Coincidence? West, wake up!
“Self-driving cars are here”
https://medium.com/@andrewng/self-driving-cars-are-here-aea1752b1ad0
[Google Assistant executive] Huffman suggested the machine could say something like, “I’m the Google assistant and I’m calling for a client.”
Da un parte c’è la necessità di essere uniti e solidali – evitando critiche interne e negando anche l’evidenza – fino alla metà della conquista del potere. Ciò è a maggior ragione necessario nel contesto attuale di forte inferiorità rispetto ad avversari in termini di risorse economiche, mediatiche e di legami con poteri forti.
Da una parte c’è la necessità diammettere gravi errori e prospettare come rimediarvi, rispetto alla (A) grave carenza sicurezza, fruibilità e trasparenza della Piattaforma Rousseau – e assenza di voto di persona per chi vuole la privacy o non digitali – e (B) ad alcune clausole fortemente autarchiche nel nuovo statuto del M5s che accentrano un forte potere in chi gestisce o hacker la Piattaforma o l’associazione Rousseau.
Ecco come Martin Buber riassunse questo dilemma: “Per la natura delle cose, non ci si puà aspettare che spuntino foglie da un piccolo albero che è stato trasformato in un bastone” (“One cannot in the nature of things expect a little tree that has been turned into a club to put forth leaves.”)
Gli ultimi gravi sviluppi relativi a Rousseau e lo statuto, rendono quest’ultima esigenza essenziale per non perdere gli attivisti e candidati migliori e grandi fette di elettorato che – basta leggere ovunque nei social – stanno consolidando dubbi sulle competenze di chi gestisce Rousseau e ha deciso lo statuto, che sono talmente enormi da portare un buon numero a dubitare della loro buona fede, e di conseguenza di chi lo avalla dicendo: “tutto bene”.
Ma per fortuna c’è sia modo di fare pubblica autocritica, mantenere l’anima del movimento, e al contempo migliorare le proprie possibilità di vittoria!
In un post del 16 agosto Grillo ripostò integralmente un mio commento che da una parte parlava della “gestione pessima ad oggi della cybersicurezza interna da parte del M5S” e dei rischi che essa portava al movimento ed al paese, e concludevo dicendo:
Come può l’M5S salvarsi da tale stillicidio e le sue conseguenze?
Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.
Ad esempio il programma M5S per la Regione Lazio e per l’Italia in tema di cybersicurezza, dove il movimento potrebbe essere esteso a dire quanto segue.
SULLA PARTECIPAZIONE ONLINE E CYBERSICUREZZA
Rispetto alla grave carenza sicurezza, fruibilità e trasparenza della Piattaforma Rousseau potrebbe dire:
“La [Nazione o Regione] implementerà gradualmente estesi programmi di partecipazione onnline dei cittadini, complementari a processi di persona, con i massimi standard internazionali di sicurezza, privacy, trasparenza, fruibilità e facilità d’uso.
Si farà tesoro di quanto l’M5S e la comunità di esperti in Italia hanno potuto imparare dall’esperienza dalle recenti implementazioni in larga scala di tecnologie di partecipazione in Italia, unica per scala, importanza e per livelli di criticità.
In primis, si andranno ad allocare risorse adeguate per rispondere alla necessità congiunta di rispondere a minacce cibernetiche di attori statali determinati e la capacità di gestire alti flussi di utenti.
Si implementeranno processi indipendenti e trasparenti di verifica prima, dopo e durante, in eccesso dei massimi standard internazionali per procedure di voto.
Si promuoverà la partecipazione e consenso da parte della comunità di attivisti ed esperti per la sicurezza informatica e i diritti civili digitali.”
Nel nuovo statuto del M5S il ruolo centrale dell’Associazione Rousseau, di cui pochissimo si sà, è “incorporata”, e quindi non rimuovibile, e inoltre ogni eletto ha obbligo di usare la sua Piattaforma come primario mezzo di comunicazione e azione politica, (anche se si dice pure che altri strumenti telematici potranno essere autorizzati).
Inoltre lo statuto, praticamente, prevede che in caso di attacchi (interni e/o esterni) alla Piattaforma Rousseau di Denial-of-Service-Attack – ovvero che ne limitano radicalmente la fruizione – vengano impedite modifiche allo statuto. L’elevatissimo rischio di duraturi attacchi interni e/o esterni, acuiti da effettiva incompetenza e pochi fondi, sono fortmente acuiti da una eventuale voluta perdurante incompetenza interna che – con enormi lentezze, problemi tecnici, bassissima usabilità e pessima fruibilità – possono virtualmente impedire che voti più della metà degli iscritti e quindi si possa modificare lo statuto.
