4 aprile 2006

Tutti pazzi per le chiavette USB

Avevo pensato di dedicare questo post ai bellissimi 3 giorni trascorsi in montagna a spalare letame, zappare ed arrampicarmi sugli alberi da frutto, a descrivere insomma i piaceri della vita rurale (una sorta di "Titire tu patule recubans sub tegmine fagi") ma visto che una volta tornato nella caotica metropoli ho trovato ubriachi parlare in televisione e sui giornali, ho deciso che questo post avrà un target politico. Anzi governativo.

ICI a parte[1], per i piccoli geek sparsi per l'italia c'è un altro grande dubbio sulle prossime elezioni che tiene banco: lo scrutinio elettronico. Il messaggio ufficiale, governativo, lo trovate qui mentre un buon riassunto dei vari commenti e reazioni in rete qui.

Due punti da chiarire IMHO:
  1. non si tratta di voto (cioè dell'elettore che esprime la sua preferenza tramite strumenti elettronici), ma di scrutinio (cioè dello spoglio dei voti alla chiusura delle elezioni).
  2. molti dei commenti in rete mi sono parsi fuori luogo, forse perché all'oscuro di quelle che sono le reali modalià di voto attuali.
Forte quindi della mia raccolta dei "libricini" dell'ufficio di sessione (purtoppo incompleta) collezionati nei miei trascorsi da presidente di seggio o da scrutatore, mi assumo il compito di descrive a tutto il mondo a agli amici di Internet come dovrebbero funzionare le cose in un ufficio di sessione (ossia quello che banalmente viene definito seggio).

Innanzitutto: chi c'è in un ufficio di sessione? Chi ha diritto a entrare, ossia il presidente (nominato dal presidente della corte d'appello, scelto da iscritti ad una lista), gli scrutatori (nominati dal Comune), il segretario (scelto dal presidente di seggio per coadiuvarlo). A questi si affiancano, ma con sola funzione di osservatore i cosiddetti rappresentanti di lista (la cui "nomina" è fatta dal partito e/o dal candidato presso gli uffici comunali o presso notaio) e il delegato del sindaco (ossia colui che ha in custodia il materiale fino all'insediamento dell'ufficio di sessione, esterno all'uffico, ma di coordinazione col mondo esterno). Tutte queste persone sono pubblici ufficiali (sì, anche i rappresentanti di lista) per tutta la durata delle operazioni elettorali; se li offendete, la pena raddoppia o triplica. Tutte queste persone hanno libero accesso alla triste aula della scuola in cui è insediato l'ufficio. Gli altri entrano solo se il presidente glielo concede.

In secondo luogo: cosa accade realmente durante l'elezione? Essenzialmente tre cose: timbrare, firmare e contare. Detto così è un po' poco, quindi vi descrivo più o meno in dettaglio tutto ciò che avviene oltre ai cinque minuti in cui l'elettore staziona nell'ufficio.

Operazioni preliminari

Nelle elezioni come la prossima si comincia il sabato pomeriggio e, oltre al solito costrurire le urne coi cartoni, disporre tavoline e sedie, si procede con il conteggio degli aventi diritto a votare nell'ufficio (elencati nelle liste di sezione, maschile e femminile), quindi con il timbrare e firmare (siglare basta e avanza) un numero di schede pari agli aventi diritto al voto.

Un bravo presidente di seggio sa che questa operazione si compie meglio su un grande tavolo, con uno che dispone le schede su cinque file, uno che passa con il timbro e le timbra, uno che passa dopo il timbro e mette la sigla, uno che passa alla fine e le raccoglie facendo mucchi di 50. Ufficialmente si dovrebbero prima dividere tra gli scrutatori, poi siglarle, poi riunire, poi darle al presidente che se le timbra tutte...

Oh, il segretario, nel frattempo, si compila la prima parte de verbali scrivendo chi c'è, chi non c'è, quante schede sono arrivate, quanti erano gli elettori, che numero c'è sul timbro[2] ed altre amenità varie.

