2.3 Ragionare secondo blockchain
2.3.1 Blockchain: modus operandi e prospettive applicative
Sotto un profilo tecnico-informatico si ritiene che la blockchain sia paragonabile (in un’ottica digitale) ad un libro mastro 199
distribuito ed accessibile per chiunque.
La blockchain si compone, essenzialmente, di tre elementi costitutivi:
1. la transazione, che contiene le informazioni inerenti: l’indirizzo pubblico del ricevente, le caratteristiche della transazione, nonché la firma crittografica (atta a garantire la sicurezza e l’autenticità della transazione stessa). La suddetta firma crittografica si fonda su un meccanismo di
M. Castellani - C. Triberti - P. Pomi - A. Turato, op. cit., p. 51.
198
Come è noto, il libro mastro è un registro che riporta in modo sistematico
199
(non cronologico, come per il libro giornale), tutti i conti movimentati dall’azienda, ed è per ciò una scrittura contabile.
chiave asimmetrica 200, che richiama quello della firma digitale. “Una blockchain di crypto currency, ad esempio, essendo nata per tracciare transazioni economiche, memorizzerà, nelle transazioni, quantomeno mittente, destinatario e quantità” 201. Una volta che le transazioni validate all’interno della blockchain (tramite un marcatore temporale, c.d. timestamp) saranno registrate, diventerà piuttosto arduo modificare i dati ormai inseriti;
2. il blocco, che è formato da un insieme di transazioni “unite per essere verificate, approvate e poi archiviate” 202. Per identificare il blocco ed il suo contenuto in maniera univoca, si ricorre ad un hash 203 unico, che non solo garantisce il legame tra i vari blocchi, ma costituisce (al tempo stesso) una garanzia contro i rischi connessi alla contraffazione della blockchain nel suo complesso. Infatti, essendo l’hash calcolato
La chiave asimmetrica (o pubblica, in contrapposizione alla chiave
200
simmetrica o privata) è stata inventata da Whitfied Diffie e Martin Hellman nel 1976. Si tratta di un sistema crittografico fondato su una coppia di chiavi, di cui una viene utilizzata solo per cifrare e l’altra per decifrare. Si parla, infatti di meccanismo asimmetrico proprio perché: un capo della comunicazione può solo trasmettere e l’altro può solo ricevere. La coppia di chiavi è formata da una chiave privata (che è nota solo a chi la possiede) e da una pubblica (disponibile per chiunque), ed entrambe possono essere utilizzate per criptare e decifrare. Il vantaggio del meccanismo a chiave asimmetrica consiste nel fatto che, pur conoscendo la chiave pubblica non è possibile risalire alla chiave privata e quindi non è dato conoscere il contenuto di quella stessa chiave); tuttavia lo svantaggio consiste nel fatto che l’iter di cifratura è piuttosto complesso, pesante e lento nell’esecuzione. A tal proposito: M. A. Biasotti - G. Sartor - F. Turchi, op. cit., pp. 50-51.
M. Castellani - C. Triberti - P. Pomi - A. Turato, op. cit., p. 19.
201
Ivi, p. 20.
202
L’hash è una funzione algoritmica informatica non invertibile che mappa
203
in base al contenuto del blocco, un eventuale cambiamento interno al blocco stesso determinerà una modifica dell’hash. Segnatamente, essendo ogni blocco formato dal proprio hash e da quello del blocco precedente 204, si può dedurre che l’hash è all’origine della catena, della c.d. chain. Ne deriva che: ciascun blocco presenta più transazioni e dispone di due hash;
3. il ledger, che rappresenta un registro pubblico all’interno del quale (nel rispetto della trasparenza e della immutabilità) vengono stigmatizzate tutte le transazioni, secondo un andamento ordinato e sequenziale. “Il ledger è costituito dall’insieme dei blocchi collegati e legati tra loro tramite una funzione di crittografia e grazie all’uso dell’hash” .205
Tuttavia la tecnica dell’hashing non rappresenta l’unico strumento capace di arginare i rischi e le problematiche connesse alla manomissione della blockchain, ed al conseguente problema relativo alla creazione repentina di nuovi blocchi. Si pensi, a tal proposito, al Proof-of-Work (PoW), ossia un algoritmo di consenso alla base della blockchain. Grazie a questa tecnica verrà attuato un meccanismo, capace di rallentare la produzione di nuovi blocchi (successiva alla conferma delle transazioni). Per esempio, per quanto riguarda il bitcoin, si richiedono circa 10 minuti per calcolare il PoW ed aggiungere un nuovo blocco alla catena; questa tecnica complica la manomissione dei blocchi,
Fatta eccezione per il primo blocco, definito genesi.
