Nel test pubblico di intrusione gli hacker etici possono lavorare su una copia esatta dell’ambiente produttivo del sistema di voto elettronico per andare alla ricerca di falle di sicurezza. Al test si applicano le stesse condizioni quadro valide durante l’utilizzo del voto elettronico in occasione di elezioni e votazioni.
Attività da parte di 6923 indirizzi IP
Durante il test pubblico di intrusione di quest’anno, la Posta ha registrato attività da parte di 6923 indirizzi IP. Di questi, 146 hanno mostrato un’attività intensa con oltre 50 attacchi al server per tutta la durata del test.
28’944 accessi alla piattaforma di voto
Come in occasione degli scrutini, la Posta monitora i tentativi di attacco al sistema anche durante un test di intrusione. Durante l’ultima sessione ha registrato circa 29’000 accessi alla piattaforma di voto, di cui 9665 classificabili come tentativi di attacco.
Attacchi da 62 Paesi
La Posta invita esperte ed esperti di tutto il mondo a mettere alla prova il suo sistema di voto elettronico. Quest’anno ha registrato attacchi da 62 Paesi, con un’attività più intensa da 27 di essi, tra cui spiccano gli Stati Uniti (19%), seguiti da Svizzera e Francia (12% ciascuna).
Confermato un solo risultato
Delle 4 vulnerabilità segnalate in totale, la Posta ne ha confermata una soltanto, peraltro con grado di gravità basso (primo dei quattro livelli «basso», «medio», «alto» e «critico») e non legata ad aspetti rilevanti per la sicurezza. Si tratta piuttosto di un miglioramento nella comunicazione tra i server per impedire consultazioni simultanee, miglioramento che la Posta ha già implementato.
4500 franchi di ricompensa
La Posta ha ricompensato l’autore della segnalazione con 1500 franchi, cui si è aggiunto un bonus di 3000 franchi per essere stato il primo a segnalare un risultato che è poi stato effettivamente confermato. Nel 2024 la Posta ha aumentato le ricompense riconosciute per le falle di sicurezza nel sistema di voto elettronico, portando a 50’000 franchi il premio per vulnerabilità critiche. Se una persona riesce a manipolare lo scrutinio elettronico senza farsi scoprire, riceverà fino a 250’000 franchi.
Vai al rapporto finale sul test pubblico di intrusione 2024 (in inglese)