Operazioni di voto

Nel giorno dell'elezione, poi, si dovrebbe procedere così: l'elettore si presenta a votare, il presidente ne accerta tramite documento di riconoscimento l'identità (come se il presidente potesse distinguere un documento vero da uno falso o se certe foto sulle patenti del '72 possano rispecchiare ancora chi ti trovi davanti), quindi lo scrutatore controlla sulla tessera elettorale se non ci siano già timbri per l'elezione in corso, appone timbro e data sulla tessera, annota il numero di tessera nel registro e il numero di iscrizione nella lista elettorale di sezione (diversa dal registro), quindi il presidente consegna scheda e matita all'elettore, l'elettore va in cabina, vota, piega la scheda, esce, la restituisce al presidente, il presidente verifica se la scheda è la stessa che gli ha dato poco sopra e che non ci siano segni all'esterno, quindi depositata la scheda nell'urna, il presidente ne fa attestare la riconsegna facendo apporre dallo scrutatore l'apposizione della firma nella lista di sezione[3].

Di solito, però, tutto ciò non avviene mai in questo ordine e mai impiegando due persone. Specie non il presidente, che nel mio caso sta molto spesso ad intrattenere relazioni pubbliche con gli altri uffici di sezione (corteggiare le scrutatrici del seggio è conflitto d'interesse e poi ho come segretario mia sorella... corteggiare le scrutatrici degli altri seggi è un'altra storia)

Operazioni di scrutinio

Quanto descritto sopra, però, è facile da capire anche per quell'elettore che segue con attenzione cosa accade nei cinque minuti in cui è dentro. E vi prego, elettori, non fate brutta figura dicendo: «Devo firmare da qualche parte?», specie se già votate per il Senato.

Ciò che l'elettore non sa è come avviene lo spoglio o scrutinio dei voti. Vi ho già tediato abbastanza con la procedura descritta sopra, quindi vi salto tutte le operazioni necessarie dalla chiusura della votazione all'apertura dell'urna. Solo vi dico che l'invio delle schede timbrate e non timbrate non utilizzate va fatto prima di aprire l'urna e di contare il numero dei votanti (ma un bravo presidente che sa fare il suo lavoro ha costantemente fatto contare il numero degli elettori durante il voto e ha fatto un'ultima contata 3 minuti prima della chiusura del seggio).

Una volta aperta l'urna si dovrebbe fare così[4]: uno scrutatore infila la mano nell'urna, estrae una scheda, la spiega, la passa al presidente, il presidente dichiara il voto, espone la scheda ai presenti come la Santa Sindone, la passa ad un secondo scrutatore che assieme al segretario mette il voto nelle tabelle di scrutinio[5] infine la scheda è consegnata ad un terzo scrutatore che la pone dove la deve porre (valide, nulle, bianche, valide per il partito ma non per il candidato...).

Di solito, però, tutto ciò non avviene mai in questo ordine e mai impiegando in modo così inutile le persone. Di solito si fa quello che è definito il metodo del "mucchietto", come ho letto in questi giorni da qualche parte, che pare essere pratica illegale, utilizzata soprattutto da quei comunisti professionisti che vivono nei seggi elettorali. In pratica, si apre l'urna, si prendono manciate di schede, ci si mette intorno ad un tavolo, metà delle persone le sfoglia e metà delle persone le impila. Poi si fanno "mucchietti" di dieci, ricontrollando che in realtà non si abbia per le mani una scheda nulla, o una nel posto sbagliato e si incrociano i mucchietti. Una volta sgrossate in questo modo si procede alla conta, a dieci a dieci per partito o coalizione o risposta a quesito referendario o candidato sindaco/presidente di regione/presidente di provincia, risfogliando in tutto in una passata finale per eventuali preferenze, quando l'elezione è con sistema maggioritario.

Operazioni di scrutino elettronico

Ora, se le cose andranno come credo di aver intuito leggendo, nelle sezioni in cui è attivo lo scrutinio elettronico, non sarà più possibile fare così: se i Ministreri dell'Interno e dell'Innovazione Tecnologica hanno fatto un contratto serio, il computer che sarà presente nell'ufficio elettorale, dovrebbe accettare solo incrementi di 1 (la singola scheda estratta dall'urna) e non di N (il totale dei voti ad un partito calcolato col mucchietto). Citando infatti il comunicato linkato sopra:

durante la fase di spoglio, un operatore informatico, ...
acquisisca su un personal computer le risultanze dello
scrutinio, scheda per scheda, come attribuite dal
Presidente dell'ufficio elettorale di sezione.