204
M. Castellani - C. Triberti - P. Pomi - A. Turato, op. cit., p. 23.
“perché se si manomettesse un blocco, sarebbe necessario ricalcolare il PoW per tutti i blocchi seguenti” . 206
Per garantire la sicurezza della blockchain, il ventaglio di tecniche potenzialmente esperibili non si limita all’hashing o al PoW, ma si estende anche alla natura peer-to-peer della catena stessa. Difatti, la gestione della catena non è rimessa ad un’unità centrale, bensì a vari peer (cc.dd. nodi) che partecipano nella blockchain. All’interno di questa Rete (nell’ottica di garantire non solo la sicurezza, ma anche la trasparenza), si prevede che ogni nodo abbia la possibilità di prendere atto di un’eventuale manomissione del blocco, respingendo dalla Rete i nodi che sono stati manomessi. Ed è proprio da questa constatazione che si comprende la ratio dell’affermazione, secondo cui: tutti i nodi della rete creano consenso. A tal proposito è bene specificare che la logica di base è la c.d. distributed ledger: ossia una logica distribuita rivoluzionaria, in cui la governance non è ascrivibile ad un unico server centrale 207, ma si estende (proponendo un nuovo concetto di trust) a tutti i soggetti della Rete, per cui: “nessuno prevale e la decisione è presa attraverso un rigoroso processo di consenso” . 208
M. Castellani - C. Triberti - P. Pomi - A. Turato, op. cit., p. 24.
206
Come avviene nel caso della logica più comune del centralized ledger, che si
207
fonda su un rapporto centralizzato uno-a-tanti a favore di un unico soggetto centrale; oppure nel caso della logica del decentralized ledger, che ripropone sempre un rapporto centralizzato, ma a livello locale con satelliti. A tal proposito: Ivi, p. 28.
Ivi, p. 29.
La blockchain non ha ancora raggiunto l’apice del proprio potenziale, determinando una situazione di stallo tra comprensione della tecnologia e conseguente applicazione della stessa. Tra i paesi che hanno maggiormente investito in blockchain si può sicuramente annoverare il ruolo di pioniere assunto dagli USA, senza tralasciare -in un’ottica pronostica- la potenziale leadership che assumerà la Cina negli anni a venire. Tuttavia, per rendere possibile il superamento di questa fase di transizione ed ibrida, è necessario soddisfare “quattro step:
-
creazione del business case- la chiarezza sulla strategia sicura che l’iniziativa abbia uno scopo di business delicato per capire i benefici dei partecipanti;-
costituzione dell’ecosistema- la blockchain richiede lacooperazione e partecipazione di varie entità in modo diverso per risolvere in maniera innovativa le tematiche del business;
-
disegno dell’ingaggio- determinazione delle regole del gioco all’interno della blockchain;-
governo dell’incertezza normativa- sicuramente sul latonormativo ci saranno delle evoluzioni, per questo motivo ci si deve muovere con agilità per poter seguire i cambiamenti che verranno” .209
I principali fattori che fanno ostacolano l’adozione e l’apertura nei confronti della blockchain (nonostante il forte livello di interesse registrato tra gli studiosi e gli investitori), sono
M. Castellani - C. Triberti - P. Pomi - A. Turato, op. cit., p. 35.
sostanzialmente tre: in primis l’incertezza normativa (che in termini percentuali rappresenta il 48% di questo sentimento di scetticismo piuttosto diffuso); in secundis la sfiducia degli utilizzatori (laddove, invece, il trust è emblematico ed ontologico, ragionando in termini di blockchain); in terzo luogo la collaborazione.
2.3.2 E-voting e blockchain: profili giuridici
Sebbene la blockhain costituisca un punto di partenza all’avanguardia, persistono innumerevoli dubbi rispetto alla sua applicazione in tema di e-voting. Segnatamente, in questi casi, risulta critico distinguere: le potenzialità effettive della tecnologia, dalle semplici illusioni.
