ELEZIONI EUROPEE: TUTTI I RISCHI CYBER SUL VOTO

Corrado Giustozzi è esperto di sicurezza cibernetica presso il CERT-PA AgID

Con l'avvicinarsi delle elezioni per il rinnovo del Parlamento europeo crescono di pari passo le preoccupazioni delle autorità e delle istituzioni per la possibilità che il loro regolare svolgimento venga perturbato o addirittura compromesso da parte di qualche soggetto, e non sono pochi dato l'attuale scenario sociopolitico internazionale, che abbia l'interesse a provocare caos e suscitare discordia nell'Unione.

Vediamo quali sono i rischi che incombono sul voto e le contromisure messe in atto dalla Commissione per assicurarne lo svolgimento nella massima sicurezza, con un focus particolare sulle raccomandazioni di Enisa.

Tutti i rischi che incombono sul voto europeo

La paura non è tanto quella di un attacco cibernetico al processo di voto in sé, evento realisticamente poco applicabile dato che allo stato attuale le elezioni in Europa non sono generalmente gestite mediante un vero e proprio sistema di voto elettronico: ciò che soprattutto si teme sono attacchi non solo tecnici ma anche di altra natura, benché sempre veicolati o favoriti dalle tecnologie dell'informazione e della comunicazione, diretti alle fasi collaterali ma non meno importanti della consultazione.

Sono considerate assai verosimili, ad esempio, azioni deliberate e sistematiche di diffusione e propaganda delle cosiddette "fake news" tramite i social network, tecnicamente classificabili come attività di disinformazione e controinformazione, che tendano a condizionare e distorcere l'opinione dell'elettorato ed alterare così l'orientamento del voto.

Sul fronte più tecnologico si temono invece attacchi diretti o indiretti verso i sistemi elaborativi di supporto alle fasi di presentazione e scelta dei candidati o di validazione degli elettori; verso quelli impiegati nella gestione delle fasi di scrutinio e conteggio dei voti; verso quelli che gestiscono la trasmissione dei voti ai centri di raccolta ed elaborazione; verso quelli delle istituzioni responsabili della compilazione e diffusione dei risultati ufficiali; e infine verso quelli dei media che seguono l'evento sia durante il voto, effettuando poll e sondaggi, sia dopo, contribuendo a diffondere i risultati ufficiali.

La filiera del sistema elettorale è ampia e complessa, soprattutto considerando che ciascuno Stato membro adotta i propri sistemi a livello locale: gli attori che vi partecipano sono dunque numerosi e assai variegati quanto a tipologia, ruolo e struttura; e i sistemi ICT coinvolti, pur quando non direttamente impiegati per la votazione in sé, gestiscono comunque fasi cruciali del delicato processo.

Ogni perturbazione in una qualsiasi della fasi della consultazione, prima, durante o dopo il voto vero e proprio, porterebbe dunque inevitabilmente a confusione e incertezza sui risultati, strumentalizzazioni politiche e reazioni imprevedibili, sia a livello del singolo Stato membro eventualmente colpito che a livello europeo. Inutile dire che tale evenienza va scongiurata a qualunque costo, perché minerebbe la fiducia sull'intero risultato elettorale e quindi in definitiva sullo status di legittimità del neoeletto Parlamento.

Le contromisure della Commissione

Ci si è quindi preoccupati di predisporre un adeguato sistema di contromisure tecniche, organizzative e di processo affinché tutta la complessa procedura elettorale possa svolgersi nella massima regolarità, correttezza e trasparenza. Un sistema in grado di prevenire possibili attacchi di qualsiasi natura contro tutte le delicate componenti del sistema di voto, di vigilare accuratamente per rivelare qualsiasi anomalia prima, durante e dopo lo svolgimento delle elezioni, e di reagire tempestivamente ed adeguatamente ad ogni azione avversa od ostile che vada dal semplice disturbo al vero e proprio attacco.

A tal fine le istituzioni europee hanno già da tempo avviato alcune iniziative di prevenzione e contrasto mirate a creare le condizioni affinché le elezioni si svolgano nel clima e nelle condizioni di massima sicurezza.

Già dallo scorso anno, ad esempio, la Commissione ha insediato un apposito gruppo di esperti provenienti dal settore dei media e della comunicazione per affrontare in modo sistematico il problema delle "fake news" e della disinformazione.

Fra le azioni intraprese o indirizzate vi sono la definizione di un codice di autoregolamentazione fra gli operatori dell'informazione, la pubblicazione di roadmap specifiche, la recente (dicembre 2018) adozione di un formale action plan contro la disinformazione, ed infine la creazione, che avverrà antro questo mese di marzo, di un sistema di "allerta rapido" che identificherà campagne deliberate di disinformazione e metterà in guardia i Governi interessati.

La sicurezza delle tecnologie a supporto del processo elettorale

Sul fronte più tecnologico, pur senza tirare in ballo le discussioni pro o contro l'eventuale adozione di procedure completamente informatizzate per gestire le votazioni, tema su cui apparentemente esperti e politici rimangono arroccati su posizioni diametralmente opposte, ci si preoccupa soprattutto delle possibili vulnerabilità di tutti quei sistemi informatici attualmente dispiegati per supportare le fasi precedenti e seguenti al voto in sé, e di come queste potrebbero eventualmente essere sfruttate da qualche malintenzionato, singolo o organizzazione, per alterare lo svolgimento delle elezioni e/o inquinare i risultati, gettando così in definitiva sfiducia e discredito su tutto il processo.

A tale proposito già nello scorso luglio il Gruppo di Cooperazione istituito dalla Commissione nell'ambito della Direttiva NIS ha pubblicato un importante documento, intitolato proprio "Compendium on Cyber Security of Election Technology", che fa il punto sulla sicurezza delle tecnologie utilizzate in ogni fase del processo elettorale, con specifiche considerazioni sulle specificità che caratterizzano il voto europeo.