Il dato acquisito viene altresì visualizzato attraverso un
ulteriore monitor orientato dalla parte del Presidente di sessione.

In pratica, per far rispettare il corretto metodo di spoglio (che è lento, lento, lento), abbiamo sostituito la classica matita rossoblu da insegnante usata per annerire i quadratini nelle tabelle, con un computer e due monitor (o un portatile e un monitor, dipende), aggiungendo, già che c'eravamo un operatore informatico, perché in fondo il presidente di seggio e gli scrutatori non possono essere istruiti per usare il programma siffatto.

Questo è quello che capisco. E non mi pare 'sta grande innovazione...

Operazioni di controllo

Ovviamente alla fine del conto c'è un'ultima operazione da compiere: verificare che il numero di schede che sono uscite fuori dall'urna coicida con il numero di elettori che ha votato.

Banale, ma è il terrore di ogni presidente di seggio. I conti debbono tornare. Con uno scarto di +0 o -0.

Di solito i conti non tornano se nella confusione si è scritto un votante in più o in meno (ma contando i votanti a 3 minuti dalla chiusura del seggio e confronando con le scede timbrate che ti avanzano lo sai già prima di chiudere), o se una scheda rimane infilata in qualche risvolto dell'urna, o se un mucchietto è da 9 invece che da 10.

I conti, poi, non tornano se c'è stato un errore di trascrizione durante lo scrutinio (magari per la stanchezza si è dimenticato di annerire su una tabella)

Ovviamente lo scrutinio elettronico non può nulla nei primi due casi, mentre il terzo è solo una pratica illegale di cui ho sentito parlare da altri presidenti di seggio, ma alla quale non mi sono mai convertito. Per l'ultima ipotesi, quella della trascrizione, c'è da notare che anche l'operatore informatico può sbagliare ad inserire un dato, così come c'è da notare che il programma usato per tale trascrizione può essere affetto da bug. Cmq il MIT recita:

i dati acquisiti vengono stampati e il Presidente dell'Ufficio
Elettorale di Sezione attesta la conformità degli esiti della
rilevazione informatizzata dello scrutinio rispetto a quelli
risultanti dall'annotazione sulle tabelle di scrutinio cartacee.

In caso di discordanza i risultati provenienti dall'elaborazione
manuale vengono comunicati all'operatore che li inserisce nel
computer in qualità di dati ufficiali.

Ciò vuol dire
  • che, giustamente, lo scrutinio elettronico ancora non sostituisce quello cartaceo, che rimane quello ufficiale
  • che i dati elettronici possono essere corretti almeno una volta per farli allineare a quelli cartacei
  • che il presidente deve verificare che i due dati coincidano e attestarlo (in duplice copia, sicuramente)
Di nuovo, l'innovazione è stata semplicemente quella di sostituire a una matita rossoblu da insegnate e a una calcolatrice (o una mente sveglia e veloce nelle addizioni) un computer ed un operatore. I cui dati non sono nemmeno validi.....

Invio dei dati

Ma passiamo, anche perché siete annoiati e io sono stanco, alla fase più criptica dell'intera sperimentazione: la comunicazione dei dati.

Senza computer la cosa avviene così (per lo meno è una mia ricostruzione, non ho mai partecipato direttemente a tali incombenze): il delegato del sindaco entra nell'uffico elettorale, chiede al presidente i dati numerici che gli interessano, esce, va ad un telefono e comunica i dati all'ufficio elettorale centrale del comune.

Questa comunicazione avviene diverse volte nell'arco dell'elezione: circa quattro volte per la comunicazione dei dati parziali di afflusso durante il voto, una volta appena dopo la chiusura del voto per comunicare il totale dei votanti, alla chiusura dello scrutinio per comunicare i risultati del voto (ma non le preferenze nel caso di maggioritario). Anche qui i conti debbono tornare, o anche il delegato del sindato è connivente con i brogli.

Credo cmq che i dati comunicati in questo modo non siano quelli ufficiali, ma solo quelli di "tendenza". Sebbene sarebbe da folli non far coincidere quanto dichiarato al delegato del sindaco con quanto scritto nei verbali, credo che il dato ufficiale si ha solo dopo che il plico con i verbali e le tabelle dello scrutinio arriva agli uffici del Viminale che aprono il plico e leggono i dati (ufficiali) scritti sul verbale. Ripeto, io qui non ci sono, quindi è una mia ricostruzione. Risulta comunque evidente che ci sono altre persone, esterne all'ufficio elettorale, che leggono i dati scritti.

Cosa cambia con lo scrutinio elettronico? Chi lo capisce è bravo. Questo è quanto scritto sulla pagina del MIT linkata all'inizio:

I dati sono quindi memorizzati dall'operatore informatico in forma
criptata su una chiave hardware USB, già inizializzata nella fase di
"set-up" delle operazioni di sezione.. La chiave viene consegnata al
Coodinatore di Plesso (edificio contenente diverse sezioni elettorali) che,
attraverso una specifica postazione informatica, provvede a trasmettere
telematicamente i dati memorizzati all'Ufficio elettorale del
Ministero dell'Interno (Centro Servizi) attraverso una rete dedicata.

Grande! Non ci ho capito un tubo. Per lo meno, se fino ad ora mi sembrava una complicazione e spesa inutile e le mie critiche erano blande, qui andiamo sulle cose serie ed importanti, non sulla scelta, ma sulla norma.

Cominciamo dal classico "tecnichese" inutile che non chiarisce un tubo: che vuol dire forma criptata? con chiavi pubbliche+private? con quale algoritmo? che vuol dire che la chiave è stata inizializzata? che sono le operazioni di set-up di sezione? Se l'ufficialità dei documenti cartacei mi viene dall'apposizione della firma del presidente, degli scrutatori ed eventualmente dei rappresentanti di lista e del timbro su ogni foglio scritto o non scritto, chi ca##o firma e come i dati nella chiave hardware USB? Ma una chiave hardware non è uno di quei dispositivi che servono, ad esempio, ad impedire l'uso di un programma se la chiave non è inserita? Qui funziona al contrario?

Il coordinatore di plesso qui indicato credo sia il delegato del sindaco indicato sopra. Anche in questo caso, visto che il dialogo è sempre tra presidente e delagato, chi consenga la chiave al delegato? Il presidente di seggio o l'operatore informatico?

Tutto ciò solo per evitare la telefonata descritta sopra??? OK, è vero che la trasmissione di dati grezzi si rete informatica è più pratica e meno soggetta ad errori di una lettura di numeri su un connessione voce. Lo ammetto, in questo il sistema potrebbe essere efficiente. Quello che non mi spiego è perché mettere in mezzo chiavi USB, dati criptati e operatori informatici (assunti tramite interinale) quando si sarebbe potuto (e dovuto) lasciar compiere queste operazioni a chi del seggio è presidente (nominato dalla corte d'appello). Perchè non dare al presidente una coppia login/password (magari GnuPG) con la quali lui stesso poteva inviare i dati al Viminale.

Da considerare poi, che per la sola Liguria, i dati non cartacei verranno anche trasmessi direttamenti agli uffici centrali per la convalida dei risultati (in pratica la nomina degli eletti). A meno di non aver capito male.

Conclusioni

Non sono molto sicuro di condividere appieno la scelta dei Ministreri coinvolti nella sperimentazione. In primo luogo per la non trasparenza della sperimentazione (procedura d'urgenza senza asta, interinale per gli operatori). In secondo luogo per l'enorme speco di risorse finanziarie (serve un intero computer o magari si può fare tutto ciò con dei palmari?). In terzo luogo per la non apertura (di codice) di quanto usato (non ho visto mezza riga dedicata ad algoritmi di cifratura usati e implementazioni scelte, per non parlare di sistemi operativi così come di canali di trasmissione). Oltre, ovviamente, a tutte le riserve che un presidente di seggio "vecchia scuola" può avere verso nuovi metodi.

D'altro canto è vero che una informatizzazione del recupero e trasmissione dei dati è necessaria per migliorare un sistema che è al collasso. Avete presenti le recenti elezioni in Iraq? È stato impiegato un mese per avere i dati ufficiali del voto. OK, è un paese ampio, impervio e senza infrastrutture. Se la necessità è avere dati ufficiali (non solo dei votanti, o di chi in generale ha vinto, ma esattamente chi è diventato deputato e chi no) entro 12 ore dalla chiusura della votazione, l'unico modo è abbandonare il cartaceo.