Tra le principali problematiche inerenti il rapporto e-voting e blockhain, si può annoverare: l’identificazione degli elettori, ma sopratutto la tutela della segretezza del voto stesso. “Una persona, per esempio, potrebbe essere minorenne o non avere diritto di voto per altre ragioni e come si può sapere se invece non abbia votato? Inoltre, come si può essere sicuri che non si siano creati più address per votare più volte? Se lo Stato fornisse un address specifico per effettuare la votazione, per esempio, la persona sarebbe di conseguenza identificata, e quindi verrebbe
meno l’anonimato, con potenziali problemi di corruzione” . Il 210
motivo essenziale da cui scaturisce il sentimento di forte scetticismo nei confronti del voto elettronico tramite blockchain,
T. Palmisano, op. cit.
consiste nel fatto che “il voto deve essere segreto, verificabile e non può essere oggetto di scambio (…). La catena a blocchi, questo registro distribuito (…) garantisce l’immutabilità delle registrazioni e un’elevata affidabilità nelle transazioni, ad esempio di monete -come i bitcoin-, ma le transazioni sono pseudoanonime, nel senso che è sempre possibile risalire al portafoglio di chi partecipa alla transazione pur senza sapere di chi si tratti. Può funzionare per certificare il voto? Chi mi garantisce che votando da casa con la blockchain io non sia ricattato da qualcuno che mi alita sul collo?” . 211
E’ noto che le piattaforme di voto elettronico finora sperimentate, soffrano di alcune criticità in termini di garanzia di una corrispondenza tra l’autentica volontà dei cittadini (intesa non solo con precipuo riferimento al singolo cittadino, ma anche con riferimento ai cittadini nel loro complesso) ed i risultati ufficiali della loro consultazione. Seguendo questo ragionamento, è possibile individuare una duplice dimensione della segretezza:
-
privata, riferibile a tutte le misure finalizzate a “mettere il cittadino-utente della tecnologia di voto nella condizione di esprimere e far valere liberamente la sua volontà politica” , 212scongiurando i rischi connessi a coercizioni, controlli ed altre interferenze esterne. In questi casi la sicurezza delle
A. Di Corinto, I tanti dubbi sul voto elettronico tramite Blockhain che Casaleggio
211
deve chiarire, in www.agi.it, 9 marzo 2019.
G. Gometz, M. T. Folarin, Voto elettronico presidiato e blockchain, in Ragion
212
tecnologie di voto si attua ricorrendo ad accorgimenti finalizzati a garantire l’anonimità e la segretezza del voto;
-
pubblica, atta a neutralizzare pratiche e artifizi diretti ad alterare il risultato ufficiale del voto e la libera scelta dell’elettore. Tra i principali meccanismi che fanno da corollario alla segretezza pubblica, ricordiamo quelli relativi: all’accreditamento degli aventi diritto , all’uguaglianza del voto 213, all’integrità dei voti espressi, alla regolarità del loro computo, nonché alla verificabilità “del regolare e del corretto funzionamento delle misure di sicurezza (…). In linea ideale, tale verificabilità dovrebbe essere pubblica e generalizzata; si dovrebbe cioè consentire a tutti di controllare la regolarità di tutte le fasi del processo di voto elettronico. Questo controllo pubblico dovrebbe operare non solo sul piano istituzionale, tramite apposite autorità che operano d’ufficio e/o su istanza di parte, ma anche al livello dei singoli cittadini, attraverso strumenti predisposti ad hoc” . 214Le problematiche si fanno sempre più pregnanti con riferimento al voto elettronico non presidiato 215 (ossia il voto espresso mediante Internet), che esclude ogni forma di supervisione pubblica al momento dell’esercizio del suffragio. Non a caso, nei paesi in cui sono contemplate delle soluzioni di i-voting, è
Attraverso l’uguaglianza del voto si vuole scongiurare il rischio di voti
213
plurimi (e dunque l’ipotesi in cui un voto valga più di un altro) o multipli (ossia il caso in cui il diritto di voto venga esercitato più volte).
G. Gometz, op. cit., p. 319.
214
Detto anche i-voting, voto online o Internet voting.
prevista la regola del doppio binario, secondo cui: “il voto elettronico non presidiato viene previsto non in via esclusiva, ma come opzione aggiuntiva al voto presidiato, che prevale rispetto alle preferenze eventualmente espresse in precedenza per via elettronica, in modo che il cittadino abbia sempre la possibilità di ricorrervi per votare nel segreto giuridicamente garantito della cabina elettorale” 216. Considerato, dunque, che l’unica forma di voto elettronico ammissibile, prevede che il voto sia presidiato, integro, verificabile e trasparente (compatibilmente con i principi di personalità, libertà, segretezza e parità del voto) , sono stati realizzati dei sistemi 217
di i-voting, cc.dd. BEV (ossia blockchain-enabled e-voting). Segnatamente “nei sistemi BEV, la possibilità di aprire la blockchain a tutti i partecipanti alla votazione consente loro, in linea teorica, di controllare che il proprio voto sia effettivamente presente e che non sia stato modificato, cancellato o aggiunto illegittimamente da terzi” . 218
