Comunicati stampa
Tentativo di hackerare il sistema di voto online della Posta
Circa 3400 hacker di tutto il mondo hanno tentato per quattro settimane di violare il futuro sistema di voto elettronico della Posta, sferrando quasi 60’000 attacchi. Il cosiddetto test di intrusione, ovvero la tipologia di test in cui pirati informatici attaccano un’applicazione per individuarne eventuali vulnerabilità, è ora concluso. In questa sede nessuno è riuscito a compromettere il sistema di voto online né a penetrare nell’urna elettronica. Con il completamento del test in oggetto, il traguardo della Posta non è tuttavia ancora raggiunto: attualmente sono in corso altri test condotti da hacker etici, oltre alla verifica indipendente commissionata dalla Confederazione.
Sezione Rich Content
La Posta sta lavorando a pieno ritmo per sviluppare un sistema di voto elettronico sicuro per il paese. In tale direzione è stato compiuto ora un altro importante passo avanti: per quattro settimane hacker etici di tutto il mondo hanno potuto partecipare infatti a un cosiddetto test di intrusione pubblico, ovvero un tipo di test in cui un’applicazione viene attaccata da pirati informatici che cercano di metterne in luce eventuali vulnerabilità o falle di sicurezza. Il test di intrusione effettuato sul sistema di voto elettronico della Posta dall’8 agosto al 2 settembre 2022 rappresenta per l’azienda uno strumento importante per far emergere potenziali criticità del sistema ed eliminarle tempestivamente in modo da rendere il portale ancora più sicuro. Il punto di vista esterno ricercato in specialiste e specialisti indipendenti è fondamentale per lo sviluppo di una soluzione di voto online sicura da proporre al paese.
Il test in questione ha suscitato l’interesse degli hacker di tutto il mondo e circa in 3400 hanno risposto all’invito della Posta cercando di violarne il sistema di voto elettronico con 60’000 attacchi. I risultati del test, ora concluso, dimostrano che nessuno è riuscito a hackerare il portale né tanto meno a penetrare nell’urna elettronica. «Ci fa piacere che così tanti specialisti e specialiste del web abbiano tentato di violare il nostro sistema. Più attacchi vengono sferrati e più il sistema ne beneficia in termini di sicurezza. Per quanto sia naturalmente nostra intenzione fare tesoro delle vulnerabilità, constatiamo con soddisfazione che nessuno è riuscito a penetrare nel sistema, il che significa che il livello di sicurezza è elevato», afferma Nicole Burth, responsabile Servizi di comunicazione della Posta.
Nessun risultato critico dalla verifica accurata dell’infrastruttura del sistema di voto elettronico
Dall’inizio del 2021 la versione beta del sistema di voto elettronico della Posta è al vaglio di esperte ed esperti di tutto il mondo. Il voto online consente all’elettorato di votare per via elettronica. Le persone aventi diritto di voto che possono usufruire del voto online ricevono il materiale relativo alla votazione o all’elezione per posta e, in aggiunta, i codici di sicurezza individuali per esprimere il proprio voto elettronicamente. In questo modo possono effettuare l’accesso alla piattaforma di voto elettronico del proprio Cantone e partecipare all’elezione o alla votazione online. Tutte le informazioni che vengono trasmesse al momento della votazione vengono anonimizzate e protette con crittografia end- to-end. Solamente le autorità elettorali cantonali possono visualizzare il risultato dell’urna elettronica. A partire dai voti non è possibile in alcun modo risalire a chi li ha espressi. Durante il test di intrusione, hacker etici hanno potuto simulare anche questo processo di votazione sul portale dedicato servendosi di certificati elettorali fac-simile.
In tale occasione hanno avuto per la prima volta la possibilità di prendere di mira anche l’infrastruttura del voto online, ovvero lo scudo protettivo esterno del sistema. Inoltre hanno potuto simulare il processo di votazione sul relativo portale con certificati elettorali fac-simile, esattamente come avviene durante le votazioni ed elezioni.
I risultati vengono classificati secondo la loro gravità: bassa, media, alta e critica. Durante il test di intrusione non sono stati rilevati né confermati risultati di gravità media, alta o critica. Al termine della verifica la Posta ha potuto convalidare solo uno dei due risultati pervenuti con una gravità «bassa». Pur non riguardando nessun aspetto rilevante per la sicurezza, il risultato aiuta a semplificare i processi sul portale di voto. La Posta, che attuerà questa proposta migliorativa, ha consegnato all’hacker che l’ha presentata una ricompensa di 500 franchi.
Nuova verifica indipendente per conto della Confederazione
La conclusione del test di intrusione costituisce un altro passo verso la realizzazione di un sistema di voto elettronico sicuro da offrire al paese. Contestualmente ai test in corso da parte degli hacker si sta ancora svolgendo l’esame indipendente commissionato dalla Confederazione. Gli esperti incaricati stanno verificando se il sistema rispetta i requisiti previsti dalle basi giuridiche. A seguito della pubblicazione dei primi rapporti di verifica ad aprile 2022, la Posta ha sviluppato ulteriormente il sistema e al momento lo sta sottoponendo a una nuova verifica da parte di esperti indipendenti incaricati dalla Confederazione. La Posta prevede di mettere a disposizione dei Cantoni interessati il suo nuovo sistema di voto elettronico nel corso del 2023.
Ulteriori informazioni:
Informazioni:
Servizio stampa Posta, Silvana Grellmann, 058 341 26 71, presse@posta.ch