XX — Le modalità del voto

Chapitre XX

LE MODALITÀ DEL VOTO

Il sistema proposto si basa su un voto frequente: elezioni, revoche, referendum. Questa sezione descrive l’infrastruttura tecnica che rende tutto ciò possibile, garantendo al contempo l’anonimato, la sicurezza e la praticità.

20.1 — La tessera elettorale anonima

L’anonimato del voto è fondamentale. Il sistema si basa su un’architettura in cui tre elementi sono separati e mai collegati:

ElementoContenutoDetenuto da
Carta d’identitàNome, foto, biometria A (impronte)Cittadino + registro civile
Tessera elettoraleNumero casuale, biometria B (iride), peso censuario cifratoSolo cittadino
Registro elettoraleNumeri di tessera → voti cifratiAutorità elettorale

Tableau 20.3 — Architettura di separazione identità/voto

Nessun database collega identità ↔ numero di tessera. L’anonimato è strutturale, non solo giuridico.

Separazione dei dati elettorali Separazione dei dati elettorali Figure 20.3 — Separazione dei dati elettorali

Processo di attribuzione:

  1. Il cittadino si presenta in municipio con la sua carta d’identità
  2. Verifica: non ha già ricevuto una tessera (registro “ha ricevuto una tessera”, senza il numero)
  3. L’agente apre un contenitore contenente minimo 100 tessere pre-generate (numeri casuali, non attivate)
  4. Il cittadino ne pesca una lui stesso a caso – l’agente non tocca mai la tessera, non vede mai il numero
  5. Il cittadino passa in una cabina per attivare la tessera, registrare la sua biometria B (iride), e ricevere il documento cartaceo (PIN, PUK, codice di proprietà)
  6. L’agente convalida “tessera consegnata” senza mai sapere quale numero

Aggiornamento annuale del peso censuario:

  1. Il cittadino si reca in un terminale sicuro (municipio, cabina dedicata)
  2. Inserimento carta d’identità → il terminale interroga l’amministrazione fiscale → recupera il peso calcolato
  3. Inserimento tessera elettorale → il terminale scrive il peso cifrato sulla tessera
  4. Il terminale cancella immediatamente il collegamento – nessun log, macchina air-gapped (senza connessione di rete)

Biometrie distinte: Le impronte (carta d’identità) e l’iride (tessera elettorale) sono biometrie diverse. Impossibile collegare le due tessere tramite la biometria nei database.

Perdita o furto: Il cittadino si presenta con la sua carta d’identità + codice di proprietà. Il vecchio numero è messo in blacklist. Nuova tessera con nuovo numero casuale. Nessun collegamento identità ↔ numero è mai memorizzato.

20.2 — La cabina fisica

Per i voti ad alto rischio di coercizione, il voto si effettua in una cabina permanente in municipio, con orari estesi (come una cabina fotografica). Il cittadino vi si reca da solo, inserisce la sua tessera, inserisce il suo PIN e utilizza la sua biometria.

Voto nella cabina:

  1. Autenticazione: carta d’identità (foto + biometria A), poi tessera elettorale (biometria B + PIN)
  2. Scelta del voto (o bianco/grigio) + opzione “voglio poter revocare”
  3. Il voto cifrato + peso cifrato sono trasmessi al server con il numero di tessera – nessuna identità transita
  4. Il cittadino riparte con un codice di verifica (prova che il suo voto è stato contato, non per chi)

Codice open source: Il software della cabina è pubblicato. Prima di ogni elezione, macchine estratte a sorte vengono auditate – confronto di hash con il codice pubblicato. Cittadini esperti possono verificare il checksum nella cabina.

Questo spostamento fisico ha diverse virtù:

Il tempo di riflessione: nessuna revoca a caldo sotto l’emozione di una polemica. Il tragitto è una camera di decompressione.

La volontà reale: se ci si sposta, è perché ci si tiene davvero. È un filtro naturale contro la versatilità.

La protezione contro la coercizione: anche se un coniuge abusivo conosce i codici, non può entrare nella cabina al posto della sua vittima (biometria) e non può vedere cosa lei vi fa. Si può dirgli “è fatto” e fare l’opposto. Non saprà mai.

20.3 — Le sicurezze tecniche della cabina

La cabina è progettata per garantire che il cittadino sia solo e libero:

Rilevamento di presenza: se il sistema rileva due persone nella cabina, o se la porta rimane aperta, rifiuta di funzionare. Nessuno può sorvegliare sopra la spalla.

Rilevamento di dispositivi elettronici: se viene rilevato un telefono, fotocamera o qualsiasi altro dispositivo di registrazione, il sistema si blocca. Non si può essere forzati a filmare il proprio voto per provare a qualcuno cosa si è fatto.

Queste protezioni tecniche rendono la coercizione praticamente impossibile. Anche sotto minaccia, si può entrare nella cabina e fare ciò che si vuole. Nessuno può verificare.

20.4 — Il voto online

Il sistema proposto moltiplica le occasioni di voto: elezioni, revoche, referendum costituzionali, referendum sui trattati, referendum sui grandi appalti pubblici… Se tutto dovesse essere fatto in cabina fisica, i cittadini passerebbero la loro vita in municipio.

La soluzione: distinguere secondo il rischio di coercizione.

Cabina fisica obbligatoria:

  • Le elezioni (eleggere persone)
  • Le revoche (destituire persone)
  • I referendum costituzionali (poste fondamentali)

Questi voti riguardano persone o poste esistenziali. Il rischio di coercizione è massimo: un datore di lavoro può voler sapere per chi si vota, un coniuge violento può esigere una prova. La cabina fisica con rilevamento di presenza e blocco dei dispositivi elettronici resta indispensabile.

Voto online possibile:

  • I referendum sugli appalti pubblici
  • I referendum ordinari (leggi, trattati commerciali, questioni locali)

Questi voti riguardano progetti o testi. Il rischio di coercizione è più basso: nessuno minaccerà sua moglie perché voti per tale fornitore di tram. E anche se qualcuno tentasse di costringere, la posta personale è minore – la vittima può cedere senza tradire le sue convinzioni profonde.

Le garanzie del voto online:

  • Autenticazione tramite tessera elettorale + PIN + codice SMS o applicazione dedicata
  • Crittografia end-to-end – il server vede solo il voto cifrato e il peso cifrato
  • Possibilità di “rivotare” durante il periodo di voto – conta solo l’ultimo voto. Questo permette a una persona sotto costrizione di votare sotto sorveglianza, poi rivotare da sola più tardi
  • Codice di verifica – il cittadino può verificare che il suo voto è stato contato
  • Audit pubblico del codice sorgente

Il diritto di votare in cabina resta aperto. Anche per un referendum ordinario, ogni cittadino può scegliere di votare in cabina fisica piuttosto che online. È un’opzione, non un obbligo.

Il volume diventa gestibile. Con il voto online per i referendum ordinari, il sistema può funzionare senza sommergere i cittadini. Gli spostamenti fisici sono riservati alle poste dove la protezione massima è necessaria.

20.5 — Caso di studio (esempio empirico): Il voto elettronico estone (i-Voting, 2005-presente)

L’Estonia è l’unico paese al mondo ad aver generalizzato il voto online per le elezioni nazionali [132][133]. Dal 2005, ogni cittadino può votare dal suo computer grazie alla sua carta d’identità elettronica. Nel 2023, il 51% dei voti alle elezioni legislative sono stati espressi online [134].

Ciò che ha funzionato

Adozione massiccia progressiva. Dal 2% dei voti nel 2005 al 51% nel 2023. La fiducia si è costruita elezione dopo elezione. Il sistema non è stato imposto brutalmente — è stato adottato progressivamente dai cittadini [132].

Infrastruttura di identità digitale solida. L’i-Voting si basa sull’ID-kaart (carta d’identità elettronica) e il Mobile-ID. Il 98% degli estoni ha un’identità digitale. Il voto è solo un’applicazione tra le altre (banca, imposte, salute) [133].

Possibilità di rivotare. L’elettore può modificare il suo voto quante volte vuole durante il periodo di voto anticipato. Conta solo l’ultimo voto. È una protezione contro la coercizione: si può votare sotto sorveglianza, poi rivotare da soli più tardi [132].

Verifica individuale. Dal 2013, ogni elettore può verificare tramite il suo smartphone che il suo voto è stato correttamente registrato [134].

Costo marginale basso. Una volta messa in atto l’infrastruttura, il costo per voto è trascurabile. Non servono cabine fisiche supplementari, personale elettorale, spoglio manuale.

Accessibilità. Le persone a mobilità ridotta, gli espatriati, i cittadini in spostamento possono votare senza vincoli logistici.

Ciò che pone problemi

Vulnerabilità identificate. Ricercatori hanno dimostrato falle potenziali: malware sul computer dell’elettore, attacchi sui server di raccolta, manipolazione possibile lato server [133]. Nessun attacco riuscito è stato provato, ma il rischio teorico esiste.

Fiducia non verificabile. Il cittadino ordinario non può auditare il sistema. Deve fare affidamento sugli esperti e sulle autorità. Il codice è pubblicato, ma poche persone possono verificarlo realmente.

Concentrazione del rischio. Un attacco riuscito sul sistema centrale potrebbe influenzare l’insieme dell’elezione, contrariamente ai seggi fisici decentralizzati.

Nessuna ricevuta cartacea. Contrariamente al voto fisico, non c’è traccia materiale. Un riconteggio indipendente è impossibile.

Rischio di coercizione residua. Nonostante il rivoto, un coercitore sofisticato potrebbe sorvegliare fino alla fine del periodo di voto. Il rischio è ridotto, non eliminato.

Ciò che manteniamo del modello estone

  • La possibilità di rivotare come protezione contro la coercizione
  • La verifica individuale che il voto è stato registrato
  • L’infrastruttura di identità digitale come prerequisito
  • L’adozione progressiva che costruisce la fiducia
  • Il codice sorgente pubblico per l’auditabilità

Ciò che miglioriamo

  • Distinzione per rischio di coercizione: il nostro sistema riserva il voto online ai referendum ordinari. Le elezioni (persone) e referendum costituzionali restano in cabina fisica — l’Estonia permette il voto online per tutto
  • Cabina fisica rafforzata: rilevamento di presenza, blocco dei dispositivi elettronici — protezioni che l’Estonia non può offrire per il voto a domicilio
  • Separazione identità/voto: il nostro sistema utilizza due tessere distinte (identità ed elettore) con biometrie diverse. L’Estonia utilizza la stessa tessera per tutto

Ciò che non riprendiamo

  • Il voto online per le elezioni di persone: il rischio di coercizione è troppo elevato
  • La fiducia nel voto a domicilio: anche con il rivoto, la cabina fisica resta superiore per le poste maggiori
  • L’assenza di traccia materiale: il nostro sistema mantiene backup e meccanismi di audit

🌍 Langue

Chargement des langues...
Le libertarianisme libertaire
Les trois principes
⚖️ Qui paie décide — mais pas de tout.
Qui élit révoque — souveraineté permanente.
💪 Qui tombe se relève — ni assisté, ni abandonné.

Ce document décrit les moyens de faire vivre ces trois principes.

⤵️