FAQ

Nel quadro del programma di community sul voto elettronico, la Posta pubblica il codice sorgente, la specifica, le basi crittografiche e la documentazione del suo sistema con l’obiettivo di agevolare il più possibile l’accesso al sistema per esperti indipendenti e migliorare costantemente il sistema. La pubblicazione consente un esame approfondito e lo scambio tra specialisti e con il team incaricato della Posta. La Posta sviluppa gradualmente il sistema e tiene conto dei risultati confermati. La pubblicazione è quindi funzionale alla sicurezza del sistema di voto elettronico.

Le regole per partecipare al programma di community sul voto elettronico sono riportate in un Code of Conduct. Lo svolgimento sicuro del processo democratico è una priorità per la Posta, in particolare l’inoltro sicuro del voto e la tutela del segreto elettorale. Le segnalazioni degli esperti sono un importante contributo al miglioramento della sicurezza del sistema. La Posta rispetta la libertà accademica dei ricercatori.

Per comunicare un risultato si hanno a disposizione più canali: GitLabTarget not accessible, YesWeHackTarget not accessible, IncaMailTarget not accessible e il modulo online. In questa pagina è descritto come dovete procedere.

Per partecipare al programma bug bounty iscrivetevi alla piattaforma YesWeHack. Trovate le condizioni di partecipazione e le possibilità per l’iscrizione al programma su YesWeHackTarget not accessible.

Sì. Tutti i dati e i documenti tecnici saranno resi disponibili sulla piattaforma GitLab, a cui è possibile accedere senza registrazione. Ulteriori informazioni sono disponibili qui.

I nostri specialisti sono a vostra completa disposizione per eventuali domande. Potete contattarli via GitLab (registrare un problema e selezionare il tipo di richiesta) o mediante modulo di contatto.

Sì. I risultati possono essere pubblicati. Per i risultati considerati elevati o critici abbiamo bisogno di massimo 90 giorni per analizzare una segnalazione e verificarla con altri stakeholder (in particolare i Cantoni). Una volta completata la nostra analisi, il mittente può pubblicare anche un risultato critico. La Posta, dal canto suo, pubblica tutti i risultati confermati. Trovate ulteriori informazioni su Comunicare un risultato.

Sì, in caso di vulnerabilità confermate, segnalate nel quadro del programma pubblico bug bounty sul voto elettronico, la Posta versa ricompense in base alle disposizioni vigenti. La Posta è convinta che i programmi bug bounty contribuiscano a migliorare i sistemi IT. Punta pertanto su di loro nel quadro della propria strategia per garantire la sicurezza delle informazioni. Ulteriori informazioni per la partecipazione al programma bug bounty sul voto elettronico figurano sulla piattaforma YesWeHackTarget not accessible.

Sì. Il codice sorgente può essere compilato, testato, condiviso o modificato. È possibile simulare scrutini.

Scoprite di più.

Inizialmente la Posta aveva avviato una collaborazione con l’azienda specializzata nel voto elettronico Scytl. Nella primavera 2020 ha rilevato tutti i diritti legati al codice sorgente necessari per poter portare avanti lo sviluppo in maniera autonoma. Da allora la Posta sviluppa ulteriormente il sistema con un proprio team in Svizzera e collabora strettamente con specialisti esterni.

La Posta pubblica il suo nuovo sistema di voto elettronico e mette a disposizione un sistema compilabile per consentire a esperti indipendenti la valutazione del sistema e la simulazione di scrutini. In questo modo migliora costantemente il sistema e soddisfa i requisiti in materia di trasparenza propri dell’approccio open source. La Posta mette a disposizione le componenti centrali del sistema di voto elettronico con una licenza open source, come la library delle primitive crittografiche pubblicata e il software di verifica.

L’impiego di un sistema di voto elettronico presuppone un’autorizzazione di principio da parte del Consiglio federale, nonché un’autorizzazione della Cancelleria federale per ogni singolo scrutinio. Il 3 marzo 2023 il Consiglio federale ha concesso l’autorizzazione di principio per l’impiego del sistema di voto elettronico della Posta ai Cantoni Basilea Città, San Gallo e Turgovia. Il sistema potrà quindi essere impiegato per le votazioni in questi Cantoni fino a maggio 2025 nell’ambito del progetto pilota della Confederazione.

