blog.imm.cnr.it

Cari colleghi,

a seguito del nostro messaggio inviato il 27 dicembre u.s., oltre a numerose manifestazioni di apprezzamento e solidarietà, ci sono state alcune reazioni critiche ed interrogative che ci hanno convinto a fornire ulteriori elementi alla nostra riflessione.
Avevamo intenzionalmente evitato di entrare nel merito degli argomenti specifici del ricorso, per non aprire un dibattitto (tra l’altro nelle forme complicate dell’interazione in rete) che può realmente compiersi nella sola sede che il diritto consente.
Ma di fronte ai vari stimoli ricevuti proviamo di seguito a fornire argomenti oggettivi, relativi alla procedura informatica di voto, che sono alla base della nostra difficile scelta.

- Perché decidere di intraprendere un’azione legale
Come abbiamo precisato tale azione è innanzitutto NELL’ INTERESSE DELLA COMUNITÀ e nella salvaguardia di uno strumento di straordinario valore come la sua rappresentanza in CdA. Principali dati di fatto sono la violazione del regolamento e l’impiego di strumenti e modalità di voto che hanno generato numerose perplessità a seguito del voto. Avremmo preferito che l’amministrazione spiegasse in modo rapido ed inequivocabile i dubbi e le perplessità emerse. Un utilizzo, a nostro avviso non congruo, del concetto di tutela della privacy ha reso ciò impossibile e ci ha pertanto costretto all’azione legale che è diventato l’unico modo per superare tali ostacoli.
Un’azione legale è infatti l’unico modo per ottenere una verifica esterna, al cui esito ci rimettiamo con serenità e fiducia nel giudizio.

- Cosa non convince della procedura informatica
La procedura informatica di voto utilizzata NON ERA CERTIFICATA, né in alcun modo è stata verificata da terzi la sua conformità alle norme sul voto elettronico.
La giustificazione data è che la certificazione ha un costo e che comunque anche gli altri software sviluppati dall’ente non sono certificati.
E’ evidente che, al contrario degli altri applicativi, una procedura elettronica di voto richiede garanzie del tutto differenti e riferibili a terzi non coinvolti nel processo di voto.
Questo processo dovrebbe essere affidato a terzi, rispetto a chi ha sviluppato l’applicativo, in modo da verificare la conformità del sistema alle normative. E’ quanto accade, ad esempio, nel caso dei voti organizzati in ambito universitario dove l’applicativo u-Vote, sviluppato dal CINECA è stato verificato da una commissione (http://attiministeriali.miur.it/media/156864/relazione_sintetica_sistema_uvote.pdf) conforme alle norme europee, adatto all'uso per il quale è stato progettato e privo di vulnerabilità sfruttabili, se correttamente utilizzato.
In ogni caso è buona prassi che, contestualmente all'indizione delle votazioni, sia pubblicato un documento illustrativo della procedura e delle soluzioni tecniche adottate, in modo che gli elettori abbiano piena consapevolezza di come sarà gestito il proprio voto (cf. esempio1, esempio 2, esempio3). Nel caso in questione ciò non è avvenuto, se non ex post con un documento di scarso valore tecnico, con non poche imprecisioni.

- Cosa è cambiato rispetto alle precedenti votazioni
In tutte le precedenti votazioni, quelle del 2011 (CdA), 2015 (CdA) e 2019 (Consigli scientifici di Dipartimento), a seguito dell’espressione del voto veniva inviata una email di conferma della registrazione del voto.
Abbiamo appreso, formalmente, che L’INVIO DELL’EMAIL DI CONFERMA È STATO RIMOSSO dalla procedura informatica in data 2 settembre ed è avvenuto per decisione del gruppo tecnico di supporto e non dell’organo competente, nonostante si tratti di una decisione di particolare rilevanza.
La motivazione addotta:
“.. nel rispetto delle sempre crescenti disposizioni in termini di privacy, è stato eliminato l'invio della mail di conferma di avvenuto voto all'utente, in quanto ritenuto non opportuno inviare su Mailer esterni e/o commerciali tale informazione, contenente implicitamente l'indicazione dell'orario del voto, oltre all'identità del votante.”
va analizzata con attenzione.

Innanzitutto una tale decisione ci appare estranea alle attribuzioni del gruppo di supporto, che dovrebbe offrire soluzioni tecniche di servizio alle decisioni assunte dai responsabili del procedimento e/o dalla commissione elettorale. Dai verbali risulta, inoltre, che la commissione elettorale non è stata neppure messa al correte di una tale rilevante decisione.

Una seconda questione è quella sulla privacy. Non risulta, che fra il 29 maggio 2019 (data dell’elezione dei Consigli scientifici di Dipartimento) e il 2 settembre 2019 ci siano state novità in termini di normativa sulla privacy.
Ci appare che in questo caso, come nei successivi (vedi problematica legata agli IP), si invochi il concetto di privacy per giustificare decisioni sostanziali che hanno un impatto rilevante.
E ancora. Cosa vuol dire l’affermazione dell’amministrazione: “inviare su Mailers esterni”?
L’email di conferma viene inviata sull’indirizzo di posta istituzionale (@cnr.it), che i dipendenti si impegnano a consultare, in quanto è il canale per le informazioni istituzionali. Se qualche dipendente ha attivato un forward della email istituzionale (motivazione riferitaci oralmente), e se tali account non sono necessariamente affidabili questo è un problema del singolo utente e non ha nulla a che vedere con la tutela della privacy da parte dell’ente.

