Lexipedia

Modifica dell’ordinanza sui diritti politici (ODP) e dell’ordinanza della CaF concernente il voto elettronico (OVE)

Cancelleria federale CaF Sezione dei diritti politici

Revisione parziale dell’ordinanza sui diritti politici e revi- sione totale dell’ordinanza della CaF concernente il voto elet- tronico (riorganizzazione della fase sperimentale) Rapporto esplicativo per la consultazione

28 aprile 2021

1. Situazione iniziale

In Svizzera la fase sperimentale sul voto elettronico è iniziata nel 2004. Il voto elettronico fa parte della «Strategia di e-government Svizzera» di Confederazione e Cantoni. Le basi legali per le prove di voto elettronico sono contenute nell’articolo 8a della legge federale del 17 dicembre 1976 sui diritti politici (LDP, RS 161.1), negli articoli 27a–27q dell’ordinanza del 24 maggio 1978 sui diritti politici (ODP; RS 161.11) e nell’ordinanza della Cancelleria federale (CaF) del 13 dicembre 2013 concernente il voto elet- tronico (OVE, RS 161.116). Fin dall’inizio del progetto si è scelto di privilegiare la sicurezza, senza forzare i tempi. In Svizzera sono autorizzati soltanto i sistemi di voto elettronico che rispettano i severi requisiti di sicurezza previsti dal diritto federale. Dal 2004 complessivamente 15 Cantoni hanno istituito le necessarie basi legali consentendo a una parte dei loro aventi diritto di voto di fruire del voto elettronico nell’ambito di oltre 300 prove svoltesi con suc- cesso. In tutti i Cantoni sono stati ammessi a partecipare alle prove gli aventi diritto di voto residenti all’estero e in alcuni Cantoni anche parte dell’elettorato residente in Svizzera. Negli ultimi anni i Cantoni avevano a disposizione due sistemi di voto elettronico: quello del Cantone di Ginevra e quello della Posta Svizzera. Tuttavia, dato che a metà 2019 entrambi i fornitori hanno ritirato il proprio sistema, attualmente in Svizzera non è più possibile votare per via elettronica. Nel 2019 la Posta Svizzera ha pubblicato il codice sorgente del suo futuro sistema con verificabilità com- pleta e ha effettuato un test pubblico d’intrusione 1. A seguito della scoperta di diverse lacune nel suo sistema finora in uso e in quello futuro, nel luglio 2019 la Posta ha comunicato che non avrebbe più utilizzato il sistema finora in uso con verificabilità individuale e che si sarebbe concentrata sull’ulteriore sviluppo del sistema con verificabilità completa. Nel gennaio 2021 la Posta ha pubblicato in una prima tappa il protocollo crittografico del suo sistema completamente verificabile, che è impostato in modo da adempiere i requisiti della Confederazione per la verificabilità completa. Il Cantone di Ginevra ha sviluppato e gestito un sistema proprio, che è stato utilizzato da diversi Cantoni.

Nel novembre 2018 ha informato che non avrebbe continuato a sviluppare il suo sistema, ritenendo che non fosse compito di un Cantone sviluppare, gestire e finanziare da solo un sistema informatico di tale complessità e dimensioni. Nel giugno 2019 ha comunicato che il suo sistema avrebbe cessato con effetto immediato di essere operativo2. Il Cantone di Ginevra ha pubblicato sotto forma di licenza open source il codice sorgente del sistema con verificabilità completa che in quel momento era ancora in corso di svi- luppo. La Scuola universitaria professionale di Berna ha completato gli elementi del sistema di Ginevra critici sotto il profilo della sicurezza e li ha messi a disposizione con licenza open source. Anche questo sistema è impostato in modo tale da adempiere i requisiti della Confederazione per la verificabilità com- pleta. Il 19 dicembre 2018 il Consiglio federale ha deciso di avviare la procedura di consultazione concernente il passaggio del voto elettronico all’esercizio ordinario. La revisione della LDP posta in consultazione pre- vedeva la conclusione della fase di sperimentazione e sanciva il voto elettronico quale terza modalità di voto ordinaria. Dalla consultazione è emerso che una chiara maggioranza dei Cantoni e dei partiti era favorevole per principio all’introduzione del voto elettronico. La Conferenza dei Governi cantonali e 19 Cantoni sostenevano il passaggio all’esercizio ordinario. Tuttavia, i partiti che si dichiaravano per principio favorevoli al voto elettronico ritenevano che fosse ancora troppo presto per compiere questo passo.

Comunicato stampa della CaF del 29 marzo 2019; consultabile sotto www.bk.admin.ch/bk/it/home.html > Diritti politici > Voto elettronico > Comunicati stampa Comunicati stampa del Cantone di Ginevra del 28 novembre 2018 e del 19 giugno 2019; consultabili rispettivamente sotto www.ge.ch/document/point-presse-du-conseil-etat-du-28-novembre-2018#extrait-12897 e www.ge.ch/document/point-presse- du-conseil-etat-du-19-juin-2019.

2. Riorganizzazione della fase sperimentale

2.1 Mandati del Consiglio federale

Alla luce dei risultati della consultazione concernente il passaggio del voto elettronico all’esercizio ordi- nario, il 26 giugno 2019 il Consiglio federale ha deciso di rinunciare per il momento alla revisione parziale della LDP. Con questa decisione ha tenuto conto anche degli sviluppi di entrambi i sistemi allora disponi- bili. Allo stesso tempo ha incaricato la CaF di predisporre congiuntamente con i Cantoni la riorganizza- zione della fase sperimentale del voto elettronico 3. Secondo il mandato del Consiglio federale la riorga- nizzazione della fase sperimentale persegue i seguenti obiettivi:

1. sviluppare ulteriormente i sistemi;

2. garantire l’efficacia dei controlli e della vigilanza;

3. rafforzare la trasparenza e la fiducia;

4. rafforzare l’interazione con il mondo scientifico.

Per predisporre la riorganizzazione della fase sperimentale, il Comitato direttivo Voto elettronico (CD VE) ha istituito un sottogruppo di lavoro denominato «Riorganizzazione e ripresa delle prove» 4 e lo ha incari- cato di elaborare provvedimenti per la riorganizzazione e il relativo scadenzario in vista della ripresa delle prove. Nella sua seduta del 18 dicembre 2020 il Consiglio federale ha preso atto del rapporto finale del 30 no- vembre 2020 del CD VE concernente la riorganizzazione e la ripresa delle prove. Ha incaricato la CaF di procedere all’attuazione progressiva, da effettuarsi in collaborazione con i Cantoni, delle misure neces- sarie alla riorganizzazione e di presentargli, entro la metà del 2021, un progetto da porre in consultazione comprendente i necessari adeguamenti dell’ordinanza sui diritti politici (ODP) e dell’ordinanza della CaF concernente il voto elettronico (OVE). L’obiettivo del Consiglio federale è che i Cantoni possano effettuare di nuovo prove limitate di voto elet- tronico. La sicurezza del voto elettronico sarà garantita da norme di sicurezza più precise, prescrizioni più severe in materia di trasparenza, una collaborazione più stretta con esperti indipendenti e una verifica efficace effettuata su mandato della Confederazione5.

2.2 Dialogo con gli esperti del mondo scientifico

Per predisporre la riorganizzazione della fase sperimentale la Confederazione e i Cantoni hanno condotto un ampio dialogo sul voto elettronico con 23 esperti svizzeri e internazionali dell’informatica, della critto- grafia e delle scienze politiche. Le valutazioni che ne sono scaturite sono state pubblicate6. Gli esperti vedono la necessità di agire per quanto concerne la sicurezza, la trasparenza e la verifica indipendente del sistema. Allo stesso tempo sono dell’opinione che negli ultimi 15 anni sono stati raggiunti notevoli risultati. Raccomandano di analizzare le questioni legate alla sicurezza anche in merito agli altri canali di voto e di approfondire ulteriormente quelle relative alla creazione di un clima di fiducia. La verificabilità e la diversità tra le componenti importanti per la verificabilità (le cosiddette componenti di controllo e verifica) costituiscono per gli esperti un presupposto fondamentale per l’affidabilità del sistema. Le prove di sicurezza già richieste nell’ambito crittografico sono importanti ed è sempre necessario adat- tarle costantemente allo stato delle conoscenze scientifiche. Inoltre gli esperti consigliano alle autorità di puntare sulla standardizzazione degli elementi crittografici.

Comunicato stampa del Consiglio federale del 27 giugno 2019; consultabile sotto https://www.bk.admin.ch/bk/it/home.html > Diritti politici > E-Voto elettronico > Comunicati stampa. Il sottogruppo di lavoro «Riorganizzazione e ripresa delle prove» è presieduto dalla CaF ed è composto di rappresentanti dei Cantoni di BE, FR, BS, SG, GR, AG, TG e NE. La Posta era presente alle varie sedute del sottogruppo di lavoro come rimanente gestore di sistema. Comunicato stampa del Consiglio federale del 21 dicembre 2020; consultabile sotto https://www.bk.admin.ch/bk/it/home.html Di- ritti politici >Voto elettronico > Comunicati stampa. Comunicati stampa della CaF del 23 giugno 2020 e del 19 novembre 2020; consultabili sotto: https://www.bk.ad- min.ch/bk/it/home.html > Diritti politici > Voto elettronico > Comunicati stampa.

Ci si dovrebbe assicurare che la documentazione concernente il sistema e il codice sorgente siano ac- cessibili secondo modalità tali da consentire una verifica efficiente della conformità ai requisiti legali. Gli esperti sottolineano l’importanza di coinvolgere costantemente gli specialisti, in particolare quelli del mondo scientifico, nelle fasi di concezione, sviluppo e verifica dei sistemi di voto elettronico. È stato sug- gerito di incaricare un comitato scientifico. Gli esperti ritengono che valutare i rischi e, se necessario, prevedere misure debba rimanere compito delle autorità. Al posto di porre l’accento come finora sulla certificazione del sistema, le autorità devono rendere possi- bile un costante processo di perfezionamento. La Confederazione o un comitato indipendente dovrebbero conferire il mandato di effettuare verifiche indipendenti. Il coinvolgimento di esperti indipendenti e l’istitu- zione di condizioni quadro ideali assicurerebbero una verifica (pubblica) efficace e permanente. Si attri- buisce molta importanza alla verifica pubblica e la trasparenza costituisce la condizione per la sua effica- cia. Al posto di un test pubblico di intrusione, come nel 2019, gli esperti raccomandano di organizzare degli hackathon o d’introdurre un programma bug bounty permanente, che preveda una remunerazione a chi rileva un errore. In generale, il dialogo con esperti di diversi settori ha consentito un’ampia discussione sugli interventi necessari e sulle possibili soluzioni. Gli esperti sono favorevoli a proseguire il dialogo nel quadro di uno scambio costante tra le autorità e il mondo scientifico; in futuro il dialogo con il mondo scientifico dovrebbe porre maggiormente l’accento su temi inerenti alle scienze sociali. Concretamente gli esperti raccoman- dano di approfondire le questioni sul rafforzamento della fiducia e hanno rilevato che la discussione sulla sicurezza non dovrebbe limitarsi al voto elettronico ma riguardare anche gli altri canali di voto. Una visione globale dei possibili attacchi servirebbe a migliorare la sicurezza delle elezioni e delle votazioni.

2.3 Orientamenti della riorganizzazione

Il dialogo tra mondo scientifico e Confederazione e Cantoni è sfociato in un rapporto finale che presenta un ampio elenco di misure. I risultati del dialogo sono stati considerati nell’elaborazione delle misure. Il CD VE ha adottato il suo rapporto finale sulla riorganizzazione e ripresa delle prove il 30 novembre 20207. Con l’attuazione di numerose misure si intendono colmare le lacune rilevate nell’ambito dei quattro obiet- tivi stabiliti dal Consiglio federale. L’attuazione delle misure avverrà a tappe. Nella prima tappa è prevista l’attuazione di misure per la ripresa delle prove. Queste ultime potranno così riprendere su piccola scala, mentre si lavorerà costantemente a obiettivi a medio e lungo termine. Con il proseguimento delle prove nei singoli Cantoni si eviterà che vadano persi le risorse e il know-how esistenti e gli investimenti già realizzati dai Cantoni e dai fornitori di sistemi. Inoltre, tutti gli attori coinvolti potranno acquisire indispensabili esperienze con l’impiego di sistemi completamente verificabili. Il carat- tere sperimentale è sottolineato con diverse misure, ad esempio la limitazione dell’elettorato coinvolto. Il principio resta lo stesso: «privilegiare la sicurezza senza forzare i tempi». Ulteriori misure sono previste per gli anni successivi. Secondo prime stime, l’attuazione delle misure a medio e lungo termine dovrebbe avvenire entro cinque anni dalla ripresa delle prove.

Il rapporto finale e i documenti concernenti il dialogo con il mondo scientifico sono consultabili sotto: https://www.bk.ad- min.ch/bk/it/home.html > Diritti politici > Voto elettronico.

Gli orientamenti della riorganizzazione e le tappe dell’attuazione sono illustrati nella tabella seguente.