G. Gometz, op. cit., p. 320.
216
Quanto all’accreditamento sicuro degli elettori si stabilisce che: nel voto
217
presidiato, i votanti siano identificati personalmente e autorizzati al voto da pubbliche autorità, i quali dovranno accertarsi del fatto che solo gli aventi diritto votino, e solo una volta ciascuno, in speciali postazioni schermate ubicate presso i seggi elettorali. Questo step può svolgersi ricorrendo a procedure tradizionali (servendosi di registri elettorali, documenti cartacei presentati al personale di seggio ecc.), oppure con l’ausilio di un collegamento a un sistema pubblico di identità digitale (laddove operativo) utilizzando specifiche credenziali, o il riconoscimento biometrico, oppure smartcard o simili. Quanto all’anonimità del voto, sono richieste misure di sicurezza atti ad impedire l’associazione del contenuto dei singoli voti agli individui che li hanno espressi. Con riferimento all’integrità del voto, si prevede che ogni voto sia contato regolarmente e non subisca alterazioni, duplicazioni o eliminazioni dopo la sua espressione.
Ivi, p. 321.
In particolare, sono stati realizzati due sistemi BEV presidiati:
1. il primo modello è stato ideato nel 2017 da Ahmed Ben Ayed, il quale ha realizzato un sistema BEV presidiato applicabile alle elezioni locali o nazionali. Si tratta di un modello a blockchain multipla 219, capace di assicurare sufficienti livelli di integrità e anonimità dell’e-voting, “sebbene l’accreditamento al voto dell’elettore non sia direttamente incluso nel modello” 220. Infatti, secondo l’autore, la verifica delle informazioni e dei documenti personali che riposi in una dimensione virtuale (e quindi online), non è in grado di assicurare il livello di sicurezza richiesto. Questa constatazione affonda la propria ratio nel fatto che tali modelli sono maggiormente esposti ai cc.dd. attacchi Sybil, ossia attacchi finalizzati a generare un numero elevato di identità false, registrando un picco altissimo di voti illegittimi;
“Questa soluzione di BEV è caratterizzata dal fatto che ad ogni opzione di
219
voto (candidati, liste o, nei referendum, la scelta sì/no) corrisponde univocamente una blockchain distinta da quella associata alle altre opzioni, con un’ulteriore blockchain destinata a raccogliere i voti corrispondenti alla scheda bianca. Ogni voto espresso tramite le interfacce degli appositi dispositivi viene infatti concatenato nella blockchain corrispondente alla opzione di voto prescelta come una transazione distinta, occupante un intero blocco. La peculiare connessione di ciascun blocco al precedente, tipica della blockchain, rende immediatamente rilevabile qualsiasi tipo di manomissione e garantisce pertanto buoni livelli di integrità del voto. Ad aumentare la sicurezza del sistema contribuisce il fatto che tutte le blockchain sono decentralizzate in uno o più nodi distrettuali, quindi non basate su un unico punto a rischio di errore critico. Il modello prevede che al termine delle operazioni di voto le blockchain siano rese pubbliche, in modo da poter essere verificate da chiunque nella loro integrità e nel numero di transazioni/voti che ciascuna contiene”. A tal proposito: G. Gometz, op. cit., pp. 323-324.
Ibidem.
2. il secondo modello BEV è stato presentato (sempre nel 2017) da Giovanni Di Ciollo, il quale ha cercato di assicurare (attraverso questa sperimentazione): anonimità, integrità e trasparenza del voto elettronico presidiato da un lato, e verificabilità pubblica dall’altro. Per realizzare questo modello, Di Ciollo ha fatto ricorso all’utilizzo di un software open source, ed ha ideato un’unica blockchain privata. In particolare il sistema prevede che ciascun elettore, nel momento in cui esprime la propria preferenza (recandosi direttamente al seggio e ricorrendo all’utilizzo un apposito computer controllato e dislocato presso ogni comune), sia munito di una tessera elettorale elettronica. Quest’ultima dovrà contenere un chip criptato, recante un numero univoco di identificazione, che -insieme ad un seed- 221 consentirà di “creare una coppia di chiavi crittografiche non visualizzabili, né conoscibili dal votante in alcuna fase del processo di voto e tuttavia a lui riferite univocamente. Al momento del voto, il client dovrà verificare che lo stesso seed non sia già stato adoperato per generare una coppia di chiavi impiegata per
una transazione valida” 222. In tal caso, si impedirà
l’operazione elettorale. Una volta che il voto è stato legittimamente espresso, sarà convertito in token, ricorrendo all’utilizzo, alternativamente, di: “un modello a indirizzi multipli e token singolo, o di un modello a indirizzo singolo e
Un seed è un valore arbitrario.
221
G. Gometz, op. cit., p. 325.
token multipli” 223. Alla fine della procedura elettorale, una volta eliminate le coppie di chiavi utilizzate per la transazione, si può procedere ad un verifica relativa al numero dei votanti e di voti assegnati a ciascuna opzione di voto. “Anche in questo caso, risultando impossibile associare una data transazione a una particolare persona fisica, non è tuttavia possibile verificare ex post che il proprio voto risulti presente nella blockchain: occorre confidare sul fatto che l’operazione di voto compiuta al seggio tramite il client BEV risulti in una transazione effettivamente registrata dal sistema” . 224
Come emerge dalla disamina dei suddetti modelli BEV presidiati, si tratta di sistemi che si propongono di tutelare la piena e libera manifestazione del diritto di voto, quale massima espressione della democrazia e della sovranità popolare. Questi modelli, pur se con le dovute distinzioni, rivolgono il proprio focus applicativo alla garanzia ed al pieno riconoscimento: non solo dei requisiti stigmatizzati nella Costituzione, ma anche dell’integrità, anonimità e verificabilità del voto. La stessa
In particolare: “nel primo caso, la transazione di voto consisterà nel
223
destinare un token uguale per tutti i votanti all’indirizzo corrispondente alla propria preferenza, e il risultato della consultazione verrà determinato conteggiando le singole transazioni avvenute verso ciascun indirizzo. Nel secondo caso, vi saranno tanti token di valuta quante opzioni di voto, compresa la scheda bianca, e ciascun votante verrà dotato di un’unità token corrispondente alla sua preferenza, che sarà trasferita a un unico indirizzo; i risultati della votazione saranno determinati e verificati controllando le differenti quantità di token spesi verso l’indirizzo destinatario delle votazioni”. G. Gometz, op. cit., p. 326.
Ibidem.
cautela, tuttavia, non ha trovato riscontro rispetto alla verificabilità ex post (relativa al corretto conteggio della preferenza elettorale) quale principale movente dell’utilizzo della blockchain ai fini elettorali.
In alcuni ordinamenti, quali quello estone 225 (per quanto quest’ultimo non sia basato su un sistema di i-voting secondo blockchain), al fine di trovare un punto di incontro tra le esigenze coinvolte, “si è attribuita all’elettore la possibilità di verificare che il proprio voto sia stato effettivamente conteggiato, senza tuttavia consentirgli di documentare veridicamente all’esterno il contenuto del suo voto” 226. Questo meccanismo è stato reso possibile dal fatto che il voto espresso dall’elettore viene criptato dallo stesso software utilizzato per esprimere la preferenza, prevedendo l’apposizione di una firma digitale, così da certificare la provenienza del voto criptato, rendendolo inintelligibile a terzi. Il voto resta cifrato fino al momento dello spoglio, quando, prima di essere decifrato, “viene separato dai dati della firma digitale in modo da non consentire la sua associazione al votante che l’ha espresso” 227. Tale procedura richiede, inevitabilmente, un coinvolgimento delle autorità, non solo per decifrare i voti espressi, ma anche in sede di conteggio degli stessi. Tuttavia, la suddetta constatazione contrasta con la verificabilità c.d. end-to-end (ossia dall’inizio alla fine) riservata al singolo cittadino e finalizzata ad arginare il più possibile il
Per approfondimenti relativi al modello estone: infra capitolo 3.4.
225
G. Gometz, op. cit., p. 327.
226
Ibidem.
ruolo delle autorità pubbliche. Ciò implica che, nei sistemi BEV si viene a generare un trade-off “tra la segretezza del voto per via elettronica e la verificabilità dei risultati da parte dei singoli votanti, che deriva per l’appunto dall’asserita impossibilità di garantire simultaneamente la segretezza delle votazioni e la verificabilità dei risultati da parte degli utenti” 228. Si tratta del dilemma c.d. Wahlcomputerproblem che trova tendenzialmente una soluzione nel sacrificio della verificabilità a garanzia di una maggior segretezza, mettendo l’elettore nella condizione di essere avulso da qualunque forma di coercizione o “mercimonio delle preferenze politiche” . 229
Per concludere, possiamo affermare che nonostante la blockchain presenti caratteristiche di inalterabilità, è comunque esposta ad attacchi. Difatti il rischio di una manipolazione elettronica è potenzialmente superiore e maggiormente incontenibile, rispetto alla falsificazione del voto cartaceo 230. L’insorgere di queste questioni ha spinto i governi ad abbracciare nuove tipologie di sperimentazione, consistenti in transazioni commerciali a corto raggio, “affiancando gli sforzi legislativi ad attività di ricerca e a progetti per comprendere come impiegare