Questo infatti si differenzia da quasi tutti gli altri processi elettorali del mondo in quanto è articolato lungo due fasi: una nazionale, svolta oltretutto in modo differente da Stato membro a Stato membro; ed una internazionale, il cosiddetto "ultimo miglio", consistente nella trasmissione a Bruxelles dapprima dei dati preliminari e quindi dei conteggi definitivi da parte di ogni Capitale nazionale.

Le raccomandazioni agli Stati per la sicurezza delle elezioni

Il documento del Gruppo di Cooperazione, assai completo e puntuale, si rivolge dunque agli Stati membri per suggerire agli organismi competenti un approccio completo e operativo finalizzato ad innalzare la sicurezza cibernetica dei sistemi e dei processi coinvolti nella gestione tecnica delle elezioni.

Facendo esplicito riferimento a casi di studio reali, tra cui alcuni recenti episodi dimostrati di interferenze nei processi elettorali di alcuni Stati sovrani, il documento dapprima enuncia alcune linee guida e principi di buon senso da applicarsi preventivamente alle tecnologie impiegate per lo svolgimento delle elezioni, quindi passa a prescrivere alcune specifiche contromisure tecnologiche mirate a prevenire o contrastare minacce e attacchi condotti verso i sistemi critici o di supporto lungo tutte le fasi in cui si suddivide il processo elettorale, dalla scelta iniziale dei candidati fino alla comunicazione finale degli esiti del voto.

Sono esplicitamente escluse dallo studio le minacce rivolte verso i sistemi di voto puramente elettronico (da remoto e/o via Internet) in quanto sostanzialmente non ancora adottati da alcuno Stato membro, e quelle relative alla sfera delle campagne di disinformazione in quanto fuori dal perimetro tecnologico di riferimento.

Enisa: sfide e opportunità della cyber sicurezza elettorale

Ultima ma non ultima in questo panorama è giunta Enisa, l'Agenzia europea per la cybersecurity che il recentemente approvato Cybersecurity Act ha finalmente promosso a struttura permanente con maggiore budget e più ampio mandato.

Proprio pochi giorni fa l'Agenzia ha infatti diffuso un interessante "Opinion paper" nel quale, dal suo autorevole e privilegiato osservatorio, fa il punto su "sfide ed opportunità" della cyber security elettorale: non a caso il payoff del documento afferma che "In una società democratica, un alto livello di cybersecurity è cruciale per salvaguardare l'intero ciclo di vita delle elezioni".

Organizzato per punti, snello ed asciutto, il documento propone dodici raccomandazioni puntuali articolate su cinque aree di analisi che riguardano:

• motivazioni ed attori,
• minacce tecnologiche riferite ai sistemi e processi elettorali,
• ciclo di vita delle elezioni,
• ruolo del fattore umano e disinformazione,
• sviluppo della cooperazione pan-europea per la cybersecurity elettorale.

Le raccomandazioni sono rivolte quasi esclusivamente ai decisori nazionali, ed indirizzano azioni di livello assai alto. Forse le più interessanti per la loro portata sono le raccomandazioni numero 7 e 8, le quali affermano che gli Stati membri dovrebbero varare norme, rispettivamente: per riconoscere ai sistemi, processi ed infrastrutture elettorali lo status di infrastrutture critiche, in modo da poter adottare adeguate misure per la loro protezione cibernetica; e per obbligare le organizzazioni politiche ad adottare un elevato livello di sicurezza cibernetica a tutela dei propri sistemi, processi ed infrastrutture. Un punto di vista interessante, che rispecchia tra l'altro il pensiero prevalente della comunità di esperti di cybersecurity europei a riguardo.

Piccola ma significativa nota collaterale: sulla copertina del documento campeggia una rinnovata piramide di Maslow che chiarisce, qualora vi fosse ancora qualche dubbio a riguardo, il ruolo cruciale della sicurezza in tutti i livelli lungo i quali si articola la vita nella società civile e democratica che l'Unione intende rappresentare.

Si parte infatti dal basso con la sicurezza di base, e salendo si incontrano successivamente la protezione degli asset critici, la protezione del mercato unico digitale, la protezione della stabilità globale, per culminare infine nella protezione della democrazia e dei diritti umani.

La stessa scala di valori che informa la Cyber strategy europea emanata dalla Commissione nel 2013, che a sua volta si rifà direttamente a quelli che sono i valori fondanti dell'Europa. La cyber security dunque viene ancora una volta riconfermata, almeno nella visione europea, come principale guardiana della democrazia e dei diritti dei cittadini: un ruolo altissimo e addirittura nobile, che va oltre la mera protezione degli interessi politici e commerciali dei singoli Governi.

C'è da augurarsi che tutti i Stati membri sappiano cogliere la valenza di queste indicazioni di principio e siano soprattutto in grado di mettere in pratica le raccomandazioni di Enisa, che non dimentichiamo rappresenta il braccio cibernetico della Commissione.

La prossima sfida delle elezioni europee rappresenta a riguardo un banco di prova non solo per la politica ma anche per tutte le strutture che tengono in piedi la democrazia in Europa consentendo ai cittadini di esprimere il proprio voto in modo libero, sicuro e privo di condizionamenti.

Fare fronte comune per assicurare queste condizioni contro ogni possibile forma di ingerenza, perturbazione o sabotaggio, di natura cibernetica o meno, è una direttiva primaria per mantenere saldi i principi di democrazia e libertà sui quali poggia l'Unione.

Pubblicato su AGENDA DIGITALE @RIPRODUZIONE RISERVATA