Va infine sottolineato che l’informazione circa il semplice esercizio del voto (e non circa il voto espresso) non è un dato tutelato da una particolare privacy; basti pensare che nelle stesse elezioni politiche l’esercizio del voto avviene pubblicamente alla presenza di rappresentanti delle varie liste di candidati.

Cosa comporta la rimozione dell’email di conferma
Si tratta di una procedura di sicurezza che è ormai uno standard di tutte le procedure informatiche online e che è tanto più necessaria quanto più sono limitate le procedure di sicurezza dell’autenticazione, basate sulle sole credenziali SIPER/email.
Si noti che il CINECA classifica l'utilizzo di postazioni remote, il nostro caso, come “votazioni a minima sicurezza” da utilizzare solo per votazioni a basso livello di criticità, in quanto l’assenza di identificazione frontale e la consegna delle credenziali prima del voto rendono possibile la loro cessione a terzi, volontariamente o meno. (cf. anche http://streaming.cineca.it/EUG-XLVIII/slides/sravaioli.pdf).
Di fatto, con l’assenza di una email di conferma, viene ulteriormente indebolita l’identificazione certa del votante.
Essa è difatti un elemento minimo di sicurezza che serve, ad esempio, a scoraggiare l’eventualità di voti inseriti all’insaputa di elettori inconsapevoli e non ha nulla a che vedere con il fatto che la procedura implementata non permettesse di esprimere più volte il voto con le stesse credenziali.

Anomalie già riscontrate alla procedura
Per verificare la correttezza della procedura di autenticazione del voto è stato chiesto all’amministrazione di fornire i file log relativi alla procedura di voto, sia del primo turno sia del ballottaggio. A questo è stato risposto che l’identità dei votanti e gli indirizzi IP, da cui si è effettuato il collegamento per il voto, sono dati non ostensibili a tutela della privacy dei votanti.
Pur non aderendo a tale punto di vista e considerando l’interesse generale relativo alla verifica della correttezza del voto prevalente, è stato richiesto che tali file log fossero forniti in modo anonimo, indicando votanti e IP mediante un identificativo anonimo, identico nel caso di IP identici.
Da questo dato sono emerse numerose “anomalie”.
La principale anomalia è che vi è una CONCENTRAZIONE DI VOTI CHE PROVENGONO DAGLI STESSI IP. Considerando degni di attenzione gli IP da cui provengono più di 5 voti essi superano i 1000 voti, limitandosi agli IP che votano almeno 10 volte i voti sono circa 850.
La normativa vigente richiede che gli IP siano assegnati in maniera univoca a chi accede alla rete internet, per permettere in modo certo l’identificazione eventuale dell’utente.
Ad ogni modo, poiché l’amministrazione ha genericamente risposto “.. che la presenza di indirizzi IP ripetuti è da intendersi imputabile, in numerosi casi, al fatto che molti Internet Service Provider e molte infrastrutture di rete di sedi universitarie e di enti pubblici - comprese alcune sedi del CNR - utilizzano il meccanismo di Network Address Translation, meglio noto come NAT... ” è stato chiesto all’amministrazione di voler precisare a quale delle categorie sopraindicate appartengono gli IP da cui sono stati espressi oltre 10 voti e cioè se essi sono: a) IP individuali b) NAT di sedi CNR c) NAT di sedi Universitarie o altri enti pubblici d) ISP e in tal caso il nome del provider utilizzato.

A tale richiesta è stato risposto che:
“Per quanto riguarda la categorizzazione degli ip richiesta, non è possibile fornirla con i dati in nostro possesso. Per ottenere l'organizzazione responsabile di ogni ip è necessario l'utilizzo di servizi esterni. Per sapere se un ip è utilizzato univocamente da un singolo terminale utente (pc, tablet, smartphone, ecc.) o se è utilizzato da più terminali tramite nat è necessaria un'ulteriore indagine specifica presso il soggetto che gestisce l'ip medesimo. “

Eppure l’utilizzo del protocollo di rete whois per l'interrogazione di database server e stabilire a quale provider internet appartenga un determinato indirizzo IP è la prassi corrente, utilizzata da chiunque lavori in questo campo e l’affidabilità dei database whois non è mai stata messa in discussione, a nostra conoscenza.

Evidentemente l’amministrazione, che già ha opposto una presunta tutela delle privacy non fornendo gli IP dei votanti, non intende in alcun modo fornirci neanche il dato del provider associato a tali IP.

Notiamo inoltre che alcuni di tali IP, associati a più di 10 votanti, appartengono quasi certamente allo stesso CNR e pertanto l’Ente deve essere in grado di indicare quantomeno quali di questi IP sono del CNR senza interrogare alcun servizio esterno. In particolare l’ufficio ICT deve necessariamente essere in grado conoscere la categorizzazione degli IP del CNR e distinguere quali di essi sono utilizzati come NAT e quali come IP individuali.

Analizzando inoltre le sequenze temporali dei voti associati a tali IP associati a più d 10 votanti, si riscontrano delle “anomalie” che non sono compatibili con la sequenza di un file log, per quanto anonimizzato.

A fronte di quanto sopra illustrato ed in particolare dell’assenza di volontà dell’amministrazione di chiarire le anomalie sopra indicate, siamo stati obbligati ad avviare l’azione legale di cui in premessa.

Cordialmente
Rino Falcone, Patricia Iozzo, Vito Mocella, Roberto Zamboni