Sì. La Posta mette a disposizione una piattaforma di prova dove tutte le persone interessate possono testare il sistema di voto elettronico in tutta semplicità. A tal fine, viene fornito il fac-simile elettronico di un certificato elettorale che consente di simulare l’intera procedura senza immettere i propri dati personali.

Scoprire l’ambiente di test

Il sistema di voto elettronico della Posta consente agli elettori di votare per via elettronica online tramite computer, smartphone o tablet.

Questo documento descrive in forma matematica il sistema di voto elettronico della Posta. Illustra come gli elementi crittografici garantiscano la salvaguardia della segretezza del voto e la verificabilità individuale e universale. Mettendo insieme gli elementi crittografici si ottiene il protocollo crittografico, un documento che mira a descrivere gli obiettivi di sicurezza e le ipotesi di fiducia del sistema di voto elettronico e – sulla base di questi – dimostrare il loro adempimento con metodi matematici. Questa prova formale è un elemento centrale della moderna crittografia ed è prescritta dalla Cancelleria federale per il voto elettronico.

L’analisi simbolica costituisce un’integrazione alle prove crittografiche, volta a salvaguardare la segretezza del voto e a garantire la verificabilità individuale e universale del sistema di voto elettronico della Posta. L’analisi simbolica è allestita nel linguaggio di programmazione Proverif e la sua correttezza può essere verificata meccanicamente con l’ausilio di un apposito software.

Per codice sorgente si intende un testo scritto in un determinato linguaggio di programmazione, che definisce regole e requisiti specifici sulla base dei quali viene creato un software. Il codice sorgente del sistema di voto elettronico comprende le componenti dell’intero software con le quali vengono implementate le disposizioni del protocollo crittografico.

Il codice sorgente pubblicato del sistema di voto elettronico è elaborato in modo da poter essere compilato, testato e simulato in tutta semplicità.

Le specifiche corrispondono a una spiegazione dettagliata del protocollo crittografico. Descrivono la procedura dalla configurazione dello scrutinio elettronico al conteggio del voti, passando per la fase di espressione del voto. Contengono i cosiddetti pseudocodici necessari per la rappresentazione degli algoritmi. Le specifiche descrivono gli algoritmi generali e alcune delle loro componenti fondamentali.

La library predisposta dalla Posta contiene importanti algoritmi crittografici, le cosiddette primitive crittografiche, che vengono impiegati sia nel sistema di voto elettronico sia nel software di verifica separato.

Sono disponibili anche le specifiche delle primitive crittografiche.

Documentazione di sistema («Infrastructure White Paper»)

L’Infrastructure White Paper descrive l’infrastruttura per il voto elettronico con tutti gli aspetti relativi alla sicurezza implementati, tra cui anche informazioni sui centri di calcolo nonché sull’impostazione e l’impiego dell’infrastruttura e delle banche dati. Di seguito sono descritte le diverse misure di sicurezza.

Documentazione sull’architettura

La documentazione sull’architettura descrive l’assetto del sistema di voto elettronico: a partire dalle condizioni quadro giuridiche, passando per la soluzione di voto elettronico vera e propria con i suoi diversi componenti e interfacce, nonché principi e decisioni relativi all’architettura fino ai requisiti di qualità che il sistema deve soddisfare.

Descrizione del processo di sviluppo

La Posta sviluppa il sistema di voto elettronico con una gestione agile del progetto. Questo documento descrive lo sviluppo del software, fornisce una panoramica dei tool impiegati e mostra come vengono rispettati i numerosi requisiti qualitativi in fase di sviluppo e come vengono poi verificati. È inoltre illustrata la procedura per la pubblicazione regolare del codice sorgente.