Orientamenti Tappe dell’attuazione Concretizzazione nell’avamprogetto 2021

1. Sviluppare ulteriormente i sistemi

Garantire la qualità del sistema grazie a defini- Ripresa delle prove; pro- Precisare i requisiti zioni più precise dei criteri di qualità e a processi cesso continuo di migliora- comprensibili di sviluppo e di approntamento mento Garantire la forensic readiness dei sistemi utiliz- Ripresa delle prove; pro- Precisare i requisiti zati mediante un’individuazione e un esame effi- cesso continuo di migliora- caci degli incidenti mento Predisporre uno strumento di pianificazione co- Ripresa delle prove; verifica - mune e pubblico della Confederazione e dei Can- continua toni per l’attuazione continua delle misure in ma- teria di sicurezza Accrescere la verificabilità mediante una mag- A medio termine; lavori di ap- - giore diversità e indipendenza delle singole com- profondimento entro 2 anni ponenti dalla ripresa delle prove

2. Garantire l’efficacia dei controlli e della vigilanza

Garantire l’efficacia delle verifiche indipendenti Ripresa delle prove Adeguare le responsabilità del sistema e precisare i requisiti Istituire una procedura regolamentata per la ge- Ripresa delle prove - stione delle non conformità comprovate o pre- sunte Migliorare l’analisi dei rischi e la gestione delle Ripresa delle prove; pro- Precisare i requisiti (valuta- crisi cesso continuo di migliora- zione del rischio) mento Sviluppare ulteriormente i controlli di plausibilità Continuamente; prima tappa - fino al 2022 Adeguare e verificare i processi nella procedura Ripresa delle prove e verifica Adeguare alle nuove re- di autorizzazione, nonché i processi, i ruoli e i a lungo termine sponsabilità compiti

3. Rafforzare la trasparenza e la fiducia

Limitare l’elettorato nella fase sperimentale Ripresa delle prove Adeguamento Garantire maggiore trasparenza e agevolare l’ac- Continuamente Precisare i requisiti cesso alle informazioni sul sistema, ai rapporti di verifica e ai risultati Costituire una comunità di esperti e rappresen- Continuamente Precisare i requisiti tanti del pubblico (politici, esperti, gruppi d’inte- resse e vasto pubblico) e coinvolgerla maggior- mente ai fini di una verifica pubblica continua

4. Rafforzare l’interazione con il mondo scientifico

Garantire un accompagnamento continuo da Tema trasversale, attuazione Adeguamento parte del mondo scientifico e coinvolgere esperti continua indipendenti Istituire un comitato scientifico incaricato di for- A medio termine - nire assistenza e consulenza alla Confederazione e ai Cantoni

3. Panoramica sul presente avamprogetto

Il presente progetto comprende una revisione parziale dell’ODP e una revisione totale dell’OVE e del suo allegato. Queste modifiche portano a compimento la prima tappa dell’attuazione delle misure sulla rior- ganizzazione della fase sperimentale. Qui di seguito sono illustrati gli aspetti salienti dell’avamprogetto.

- Proseguimento della fase sperimentale Occorre mantenere la fase sperimentale del voto elettronico. Finora le disposizioni federali prevede- vano tre livelli nella limitazione dell’elettorato a seconda del grado di sviluppo dei sistemi. Nella pros- sima tappa della sperimentazione il limite è fissato anche per l’impiego di sistemi completamente verificabili in modo unitario al 30 per cento al massimo dell’elettorato cantonale e al 10 per cento al massimo dell’elettorato svizzero. I limiti sono periodicamente riesaminati sulla base degli sviluppi nel settore del voto elettronico. Come finora, gli Svizzeri all’estero aventi diritto di voto non sono consi- derati nel calcolo dei limiti (art. 27f cpv. 3 ODP). Con la nuova normativa anche gli aventi diritto di voto con disabilità che non possono esprimere il loro voto autonomamente nel rispetto del segreto del voto saranno esclusi dal conteggio dei limiti.

- Sicurezza rafforzata In futuro la Confederazione dovrà autorizzare soltanto sistemi completamente verificabili. È questa una misura importante per garantire la sicurezza del voto elettronico: la verificabilità completa con- sente di rilevare manipolazioni dei voti espressi per via elettronica. La sicurezza del sistema di voto elettronico deve essere ulteriormente rafforzata con precise direttive in materia di sicurezza e qualità per i sistemi e il loro sviluppo.

- Ripartizione delle competenze tra Confederazione e Cantoni Come ora, ogni Cantone deciderà da sé se effettuare prove di voto elettronico. Anche l’acquisizione del sistema resta di competenza dei Cantoni: come ora possono gestire un proprio sistema, utilizzare il sistema di un altro Cantone oppure far capo al sistema di un’impresa privata (art. 27kbis cpv. 1 lett. b ODP). La Confederazione stabilisce, come finora, il quadro normativo ed è responsabile per la concessione delle autorizzazioni.

- Verifiche indipendenti Al posto di porre l’accento, come finora, sulla certificazione dei sistemi e dell’esercizio, una verifica indipendente su mandato della Confederazione dovrà ora consentire un esame della sicurezza e, in tal modo, dell’adempimento dei requisiti per l’autorizzazione, nonché rilevare un potenziale di miglio- ramento per il futuro. Il presente progetto prevede pertanto che, per la parte principale degli esami, in futuro sia la Cancelleria federale e non i Cantoni o il gestore del sistema a conferire il mandato.

- Trasparenza, coinvolgimento del pubblico e collaborazione con il mondo scientifico Disposizioni volte a rafforzare la trasparenza e il maggiore coinvolgimento di specialisti indipendenti nella concezione, sviluppo ed esame di sistemi di voto elettronico devono contribuire a instaurare un processo di costante perfezionamento. Il pubblico deve avere accesso a tutte le informazioni con- cernenti il sistema, l’esercizio e i rapporti d’esame e occorre promuovere la partecipazione. In tal modo si pongono solide basi per una verifica pubblica permanente, per la quale un ruolo importante è anche svolto dal mondo scientifico. In quest’ambito gli attuali requisiti concernenti la pubblicazione del codice sorgente del sistema di voto elettronico devono essere precisati e si deve sancire l’obbligo di effettuare un programma bug bounty. Questo programma deve prevedere una remunerazione finanziaria per le segnalazioni di rilievo giunte dal pubblico.

4. Ripercussioni per la Confederazione, i Cantoni e altri attori

Per esprimere il voto elettronicamente la sicurezza è fondamentale. Questa esigenza ha notevoli ricadute finanziarie per le autorità e i fornitori dei sistemi. I costi sono imputati secondo la ripartizione delle com- petenze tra Confederazione e Cantoni nel settore dei diritti politici: la parte preponderante dei costi sarà ancora a carico dei Cantoni. È stato stimato che l’attuazione della prima tappa delle misure previste nel periodo 2021–2022 compor- terà per i Cantoni costi supplementari di 1,2–1,5 milioni di franchi. I costi annuali d’esercizio supplementari ammonteranno verosimilmente a circa 50 000–70 000 franchi. Per l’attuazione delle misure sul medio e lungo termine si prevedono ulteriori costi tra 3,4 e 4,1 milioni di franchi. Queste misure comportano un aumento dei costi d’esercizio annuali tra 0,9 e 1,1 milioni di franchi. Queste stime comprendono i costi totali per tutti i Cantoni. La Confederazione stima per la prima tappa, prevista nel periodo 2021–2022, costi supplementari una tantum pari a 1,25 milioni di franchi, che comprendono in particolare le verifiche indipendenti dei sistemi di voto elettronico che dovranno in futuro essere commissionate dalla CaF. Sul medio e lungo termine occorre mettere in conto costi ricorrenti. La riorganizzazione della fase sperimentale non ha alcuna rica- duta sull’organico di personale della Confederazione. I costi saranno verosimilmente sopportati per un lungo periodo di tempo da pochi Cantoni. Se l’introdu- zione del voto elettronico sarà garantita sul lungo periodo, la Confederazione dovrà partecipare nella fase sperimentale in modo più importante ai costi dei Cantoni. Per partecipare finanziarmene ai progetti di voto elettronico dei Cantoni sono disponibili due strumenti. I costi cantonali dei progetti possono essere cofi- nanziati mediante il piano di attuazione del Governo elettronico o l’amministrazione digitale svizzera, non- ché in parte sulla base della legge sugli Svizzeri all’estero (art. 21 LSEst; RS 195.1) e dell’ordinanza sugli Svizzeri all’estero (art. 15 V-OSEst; RS 195.11). Le misure per la riorganizzazione si ripercuotono inoltre sulla Posta Svizzera, che al momento è l’unico fornitore di sistema. La Confederazione non è a conoscenza di eventuali costi a carico della Posta che superino le summenzionate stime dei costi concernenti Confederazione e Cantoni.

5. Commento alle singole disposizioni

5.1 Ordinanza sui diritti politici (ODP)

Per quanto riguarda l’ODP il presente progetto comprende in particolare le modifiche per l’attuazione della riorganizzazione della fase sperimentale del voto elettronico (modifiche nella sezione 6a: Prove del voto elettronico, cfr. n. 5.1.1). Prevede inoltre alcuni aggiornamenti nella sezione 3 e nell’allegato 3a dell’ODP (cfr. n. 5.1.2).

5.1.1 Adeguamenti nella sezione 6a: Prove del voto elettronico

Per chiarire il rapporto tra l’autorizzazione di principio e la procedura per il nulla osta, la lettera b è inte- grata con il rinvio all’adempimento delle condizioni per la concessione del nulla osta. Questa modifica corrisponde all’attuale prassi e non ha alcuna conseguenza pratica.

Con l’adeguamento dell’articolo 27b lettera b AP-ODP questa disposizione può essere abrogata.

Nell’autorizzazione di principio il Consiglio federale, oltre che per quale territorio, stabilisce per quale percentuale dell’elettorato è autorizzato il voto elettronico. Il Consiglio federale necessita dell’indicazione del numero di aventi diritto ammessi al voto elettronico per verificare il rispetto dei limiti secondo l’articolo 27f capoverso 1 AP-ODP.

Cpv. 1 e 1bis: questi capoversi riprendono l’attuale capoverso 1 con l’integrazione che la CaF stabilisce i requisiti che il sistema e il suo esercizio devono soddisfare. La delega finora presente nell’articolo 27f ODP è ora disciplinata in questa sede. Cpv. 2: revisione redazionale.

Art. 27f Limiti Cpv. 1: la graduazione secondo limiti finora prevista era vincolata all’attuazione dei requisiti di sicurezza. Per i sistemi con verificabilità completa il Consiglio federale avrebbe potuto autorizzare un impiego senza limiti. Nella fase sperimentale finora condotta nessun Cantone ha adempiuto le condizioni per ammettere più del 30 per cento dell’elettorato cantonale al voto elettronico. Anche il limite del 10 per cento dell’elet- torato svizzero non è finora mai stato raggiunto 8. È ora previsto di fissare anche per l’impiego di sistemi completamente verificabili un limite unitario al 30 per cento dell’elettorato cantonale e al 10 per cento dell’elettorato svizzero. Con questa limitazione unica alla categoria finora più bassa si intende sottolineare il carattere sperimentale del voto elettronico. Come finora, il rispetto dei limiti cantonali è di competenza dei Cantoni. Essi possono stabilire liberamente come assicurare il rispetto dei limiti per gli aventi diritto di voto residenti nel Paese. Nella prassi erano finora ad esempio previsti una procedura di iscrizione oppure il ricorso a Comuni pilota. Per il rispetto dei limiti nell’impiego a livello nazionale è responsabile la Confederazione. Cpv. 2: la limitazione di cui al capoverso 1 sarà applicabile nella prossima fase sperimentale. I Cantoni devono avere la possibilità di acquisire esperienza con l’impiego di sistemi completamente verificabili, mentre le sperimentazioni rimangono limitate. Con un riesame periodico dei limiti è possibile tenere conto La quota più alta si è registrata nella votazione del 10 febbraio 2019: il 2,5 per cento degli aventi diritto di voto residenti in Svizzera è stato ammesso al voto elettronico.

degli sviluppi nel voto elettronico. Si tratta di valutare l’impiego attuale e previsto del voto elettronico nei Cantoni, il contesto politico, la stabilità dell’esercizio sperimentale e la fiducia riposta dalla popolazione nel voto elettronico. Se sulla base di questi elementi riterrà opportuno un adeguamento dei limiti, la CaF presenterà al Consiglio federale una relativa proposta per modificare il capoverso 1. Cpv. 3: ex capoverso 2 con la seguente modifica: oltre agli Svizzeri all’estero aventi diritto di voto, tra i gruppi destinatari particolari del voto elettronico figurano anche gli aventi diritto di voto che a causa della loro disabilità non possono esprimere il proprio voto autonomamente. Con l’integrazione del capoverso 3 questi due gruppi di aventi diritto di voto possono essere esclusi dal conteggio per i limiti. In tal modo i Cantoni hanno la possibilità di offrire il voto elettronico a questi due gruppi indipendentemente dalle di- sposizioni concernenti le limitazioni dell’elettorato.