In nuovo Statuto M5S recita infatti:
“Le votazioni aventi ad oggetto le modifiche del presente Statuto sono valide, in prima istanza, solamente qualora vi abbia partecipato almeno la maggioranza assoluta degli iscritti, in seconda istanza qualunque sia il numero dei partecipanti, e in ogni caso sono assunte a maggioranza dei voti espressi.
…
Entro 5 giorni, decorrenti dal giorno della pubblicazione dei risultati sul sito dell’Associazione, il Garante può chiedere la ripetizione della votazione che, in tal caso, s’intenderà confermata qualora abbiano partecipato alla votazione almeno la metà più uno degli iscritti.”
Urge una modifica statutaria urgente, da chiedere a gran voce prima che i migliori abbandonino il progetto, per evitare questa deriva dittatoriale che porta il M5S as essere uno strumento in mano a Associazione Rousseau e/o chi la hackera da dentro o da fuori.
Di recente, il Movimento 5 Stelle ha approvato un nuovo statuto che rende alla lunga i ruoli di sgretario e financo di garante eleggibili. Altresì inserisce nello statuto, e quindi immodificabile, un ruolo determinante della Piattaforma Rousseau ed anche un obbligo per gli eletti M5S ad utilizzarla come mezzo di comunicazione primario.
Essendo tale piattaforma gestita senza i benchè minimi principi di trasparenza e controllo da parte degli iscritti, chi la controlla, gestisce e sviluppa ha l’enorme potere di scegliere le funzionalità, regole di discussione, interfaccia, policy di discussione, livelli di sicurezza, e potenzialmente accesso diretto a lettura e potenzialmente modifica dei dati.
E’ comprensibile che ci sia un controllo centrale di gestione della piattaforma ma – in democrazia e ancor più in democrazia diretta – chi le controlla dovrebbe essere anch’esso eleggibile – poichè ha un potere comparabile o maggiore di quello del segretario e del garante – e in più sottostare a regole e limiti – di trasparenza e responsabilità – definiti dagli elettori M5S e dagli iscritti alla piattaforma o da comitati da esso eletti.
Ho ritrovato lo statuto della associazione Telematics Freedom Foundation (copia sito del 2014), fondata nel 2008 da me, Arturo di Corinto e Vera Simsic per promuovere i medesimi obiettivi della Associazione Rousseau, a corredo del progetto della Lista Partecipata.
Esso prevedeva – cosa legale in Italia per associazione non riconosciuta – che il potere sull’associazione passi agli utenti del servizio telematico di deliberazione non appena essi superino un certo numero, nel nostro caso erano 10.000 unità.
Di seguito un estratto dal capitolo “5. Categorie di Associati” dello statuto di TFF approvato di tale associazione nel suo atto costitutivo (pdf) recita:
Gli associati vengono classificati in distinte categorie:
Gli iscritti del Movimento 5 Stelle che hanno a cuore la democrazia interna dovrebbero richiedere tale modifica statutaria.
Le donazioni che l’Associazione Rousseau è riuscita ad attrarre per la sua piattaforma fino ad oggi (€480.415) , ormai dopo molti mesi, sono radicalmente insufficienti per il tipo di investimenti e le competenze necessarie per la realizzazione di una infrastruttura informatica che possa raggiungere pienamente i suoi obiettivi di democratizzazione del sisema politico, e mitigare fortemente i forti rischi alla sovranità del paese, degli iscritti e del movimento, che derivano dai livelli di sicurezza della versione attuale relativamente molto bassi in relazione al modo in cui la si viene usata (voto non palese) e per la portata delle decisione che vi si delegano (scelta candidato premier, presidente, etc).
Verrebbe da pensare che gli italiani e gli iscritti siano semplicemente tirchi o indifferenti. Ma questa conclusione si scontra con il fatto che 4 milioni di italiani si misero in fila per ore nel 2005 per donare la media di 11,5 euro a votante per finanziare i costi della nuova forma di partecipazione per le primarie dell’Ulivo, per un totale di 40 milioni di euro. Le difficoltà di finanziamento dell’Associazione Rousseau è dovuta invece alla grave mancanza di trasparenza, sicurezza, governance democratica, il suo utilizza per voto palese; e la totoale mancanza di progetto tecnologico credibile che si metterebbe in atto se si dovesse attrarre milioni di euro di donazioni.
Riteniamo quindi che donazioni di cittadini italiani ed in particolare esteri arriverebbero a decine di milioni di euro se vi fosse un progetto internazionale e credibile che credibilmente va a risolvere tali criticità, ed inoltre specificasse che l’utilizzo sarebbe limitato a permettere voto palese, mentre il voto non-palese sarebbe possibile solo per mezzo di deliberazioni di persona presso diffusi gazebi ed assemblee mensili. Ciò potrebbe ridurre radicalmente i rischi di sicurezza della piattaforma online.