Riguardo poi gli obiettivi che i Ministeri si erano prefissi, trovo che:

    • semplificare e accelerare le operazioni di scrutinio - semplificare non mi pare, visto che le operazioni sono le stesse, nell'accelerare viene forse risparmiato il tempo dedicato a sfogliare le pagine delle tabelle (ma usando i mucchietti...). Di certo cmq ciò non si può apprezzare in fafe si sperimentazione, visto che le tabelle vanno compilate comunque, quindi non è calcolabile il risparmio di tempo.

    • facilitare i conteggi ed eliminare gli eventuali errori di trascrizione - se parliamo di conteggi all'intero del seggio, non è 'sto gran guadagno (in fondo si tratta di semplici e banali somme: la calcolatrice non è nel materiale di cancelleria, ma uno se la porta da casa); per gli errori di trascrizione, vorrei sapere in primo luogo quanti sono i casi accertati nelle precedenti elezioni, visto che io ricontrollo tutto almeno 3 volte e finisco cmq sempre tra i primi del plesso, in secondo luogo se miracolosamente scompaiono gli errori di battituta (cosa succede se l'operatore informatico sbaglia? può annullare?) in terzo luogo chi ha fatto l'audit dei sorgenti dei programmi usati

    • rendere più veloce e sicura la trasmissione dei risultati elettorali - sul veloce non si capisce il perchè di quel passaggio attraverso chiave USB, sul sicura ho parecchie riserve sulle tecnologie scelte e non dichiarate. E comunque non è spiegato come i dati su chiave possano essere firmati e convalidati dai membri dell'ufficio elettorali. Se ciò non fosse possibile, quei dati per me non solo validi.

    • migliorare l'efficienza delle consultazioni elettorali - beh, questo è un obiettivo completamente fallito. Bastava eliminare la consultazione elettorale...
Peccato, soldi e occasione sprecata, anzi occasioni visto che questa sperimentazione era già stata fatta nel 2005 e 2004 (il che mi fa puzzare ancora più di marcio la procedura d'urgenza).

Note

[1] BTW, ma non l'aveva già detto Bertinotti, un paio di mesi fa, che quella sulla prima casa andava per lo meno fortemente scontata?

[2] C'è un solo timbro per sezione, con un numero scritto sopra. Ogni "timbrata" dovrebbe permettere di leggere con chiarezza tale numero. Se alle prossime elezioni volete fare un po' gli stronzi e vi capita una scheda con il numero illegibile (praticamente il 50% delle timbrate a causa di come è fatto il timbro, come è piegata la scheda e dell'inchiostro), prendete la scheda, entrate in cabina, constatate che la timbrata è illegibile, tornate fuori e chiedete che vi sia cambiata. Ovviamente, per continuare a fare gli stronzi, accertatevi che sia scritto a verbale, che la scheda che avete riconsegnato sia tibrata sul lato del voto e che sia effettivamente messa tra le rifiutate e non che vi sia ritirata e rimessa in fondo al mucchio :-) I componenti dell'ufficio vi odieranno, perché dovranno fare tutti i conti ricordandosi di quella una che hanno dovuto togliere...

[3] Notate che è il presidente a dover mettere la scheda nell'urna, non il votante, come invece gli elettori spesso credono. A me una volta un vecchietto, a cui l'avevo tolta di mano per levarlo di mezzo visto che impicciava, è andato a reclamare fuori dai carabinieri dicendo che compivo atti illegali... Il paragrafo però, scritto nelle istruzioni + o meno così come qui riportato, non è molto chiaro se non capisci bene l'italiano e non sai come legare soggetto e predicato; il che mi costrinse a perdere mezz'ora a discutere col vecchietto, ma non con i carabinieri che quel giorno erano più intelligenti di quello che si crede spesso e compresero subito che ero nel giusto

[4] quando dico "si dovrebbe fare così" vuol dire che ci sono leggi dello Stato che descrivono le operazioni.

[5] Duplice copia, ecco perché due persone, che diventa quadrupla nel caso di maggioritario (tabelle dei partiti in duplice copia e tabelle dei singoli candidati anch'esso in duplice copia)
alle

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)