La formulazione dell’articolo 27i capoversi 1 e 2 si riferisce alla possibilità di autorizzare al voto elettronico soltanto una parte o l’intero elettorato. Poiché secondo l’articolo 27f capoverso 1 AP-ODP nella prossima fase sperimentale non è prevista la possibilità di autorizzare l’intero elettorato, occorre modificare la for- mulazione. Cpv. 1: la plausibilità dei risultati del voto elettronico deve fornire indicazioni su eventuali errori nella tra- smissione dei dati e su possibili manipolazioni dei risultati. Come finora, i Cantoni possono controllare la plausibilità mediante diversi metodi. Ad esempio, possono verificare la corretta registrazione di voti di prova espressi da controllori e verbalizzati, confrontare i risultati con quelli del voto per corrispondenza o del voto di persona all’urna oppure paragonare i voti elettronici scrutinati e i file di registro (file di log) del server della votazione o dell’elezione. Nelle sperimentazioni si devono utilizzare – se disponibili e se la base dei dati lo consente – metodi statistici. Cpv. 2: La verificabilità del voto elettronico è la misura centrale per garantire la sicurezza del voto elettro- nico perché consente di rilevare manipolazioni dei voti espressi elettronicamente. La verificabilità prevede che si controlli o si possa controllare se un voto:

  • è stato espresso conformemente all’intenzione del votante;
  • è stato registrato nel modo in cui è stato espresso;
  • è stato conteggiato nel modo in cui è stato registrato. Oltre alla plausibilità secondo il capoverso 1, in futuro in Svizzera potranno essere autorizzati unicamente sistemi di voto elettronico con verificabilità completa, anche se soltanto una parte dell’elettorato è auto- rizzata a votare elettronicamente. La disposizione vigente è inoltre stata leggermente rimaneggiata sotto il profilo redazionale.

La disposizione può essere abrogata, perché a differenza dalla prassi vigente la CaF non è più coinvolta nelle relazioni contrattuali. Il rapporto contrattuale tra i Cantoni ed eventuali imprese private si desume dal capoverso 1.

Art. 27l Valutazione dei sistemi e delle modalità d’esercizio Cpv. 1: riprende l’attuale disposizione del capoverso 2 e disciplina quando è necessaria una valutazione. Cpv. 2: l’oggetto della valutazione corrisponde al disciplinamento vigente. L’ente esaminatore deve es- sere indipendente dall’ente esaminato. Capoversi 3 e 4: la CaF disciplina nella sua ordinanza i contenuti da esaminare e i requisiti posti agli enti incaricati, nonché chi è competente a commissionare il mandato. Dalla revisione delle basi legali nel 2013, nella maggior parte delle volte la valutazione dei sistemi di voto elettronico è stata commissionata a enti esterni accreditati. Spettava ai Cantoni commissionare da sé o attraverso il gestore del sistema la certifi- cazione richiesta. Nell’ambito dei lavori per la riorganizzazione della fase sperimentale è emerso che è

auspicabile che l’incarico per gli esami sia conferito dalla Confederazione. In futuro la ripartizione dei compiti tra Confederazione e Cantoni deve essere organizzata in modo tale che la Confederazione as- suma più responsabilità e svolga un ruolo diretto nell’esame dei sistemi.

Art. 27m Coinvolgimento e informazione del pubblico Cpv. 1: per coinvolgere il pubblico e le cerchie di specialisti la CaF e i Cantoni attuano misure come l’organizzazione di convegni e conferenze, di concorsi di idee e hackathon, la gestione di piattaforme informative o l’attuazione di progetti di citizen science. In particolare, per coinvolgere specialisti del pub- blico occorre prevedere incentivi, come con l’organizzazione di programmi di bug bounty da parte dei Cantoni. Cpv. 2: La pubblicazione di informazioni sul sistema di voto elettronico e sul suo esercizio serve a verifi- care il corretto svolgimento del processo. I destinatari sono sia gli specialisti sia persone senza cono- scenze specialistiche. La misura principale in questo contesto è la pubblicazione del codice sorgente e della relativa documentazione. Conformemente agli articoli 7a e 7b OVE, i Cantoni sono già oggi tenuti a pubblicare il codice sorgente del software di un sistema di voto elettronico completamente verificabile, unitamente a una documentazione sufficiente. Il codice sorgente permette di vedere in che modo il si- stema deve registrare ed elaborare i voti. Il principio della trasparenza è importante e deve essere sancito nell’ODP. Le informazioni pubblicate consentono alle cerchie di specialisti di partecipare al processo, a tutto vantaggio della sicurezza, della qualità del sistema e della fiducia. La pubblicazione di informazioni relative al sistema, in particolare al codice sorgente, e al suo esercizio consente un dibattito obiettivo e basato sui fatti. La disponibilità delle informazioni favorisce l’indipendenza da singole persone e organiz- zazioni. La CaF continuerà ad apportare le precisazioni necessarie nella sua ordinanza. Cpv. 3: corrisponde all’attuale capoverso 1 ed è stato modificato leggermente sotto il profilo redazionale. Come finora i Cantoni dovranno informare gli aventi diritto di voto. Si tratta in particolare di informazioni che figurano sul materiale di voto, ovvero indicazioni concrete su come funziona il voto elettronico e come comportarsi in caso di irregolarità o problemi. Inoltre, si ritiene importante informare gli aventi diritto di voto sulla nozione di fondo della verificabilità. In effetti, la procedura della verificabilità permette di rilevare

eventuali irregolarità solo se essa è utilizzata anche dagli elettori. La verificabilità completa consente di promuovere la fiducia soltanto se si riesce a coglierne l’utilità. Cpv. 4: corrisponde nei principi all’attuale capoverso 2. La disposizione è stata precisata chiarendo che ci si riferisce alla possibilità di osservare gli atti nello svolgimento di uno scrutinio (p. es. la procedura di spoglio, il crittaggio e la decrittazione dell’urna elettronica). Questa disposizione contribuisce ulterior- mente alla trasparenza nei confronti degli aventi diritto di voto. Come finora, la disposizione non esige che i Cantoni attuino strutture permanenti destinate a rappresentare gli elettori, ad esempio commissioni elettorali. In linea generale è sufficiente che le procedure e i processi possano essere seguiti ad esempio da un ufficio elettorale, composto di aventi diritto di voto, istituito dall’autorità competente. Del resto, non si tratta né di rendere accessibili tutte le tappe né di pubblicare tutti i documenti. Se vi sono fondati motivi che ne sconsigliano l’accesso o la pubblicazione, rimane sempre la possibilità – come è stato il caso finora – di respingere la domanda. A tale riguardo è possibile rifarsi alle eccezioni previste nella legisla- zione applicabile in materia di trasparenza. Il rimando alla legge federale del 17 dicembre 2004 sul prin- cipio di trasparenza dell’amministrazione non è più considerato necessario e può pertanto essere stral- ciato. È determinante che lo scrutinio avvenga in tempo utile: in nessun momento il buon svolgimento dello scrutinio deve essere messo in pericolo da questa disposizione. Cpv. 5: i Cantoni devono ora essere obbligati a pubblicare i risultati dei voti espressi per via elettronica. La pubblicazione serve in primo luogo per assicurare la trasparenza. Devono essere pubblicati i seguenti risultati:

  • nelle votazioni: il numero di voti espressi per via elettronica con un Sì, un No o in bianco;
  • nelle elezioni: il numero di voti espressi per via elettronica per candidato (voti personali) e per lista (voti di lista). In linea di massima i dati devono essere pubblicati in modo dettagliato. Nelle votazioni si deve prevedere la pubblicazione dei dati per Comune e nelle elezioni dei dati per circondario elettorale. Il segreto del voto

non deve essere compromesso dalla pubblicazione dei risultati. Il segreto del voto è per esempio com- promesso se sono autorizzati al voto elettronico soltanto gli Svizzeri all’estero e in un Comune vi è un’unica persona in vita residente all’estero che ha diritto di voto. Se la pubblicazione rischia di pregiudi- care il segreto del voto, piuttosto che derogare al principio della pubblicazione dei risultati si devono di norma esaminare vie alternative. Occorre ad esempio valutare se e in che modo procedere a una pubbli- cazione con un grado di dettaglio dei risultati modificato, come il riassunto dei risultati di più comuni. Non è necessario pubblicare i risultati sul Foglio ufficiale, ma è sufficiente presentarli sul sito Internet del Cantone. Le informazioni devono essere facilmente accessibili e riutilizzabili.

Art. 27o Ricorso a specialisti indipendenti e accompagnamento scientifico Cpv. 1: nei loro lavori le autorità devono essere maggiormente seguite, laddove la loro presenza è utile, da specialisti indipendenti, ad esempio quando si possono ricavare conoscenze su questioni concernenti la sicurezza del voto elettronico. Gli specialisti dovrebbero essere indipendenti dai gestori del sistema e, se possibile, anche dalle autorità. Potrebbero entrare in linea di conto mandati a specialisti per prestazioni concrete o consulenze, come la verifica del sistema, il sostegno o la consulenza nell’elaborazione di analisi dei rischi oppure la collaborazione nell’esercizio, ad esempio nella valutazione di risultati di verifica e in eventuali indagini successive. Cpv. 2: la CaF deve inoltre provvedere affinché le prove di voto elettronico siano accompagnate sotto il profilo scientifico. Questa disposizione comprende lavori di ricerca da parte delle cerchie scientifiche che – a differenza del capoverso 1 – non devono servire direttamente ai lavori delle autorità indispensabili per tenere gli scrutini. Questo accompagnamento scientifico deve favorire la creazione di una base che serva alla valutazione e a indicare in che modo perfezionare la fase sperimentale. Cpv. 3: corrisponde sostanzialmente all’attuale capoverso 2.

5.1.2 Adeguamenti nella sezione 3 e nell’allegato 3a

Questa disposizione è stata rimaneggiata sotto il profilo redazionale. Dal 1° novembre 2015 i Cantoni con il sistema proporzionale devono designare come termine per la presentazione delle proposte di candida- tura un lunedì nel mese di agosto dell’anno delle elezioni (RU 2015 543). Nei Cantoni con il sistema maggioritario e che prevedono la presentazione delle candidature, in futuro sarebbe tuttavia anche ipo- tizzabile, a seconda delle circostanze, un termine di presentazione per inizio settembre.

Nella prassi per questa notifica non si utilizza più il telefax. La diposizione può pertanto essere corretta di conseguenza.

Allegato 3a e allegato 3a retro Si procede a diversi adeguamenti a seguito della modifica del 26 settembre 2014 della LDP (RU 2015 543).

5.2 Ordinanza della CaF concernente il voto elettronico (OVE)

5.2.1 Parte principale

Art. 1 Oggetto Le definizioni sono ora dislocate nella parte principale dell’OVE (cfr. art. 2 AP-OVE).

Art. 2 Definizioni Cpv. 1: riprende essenzialmente le definizioni della versione vigente dell’allegato dell’OVE, nella misura in cui sono rilevanti per la parte principale. Spiegazioni concernenti le singole definizioni: Lett. a: appartengono al sistema anche le componenti con funzioni speciali importanti per la verificabilità del voto elettronico. Si tratta delle cosiddette componenti di controllo, delle componenti di setup, delle componenti di stampa e degli ausili tecnici dei verificatori. Lett. b: non appartengono al sistema online le componenti di sistema impiegate per la preparazione e lo spoglio (come la tipografia e la componente di setup). Lett. c: occorre assicurare che disfunzioni o attacchi possano essere rilevati anche se soltanto una com- ponente di controllo funziona correttamente. Inoltre, le componenti di controllo consentono una riparti- zione delle informazioni necessarie per decrittare i voti. In tal modo, per riuscire a leggere i voti un ag- gressore dovrebbe introdursi in tutte le componenti di controllo. I dettagli figurano al numero 2 dell’alle- gato. Lett. d: i requisiti per la strutturazione e per l’esercizio indipendente sono riportati al numero 3 dell’alle- gato. Lett. h: l’impiego di verificatori contribuisce alla trasparenza. Gli aventi diritto di voto devono poter partire dal presupposto che, caso di dubbio, possano rendere attenti i verificatori su irregolarità. L’impiego di verificatori in veste di rappresentanti degli aventi diritto di voto adempie l’articolo 27m capoverso 4 AP- ODP (a tal proposito cfr. anche le relative spiegazioni). L’organizzazione concreta e le modalità di impiego dei verificatori sono rette dal diritto cantonale. Lett. i.: la piattaforma utente non fa parte dell’infrastruttura. Lett. j: concerne in particolare l’implementazione dei seguenti processi:

  • generare gli elementi segreti crittografici;
  • verificare il diritto di voto (mediante i dati di autenticazione server si verifica se chi ha emesso il voto è una persona con diritto di voto; questa verifica può essere effettuata in modo anonimo);
  • verificare la validità;
  • registrare i voti in entrata;
  • mischiare in modo crittografico i voti registrati;
  • decrittare i voti;
  • produrre le note di conferma che, mediante l’impiego delle componenti di controllo, risultano dalla garanzia della verificabilità individuale e dalla verificabilità universale.

Lett. n: in questo contesto la parte affidabile del sistema fa riferimento a un gruppo di componenti di controllo che fa parte del sistema online. Lett. p n. 1: in un’elezione secondo il sistema maggioritario, i campi di testo libero sono sempre considerati come compilati conformemente al sistema. Lett. q: sulla base dei dati di autenticazione client, l’ausilio tecnico utilizzato genera un messaggio di autenticazione (p. es. la firma di un voto) che è trasmesso all’infrastruttura; mediante il messaggio di

autenticazione e i dati di autentificazione server (p. es. una chiave pubblica per verificare la firma), l’infra- struttura autentica il mittente di un voto come avente diritto di voto. I dai di autenticazione client devono essere difficili da indovinare. Lett. s: nella prassi deve essere possibile generare un messaggio di autenticazione valido senza cono- scere un dato di autenticazione client.

Art. 3 Condizioni di base per la concessione del nulla osta per il voto elettronico per ogni singolo scru- tinio Frase introduttiva, lett. a e c: le disposizioni sono rimaneggiate sotto il profilo redazionale. Inoltre, nella lettera a è stata integrata la verificabilità che secondo l’articolo 27i capoverso 2 AP-ODP è ora richiesta per l’impiego di tutti i sistemi di voto elettronico. Lett. a: concerne in particolare l’adempimento dei requisiti di cui agli articoli 4–9 AP-OVE. Lett. c: concerne in particolare l’adempimento dei requisiti di cui agli articoli 10–12 AP-OVE. Lett. d: integrazione della disposizione vigente con una nuova condizione per l’accesso pubblico alle in- formazioni e per il coinvolgimento del pubblico (in particolare secondo l’art. 27m AP-ODP e l’art. 13 AP- OVE). Questa integrazione sottolinea l’importanza della trasparenza e del coinvolgimento del pubblico nel voto elettronico. Le informazioni da fornire dipendono dai gruppi di destinatari, in particolare il grande pubblico o le cerchie specialistiche.

Art. 4 Analisi dei rischi Cpv. 1: per ottenere un’autorizzazione i Cantoni devono come finora effettuare un’analisi dei rischi nel loro ambito di responsabilità. Tutti i rischi connessi all’adempimento degli obiettivi di sicurezza devono essere determinati attraverso un’analisi dei rischi. Devono poi essere valutati anche rischi riguardanti il contesto del voto elettronico in seno all’amministrazione e al pubblico. Le analisi dei rischi devono anche tenere conto del grado di fiducia nel voto elettronico e della sua accet- tazione da parte del pubblico. Si tratta di un obiettivo sovraordinato che deve essere integrato in modo trasversale in tutti gli obiettivi e rischi di sicurezza. Qui di seguito sono riportati esempi di applicazione:

  • esempio 1: per evitare per quanto possibile che sorgano dubbi sulla correttezza dei risultati, il pro- cesso che definisce come procedere nel caso in cui la verifica dell’esattezza del risultato dia esito negativo è illustrato nel dettaglio e comunicato;
  • esempio 2: per evitare che vi sia una perdita di fiducia infondata a seguito della scoperta di una lacuna di poco conto nel sistema, per la valutazione e la comunicazione ci si affida a specialisti indipendenti. L’analisi deve avvenire conformemente a una metodologia che prevede le seguenti attività: identificare i rischi; analizzare i rischi; valutare i rischi. I dettagli della metodologia impiegata e i criteri di accettazione dei rischi predefiniti dal Cantone devono essere documentati. Le analisi dei rischi devono essere effet- tuate almeno una volta all’anno e in caso di modifiche sostanziali del sistema. Inoltre, prima di ogni scru- tinio si deve verificare se vi sono nuovi rischi o se il livello dei rischi già noti si è innalzato. Nell’ambito della sua valutazione della situazione la CaF può effettuare una propria analisi dei rischi pre- senti nel suo ambito di responsabilità. L’analisi dei rischi da parte della CaF non costituisce una condi- zione posta ai Cantoni per la concessione del nulla osta; una tale analisi può tuttavia essere considerata nella decisione sulla concessione del nulla osta. Essa è trasmessa ai Cantoni per conoscenza, in modo tale che questi possano considerare le valutazioni della CaF. Quest’ultima consulta le analisi dei Cantoni per stilare la propria analisi dei rischi.

La CaF mette a disposizione dei Cantoni una guida che illustra come effettuare le analisi dei rischi. Tutte le analisi dei rischi devono riflettere la situazione del momento e gli ultimi sviluppi e conoscenze devono costantemente esservi integrate. Cpv. 2: il gestore o il fabbricante del sistema deve ora stilare una propria analisi dei rischi, in particolare se fa capo a un sistema esterno. Per altri fornitori di servizi rilevanti per la sicurezza, come ad esempio

le tipografie o i fornitori di ausili tecnici per i verificatori o di componenti di controllo, il Cantone deve verificare se è sufficiente che effettui da sé un’analisi dei rischi o se è necessaria un’analisi supplementare da parte del fornitore del servizio. I fornitori di servizi stilano le analisi dei rischi destinate al Cantone. Quest’ultimo ne tiene conto per effettuare la propria analisi dei rischi, che sottopone alla Confederazione nell’ambito della procedura di autorizzazione. Cpv. 3: rimaneggiamenti sotto il profilo linguistico della frase introduttiva e degli obiettivi di sicurezza nelle lettere a–e. L’attuale obiettivo di sicurezza della lettera f è precisato per chiarirne lo scopo. Rientra ad esempio in questo obiettivo di sicurezza il tema della compravendita di voti. Cpv. 4: corrisponde essenzialmente al vigente capoverso 2. L’obbligo di specificare le ragioni per le quali i rischi sono ritenuti sufficientemente bassi è stato ripreso al capoverso 1. Il vigente capoverso 3 può essere stralciato perché secondo l’articolo 11 AP-OVE i documenti devono essere pubblicati integralmente; la disposizione diviene pertanto priva di significato.

Art. 5 Requisiti posti alla verificabilità completa La verificabilità completa garantisce che, nel rispetto del segreto del voto, siano riconosciute disfunzioni sistematiche nello svolgimento delle elezioni e votazioni a seguito di errori di software, operazioni umane errate o tentativi intenzionali di manipolazione. In questo contesto rientra pure necessariamente la nota di conferma che l’elettore riceve secondo la quale il suo voto ha raggiunto il sistema senza alterazioni e non è stato manipolato, ad esempio mediante un programma nocivo presente sul computer impiegato. I verificatori possono assicurarsi, indipendentemente dal sistema impiegato, che tutti i voti di cui è stato possibile accertare che sono stati emessi correttamente dagli aventi diritto di voto siano stati anche con- teggiati correttamente, ovvero conformemente alla nota di conferma che i votanti hanno ricevuto. L’attua- zione della verificabilità completa deve fondarsi su metodi crittografici riconosciuti. In futuro saranno autorizzati soltanto sistemi con verificabilità completa. Le condizioni di cui ai vigenti articoli 4 e 5 sono recepite con alcuni rimaneggiamenti negli articoli 5-8 AP-OVE. Cpv. 2: la verificabilità individuale consente agli aventi diritto di voto di constatare qualsiasi utilizzazione abusiva del loro diritto di voto. Ciò dev’essere possibile anche quando la piattaforma utente e la via di trasmissione non siano affidabili. Concretamente, si deve presumere a priori l’esistenza di virus non indi- viduabili o di altri interventi sulla piattaforma utente o sulla via di trasmissione. Cpv. 3: la verificabilità universale consente di individuare ogni manipolazione nell'infrastruttura. Contra- riamente alla verificabilità individuale, la possibilità di una verifica universale non deve necessariamente essere offerta agli aventi diritto di voto. Possono invece essere impiegati verificatori che mettono in atto la verificabilità universale. Il processo di verifica deve essere osservabile, ovvero i verificatori devono essere in grado di comprendere per quanto possibile il significato e i risultati delle differenti tappe. A tal fine, devono poter attestare l’esecuzione corretta delle tappe e dei risultati dei test, ad esempio recandosi sul luogo dell’esecuzione.

Art. 6 Validità delle note di conferma Nessuna nota può confermare con assoluta certezza che i voti siano stati trattati in modo corretto confor- memente ai requisiti di cui all’articolo 5 capoversi 2 e 3. Le note di conferma devono dunque essere intese nell’ottica della loro validità. L’articolo 6 menziona a tal proposito requisiti minimi di cui fidarsi nell’inter- pretare una nota di conferma. Più la validità è elevata, più la falsificabilità è improbabile. Nell’allegato figurano precisazioni e ulteriori requisiti posti alla validità (n. 2.9.1, 2.9.2 e 2.11). Un avente diritto di voto che si avvale della verificabilità individuale dovrebbe poter essere certo, sulla base del riferimento di verificabilità recapitato per posta, che il suo voto è in tutta probabilità giunto a destinazione, sempre che la produzione e la stampa dei dati per il riferimento della verifica siano avvenuti in modo regolare e che una delle quattro componenti di controllo funzioni correttamente (cfr. le spiegazioni concernenti il n. 2 dell’allegato). Per l’avente diritto di voto che non credesse che queste condizioni siano soddisfatte, il risultato dell’esame della conferma rivestirebbe dunque scarso significato o sarebbe del

tutto insignificante. Questo significa che per questa persona la nota di conferma non è sufficientemente valida. Il corretto funzionamento della piattaforma utente degli aventi diritto di voto e la via di trasmissione non devono costituire presupposti per la validità della nota di conferma secondo l’articolo 5 capoverso 2 lettere a e b. Questo significa che la nota di conferma deve essere valida anche se una piattaforma utente è stata manipolata o un man-in-the-middle9 ha manipolato di nascosto il voto: grazie alla nota di conferma secondo l’articolo 5 capoverso 2 l’avente diritto di voto può comunque constatare la manipolazione. Analogamente alla validità della nota di conferma secondo il capoverso 3: la nota di conferma è valida se consente ai verificatori di constatare manipolazioni tenuto conto delle ipotesi di fiducia formulate. Questo impedisce all’aggressore di ingannare i verificatori utilizzando componenti non affidabili del sistema per fabbricare una nota di conferma che legittimi un risultato manipolato. Fintanto che i verificatori hanno la certezza che una delle quattro componenti di controllo e l’ausilio tecnico da essi utilizzato per verificare le prove funzionano correttamente (in genere un computer portatile), le note di conferma sono valide.

Art. 7 Tutela del segreto del voto ed esclusione di risultati parziali anticipati Per tutelare il segreto del voto ed escludere risultati parziali anticipati il sistema deve essere configurato in modo tale che sia necessario prendere il controllo di almeno tre delle quattro componenti di controllo affinché dopo l’espressione del voto un’aggressione vada a buon fine. Se un sistema online è gestito da un gestore privato, si applicano requisiti più stringenti. Precisazioni a tal proposito sono riportate nell’al- legato (n. 2.9.3)

Art. 8 Requisiti posti alla parte affidabile del sistema Questi requisiti servono affinché un accesso non autorizzato riuscito non agevoli per quanto possibile il tentativo di accedere di nascosto a un’altra componente di controllo.

Art. 9 Misure supplementari per ridurre i rischi Corrisponde, con alcune modifiche redazionali, al vigente articolo 6 OVE.

Art. 10 Requisiti posti alla verifica Per aumentare l’efficacia delle verifiche e l’indipendenza fra l’organo incaricato della verifica e quello sottoposto a verifica, la suddivisione dei compiti fra la Confederazione e i Cantoni è modificata in modo tale che la Confederazione assuma maggiori responsabilità e un ruolo più diretto nella verifica dei sistemi. Le verifiche saranno in futuro commissionate in gran parte dalla CaF (cpv. 1). In questi settori si rinuncia a una certificazione da parte di organi accreditati dal Servizio di accreditamento svizzero (SAS). Il Can- tone continua a provvedere affinché una verifica in relazione con l’esercizio del sistema sia condotta nel centro di calcolo del fornitore del sistema (cpv. 2). Gli ulteriori requisiti, come l’oggetto, i criteri d’esame, le competenze e i termini per le verifiche, continuano ad essere disciplinati nell’allegato (n. 26). Cpv. 1 lett. b: adeguamento della designazione; la nuova designazione è «software del sistema». Questa verifica comprende l’attuale verifica secondo i numeri 5.2 (funzionalità) e 5.4 (componenti di controllo) dell’allegato. Con la nuova formulazione sono verificati assieme il software dell’intero sistema e delle componenti di controllo. Cpv. 1 lett. c: i requisiti applicabili alle tipografie rientrano ora nella disposizione «sicurezza dell’infrastrut- tura e dell’esercizio».

Designa l’aggressore che conduce un attacco man in the middle (MITM). Si tratta di una forma di attacco utilizzata nelle reti di computer. L’aggressore si intromette fisicamente o, come succede più spesso attualmente, per via informatica fra due parti in comunicazione fra loro e con il suo sistema esercita un controllo totale sui dati scambiati fra due o più partecipanti della rete. L’aggressore può in tal modo leggere le informazioni e addirittura manipolarle a suo piacimento.

Cpv. 2: la gestione del sistema nel centro di calcolo del fornitore del sistema deve essere certificata conformemente alla norma ISO 27001. Un Cantone che non gestisce da sé un sistema può farsi certifi- care per i processi cantonali conformemente alla norma ISO 27001, ma non è obbligato a farlo. Cpv. 3: la CaF e gli enti incaricati dello svolgimento della verifica secondo il capoverso 1 devono avere accesso ai necessari documenti presso i Cantoni e i suoi fornitori di servizi. Tra questi figurano tutti i documenti necessari per la verifica secondo il capoverso 1 e tutti i rapporti disponibili (inclusi i rapporti di certificazione), gli attestati e i certificati (certificato ISO 27001 secondo il capoverso 2 ed eventuali certifi- cati cantonali). Cpv. 4: i risultati delle verifiche che sono rilevanti per l’autorizzazione sono pubblicati. L’organo che ha commissionato una verifica è responsabile della pubblicazione. Esso pubblica gli attestati e i certificati che sono stati allestiti nell’ambito delle verifiche secondo i capoversi 1 e 2. Tra gli attestati rientrano anche i rapporti di verifica. I rapporti di verifica pubblicati devono essere comprensibili. Se fanno riferimento ad altri documenti, questi ultimi devono di norma essere pubblicati. Se non è possibile pubblicare documenti supplementari, i risultati delle verifiche devono essere resi comprensibili mediante una descrizione som- maria degli aspetti rilevanti della documentazione non pubblicata. Se l’organo sottoposto a verifica for- mula una replica a un rapporto di verifica, anche tale replica deve essere pubblicata. In casi motivati si può rinunciare alla pubblicazione. Le deroghe sono generalmente possibili in virtù del diritto in materia di trasparenza o di protezione dei dati. A tale proposito occorre ponderare tra interesse pubblico alla pub- blicazione e interesse a salvaguardare la confidenzialità. Può ad esempio essere opportuno rinunciare alla pubblicazione di direttive interne, dati interni di un’impresa o dati di terzi.