Vi sono inoltre, nuove forme di finanziamento per progetti/comunità tecnologiche che sarebbero ideali per un tale progetto. Il movimento politico australiano MiVote che ha da poco lanciato una non-profit ed una startup chiamata Horizon State che ha lanciato un Initial Coin Offering (“ICO”) per finanziare la radicale investimento (benchè con piani tecnicamente molto scarsi) nella riscrittura della loro attuale piattaforma di partecipazione online, attiva da febbraio con migliaia di utenti in Australia. Altre iniziative di ICO per voto elettronico remoto includono Boule ICO. L’Associazione Rousseau e/o M5S potrebbero seguire un strategia simile, ma un progetto di sicurezza e di resilienza della governance molto più elevati, per acquisire in tempi 1-2 mesi e in maniera decentralizzata e democratica risorse per decine di milioni di euro per fare un enorme salto di qualità nella infrastruttura di partecipazione.
Ma una tale iniziativa, avrebbe poca attrattiva sull’attuale mercato dell’ICO, che è tipicamente trainato dagli investimenti e la comunicazione di piccoli e medi investitori in criptovalute della prima ora, che ricercano il mantra della decentralizzazione e dell’opensource della blockchain. Associazione Rousseau e Movimento 5 Stelle – da soli e con le criticità sopramenzionate – apparirebbero molto negativamente a tali soggetti per la poca competenza tecnica dimostrata, il software proprietario e la centralizzazione del controllo e dell’auditing.
Come Trustless Computing Association – e la sua startup spin-off TRUSTLESS.AI – proponiamo all’Associazione Rousseau e al M5S di partecipare alla realizzazione e fundraising delle piattaforme CivicNet e CivicChain – e relativi apparecchi client CivicPod e CivicKiosk. In costruzione da 4 anni, con partner e advisors di classe globale, essa và a realizzare una infrastruttura totalmente governata dagli utenti della stessa e da cittadini italiani selezionati a campione. In line con i Paradigmi del Trustless Computing – inseriti come requisito obbligatorio per servizi critici in proposta di legge regionale lazioale del M5S nel 2015 – ogni componente critica softare hardware sarà pubblicamente verificabile nel design sorgente, ed estremamente verificata in relazione alla complessità, in ogni componente critica fino anche al livello di CPU e della fase di fabbricazione, unicità sul panorama mondiale. Sarà completamente open source da sistema operativo in su. L’M5S sarebbe utente finale esclusivo fra partiti EU per i primi 12 mesi e partner tecnologico (UX, requisiti), in cambio di una attiva partecipazione alla parte italiana della campagna di investimento per una Initial Coin Offering da $25M
Alla soluzione e piano per l’ICO ampiamente descritti nei documenti linkati al Summary Overview disponibile di TRUSTLESS.AI, sarebbe aggiunta la capacità del previsto client device CivicPod di poter essere integrato all’interno di CivicKiosks (ch 2.2.4.2. della proposta R&D (pdf), Aprile 2016).per votazione in luoghi presenziati presso uffici pubblici, gazebo o farmacie.
La governance della piattaforma e della stessa Trustless Computing Association (“associazione non riconosciuta”) sarà, dal momento della sua prima utilizzazione continuativa di più di 10.000 utenti, completamente controllata dagli iscritti al Movimento 5 Stelle (33%) e da un campione (1000) cittadini italiani ed internazionali (33%) e investitori dell’ICO autenticati nella piattaforma (1 €, 1 voto). Esercizio di tale governance potrà avvenire (a) per mezzo della piattaforma stessa – ma solo con CivicPod privato o condiviso, o per mezzo di CivicKiosk, ed in maniera palese – oppure (b) di persona, ad eventi per lo meno mensili e con la possibilità di votare e partecipare a in maniera confidenziale.
Lanciando un progetto del genere, assieme ad un rinnovato programma per la cybersicurezza, potrebbe sospendere l’utilizzo di Rousseau senza perdere la faccia, e quindi finalmente “segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S”, come scrisse nostro Exec. Dir. Rufo Guerreschi in un commento ripostato da Grillo il 16 agosto scorso, cui fecero seguito discussioni e proposte.
Questa proposta nasce da varie intelocuzioni negli ultimi anni con l’M5S, sintetizzati in questo articolo: https://www.trustlesscomputing.org/2017/09/04/interessamenti-di-primarie-forze-politiche-e-media-italiani-alla-trustless-computing/
Because of the dogma-prone attitude of the Valley, and US in general – with its “lean startup”, the picture-perfect 4 minutes “stand up pitch”, the “Valley-style slide deck nothing else” – tons of great talents and startups have been shunned from funding for a decade or more.
