Attacco informatico cercasi: la Posta avvia un test di resistenza per il sistema di voto elettronico

Nel voto elettronico in Svizzera la sicurezza è una priorità assoluta.

Nell’ambito del voto elettronico, la Posta punta sulla trasparenza: dal 2021 tutti i componenti rilevanti ai fini della sicurezza del suo sistema di voto elettronico sono accessibili pubblicamente. Attraverso un programma di bug bounty a tempo indeterminato, specialiste e specialisti di tutto il mondo possono testare il sistema in qualsiasi momento, con la prospettiva di ricevere premi di natura economica per le vulnerabilità confermate. 

Inoltre, la Posta svolge periodicamente cosiddetti test di intrusione pubblici. In un arco di tempo ben definito, hacker etici cercano di penetrare il sistema in modo mirato. Questi test sono previsti per legge e costituiscono una componente chiave del progetto pilota per il voto elettronico nei Cantoni. Il test di intrusione pubblico, della durata di più settimane, fa parte del programma di community sul voto elettronico della Posta.

Il test di intrusione durerà fino al 24 agosto 2025

Da oggi e fino al 24 agosto, la Posta metterà a disposizione su pit.evoting.ch la propria piattaforma per il voto elettronico per poterla sottoporre ad attacchi mirati. Sarà testata l’ultima versione del sistema, quella che verrà impiegata per le votazioni e le elezioni a partire dal 2026. Specialiste e specialisti IT di tutto il mondo potranno simulare la procedura di voto, individuare eventuali falle di sicurezza e tentare di penetrare nell’urna elettronica. Per la prima volta potranno mettere alla prova anche la funzionalità dei campi di testo liberi, i cosiddetti «write-in», utilizzabili nelle elezioni in cui le elettrici e gli elettori possono inserire autonomamente i nomi delle candidate o dei candidati desiderati, se non figurano sulle liste ufficiali.

Premi allettanti per chi scova i punti deboli

Per le vulnerabilità confermate la Posta offre come ricompensa premi fino a 250’000 franchi. Per chi segnala le prime tre falle confermate è previsto, oltre al premio, un bonus di 3000 franchi per falla. Dal lancio del programma bug bounty per il voto elettronico, la Posta ha già corrisposto a hacker etici oltre 220’000 franchi per le lacune confermate.

Ecco perché le verifiche di sicurezza pubbliche sono efficaci

I test di intrusione pubblici sono uno strumento collaudato della cibersicurezza. Vanno a integrare gli audit interni ed esterni con verifiche indipendenti della community IT globale.

I vantaggi

• Molteplici prospettive: diversi modi di pensare si traducono in scenari di attacco più creativi.
• Test realistici: gli attacchi simulano minacce reali in condizioni reali.
• Riconoscimento tempestivo: i punti deboli vengono individuati prima che possano essere presi di mira.
• Aumento della fiducia: la trasparenza rafforza la fiducia nei processi digitali e nel sistema di voto elettronico della Posta.
  
  

La cibersicurezza alla Posta: molto più di semplici test

Test pubblici come il PIT ed eventi come il BärnHäckt sono elementi importanti del progetto pilota per il voto elettronico e della strategia di cibersicurezza della Posta. Ma sono solo una parte di un approccio alla sicurezza globale:

• Security by Design: la sicurezza è parte dell’architettura di sistema fin dalle primissime fasi;
• Audit regolari: le verifiche interne ed esterne rimangono una componente centrale.
• Security Awareness: le formazioni rafforzano la consapevolezza in materia di sicurezza di tutte le parti coinvolte.
• Comunicazione trasparente: parlare apertamente dei punti deboli crea fiducia./li>

Al termine del test di intrusione, la Posta pubblicherà come negli anni precedenti un rapporto in cui informa se e come il sistema ha resistito agli attacchi.