In autunno il sistema di voto elettronico della Posta farà il suo debutto nell’ambito delle elezioni dopo una nuova fase di sviluppo e un test di resistenza superato con successo
Nell’autunno del 2023 il sistema di voto elettronico della Posta verrà utilizzato per la prima volta ai fini di elezioni federali. In data odierna il Consiglio federale ha concesso l’autorizzazione di principio per il suo impiego a tale scopo ai Cantoni di Basilea Città, San Gallo e Turgovia. Il tutto dopo aver effettuato minuziosi controlli sulla soluzione negli ultimi mesi. Dall’8 al 31 luglio 2023, infatti, 2650 hacker si sono messi alla ricerca di eventuali falle nell’ambito di un cosiddetto test di intrusione pubblico in cui, malgrado i circa 55’000 tentativi di attacco, nessuno è riuscito a sabotare il sistema né a penetrare nell’urna elettronica. Inoltre, su richiesta della Confederazione, la piattaforma è stata oggetto di un’ulteriore verifica, che per la Posta ha rappresentato un’altra base da cui partire per continuare a sviluppare il sistema.
Per la Posta si avvicina un nuovo momento cruciale: dopo le votazioni di giugno, il 22 ottobre il suo sistema di voto elettronico verrà infatti utilizzato per la prima volta in occasione di elezioni federali nei Cantoni di Basilea Città, San Gallo e Turgovia. «Al giorno d’oggi si può fare quasi tutto online e presto sarà di nuovo possibile svolgere anche elezioni sicure per via elettronica, grazie alla soluzione per il voto elettronico della Posta. Sono orgogliosa del fatto che, in questo modo, promuoviamo le competenze digitali della popolazione svizzera, contribuendo allo sviluppo della democrazia nel nostro paese», dichiara Nicole Burth, responsabile Servizi di comunicazione alla Posta. Con 4239 voti espressi elettronicamente, il debutto di giugno si è trasformato in un successo per il sistema della Posta, che è stato scelto da più della metà delle cittadine e dei cittadini svizzeri che hanno partecipato alle votazioni dall’estero.
La ricerca delle vulnerabilità legate alla sicurezza continua ininterrotta: un nuovo test di resistenza superato a pieni voti
Anche se la piattaforma è già operativa, i test pubblici per la ricerca di vulnerabilità legate alla sicurezza continuano in via permanente. In questo contesto, dall’8 al 31 luglio, hacker etici di tutto il mondo hanno avuto la possibilità di cercare di penetrare nell’ultima versione del sistema di voto online nell’ambito di un «test di intrusione pubblico», ovvero un tipo di test in cui pirati informatici attaccano un’applicazione per tentare di individuare eventuali falle in cambio di una ricompensa. Per la Posta questa verifica rappresenta uno strumento importante, che rientra nel programma bug bounty volto a garantire il costante miglioramento della soluzione. In questo modo, infatti, specialiste e specialisti IT del panorama internazionale hanno la possibilità di scovare eventuali vulnerabilità della piattaforma di voto elettronico, affinché la Posta possa eliminarle tempestivamente rendendo il sistema ancora più sicuro. Il fatto di svolgere il test di intrusione pubblico ciclicamente rappresenta, tra l’altro, un’esigenza legale dettata dalla Confederazione. Nella sua edizione del 2023, il sistema di voto elettronico della Posta e la relativa urna elettronica hanno resistito perfettamente a oltre 55’000 attacchi di sabotaggio, tutti falliti, ad opera di 2650 hacker.
La gravità dei risultati del programma bug bounty relativo al sistema di voto elettronico e, quindi, anche del test di intrusione viene classificata secondo quattro livelli come «bassa», «media», «alta» oppure «critica». Durante il test di intrusione non è stato rilevato né confermato alcun risultato di gravità «media», «alta» o «critica». Al termine della verifica, la Posta ha potuto convalidare solo una delle quattro vulnerabilità individuate, attribuendole una gravità «bassa». Questo risultato non riguardava aspetti rilevanti per la sicurezza, bensì un miglioramento ai fini della navigazione web in background, che la Posta ha già implementato. Oltre a una ricompensa di 1000 franchi, l’hacker che ha scovato questa vulnerabilità ha ricevuto anche ulteriori 3000 franchi di bonus per essere stato il primo a segnalare un falla che poi è stata anche confermata.
Le ricompense date finora dalla Posta ammontano a circa 170’000 franchi
La Posta ha sviluppato un sistema in Svizzera e per la Svizzera dando alla sicurezza la massima priorità e realizzando a tale scopo continui controlli. Oltre al test di intrusione pubblico che l’azienda esegue ciclicamente, è prevista anche una permanente verifica pubblica del codice di programmazione, delle specifiche e di altri documenti fondamentali del sistema di voto online. Specialiste e specialisti possono infatti consultare in qualsiasi momento tale documentazione di dominio pubblico nella sua versione più aggiornata e, in questo contesto, la Posta ha già ricevuto oltre 285 segnalazioni e versato più di 170’000 franchi per ricompense a figure esperte nel campo dell’IT e hacker etici. Inoltre, l’azienda ha sviluppato ulteriormente il suo sistema in seguito a una nuova verifica effettuata su richiesta della Confederazione, che ha avuto luogo nel secondo trimestre del 2023. Dopo aver analizzato in modo accurato i rapporti delle figure esperte, la Posta ha già cominciato a implementare le relative proposte di miglioramento e continuerà a ottimizzare costantemente il sistema sulla base dei settori d’intervento contenuti nel catalogo delle misure. Tali rapporti di verifica e le relative risposte della Posta sono accessibili pubblicamente.
Avviso a tutte le persone interessate: la piattaforma di test per il voto elettronico è disponibile fin da subito
In vista delle elezioni federali, la Posta ha adeguato le funzionalità disponibili sulla piattaforma di test. Pertanto, tutte le persone interessate possono provare fin da subito a esprimere un voto elettronico fittizio per comprendere il funzionamento della soluzione. Essendoci più possibilità di selezione, il processo è più complesso rispetto a quello di una votazione, pur funzionando esattamente come una scheda elettorale cartacea. In tal senso, chi testerà la piattaforma potrà provare, ad esempio, a sostituire elettronicamente il nome di candidate e candidati su una determinata lista («panachage») oppure a indicare due volte uno stesso nome («cumulo»).
Link alla piattaforma di test: demo.evoting.ch
Ecco come funziona la piattaforma di test per il voto elettronico
Per prima cosa l’utente deve scaricare un certificato elettorale digitale, che può essere stampato o utilizzato in versione elettronica. In occasione di uno scrutinio reale, questo verrà spedito per posta all’elettorato insieme alle indicazioni sul voto elettronico e al resto della documentazione elettorale. Per registrarsi nel sistema di voto elettronico bisogna inserire il codice di inizializzazione presente sul certificato elettorale e un ulteriore elemento di identificazione personale. Nella realtà, questo elemento varia a seconda del Cantone e può corrispondere ad esempio all’anno o alla data di nascita. Sulla piattaforma di test, invece, a tale scopo si utilizza sempre il 1980 come anno di nascita predefinito. Successivamente, il processo guida l’utente di test in pochi passaggi fino all’espressione del voto sperimentale.
Altri link:
- Rapporto conclusivo 2023 sul test di intrusione pubblico relativo al sistema di voto elettronico della Posta (tedesco)
- Verifica indipendente: relazione di risposta della Posta
- Verifica indipendente: relazione delle esperte e degli esperti della Confederazione
- Comunicato stampa del Consiglio federale sull’autorizzazione di principio
Categoria:
