L’acquisizione del sistema di voto elettronico è di competenza dei Cantoni. Possono gestire un proprio sistema, utilizzare il sistema di un altro Cantone oppure far capo al sistema di un’impresa privata (art. 27k bis cpv. 1 lett. b ODP). La Confederazione stabilisce il quadro normativo ed è responsabile per la concessione delle autorizzazioni.
Secondo il diritto federale sono ammessi soltanto i sistemi di voto elettronico completamente verificabili, che nell’ambito della verifica e della trasparenza devono soddisfare le seguenti condizioni:
- Verifica indipendente su mandato della Confederazione: i sistemi di voto elettronico e il loro esercizio sono sottoposti a una verifica indipendente commissionata dalla Confederazione (art. 27l ODP e art. 10 OVE in combinato disposto con il n. 26 dell’allegato dell’OVE). In tal modo si esamina l’efficacia sia dell’adempimento dei requisiti del diritto federale sia delle misure volte a ridurre il rischio, rilevando il potenziale di miglioramento.
- Pubblicazione di informazioni sul sistema e il suo esercizio: i Cantoni provvedono affinché siano pubblicate informazioni esaustive sul sistema e sul suo esercizio; le informazioni da pubblicare riguardano in particolare il codice sorgente e la documentazione (art. 27lbis ODP e art. 11-12 OVE).
- Verifica pubblica: il pubblico e gli ambienti specialistici sono coinvolti al fine di migliorare i sistemi di voto elettronico (art. 27lter ODP). I Cantoni attuano in particolare un programma bug bounty permanente (art. 13 OVE).
Verifica indipendente del sistema della Posta 2021
Alcuni Cantoni prevedono di riprendere le prove con il nuovo sistema di voto elettronico della Posta Svizzera. Fondandosi sulle basi legali rivedute, nel luglio 2021 la Cancelleria federale ha avviato una verifica indipendente del sistema e dell’esercizio del sistema stesso (cfr. Comunicato stampa della CaF del 05.07.2021).
La verifica è stata affidata a esperti del mondo scientifico e industriale e ha interessato quattro diversi settori: il protocollo crittografico del sistema (scope 1), il software utilizzato (scope 2), l’infrastruttura e l’esercizio presso la Posta (scope 3), nonché un test d’intrusione a cui deve essere esposto il sistema (scope 4). La verifica, svolta fra luglio 2021 e febbraio 2022, è basata sulle versioni del sistema dall’estate fino all’autunno 2021. La verifica dell’infrastruttura e dell’esercizio nei Cantoni è ancora in corso.
Sono ora disponibili i primi rapporti di verifica. Non appena saranno completati, verranno pubblicati anche gli altri rapporti sulle verifiche ancora necessarie.
- Scope 1 Final Report Aleksander Essex 29.11.2021.pdf (PDF, 538 kB, 05.04.2022)
- Scope 1 Final Report David Basin 30.11.2021.pdf (PDF, 111 kB, 05.04.2022)
- Scope 1 Final Report BFH 28.03.2022.pdf (PDF, 622 kB, 05.04.2022)
- Scopes 1 and 2 Final Report Thomas Haines, Olivier Pereira, Vanessa Teague 24.03.2022.pdf (PDF, 505 kB, 04.05.2022)
- Scopes 1, 2 and 3 Final Report Bryan Ford 04.04.2022.pdf (PDF, 227 kB, 04.05.2022)
- Scope 2 Final Report BFH 28.03.2022.pdf (PDF, 803 kB, 05.04.2022)
- Scope 2a Final Report SCRT 24.03.2022.pdf (PDF, 1 MB, 05.04.2022)
- Scope 3 Final Report SCRT 26.03.2022.pdf (PDF, 1 MB, 20.04.2022)
- Scope 4 Final Report Network Security Group, ETH Zurich 06.01.2022.pdf (PDF, 175 kB, 05.04.2022)
- Scope 4 Final Report SCRT 19.04.2022.pdf (PDF, 635 kB, 20.04.2022)
Osservazione: i rapporti di verifica si fondano sui requisiti del diritto federale conformemente al progetto sottoposto a consultazione il 28 aprile 2021 : https://fedlex.data.admin.ch/eli/dl/proj/2021/61/cons_1
La verifica è stata svolta sulla base di questo concetto di audit:
Parere della Posta Svizzera sui risultati della verifica indipendente 2021:
www.evoting-blog.ch/fr/pages/2022/controle-independant-apercu-des-travaux-en-cours-a-la-poste
Comunicato stampa della Cancelleria federale:
Pubblicazione del nuovo sistema della Posta
Verifiche e misure di trasparenza precedenti
