Modelli
Il modello delle procedure elettorali
Introdurre nuove tecnologie in ambito elettorale significa anche cambiare alcuni dei processi necessari a gestire e condurre un'elezione ed a fronteggiare aspetti di sicurezza differenti. Se con il passaggio dalla votazione tradizionale alla votazione elettronica alcune procedure possono rimanere identiche, altre invece devono essere trasformate e adattate, ed altre ancora introdotte ex novo. Nel caso elettronico, ad esempio, le procedure di scrutinio possono iniziare subito a valle della conclusione della votazione, evitando di eseguire lo spoglio manuale in quanto prevedono di estrarre i dati dalle macchine e di trasmetterli poi, tramite una rete sicura, elettronicamente.
Anche se lo scopo del voto elettronico è quello di risolvere parte dei problemi del voto tradizionale, ad esempio quello relativo al contenzioso fra le parti, esso comporta una serie di punti di attenzione maggiore, come quelli relativi alla definizione delle nuove procedure per la custodia del materiale elettronico o lo studio delle minacce che mirano ad alterare i risultati elettorali. Da qui l'esigenza di condurre uno studio sul miglioramento delle tecnologie di votazione elettronica così come sui processi elettorali: partendo dal concetto ampio e generale di elezione si procede, attraverso raffinamenti di dettaglio crescente, alla comprensione degli aspetti legati all'elezione tradizionale, marcando le procedure su cui intervenire, stabilendo il materiale che deve essere ricevuto e consegnato, i controlli da effettuare e le responsabilità da assegnare ai diversi protagonisti. Il risultato di questa analisi è un modello che definisce a livello operativo le fasi che precedono, realizzano e seguono l'elezione e come esse cambino rispetto al sistema tradizionale.
Questo modello è il punto di partenza per lo studio finalizzato alla comprensione delle vulnerabilità cui l'implementazione tecnologica e le suddette procedure sono soggette: queste includono l'analisi di attacchi interni (come può essere la corruzione di un membro di seggio) o esterni (quali ad esempio gli attacchi conducibili via rete al sistema di ripartizione o ancora l'alterazione del software di una macchina di voto). Individuate le potenzialità e le risorse per condurre gli attacchi al sistema, si stabiliscono le categorie di rischio, che spaziano dall'essere altamente possibili all'estremamente improbabili, da pericolose a ininfluenti. Fra queste si devono poi scegliere quelle che rientrano in un ragionevole intervallo di probabilità e criticità e alzare le opportune difese, che possono richiedere miglioramenti tecnologici, procedurali o entrambi. Per fare un esempio, un aggressore al sistema che riuscisse ad impadronirsi di una copia dei voti digitali non rappresenterebbe una minaccia grave se questi ultimi sono solidamente criptati, e uno che pur riuscisse a cambiare il software di voto dovrebbe anche preoccuparsi di alterare le prove cartacee, che sono controllate dai singoli elettori, e di sfuggire alle specifiche procedure di controllo della versione installata.
Il valore aggiunto del modello dei processi e delle minacce appare evidente: esso permette di giustificare le scelte effettuate, può essere diffuso per portare a conoscenza della cittadinanza dei meccanismi che regolano un'elezione, e può divenire uno strumento per guidare gli attori che sono coinvolti in un'elezione (elettori, candidati, rappresentanti di lista,...) attraverso le operazioni da svolgere.