore dei voti espressi per la votazione in corso. Non dispone di alcuna nozione sull’identità degli elettori, ma è in grado di riconoscere ed accettare i voti validi grazie alle autorizzazioni al voto comunicate dall’UEC. Le autorizzazioni al voto non contengono alcun riferimento all’elettore al quale sono state rilasciate. I voti vengono ricevuti e immagazzinati in forma cifrata e l’UC non dispone delle chiavi di decodifica. In fase di scrutinio, i voti cifrati vengono estratti e inviati alla postazione di scrutinio, presso la quale avverrà la decodifica.

L’UC si trova su un ambiente operativo separato rispetto all’UEC e può essere gestita da una diversa entità amministrativa. Le uniche comunicazioni fra UC e UEC sono quelle previste dal protocollo applicativo per la comunicazione delle autorizzazioni di voto e delle loro variazioni di stato.

Il seggio

Il seggio costituisce l'interfaccia verso i servizi centrali. E' presidiato da una Commissione elettorale che ha il compito di identificare fisicamente gli elettori. I client dedicati installati sulle Postazioni di Voto (PdV) dialogano sia con l’UEC per ottenere le autorizzazioni, sia con l’UC per inviare le espressioni di voto. Le PdV non conservano localmente nessuna informazione di stato e dipendono quindi totalmente dai server centrali, presso i quali si autenticano grazie alle smartcard. Sulle PdV non viene effettuato alcun tipo di logging, caching o altro che possa consentire di tener traccia delle preferenze espresse. Una stampante produce in tempo reale il verbale delle operazioni del seggio, riportando i nominativi dei votanti, gli eventi significativi (quali attivazione e disattivazione delle PdV) e i riepiloghi periodici sulle affluenze.

La rete di comunicazione

Le postazioni di voto del seggio e la stampante sono connessi fra loro in rete locale sulla quale è presente un router. I protocolli di comunicazione sono quelli della suite TCP/IP, con network private. Presso il seggio sono installati due accessi ISDN BRI (Basic Rate Interface), al fine di garantire la funzionalità del seggio anche nel caso di un guasto su una linea. La LAN di ogni seggio è connessa via ISDN punto-punto direttamente ai sistemi centrali. Ciascuna linea ISDN è configurata come facente parte di un gruppo chiuso di utenza (CUG), tale da non consentire interazioni con numeri esterni al gruppo definito. La modalità di utilizzo è di tipo dial-on-demand, con apertura dinamica del secondo canale "B" in caso di traffico sostenuto. L’uso di ISDN al posto della dorsale pubblica di Internet è dovuto a motivi di affidabilità e qualità del servizio, oltre che a ragioni di sicurezza. Tutti gli apparati di rete sono gestiti e controllati centralmente. Allo scopo di garantire un tempestivo supporto tecnico durante le fasi del voto e di diagnosticare rapidamente eventuali anomalie di funzionamento, ciascun seggio è dotato anche di un telefono ISDN che consente comunicazioni esclusivamente con il Supporto Tecnico centrale presso il CINECA, senza neppure la necessità di comporre un numero telefonico.

Il protocollo applicativo

Il protocollo applicativo specifica le relazioni fra le entità del sistema di voto telematico ed ha lo scopo di garantire i requisiti di legittimità, integrità, segretezza e anonimato del voto.

Per legittimità si intende che deve poter votare solo chi ne ha diritto ed una volta soltanto.

Col termine integrità si intende che il voto non deve poter essere modificabile una volta che è stato espresso.

Il termine segretezza è relativo al fatto che il contenuto della preferenza non deve poter essere visibile prima dello scrutinio.

Il requisito dell’anonimato riguarda l’impossibilità di associare un voto all’identità dell’elettore che lo ha espresso.

Tutte le comunicazioni avvengono in forma cifrata col protocollo SSLv3 (Secure Socket Layer) con chiavi RSA a 1024 bit. Il client e il server si identificano reciprocamente ad ogni operazione tramite certificati X.509v3.

La fase di voto

I flussi informativi durante la fase di voto sono schematizzati in Figura 1.

Figura 1: La fase di voto

La legittimità viene garantita dall’UEC, che autorizza al voto gli elettori una volta soltanto.

La firma della PdV garantisce sull’integrità dei voti.

L’autorizzazione al voto consiste di una sequenza random di bit generata su richiesta, che ha la caratteristica di essere difficile da indovinare e con una probabilità di duplicati molto bassa. Utilizzata dall’UC per decidere se un voto è valido, non viene conservata una volta che ha assolto la propria funzione.

I voti immagazzinati nell’UC sono cifrati con la chiave pubblica del RdP e sono firmati con la chiave privata della PdV dalla quale provengono. La cifratura risponde ad esigenze di segretezza ed impedisce di conoscere i risultati parziali prima della fine delle operazioni di voto. Inoltre rende inutile, come vedremo nel seguito, anche un eventuale incrocio dei dati fra UEC e UC, che comunque è impedito dal protocollo.