Operation White Paper

L’Operation White Paper descrive i processi operativi sul voto elettronico, inclusi tutti gli aspetti legati alla sicurezza che sono stati implementati. Ne fanno parte le informazioni sull’organizzazione dell’esercizio, le disposizioni di supporto, le modifiche e la manutenzione ma anche i processi di backup e di ripristino.

Progetto di test

Ai fini dello sviluppo del sistema di voto elettronico, vengono effettuati test a diversi livelli. Viene verificata la conformità del software ai requisiti posti dall’OVE, nonché a direttive interne di Posta CH SA legate allo standard ISO 25010. Il progetto di test illustra l’intera procedura e contempla gli oggetti del test, l’infrastruttura impiegata, il reporting e l’organizzazione del test.

Trusted build

Il trusted build è un compilatore di software affidabile e verificabile che permette di garantire che la release eseguibile venga creata da componenti verificati. Vengono adottate misure procedurali e organizzative per adempiere i requisiti dell’Ordinanza della Cancelleria federale concernente il voto elettronico (OVE).

Il mix network costituisce la base per la verificabilità completa del sistema di voto elettronico della Posta. È costituito da «mixer» che mescolano e ricodificano i voti dopo la chiusura dell’urna elettronica la domenica delle elezioni/votazioni. Il mix network impedisce così che un voto possa essere ricondotto alla persona che l’ha espresso, garantendo la segretezza del voto. Al contempo, il mix network dimostra che non sono stati modificati, cancellati o aggiunti voti. Nella library open source delle primitive crittografiche pubblicata sono disponibili gli algoritmi usati nel mix network, che sono stati integralmente riscritti dalla Posta. Il sistema di voto elettronico della Posta si basa sul mix network Bayer-Groth.

Grazie alla verificabilità universale, le autorità elettorali possono verificare al momento del conteggio se i voti nell’urna elettronica sono stati manipolati. Questa verifica è paragonabile al riconteggio delle schede di voto cartacee. La verificabilità universale consente ai Cantoni di controllare ed esaminare lo scrutinio in modo indipendente. Per la verificabilità universale è necessario un apposito software, un cosiddetto verifier.

Per quanto riguarda la verificabilità individuale, gli elettori ricevono dei codici di verifica cartacei insieme alla documentazione elettorale. In sede di voto confrontano questi ultimi con il codice allo schermo e hanno così la certezza che la loro "scheda" è giunta correttamente nell’urna.

Il nuovo sistema di voto elettronico della Posta dispone di una verificabilità completa. Dopo la chiusura delle urne, l’autorità elettorale cantonale può usarlo per verificare tutti i voti espressi elettronicamente e rilevare qualsiasi irregolarità. A tale scopo ha a disposizione un software di verifica, indipendente dal sistema e non collegato in rete. Il software è in grado di dimostrare se le prove crittografiche ottenute sono state registrate correttamente. Se tutte le prove risultano corrette, allora i voti espressi elettronicamente e il loro conteggio complessivo non sono stati falsificati. Il software riconosce, fra l’altro, se il server dell’operatore sui cui è attivo il sistema è stato attaccato.

La Posta ha pubblicato il software di verifica con una licenza open source libera.

Su questa base, terzi con o senza scopi commerciali possono valutare e continuare a sviluppare il software e immetterlo sul mercato come prodotto a sé stante. L’obiettivo della Posta è infatti consentire l’utilizzo di un software di verifica di terzi.

Nel corso del test di intrusione pubblico, hacker etici di tutto il mondo possono tentare di penetrare nell’infrastruttura di voto elettronico della Posta. Il test intende individuare le falle informatiche e migliorare costantemente la sicurezza del sistema. Oggetto del test è solo l’infrastruttura di voto elettronico e non l’intera infrastruttura IT della Posta. Le vulnerabilità confermate saranno ricompensate dalla Posta e pubblicate sulla piattaforma specialistica GitLabTarget not accessible. Il test di intrusione pubblico, della durata di diverse settimane, fa parte del programma di community sul voto elettronico della Posta e viene eseguito in modo ricorrente. La Posta svolge ripetutamente il test pubblico di intrusione. Seguiranno informazioni sul prossimo test.