Art. 11 Pubblicazione del codice sorgente e della documentazione relativa al sistema e al suo esercizio Le condizioni vigenti per la pubblicazione del codice sorgente e dei documenti concernenti il sistema e il suo esercizio sono precisate. Il capoverso 1 contiene un nuovo elenco di documenti che devono essere pubblicati. Qui di seguito alcune spiegazioni di termini utilizzati: Cpv. 1 lett. a: i «parametri rilevanti» comprendono tutte le informazioni e i dati che sono necessari per mettere il sistema in servizio presso di sé. Cpv. 1 lett. b: la documentazione del software comprende in particolare il protocollo crittografico, la spe- cificazione e la concezione, le istruzioni, i concetti del test, i rapporti concernenti lacune e correttivi e i risultati dei processi d’esame. Cpv. 1 lett. c: comprende documenti che agevolano la messa in servizio del sistema per testarlo (p. es. istruzioni, FAQ, ecc.) Cpv. 1 lett. d: comprende documenti che attestano la conformità ai requisiti dell’OVE. Vi figurano docu- menti che illustrano le misure essenziali di riduzione dei rischi menzionate nell’analisi dei rischi. Vale il principio che più la documentazione concerne l’esercizio, la manutenzione o la sicurezza di una parte affidabile del sistema o la manipolazione di un supporto con dati critici, più è importante procedere alla pubblicazione. Inoltre, valgono le deroghe previste dalle disposizioni della legislazione in materia di tra- sparenza. Cpv. 1 lett. e: se il gestore del sistema viene a conoscenza di una lacuna nel codice sorgente pubblicato o nella documentazione, deve darne notizia descrivendo la lacuna e le eventuali misure adottate per porvi rimedio. Questo contribuisce alla comprensibilità, alla trasparenza e alla cooperazione con il pubblico. Cpv. 2 lett. c: le deroghe motivate si fondano in particolare sul diritto in materia di trasparenza o di prote- zione dei dati. Inoltre, in casi motivati è possibile prescindere dalla pubblicazione di documenti non rile- vanti o scarsamente rilevanti per la sicurezza del sistema e dell’esercizio, come descrizioni di processi operativi senza un legame diretto con il sistema oppure semplici precisazioni irrilevanti o di scarso rilievo per la sicurezza o che si deve ritenere siano state attuate correttamente. A tale proposito occorre ponde-

rare tra interesse pubblico alla pubblicazione e interesse a salvaguardare la confidenzialità. Può ad esem- pio essere opportuno rinunciare alla pubblicazione di direttive interne, dati interni di un’impresa o dati di terzi.

Art. 12 Modalità di pubblicazione Cpv. 1: i documenti devono essere pubblicati su piattaforme correnti. I file devono essere organizzati tenendo conto dell’ampiezza e della complessità della prassi corrente. Cpv. 2: i documenti pubblicati devono poter essere ottenuti in modo anonimo e il proprietario del codice sorgente non deve invitare le persone interessate a registrarsi per ricevere i documenti. Se una persona ha diritto a una remunerazione conformemente all’articolo 13 AP-OVE, il proprietario può richiedere le informazioni necessarie per il versamento. Si ritiene opportuno provvedere alla pubblicazione almeno sei mesi prima dell’impiego del sistema, in modo da consentire una verifica efficace da parte del pubblico. Cpv. 3: lo scambio con altre persone e la citazione di informazioni pubblicate devono essere possibili, in particolare per facilitare la ricerca di lacune da parte degli specialisti. Cpv. 4: al fine di garantire una divulgazione responsabile (responsible disclosure) il proprietario può inti- mare alle persone interessate del pubblico di rispettare le regole seguenti:

  • segnalare immediatamente lacune al proprietario;
  • rispettare un dato termine prima di segnalare pubblicamente una lacuna;
  • adottare un approccio responsabile riguardo alle informazioni concernenti lacune presunte. Non si diffondono inutilmente informazioni su potenziali falle nella sicurezza. Le informazioni sono condivise e discusse soltanto con persone che si suppone siano in grado e disposte a trattare la questione e adottino anch’esse un approccio responsabile. Cpv. 5: il proprietario può perseguire violazioni delle condizioni di utilizzo soltanto in casi eccezionali. Nelle condizioni di utilizzo deve attirare l’attenzione dei partecipanti sulla limitazione o sull’esclusione della responsabilità. Si rinuncia a richiedere una dichiarazione d’intenti ai partecipanti.

Art. 13 Coinvolgimento del pubblico Il presente articolo disciplina i principi di un programma bug bounty, una misura introdotta per attuare l’articolo 27m capoverso 1 AP-ODP. Per quanto possibile i Cantoni devono adottare ulteriori misure per definire incentivi sia finanziari che di altro genere. Cpv. 1: in linea di principio i Cantoni provvedono affinché le persone interessate del pubblico possano trasmettere segnalazioni volte a migliorare il sistema (programma bug bounty). Il programma bug bounty dovrà essere avviato per tempo prima che sia presentata al Consiglio federale una domanda definitiva per l’autorizzazione di principio. È ritenuto ragionevole un termine di circa sei mesi prima dell’impiego previsto. Il programma bug bounty prevede un programma permanente per la ricerca di errori (lett. a) e un test Internet ricorrente (lett. b). Cpv. 1 lett. a: ricerca di errori nella documentazione o nel codice sorgente pubblicati e ricerca di errori mediante l’analisi del sistema operativo nella propria infrastruttura. Questo programma per la ricerca di errori funziona ininterrottamente. Cpv. 1 lett. b: lo scopo di questo cosiddetto test Internet è esclusivamente quello di penetrare nell’infra- struttura. Gli attacchi di negazione del servizio (denial of service) e gli attacchi di ingegneria sociale (social engineering) possono essere esclusi dal programma bug bounty. Il test Internet può essere attuato come programma permanente o come test ricorrente di durata limitata. La partecipazione al programma bug bounty è disciplinata dall’articolo 12 AP-OVE. Cpv. 2: l’organo designato per gestire il programma bug bounty può essere il gestore del sistema o un’im- presa esterna. Quest’organo permette l’attuazione del programma, riceve le segnalazioni e assicura la comunicazione con la persona che ha effettuato la segnalazione. Esso deve essere informato sulle deci- sioni in merito alla segnalazione e sulle eventuali misure. Inoltre, dovranno essere pubblicate le informazioni sulle segnalazioni ricevute. Le informazioni da pubbli- care sono le seguenti: informazioni sul contenuto della segnalazione, fonte della segnalazione (sempre che la persona o l’istituzione che l’ha fatta acconsenta), valutazione da parte dell’organo responsabile del programma bug bounty e informazioni su misure eventualmente adottate sulla base della segnalazione.

Cpv. 3: oltre alle segnalazioni che riguardano direttamente la sicurezza, devono essere remunerate anche quelle con una relazione indiretta, purché contribuiscano a migliorare il sistema. Le segnalazioni con una relazione indiretta sono per esempio quelle che consentono di migliorare la qualità del codice sorgente. In effetti, la qualità del codice sorgente è tra l’altro determinante per la leggibilità e dunque anche per la probabilità di scovare errori. L’ammontare della remunerazione finanziaria deve essere fissato secondo l’importanza della lacuna e dovrà essere sufficientemente elevato per incitare effettivamente le persone del pubblico con le necessarie conoscenze specialistiche a partecipare. Le basi legali della CaF definiscono soltanto le condizioni quadro del programma bug bounty. Le modalità in dettaglio del programma, ad esempio la definizione di categorie che consentano di valutare la gravità delle lacune o stabilire la remunerazione finanziaria, rientrano nella sfera di competenza dei Cantoni o del gestore del sistema. La Confederazione verifica nell’ambito della procedura di autorizzazione in che misura la procedura scelta dai Cantoni e dall’organo competente secondo il capoverso 2 abbia permesso di raggiungere gli obiettivi del programma bug bounty.

Art. 14 Principi applicabili alla ripartizione dei compiti e delle responsabilità I compiti e le responsabilità sono stati finora disciplinati nell’allegato. La loro ripartizione è ora disciplinata nella parte principale dell’OVE. Cpv. 1: i principali compiti attribuiti ai Cantoni sono definiti nell’allegato. Vi figurano per esempio la con- cezione del materiale di voto e la comunicazione con gli aventi diritto di voto su questioni concrete relative al voto. Cpv. 2: il Cantone può delegare i compiti menzionati a organizzazioni esterne, anche se continua a man- tenere la responsabilità generale secondo il capoverso 1. Esso assume dunque ad esempio integral- mente i rischi connessi all’esecuzione di un compito anche se lo ha delegato. In deroga al capoverso 1, la comunicazione su questioni concernenti il funzionamento del sistema può essere delegata quando si tratta di aspetti molto tecnici che necessitano di conoscenze specialistiche. Cpv. 3: gli organi preposti all’esercizio operano su istruzione del Cantone e si assumono nei suoi confronti la responsabilità del loro operato. Cpv. 4: l’organizzazione e le modalità concrete dell’impiego dei verificatori sono rette dal diritto cantonale.

Art. 15 Compiti dell’organo responsabile a livello cantonale I compiti dell’organo responsabile a livello cantonale sono al momento disciplinati nell’allegato. In futuro saranno disciplinati nella parte principale dell’OVE. Lett. a: la direttiva sovraordinata in materia di sicurezza dell’informazione definisce gli obiettivi, il quadro e le responsabilità per quanto riguarda la sicurezza dell’informazione. Comprende anche un catalogo di direttive per la sicurezza dell’informazione a livello inferiore e precisa le modalità della sua gestione. È comunicata a tutti collaboratori e deve essere verificata e adeguata a scadenze regolari. Lett. b: la direttiva in materia di classificazione ed elaborazione delle informazioni definisce un quadro di sicurezza vincolante per l’esercizio generale del sistema. È comunicata ai collaboratori interessati e deve essere verificata e adeguata a scadenze regolari. Lett. c: la direttiva in materia di gestione dei rischi definisce in particolare il campo d’applicazione e i limiti della gestione dei rischi relativi alla sicurezza dell’informazione, l’organizzazione della gestione dei rischi, i criteri sulla sostenibilità dei rischi e il metodo per effettuare un’analisi dei rischi. Deve essere verificata e adeguata a scadenze regolari. Lett. d: esempi di misure: effettuare un’analisi dei rischi, verificare la conformità con le direttive in materia di sicurezza dell’informazione, rielaborare direttive in materia di sicurezza dell’informazione, mettere a disposizione strumenti adeguati.

Lett. f: per «atti e operazioni critici» s’intendono in particolare la preparazione dello scrutinio (n. 5 dell’al- legato), l’apertura e la chiusura del canale di voto elettronico (n. 9 dell’allegato), lo spoglio dei voti depo- sitati nell’urna elettronica (n. 11 dell’allegato) e la distruzione dei dati dopo l’omologazione dei risultati delle votazioni e delle elezioni (n. 12.9 dell’allegato). Lett. g: l’organizzazione e le modalità concrete dell’impiego dei verificatori sono disciplinate nel diritto cantonale. Oltre a una formazione, l’istruzione dei verificatori comprende lo svolgimento di esercizi. Lett. h: oltre ad altri indicatori, secondo il numero 11.10 dell’allegato devono essere comunicati ai verifi- catori il numero e il tipo di anomalie che gli aventi diritto di voto hanno segnalato al Cantone.

