Nel 2021 la Posta ha pubblicato tutti i componenti essenziali e i documenti relativi al suo sistema di voto elettronico completamente verificabile. Nell’ambito del programma di community sul voto elettronico, ha invitato figure esperte di informatica provenienti da tutto il mondo per verificare la presenza di eventuali vulnerabilità nel sistema. Si tratta di uno strumento di cibersicurezza collaudato ed efficace su cui la Posta punta in parallelo a controlli di sicurezza interni e commissionati a terzi. Da allora, un gran numero di esperte ed esperti di crittografia e informatica e di hacker etici ha esaminato a fondo il sistema e inviato alla Posta oltre 300 segnalazioni. I risultati confermati vengono classificati secondo la gravità «bassa», «media», «elevata» e «critica». Dal 2021, durante la verifica pubblica sono state individuate finora cinque falle con gravità elevata, nel frattempo risolte dalla Posta, ma non sono mai stati segnalati risultati critici.
Il lavoro ricompensato
I controlli di sicurezza sono impegnativi. La Posta prevede quindi di ricompensare economicamente le e gli hacker etici che controllano i sistemi, ma che non sono vincolati da un rapporto contrattuale, nel cosiddetto «programma bug bounty», nell’ambito del quale specialiste e specialisti informatici vengono invitati a esaminare sistemi IT per verificare la presenza di falle di sicurezza ricevendo in cambio una ricompensa per le lacune individuate. Dall’inizio del programma relativo al sistema di voto online, la Posta ha corrisposto per le falle confermate circa 200’000 franchi. Ora la verifica pubblica entra in una nuova fase e la Posta ha deciso di aumentare del 50-100% le ricompense per le lacune individuate in tutti i livelli di gravità (scala CVSS).
Velocità e perseveranza ripagano
Le nuove ricompense saranno corrisposte per la prima volta nell’ambito del test di intrusione pubblico di quest’anno, che inizia oggi e durerà fino al 3 luglio, e coinvolge persone interessate ed esperte di informatica in ogni parte del mondo. Mettersi subito all’opera con questi test approfonditi vale doppiamente la pena: solo la prima persona che segnalerà una vulnerabilità riceverà una ricompensa. Inoltre, le tre o i tre hacker etici più veloci impegnati nel test di intrusione in corso riceveranno, oltre alla normale ricompensa secondo il livello di gravità, un bonus di circa 3000 franchi se troveranno come migliorare il sistema o individueranno una falla di sicurezza.
Il terzo test di intrusione pubblico consecutivo
Durante un test di intrusione, chiamato in gergo tecnico anche «penetration test», hacker etici attaccano l’infrastruttura informatica del sistema per scovare eventuali falle di sicurezza. L’esecuzione ripetuta di questi test di sicurezza pubblici è prevista dalle basi giuridiche relative al progetto pilota legato al voto elettronico.
Dal 2022 la Posta sottopone ogni anno il suo sistema di voto online, completamente verificabile, a un test di intrusione pubblico. Nell’ultimo test, condotto nell’estate 2023, hanno partecipato circa 2600 persone interessate, mettendo alla prova il sistema con oltre 50’000 attacchi. La Posta ha potuto confermare un risultato di gravità «bassa».
Perché le verifiche di sicurezza pubbliche sono efficaci per una maggiore sicurezza cibernetica? Quali misure supplementari sono consigliabili?
Scoprite i consigli utili nel white paper Sicurezza dei dati: