Nel 2021 la Posta ha pubblicato tutti i componenti essenziali e i documenti relativi al suo sistema di voto elettronico completamente verificabile. Nell’ambito del programma di community sul voto elettronico, ha invitato figure esperte di informatica provenienti da tutto il mondo per verificare la presenza di eventuali vulnerabilità nel sistema. Si tratta di uno strumento di cibersicurezza collaudato ed efficace su cui la Posta punta in parallelo a controlli di sicurezza interni e commissionati a terzi. Da allora, un gran numero di esperte ed esperti di crittografia e informatica e di hacker etici ha esaminato a fondo il sistema e inviato alla Posta oltre 300 segnalazioni. I risultati confermati vengono classificati secondo la gravità «bassa», «media», «elevata» e «critica». Dal 2021, durante la verifica pubblica sono state individuate finora cinque falle con gravità elevata, nel frattempo risolte dalla Posta, ma non sono mai stati segnalati risultati critici.
Il lavoro ricompensato
I controlli di sicurezza sono impegnativi. La Posta prevede quindi di ricompensare economicamente le e gli hacker etici che controllano i sistemi, ma che non sono vincolati da un rapporto contrattuale, nel cosiddetto «programma bug bounty», nell’ambito del quale specialiste e specialisti informatici vengono invitati a esaminare sistemi IT per verificare la presenza di falle di sicurezza ricevendo in cambio una ricompensa per le lacune individuate. Dall’inizio del programma relativo al sistema di voto online, la Posta ha corrisposto per le falle confermate circa 200’000 franchi. Ora la verifica pubblica entra in una nuova fase e la Posta ha deciso di aumentare del 50-100% le ricompense per le lacune individuate in tutti i livelli di gravità (scala CVSS).
Velocità e perseveranza ripagano
Le nuove ricompense saranno corrisposte per la prima volta nell’ambito del test di intrusione pubblico di quest’anno, che inizia oggi e durerà fino al 3 luglio, e coinvolge persone interessate ed esperte di informatica in ogni parte del mondo. Mettersi subito all’opera con questi test approfonditi vale doppiamente la pena: solo la prima persona che segnalerà una vulnerabilità riceverà una ricompensa. Inoltre, le tre o i tre hacker etici più veloci impegnati nel test di intrusione in corso riceveranno, oltre alla normale ricompensa secondo il livello di gravità, un bonus di circa 3000 franchi se troveranno come migliorare il sistema o individueranno una falla di sicurezza.