Art. 16 Attestati relativi alle domande Cpv. 1: a seguito della modifica dell’articolo 27b lettera b AP-ODP sono qui disciplinati unicamente gli attestati da allegare alla domanda per ottenere il nulla osta. I termini precisi e ulteriori dettagli saranno definiti dalla CaF in un documento separato. L’elenco degli attestati è stato adeguato in modo tale da considerare le nuove disposizioni dell’OVE. Inoltre, è stato qui ripreso l’elenco figurante al numero 6 dell’attuale versione dell’allegato dell’OVE affinché ci sia un elenco unico degli attestati. Cpv. 1 lett. a: adeguamento alle nuove competenze in materia di verifica secondo l’articolo 10. Cpv. 1 lett. b: adeguamento della vigente disposizione sulle analisi dei rischi secondo l’articolo 4 AP-OVE. Il Cantone si impegna a segnalare immediatamente qualsiasi cambiamento nell’analisi dei rischi. Cpv. 1 lett. c: il Cantone presenta attestati per confermare che i documenti di cui all’articolo 11 AP-OVE siano stati pubblicati. Informa pure la CaF sulle date in cui i documenti sono stati pubblicati. Inoltre, co- munica informazioni sulle segnalazioni ricevute dal pubblico: un elenco delle segnalazioni ricevute, la loro valutazione da parte del Cantone o dell’organo competente, l’ammontare della remunerazione finanziaria corrisposta e una descrizione delle misure adottate sulla base di tali segnalazioni. Cpv. 1 lett. d: si riprende l’attuale numero 6.3 dell’allegato dell’OVE. Se un test è effettuato soltanto nell’imminenza dello scrutinio, il Cantone sottopone altri verbali relativi al test. Se il sistema presenta lacune di cui il Cantone o il gestore del sistema hanno conoscenza, la CaF deve essere informata di tali lacune, dei loro effetti e delle misure previste. Cpv. 2: Il Cantone può far valere la validità di risultati di verifiche o di attestati per diversi scrutini. In questo caso il Cantone giustifica per quale motivo, riguardo allo scrutinio interessato, non è necessario ripetere la verifica. Indica tutte le modifiche apportate o previste al sistema o ai processi di esercizio e di manu- tenzione fino al momento dello scrutinio, mostrando così che si tratta di adeguamenti di minore impor- tanza che non hanno alcun influsso negativo sull’analisi dei rischi. La nozione di «valido» va intesa nel suo significato stretto (come ad esempio per la validità di un certificato) e nel suo significato largo (docu-

menti che non sono stati adeguati e che non devono essere adeguati, per esempio perché la concezione del sistema, lo stato delle conoscenze tecniche o le basi legali non hanno subito modifiche). In caso di rimando si dovrà motivare e confermare che i documenti sono sempre validi.

Art. 17 Ulteriori disposizioni Cpv. 2: in casi particolari un Cantone può essere dispensato dall’adempiere determinati requisiti purché ottemperi ai tre requisiti elencati alle lettere a–c. Deve in particolare illustrare in modo comprensibile per quale ragione non ha ottemperato a tali requisiti. Per esempio, in uno scrutinio con sistema maggioritario non c’è l’obbligo di conformarsi ai requisiti relativi alla verificabilità individuale se, per emettere un voto, si deve inserire un nome in un campo libero.

5.2.2 Allegato con i requisiti tecnici e amministrativi posti al voto elettronico Osservazione generale Il rimando al profilo di sicurezza dell’Ufficio federale della Germania per la sicurezza informatica (Bunde- samt für Sicherheit in der Informationstechnik, BSI ex n. 3.15) è stato eliminato dato che tale profilo non è più gestito dal BSI ed è stato archiviato. I requisiti rilevanti del profilo di sicurezza sono stati inclusi puntualmente nei requisiti esistenti o in nuovi requisiti.

Spiegazioni concernenti parte delle disposizioni N. 1 Definizioni N. 1.5: Il votante confronta i codici visualizzati sullo schermo con quelli del riferimento di verifica. N. 1.6: I dati che permettono di sapere se gli aventi diritto di voto hanno espresso un voto non rientrano nel presente campo di applicazione.

N. 2 Requisiti posti al protocollo crittografico per la verificabilità completa (art. 5) Tra il momento dell’operazione di voto e quello del conteggio, i voti elettronici si spostano dalle piattaforme utenti al Cantone attraverso Internet e i numerosi server del fornitore del sistema. Gli elementi dell’infra- struttura utilizzata sono numerosi e difficilmente controllabili. I protocolli crittografici permettono di ridurre al minimo il numero di elementi che un aggressore dovrebbe controllare per poter modificare voti senza essere notato o per violare il segreto del voto. Le misure per evitare incursioni da parte di un aggressore possono quindi concentrarsi in modo mirato su questi elementi circoscritti. Si tratta di elementi particolar- mente degni di protezione e, idealmente, che possono anche essere protetti in modo particolarmente efficace e dissuasivo. Questi elementi – che si trovano tra i partecipanti al sistema e i canali di comunicazione elencati nei numeri 2.1 e 2.2 – sono descritti come «affidabili». A prima vista questa associazione potrebbe risultare sorprendente: perché designare «affidabile» un elemento particolarmente degno di protezione? La spie- gazione va ricercata nel fatto che lo scopo dei protocolli crittografici non è quello di proteggere tali ele- menti. La designazione «affidabile» segnala agli autori e ai lettori del documento contenente il protocollo crittografico che non devono preoccuparsi di possibili attacchi in cui un aggressore prende il controllo di questi elementi. Essendo affidabili, i partecipanti al sistema si rifiutano di cooperare con un aggressore. Il protocollo deve essere definito in modo tale che – finché i partecipanti affidabili al sistema si attengono al protocollo – l’aggressore non avrà successo, anche se porta gli altri partecipanti non affidabili al sistema sotto il suo controllo. L’uso del termine affidabile è basato sulla letteratura specifica in materia. Il protocollo crittografico consiste in istruzioni astratte, scritte in linguaggio matematico, destinate a tutti i partecipanti al sistema e che indicano i calcoli che questi devono eseguire quando ricevono i vari mes- saggi, i dati che devono salvare e i messaggi che devono inviare attraverso quali canali. Il protocollo è conforme con l’OVE se l’aggressore secondo il n. 2.3 non può raggiungere gli obiettivi di cui ai numeri

2.5-2.8 alle condizioni di cui ai numeri 2.11 e 2.12, nonostante il suo controllo sui partecipanti al sistema non affidabili e sui canali di comunicazione di cui ai numeri 2.1, 2.2 e 2.9. Il numero 2.13 richiede da un lato l’uso di elementi crittografici sicuri (ad esempio algoritmi crittografici) e dall’altro che le istruzioni date ai partecipanti al sistema siano chiare e sufficientemente precise. Il numero 2.14 richiede note di conferma matematiche della conformità del protocollo, conformemente all’usuale prassi scientifica. Il protocollo crittografico è la base per lo sviluppo del sistema. Può essere efficace solo se le istruzioni concernenti gli elementi affidabili sono correttamente implementate in forma di software e se le compo- nenti alla base del software sono sufficientemente protette. L’OVE contiene requisiti a questo proposito. Cfr. in merito anche il commento concernente i numeri 2.3 e 2.4. N. 2.1: - Aventi diritto di voto / votanti: gli aventi diritto di voto ricevono per posta dal Cantone o dalla tipografia, prima dello scrutinio, le caratteristiche di autenticazione client e il riferimento di verifica, entrambi

confidenziali. Per trasmettere un voto, inseriscono nella piattaforma utente le caratteristiche di au- tenticazione client e il loro voto. Per la verificabilità individuale secondo l’articolo 5 OVE in combinato disposto con il numero 2.5 dell’allegato OVE, verificano che le note di conferma indicate nella piat- taforma utente corrispondano al riferimento di verifica ricevuto per posta.

  • Piattaforma utente: la piattaforma utente crea i messaggi di autenticazione e li invia al sistema non affidabile (sistema NA) insieme al voto crittato e ad altri messaggi necessari per garantire la verifi- cabilità. A tal fine utilizza il software aggiuntivamente ai parametri pubblici che ha ricevuto in prece- denza dal sistema NA. Nella piattaforma utente il votante visualizza i messaggi trasmessi dal sistema NA (ad es. le note di conferma di cui al n. 2.5).
  • Sistema non affidabile (sistema NA): funge da nodo di comunicazione tra gli altri partecipanti al si- stema. Deve essere considerato non affidabile in relazione a tutti i requisiti posti al protocollo critto- grafico (cfr. n. 2.9).
  • Componente di setup: la componente di setup è gestita nell’infrastruttura del Cantone (cfr. n. 3.1). Con l’aiuto della componente di setup, il Cantone prepara i dati per lo svolgimento degli scrutini. Ciò include, in particolare, i dati la cui casualità e confidenzialità sono cruciali per raggiungere i requisiti posti al protocollo crittografico di cui ai numeri 2.5, 2.7 e 2.8, come ad esempio il riferimento di verifica degli aventi diritto di voto. Anche questo termine astratto può includere diversi ausili tecnici come computer portatili e supporti di dati.
  • Uno o più gruppi di componenti di controllo: le componenti di controllo interagiscono con le altre componenti di controllo del loro stesso gruppo in modo tale che i requisiti posti al protocollo critto- grafico secondo i numeri 2.5, 2.6 e 2.7 devono essere soddisfatti anche se solo una di loro è affidabile e quindi funziona correttamente.
  • Componente di stampa: stampa il riferimento di verifica che sarà trasmesso agli aventi diritto di voto. Questo termine astratto include l’imballaggio e la spedizione agli elettori. Inoltre, include tutti gli ausili tecnici utilizzati per la stampa. Oltre alla stampante stessa dunque anche un computer portatile per

decrittare i dati di stampa e una chiavetta USB per memorizzare i dati crittati.

  • Verificatori: dopo il conteggio, i verificatori ricevono da parte del sistema NA una nota di conferma secondo il numero 2.6 a conferma del corretto accertamento del risultato. Eseguono la verifica con un ausilio tecnico almeno una volta. Durante la fase di setup possono anche ricorrere ai loro ausili tecnici per effettuare verifiche delle componenti di setup.
  • Ausilio tecnico dei verificatori: per verificare la nota di conferma secondo il numero 2.6 i verificatori necessitano di un ausilio tecnico.

N. 2.2:

N. 2.3: In materia di requisiti posti al protocollo crittografico non viene fatta alcuna distinzione tra aggres- sori con diverse risorse o competenze tecniche: per la definizione del protocollo crittografico risulta irrile- vante se un aggressore prende il controllo dei partecipanti al sistema mediante minacce, hackeraggio o ingegneria sociale. Costituisce invece un prerequisito il controllo acquisito dall’aggressore sui partecipanti al sistema non affidabili e sui canali di comunicazione. Il protocollo crittografico deve essere definito in modo tale che l’aggressore, nonostante gli attacchi riusciti su tali partecipanti al sistema e sui canali di comunicazione, non possa causare alcun danno. Ciò presuppone implicitamente che l’aggressore non sia in grado di distruggere gli elementi crittografici e la loro implementazione nel codice sorgente. I requisiti di cui ai numeri 2.13 e 2.14 e i requisiti concernenti la qualità dello sviluppo del software secondo i numeri

24 e 25 sono pensati per raggiungere questo obiettivo.

N. 2.4: Se l’aggressore potesse controllare tutti i partecipanti al sistema nessuno sarebbe interessato a sapere se vi sono state manipolazioni. È nella natura delle elezioni e delle votazioni che una gran parte degli aventi diritto di voto voglia sapere se il loro voto è stato trasmesso e ricevuto correttamente. Queste persone non possono essere controllate dall’aggressore e sono pertanto definite come affidabili. Analo- gamente, i singoli verificatori possono essere considerati affidabili. Anche su di loro l’aggressore non ha alcun potere di controllo. Dato che sia gli aventi diritto di voto sia i verificatori lavorano con ausili tecnici, anche alcuni di questi strumenti devono poter essere considerati affidabili – in caso contrario l’aggressore potrebbe facilmente ingannare le persone affidabili mettendo sotto il suo controllo tutti gli ausili tecnici, segnatamente anche quelli che i verificatori usano per il loro lavoro. Autorizzando quali partecipanti affi- dabili al sistema solo ausili tecnici che possono essere protetti in modo particolarmente efficace nella pratica, risulta particolarmente difficile per un aggressore effettuare manipolazioni senza essere notato o violare il segreto del voto. Gli ausili tecnici che non devono essere collegati a una rete possono essere protetti in modo particolarmente efficace. Inoltre è possibile evitare di dover fare affidamento su un unico ausilio tecnico, dotando anche altri ausili tecnici della medesima funzione. Per ottenere in tal modo un reale valore aggiunto il protocollo crittografico deve essere definito in modo tale che l’aggressore non possa causare alcun danno fintanto che non riesce a controllare uno di questi ausili. Questa strategia si basa sulla constatazione secondo cui non è necessario che tutti i verificatori siano affidabili; è sufficiente

che un verificatore segnali un difetto scoperto. La corrispondente suddivisione delle responsabilità si ri- trova nei gruppi di componenti di controllo: un aggressore dovrebbe portare tutte le componenti di con- trollo sotto il suo controllo per causare un danno. Questo risulta però particolarmente difficile se le com- ponenti di controllo si differenziano a livello di software e di modalità operative. Le ipotesi ammissibili concernenti l’affidabilità dei singoli partecipanti al sistema e dei canali di comunica- zione sono elencate nel numero 2.9. I requisiti posti all’esercizio delle componenti affidabili sono illustrati nel numero 3. In questo quadro un messaggio è descritto come autentico se il destinatario del messaggio può fare affidamento sul fatto che il mittente corrisponde al partecipante al sistema specificato dalla definizione del canale. N. 2.5: Le note di conferma possono essere efficaci solo se gli aventi diritto di voto le esaminano effetti- vamente e, in caso di dubbio, si rivolgono all’autorità competente. In quale misura lo facciano e quali provvedimenti potrebbero contribuire a garantire che gli aventi diritto di voto esaminino le note di conferma secondo le istruzioni potrebbero essere oggetto di ricerca e di un accompagnamento scientifico. Alcuni requisiti dell’OVE potrebbero contribuire a rendere le note di conferma uno strumento efficace: ad esem- pio, la suddivisione delle note di conferma in note di conferma parziali secondo i numeri 2.12.5-2.12.10 permette agli aventi diritto di voto, in caso di difficoltà al momento della verifica, di interrompere anticipa- tamente l’operazione di voto elettronico e di ricorrere al voto per corrispondenza o al voto di persona. A differenza delle note di conferma parziali iniziali, la verifica della nota di conferma parziale che conferma il voto definitivo deve essere particolarmente semplice da realizzare. Il requisito di cui al numero 8.10 mira a rendere più difficili gli attacchi di ingegneria sociale volti a impedire agli elettori di effettuare corret- tamente la verifica delle note di conferma. Inoltre, il numero 8 impone ulteriori requisiti per le informazioni e l’assistenza agli aventi diritto di voto. Gli attacchi di ingegneria sociale devono essere valutati nel quadro dell’analisi dei rischi di cui al numero 13.

Una nota di conferma corretta conferma agli aventi diritto di voto che almeno la componente di controllo, che secondo il numero 2.9.1 può essere considerata affidabile, ha registrato il voto come espresso con- formemente al sistema. Mediante la verifica delle note di conferma secondo il numero 2.6, i verificatori stabiliscono che anche il voto è stato conteggiato correttamente e quindi conformemente alla nota di conferma di cui al numero 2.5 visualizzata dall’avente diritto di voto. Affinché la verifica della nota di conferma secondo il numero 2.6 avvenga correttamente, tutte le componenti di controllo devono aver registrato gli stessi voti come espressi conformemente al sistema. I casi in cui le componenti di controllo mostrano incoerenze a questo proposito devono essere anticipati secondo il numero 11.11 e la procedura da seguire va determinata in anticipo. La disposizione non prescrive come interpretare i casi in cui le note di conferma sono visualizzate in modo scorretto o non vengono affatto visualizzate. In particolare, sarebbe ipoteticamente possibile per il gruppo delle componenti di controllo registrare un voto espresso conformemente al sistema anche se questo non è stato espresso conformemente al sistema. Il numero 2.6 impone però che tali voti siano selezionati per essere successivamente vagliati in modo da permettere ai verificatori di assicurarsi che l’aggressore non abbia inserito voti non espressi conformemente al sistema. Inoltre, secondo il numero 10, il sistema NA (non necessariamente il gruppo di componenti di controllo) deve rilevare comunque tali voti quando ven- gono espressi e non deve trattarli come se fossero voti espressi conformemente al sistema. Per quanto riguarda la precisazione «... l’aggressore non ha espresso abusivamente a nome dell’avente diritto alcun voto successivamente registrato e conteggiato quale voto espresso conformemente al si- stema»: durante lo scrutinio tale nota di conferma sarebbe solo parzialmente utile dato che l’aggressore avrebbe ancora tempo per esprimere un voto. Pertanto è sufficiente se gli elettori possono richiedere questa nota di conferma dopo lo scrutinio. Per motivi di efficienza, è sufficiente che il servizio competente del Cantone confermi all’avente diritto di voto che non è stato espresso alcun voto a suo nome. Per la

verifica da parte del servizio competente, si applicano le ipotesi sul grado di fiducia di cui al numero 2.9.1; in questo quadro anche l’ausilio tecnico del verificatore può essere considerato affidabile. Inoltre, questo requisito va oltre il modello di fiducia nella misura in cui l’aggressore non deve assolutamente poter ac- cedere alle caratteristiche di autenticazione client. Per quanto riguarda il presente requisito, si deve sup- porre che l’aggressore abbia accesso ai dati di autenticazione client di alcuni aventi diritto di voto.

N. 2.6: Un voto è considerato espresso conformemente al sistema soltanto se i dati di autenticazione client utilizzati a tale scopo corrispondono a dati di autenticazione lato server definiti nella fase di prepa- razione dello scrutinio e «attribuiti» a un avente diritto di voto. La nota di conferma deve perciò contenere la conferma che non sono state generate caratteristiche di autenticazione non attribuiti per esprimere i voti. A tale scopo, durante la preparazione dello scrutinio, alle componenti di controllo o ai verificatori devono essere stati consegnati dati pertinenti quale termine di paragone. I verificatori devono constatare che il numero delle caratteristiche di autenticazione corrisponde al numero (ufficiale) degli aventi diritto di voto ammessi. In questo caso le caratteristiche di autenticazione possono essere considerate come «at- tribuite» a un avente diritto di voto. In tal modo non è ancora assicurato che caratteristiche di autentica- zione client di aventi diritto affidabili non siano state utilizzate abusivamente per esprimere un voto con- forme al sistema. Secondo il numero 2.5 gli aventi diritto di voto devono però essere in grado di determi- narlo. N. 2.7.3: Si può supporre che la manipolazione del software sul server non abbia alcun effetto sull’affida- bilità della piattaforma utente durante la verifica. Le possibilità di proteggere le piattaforme utente dalle aggressioni sono molto più ridotte rispetto alle componenti in un ambiente protetto. Tuttavia la decisione di non garantire il segreto del voto e l’assenza di risultati parziali anticipati attraverso il protocollo crittografico è stata presa in modo consapevole per tenere in considerazione anche l’aspetto legato alla facilità d’uso da parte degli utenti. Il protocollo do- vrebbe però fornire una protezione quando i voti sono memorizzati a livello centrale. La designazione della piattaforma utente come «affidabile» indica che nello sviluppo e nell’analisi del protocollo crittogra- fico non si deve tener conto di alcun attacco alla piattaforma utente (cfr. spiegazioni concernenti il n. 2). N. 2.9.3: Una conseguenza è che la chiave necessaria per decrittare i voti deve essere ripartita su quattro diverse componenti di controllo. Di queste, almeno una deve essere gestita dal Cantone (cfr. n. 3.1).

Una parte significativa degli aventi diritto di voto deve essere considerata non affidabile affinché il sistema NA possa apprendere, in collaborazione con un avente diritto di voto non affidabile, il contenuto di un voto espresso. A tal fine, si deve garantire che questo avente diritto di voto non possa far passare per proprio un voto crittato espresso, anche dopo un adattamento esterno, allo scopo di conoscere il contenuto della scheda mediante la nota di conferma ottenuta nell’ambito della verifica delle note di conferma di cui al numero 2.5. Con l’aiuto dei partecipanti al sistema non affidabili un aggressore potrebbe cercare di segnare i voti prima del conteggio e successivamente violare il segreto del voto sulla base dei voti decrittati. Dopo il conteggio i verificatori potrebbero scoprire che i voti non sono stati processati conformemente alla loro registrazione, ma in forma segnata. A questo punto, però, il segreto del voto sarebbe già stato violato. Questa eventua- lità va impedita ricorrendo a componenti affidabili prima del conteggio, affinché queste garantiscano che nessun voto segnato sia processato. A questo scopo i verificatori possono considerare come affidabile anche un ausilio tecnico. Per quanto riguarda la designazione di «affidabile» applicata alla piattaforma utente, si rimanda al com- mento concernente il numero 2.7 (secondo paragrafo). N. 2.11.1: Una conseguenza di questa disposizione è che una nota di conferma deve poter assumere almeno 1000 valori diversi (per un codice numerico, ad esempio, tutti i valori tra 000 e 999). La probabilità che un aggressore indovini esattamente una nota di conferma è precisamente dello 0,1 per cento. Rac- cogliendo informazioni sui partecipanti al sistema non affidabili e sui canali di comunicazione, l’aggressore potrebbe essere avvantaggiato nel senso che non dovrebbe più procedere completamente alla cieca per scoprire il codice, aumentando le sue probabilità di successo. In considerazione di questa possibilità un codice deve poter assumere a priori valori sufficienti affinché la probabilità non superi lo 0,1 per cento. N. 2.11.3: Si suppone ad esempio che la probabilità per l’aggressore di falsificare una nota di conferma sia dell’1 per cento. In questo caso le diverse operazioni di conteggio devono poter essere ripetute fino a

far scendere questo valore al di sotto dell’1 per cento. Ripetendo più volte le operazioni di conteggio dovrebbe essere possibile ridurre la probabilità quanto necessario.

N. 2.12.4: Con questa dichiarazione, il voto non è ancora espresso in modo definitivo. In primo luogo, il votante deve avere la possibilità di verificare la corretta trasmissione attraverso una prima nota di con- ferma parziale. In seguito, deve avere la possibilità di annullare il voto e di esprimere il voto attraverso un canale convenzionale. N. 2.12.5: Non è permesso fare effettuare una verifica agli aventi diritti di voto per ragioni puramente psicologiche se il risultato della verifica non ha alcuna rilevanza in relazione alla valutazione della mani- polazione del voto. N. 2.12.8: Se, per adempiere i requisiti di cui al numero 2.5, sono impiegate due note di conferma parziali, la penultima nota di conferma parziale equivale alla prima. Inoltre, dal numero 2.8 si può dedurre che gli aventi diritto di voto devono inserire con la loro dichiarazione d’intenti secondo il numero 2.12.8 un ele- mento segreto che non è ancora stato inserito nella piattaforma utente. L’elemento segreto può anche essere inteso quale funzione di autenticazione lato client. N. 2.12.11: Le componenti di setup e le componenti di stampa sono fondamentalmente previste per la preparazione dello scrutinio. Il loro uso in un momento successivo non è però vietato. Tuttavia non do- vrebbe essere possibile processare voti o altri dati che si presentano solo durante lo scrutinio, presuppo- nendo che queste componenti siano affidabili. Se utilizzate per processare i dati, tali componenti devono essere considerate non affidabili.

N. 3 Requisiti posti alle componenti affidabili secondo il numero 2 e al loro esercizio Qui sono posti i requisiti alle componenti che, conformemente al protocollo crittografico, sono considerate affidabili quando almeno uno dei requisiti secondo i numeri 2.5-2.8 è soddisfatto. Le componenti interes- sate sono le seguenti:

  • componenti di setup
  • componenti di stampa
  • componenti di controllo
  • ausili tecnici per i verificatori N. 3.1: Include la configurazione (sistema operativo, ambiente di esecuzione, software per il voto elettro- nico), la verifica della correttezza dei file con il software per il voto elettronico, l’aggiornamento, la confi- gurazione e la messa in sicurezza. Cfr. anche le spiegazioni concernenti il n. 2.9.3. N. 3.4: L’organizzazione concreta e l’impostazione dell'impiego dei verificatori è disciplinata a livello can- tonale. Cfr. anche le spiegazioni concernenti l’articolo 27m cpv. 4 AV-ODP. N. 3.7: Si intendono non solo il software per il voto elettronico ma anche il software per l’infrastruttura, come i sistemi operativi.

N. 4 Procedura di voto N. 4.10: Più precisamente, in questo caso la validità delle note di conferma può essere fatta dipendere dall’affidabilità della piattaforma utente. Ciò consente ad esempio la scansione del riferimento di verifica prima di esprimere il voto. Queste facilitazioni possono essere concesse solo a un piccolo gruppo di aventi diritto di voto i quali senza tale agevolazione non sarebbero in grado di interpretare la nota di conferma. Tutti gli altri devono essere in linea di massima esortati a verificare le note di conferma secondo la pro- cedura prevista. N. 4.11: Gli aventi diritto di voto sono tenuti a segnalare alle autorità cantonali competenti se le note di conferma sono visualizzate in modo errato o se hanno dubbi al riguardo. Esprimere il proprio voto di persona o per corrispondenza resta possibile fintantoché non si ha già votato elettronicamente. Per veri- ficare se l’avente diritto di voto può ancora avvalersi del voto di persona o per corrispondenza i Cantoni possono ricorrere alla funzione descritta al numero 11.6. N. 4.12: La conferma dell’espressione definitiva del voto secondo il numero 2.12.8 deve essere effettuata utilizzando un elemento segreto, non ancora inserito nella piattaforma utente. Al posto di tale elemento

segreto non si esclude di ricorrere a un e-ID. Tale scelta dovrebbe essere basata su una valutazione dei rischi. Un e-ID non può tuttavia sostituire la consegna per posta del riferimento di verifica. Per il momento resterà necessario consegnare il materiale di voto per posta. Inoltre la disposizione secondo cui l’ammissibilità del ricorso a un e-ID deve essere esaminata sulla base di una valutazione dei rischi si applica anche se questo e-ID è rilasciato o riconosciuto dallo Stato.

N. 7 Requisiti posti alle tipografie In futuro i requisiti posti alle tipografie non saranno più disciplinati in un catalogo distinto ma direttamente nell’allegato dell’OVE. Queste disposizioni si applicano segnatamente in aggiunta a quelle di cui al nu- mero 3. N. 7.4: Ad esempio i supporti di dati e l’elemento segreto per la decrittazione devono essere conservati separatamente in un luogo sicuro (ad es. in una cassaforte). La persona in possesso dell’elemento se- greto per decrittare i dati non deve poter aprire la cassaforte senza poter essere tracciata. La decrittazione e l’elaborazione dei dati così come il processo di stampa sono eseguiti secondo il principio del doppio controllo. Non deve essere possibile far figurare su una componente dati non crittati senza un previo controllo di almeno due persone. Se durante l’elaborazione di dati critici il principio del doppio controllo non può essere implementato senza soluzione di continuità, ad esempio a causa di un’interruzione prolungata, i dati devono essere distrutti. N. 7.6: Se ci sono buoni motivi la distruzione dei dati può essere rimandata al più tardi fino a quando i requisiti legali relativi alla conservazione e alla tracciabilità sono soddisfatti.

N. 8 Informazioni e istruzioni N. 8.10: Gli aventi diritto di voto devono conoscere la corretta procedura di voto per essere protetti dagli attacchi di ingegneria sociale. Inviando le istruzioni per posta e consigliando agli aventi diritto di voto, in caso di dubbio, di attenersi a queste istruzioni e, se necessario, di contattare il servizio cantonale com- petente, le autorità riducono il margine d’azione per gli attacchi di ingegneria sociale. L’efficacia di questa procedura così come eventuali procedure alternative per guidare gli aventi diritto di voto potrebbero es- sere oggetto di progetti di ricerca e di accompagnamento scientifico.

N. 10 Controllo della conformità e deposito di voti espressi in modo definitivo Per il conteggio possono essere depositati soltanto voti espressi conformemente al sistema. Questo con- trollo può essere effettuato anche con una componente non affidabile secondo il numero 2.

N. 11 Spoglio dei voti depositati nell’urna elettronica N. 11.1: La decrittazione secondo il numero 11.2 deve avvenire la domenica della votazione. Decrittazioni a monte, effettuate presso il fornitore del sistema, possono iniziare non appena il canale di voto elettronico è stato chiuso. L’efficacia della decrittazione deve rimanere alta nonostante le procedure a monte. N. 11.2: Se è utilizzato il sistema di un altro Cantone la decrittazione e lo spoglio possono avvenire anche nel Cantone che fornisce il sistema. N. 11.6: Usando come unica base di confronto i soli voti espressi elettronicamente non è possibile deter- minare se un avente diritto di voto che ha espresso il proprio voto di persona o per corrispondenza abbia già votato (due o più volte). Nonostante questo la possibilità di cui al numero 11.6 rientra nel campo di applicazione dell’OVE. Non è tuttavia necessario specificare tale possibilità con riferimento alle ipotesi sul grado di fiducia secondo il numero 2.

N. 12 Dati confidenziali N. 12.9: In particolare per le componenti del sistema la cui affidabilità è decisiva per salvaguardare il segreto del voto secondo il numero 2.9.3, si deve garantire che i dati siano stati cancellati definitivamente, senza possibilità di recupero.

N. 13 Minacce Gli obiettivi di sicurezza (cfr. art. 4 cpv. 3) non possono essere raggiunti con assoluta certezza, ma si possono in ogni caso identificare i rischi per la sicurezza. Sulla base di una metodica valutazione dei rischi (art. 4 cpv. 1) occorre fornire la prova che eventuali rischi per la sicurezza sono da considerarsi sufficientemente bassi. È possibile identificare un rischio attraverso le minacce e i punti deboli del sistema. Un rischio insorge quando un punto debole di tale sistema può essere sfruttato mediante una minaccia, mettendo potenzial- mente in dubbio l’adempimento di un obiettivo di sicurezza. Per ridurre i rischi si attuano misure di sicu- rezza che devono adempiere i requisiti di sicurezza a livello di infrastruttura, funzionalità ed esercizio in modo da ridurre a sufficienza i rischi identificati. L’elenco delle minacce è stato adeguato in base alle conoscenze emerse negli ultimi anni e all’uso di sistemi completamente verificabili. Per chiarire i vari scenari è stata introdotta una nuova denominazione degli attori delle minacce con la relativa definizione. N. 13.12: Il protocollo chiede che gli aventi diritto di voto esaminino le note di conferma secondo il numero 2.5. Secondo la citata disposizione deve essere valutato il rischio di alterazione delle informazioni fornite dal Cantone da parte di un aggressore esterno al fine di indurre gli aventi diritto di voto a non attenersi alle fasi previste per la verifica. Concretamente si tratta di non prendere in considerazione informazioni false che potrebbero essere diffuse sui social network. N. 13.13, 13.14 e 13.15: Per mezzo elettronico si intende qualsiasi mezzo che permette di accedere a informazioni importanti senza che l’aggressore debba essere fisicamente presente in loco (ad es. mal- ware). È invece considerato un mezzo fisico qualsiasi mezzo che permette l’accesso a informazioni importanti da parte dell’aggressore a condizione che quest’ultimo sia sul posto. L’ingegneria sociale corrisponde a una procedura attraverso la quale un aggressore ottiene l’accesso a informazioni importanti ingannando una persona al fine di indurla a fornire lei stessa le informazioni desi- derate oppure a concedere l’accesso a un terzo attraverso mezzi fisici o elettronici. N. 13.16, 13.17 e 13.18: Il protocollo crittografico definisce determinati parametri, algoritmi e procedure.

Le minacce qui menzionate sfrutterebbero una vulnerabilità in uno o più di uno di questi elementi.

N. 14 Constatazione e notifica di eventi e debolezze inerenti alla sicurezza; gestione di eventi e miglio- ramenti inerenti alla sicurezza I sistemi di voto elettronico devono consentire di individuare ed esaminare in modo efficace gli incidenti, quali presunte manipolazioni di voto o attacchi al sistema. Il contenuto e la portata dei protocolli devono essere definiti con questo scopo, garantendo nel contempo il segreto del voto. Inoltre deve essere definito un processo costante di miglioramento in merito all’individuazione e all’esame degli incidenti. A tal fine occorrerà provvedere a:

  • un dialogo aperto fra Confederazione, Cantoni e fornitore di sistema;
  • analisi regolari sull’idoneità delle basi del monitoraggio e dell’esame degli incidenti. Gli scenari definiti nella convenzione di crisi sono considerati al fine di queste analisi. La partecipazione a queste analisi di esperti in materia di informatica forense permette di apportare miglioramenti più efficaci.
  • migliorare gli strumenti e i processi tenendo conto degli elementi risultanti dalle analisi.

N. 14.7: L’obiettivo è quello di determinare che i voti siano processati e conteggiati correttamente. A tal fine, i voti di controllo sono processati secondo le stesse procedure impiegate per i voti espressi confor- memente al sistema. I voti di controllo non devono essere inclusi nel risultato finale come voti espressi conformemente al sistema. N. 14.10: Questa disposizione non riguarda necessariamente solo il sistema online. Ad essere interessate sono anche le componenti nei lavori preparatori preliminari o successivi agli scrutini.

N. 15 Utilizzo di misure crittografiche e amministrazione delle chiavi N. 15.2: I processi di audit, di identificazione e di autenticazione sono particolarmente sensibili e richie- dono un controllo speciale, sia nella parte del sistema gestita dal Cantone sia in quella gestita dal fornitore del sistema. L’identificazione corrisponde al processo di identificazione di una persona, ad esempio me- diante nome utente o smartcard. L’autenticazione è invece il processo attraverso il quale il sistema rilascia l’autorizzazione d’accesso, ad esempio mediante la verifica di una password. N. 15.3: La crittografia a livello del software, la cui necessità si evince dal numero 2, non è sufficiente a soddisfare questo requisito.

N. 17 Test del sistema N. 17.2: Le interfacce sono gli elementi che permettono al software di scambiare informazioni con il suo ambiente. Può trattarsi di interfacce grafiche, linee di comando o interfacce tecniche (API). N. 17.3: Per questo requisito sono considerati due livelli di struttura del software:

  • un modulo è il livello più basso e costituisce un raggruppamento di classi nel codice sorgente che mirano a un obiettivo ben definito;
  • un sottosistema è un insieme di moduli che copre una funzionalità del sistema, ad esempio l’ammi- nistrazione di una votazione, la creazione di una carta di legittimazione di voto o la registrazione del voto espresso.

N. 24 Sviluppo e manutenzione di sistemi di informazione La qualità dei sistemi di voto elettronico deve essere garantita durante l’intero processo di sviluppo. Al fine di rafforzare la garanzia della qualità i requisiti sono stati specificati perseguendo gli obiettivi seguenti:

  • permettere la tracciabilità e la verifica delle modifiche apportate al sistema;
  • garantire in qualsiasi momento e in entrambe le direzioni la tracciabilità tra i singoli elementi della documentazione (protocollo, specifica, architettura, ecc.) e il codice sorgente;
  • far confluire i risultati delle procedure di verifica nei lavori di sviluppo;
  • garantire e mantenere la conformità ai requisiti legali per tutto il ciclo di vita. In particolare, i requisiti del livello common criteria EAL 4, che fino ad ora si applicavano alle componenti di controllo, sono estesi all’intero sistema. Inoltre sono stati completati con requisiti dei common criteria concernenti EAL 4 quando questa integrazione poteva contribuire in modo significativo agli obiettivi di sicurezza ed era in linea con gli obiettivi succitati. N. 24.1: Gli strumenti di sviluppo qui considerati sono gli strumenti importanti per la sicurezza dello svi- luppo del software. Tra questi rientrano ambienti di sviluppo integrato (integrated development environ- ment, IDE), strumenti di costruzione (build tools) e strumenti di gestione della configurazione. Rientrano in questa categoria anche le opzioni di configurazione che possono avere un impatto sulla sicurezza dello sviluppo. Come nel numero 17.2, per interfacce si intendono quegli elementi che permettono al software di scam- biare informazioni con il suo ambiente. Può trattarsi di interfacce grafiche, linee di comando o interfacce di programmazione (API).

Un elenco di configurazione è un insieme unificato di elementi di configurazione che rappresenta lo stato del software e della sua documentazione in un particolare momento. Idealmente, permette di ricostruire una versione precedente del software. N. 24.3: Deve essere garantito un corretto approntamento del sistema a partire dal codice sorgente fino alla sua installazione in produzione (build and deployment). A tale scopo il fornitore di sistema deve im- piegare un metodo comprovato e tracciabile di build and deployment per raggiungere i seguenti obiettivi:

  • il metodo build and deployment consente di garantire che il software impiegato corrisponda alla versione pubblicata, verificata e autorizzata;
  • oltre a questa tracciabilità, il metodo build and deployment dovrebbe consentire di prevenire il più possibile la manipolazione delle componenti del sistema;
  • occorre evitare che con gli strumenti di sviluppo e le biblioteche utilizzate si introducano punti vul- nerabili nel software rendendo così il sistema vulnerabile agli attacchi. A questo scopo sono stati introdotti nuovi requisiti, basati sulle linee guida dello stato federale americano del Colorado per l'uso dei sistemi di voto elettronici 10, sulla documentazione Trusted Build pubblicata da GitHub11 e sulla documentazione Reproducible Builds12 dell’omonimo progetto. N. 24.4: Sono considerate utenti tutte le persone che, in un modo o nell’altro, entrano in contatto con il software. Sono ad esempio utenti gli impiegati cantonali, gli aventi diritto di voto, coloro che effettuano i test e, in definitiva, chiunque abbia un interesse nel sistema. Affinché lo sviluppatore gestisca le segnalazioni di difetti in modo appropriato e in questo contesto comu- nichi in modo efficace, è importante che gli utenti sappiano come trasmettergli le segnalazioni di difetti e come registrarsi per ricevere informazioni appropriate. Per contribuire a migliorare la sicurezza di un sistema bisogna allestire un elenco il più completo possibile delle vulnerabilità sospette e dei correttivi da attuare sistematicamente. Questi requisiti sono complemen- tari alla divulgazione del codice sorgente (art. 11-12 AV-OVE) e al programma bug bounty (art. 13 AV- OVE).

N. 25 Qualità del codice sorgente e della documentazione La qualità del codice sorgente e della documentazione è fondamentale per la sicurezza del voto elettro- nico. Le basi legali attuali definiscono i requisiti a tal proposito. Le descrizioni hanno però carattere piut- tosto generale: si pensi ad esempio all’obbligo di preparare e documentare il codice sorgente conforme- mente alle migliori prassi e all’attuazione di determinati punti di common criteria. I criteri di qualità esistenti sono stati pertanto precisati nel presente avamprogetto. Grazie a criteri chiari si vuole garantire un’elevata qualità dei sistemi di voto elettronico che a sua volta andrà a beneficio della sicurezza agevolando le verifiche di tutte le parti interessate e del pubblico. Per definire questi criteri di qualità è stato creato un modello di qualità per i sistemi di voto elettronico. Questo modello è basato sulla norma ISO 25010 e sul modello di qualità di McCall13. I criteri sono stati selezionati in base al loro contributo agli obiettivi di sicu- rezza e qualità definiti.

N. 26 Criteri di verifica dei sistemi e del loro esercizio Per garantire l’efficacia e la credibilità delle verifiche sono state adeguate le competenze. La suddivisione dei compiti fra la Confederazione e i Cantoni sarà quindi modificata in modo tale che la Confederazione assuma maggiori responsabilità e un ruolo più diretto nella verifica dei sistemi. Alla Confederazione compete la verifica del rispetto dei requisiti inerenti al sistema e dei relativi sottopro- cessi. Questo non da ultimo per garantire che i risultati della revisione vengano integrati in modo mirato nelle successive fasi di test. Le verifiche dovranno essere commissionate a esperti indipendenti.

Colorado Election Rules [8 CCR 1505-1] Rule 1. Definitions, 2020 e Colorado Voting Systems Trusted Build Procedures, 2020 GitHub How to: Trusted builds, 2017 https://reproducible-builds.org/ FACTORS IN SOFTWARE QUALITY - Vol. 1: Concept and Definitions of Software Quality - Jim A. McCall, Paul K. Richards, Gene F. Walters (1977)

Il Cantone / il fornitore di sistema rimarrà responsabile per le verifiche in relazione all’esercizio del sistema nei suoi centri di calcolo (certificazione ISO 27001). Si rinuncia a una certificazione più estesa da parte di servizi a loro volta accreditati dal Servizio di accre- ditamento svizzero (SAS).