L’anonimato è ottenuto congiuntamente da cifratura, separazione di UEC e UC, assenza di dati identificativi dell’elettore nell’autorizzazione al voto e non conservazione di tale autorizzazione da parte dell’UC.

La fase di scrutinio

Al termine delle operazioni di voto, l’UEC autorizza le operazioni di scrutinio che vengono effettuate a cura del RdP. Il RdP utilizza una delle PdV già usate per la fase precedente.

Il susseguirsi delle operazioni di scrutinio è schematizzato in Figura 2.

Figura 2: La fase di scrutinio

L’infrastruttura di sicurezza

Compito dell’infrastruttura di sicurezza del sistema è quello di garantire la segretezza, l’anonimato e l’integrità dei voti. La segretezza e l’integrità del voto devono durare fino allo scrutinio, quando il voto viene conteggiato, mentre l’identità dell’elettore che lo ha espresso non deve essere mai ricostruibile neppure a posteriori.

Per garantire questi requisiti si fa largo uso di algoritmi crittografici in tutte le fasi del processo.

Presso l’UC non c’è alcuna informazione che consenta di decifrare i voti, né di risalire all’elettore che ha espresso un certo voto, ma solo la firma della postazione dalla quale quel voto proviene. Scopo della firma è quello di consentire la verifica che i voti presenti nell’UC sono stati effettivamente generati da una postazione di voto autorizzata.

Una eventuale collusione fra i gestori dell’UEC e quelli dell’UC non consentirebbe in ogni caso di risalire al voto espresso da un determinato elettore, sia perché il sistema non conserva alcuna associazione fra voto e autorizzazione al voto, sia perché il voto è cifrato e la chiave di decodifica si trova sulla smartcard del RdP.

La decodifica per lo scrutinio

Al momento dello scrutinio i voti vengono estratti dall’UC e inviati alla postazione che li ha richiesti, secondo le modalità previste dal protocollo applicativo descritto. Le comunicazioni fra UC e PdV sono protette tramite SSL.

Si osservi che il ruolo dell’UC è solo quello di conservare temporaneamente i voti cifrati, per poi inviarli in fase di scrutinio alla postazione presso la quale si trova il RdP: lo scrutinio effettivo avviene dunque presso il seggio.

Le smartcard

L’infrastruttura di sicurezza è basata su smartcard con capacità elaborativa che implementano RSA. Non è consentita in alcun modo l’estrazione dalla smartcard della chiave privata e il suo uso è protetto tramite PIN. La carta si blocca dopo un numero predefinito di fallimenti nell’immissione del codice.

Identificazione delle PdV

I server centrali conoscono la configurazione di ciascun seggio e prima di interagire con le postazioni remote pretendono che:

la connessione ISDN provenga dal caller-id atteso (la presenza all’interno del CUG è garantita dalla compagnia telefonica);

i router presentino le necessarie credenziali al server di autenticazione;

l’hardware delle postazioni sia quello atteso. Solo a queste sarà consentito effettuare il bootstrap;

ciascuna PdV deve presentare un certificato X.509 valido per il seggio nel quale si trova. Il certificato, presente sulla smartcard, consente la client authentication con SSL. Se la smartcard viene estratta o avvengono eventi che interferiscono con il suo regolare colloquio con la PdV (quali distacco o spegnimento del lettore) l’applicazione si blocca;

il seggio deve risultare in orario di apertura per l’operazione che la PdV si accinge a svolgere (votazione o scrutinio). La funzione di scrutinio è possibile solo se la fase di voto è già stata completata in tutti i seggi.

 

 

Considerazioni conclusive

In prospettiva il sistema di voto elettronico semplifica considerevolmente gli adempimenti in quanto elimina alla radice qualsiasi ipotesi di contenzioso, riduce il periodo di votazione e il tempo per l’effettuazione dello scrutinio. Inoltre questo sistema potrebbe essere sicuramente applicato, mediante l’ovvio aggiornamento del software, alle votazioni per il rinnovo delle cariche elettive più importanti e rilevanti all’interno degli Atenei sempre nell’ottica di quella semplificazione, del raggiungimento di un’attività di un’Amministrazione moderna in termini di efficienza da perseguire in qualsiasi direzione.

Nondimeno appare scontato l’estensione dell’applicazione di un sistema di voto elettronico anche in elezioni politiche. Si pensi alla possibilità offerta di evitare contenziosi, di avere in tempo reale i risultati e così via.

L’Università di Pisa è stato il primo Ateneo ad adottare questo sistema di voto per il rinnovo di una carica elettiva. SI è cominciato dalla più importante.

Dott. Vincenzo Tedesco

Responsabile Unità Operativa 7 "Organico-Reclutamento"

Università di Pisa

Responsabile amministrativo dei processi di reclutamento del personale docente

Responsabile del progetto di elezioni telematica del Rettore