Valley big shot VCs can take the merit for the explosion of the ICO model, whereby brilliant researcher, ideas, executioners and teams can get funded without spending 4-7 months fitting into the dogmas and moving the team to live within 30 minutes from a VC (mostly impractical for costs and Visa)
That said, It think lean startup method is a very good concept, its “customer development process” (i.e. user-driven innovation) is fantastic; while 95%+ of Valley people I’ve met still can’t distinguish an MVP (Minimum Viable Product) from a proof-of-concept, mockup prototype, prototype, beta product or initial product.
Collective human institutions and wisely educated humans have been proven historically to find ways to sufficiently keep on check their “black box” sides, their “drunken, stung, monkey mind”: Institutions have constitutions, when well done; while single humans has conscience, when well honed in reflection and meditation.
The same black box problem arises in the main “runtime environment” of ever more powerful AIs. We should try to replicate proven “architectures of individual and collective human wisdom”. Such architecture have allowed, in the many good case scenarios, to tackle and even enjoy runaway impredictability, while properly minimizing the suffering.
“Dopo la sottoscrizione del contratto da 23 milioni di euro per l’acquisto di 24mila tablet, parte la ricerca di 7mila assistenti per il voto: la Regione Lombardia si pepara anche così al referendum per l’autonomia del prossimo 22 ottobre. Ad assumere i 7mila “digital assistant” sarà la Diebold Nixdorf, “una società internazionale leader mondiale in digital and tech solutions”, che avrebbe l’incarico in subappalto. Per farlo si è affidata alla società Manpower, che ha iniziato il recruiting prima di Ferragosto”
“Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.”
Alla recente kermesse a Trieste ““DAL V-DAY A ROUSSEAU – DIECI ANNI DI PARTECIPAZIONE” si è scelto di identificare il Movimento con Rousseau, mettendolo prominentemente nel titolo ed anche come ad ogni singolo speaker.
Identificare il Movimento con la specifica piattaforma Rousseau – invece che con “la “partecipazione” dei cittadini, anche online” – è un enorme errore, come feci notare nel mio commento del 16 agosto ripubblicato sul Blog di Grillo, e in successivi post nel blog della Trustless Computing Association (era Open Media Cluster).
Tale scelta lega ancor di più l’essenza e il senso stesso del movimento alla successo dell’attuale versione di una piattaforma informatica – enormemente inadeguata alla criticità del suo utilizzo – nel prevenire gravi hacks temporizzati da parte di attori statali e/o molto determinati, cosa difficilissima
Dal mio commento del 16 agosto, ripubblicato dal Blog di Grillo, nonostante io abbia indicato soluzioni di breve termine, richiesto confronti ai principali interlocutori, tutti, a parte Barillari, hanno scelto di andare dritti e uniti, e rimandare a dopo la risoluzione di questo problema, e perfino la sua ammissione.
Li capisco, in qualche misura, ma è comunque un gravissimo errore a cui spero ancora vogliano porre rimedio. A tal fine, ed in linea con quanti suggerito il 16 agosto, potete trovare sul nostro blog una prima bozza di proposta partecipata di Programma di Cybersicurezza per l’Italia 2018-2023, che riteniamo doterebbe il paese e le sue forze politiche di tecnologie idonee all’eservizio della loro funzione democratica, oltre a notevoli vantaggi di sviluppo economico.
Dove sono gli esperti di sicurezza italiana che dovrebbe farsi sentire? Perchè anche quelli vicini da sempre al PD non dicono una parola e non fanno una proposta?! Forse perchè è bene tenerseli buoni che poi magari saranno al governo? Mah, si potrebbe dire che è proprio facendo così fino ad oggi che molti di essi sia assorta al riconoscimento di esperti agli occhi di media e politici …
(Questo post era originalmente un mero commento a un post del Blog di Grillo del 15 agosto 2017 a firma Associazione Rousseau. Lo scrissi sul cellulare di ritorno in auto da ritiro buddista in Toscana. Beppe Grillo lo ha ri-postatato il 16 agosto 2017 come post “ospite”, con mia somma e gradita sorpresa, ancorchè senza correggere i refusi. Segue di seguito una versione corretta di tali refusi).
Come riporta bene Raffaele Barberio, il 13 e 14 agosto, articoli in prima pagina della Repubblica descrivono, con orribile qualità ed analisi, presunti scoop su falle critiche di cybersicurezza dello stato. Essi seguono a distanza di giorni due leaks di dati acquisiti per mezzo di falle di sistemi interni M5S, misti a critiche sulla non trasparenza di tali sistemi.
Ancorché sia i sistemi critici dello stato e sia del M5S siano terribilmente inadeguati, le tempistiche e modalità di tali leaks, hacks e articoli portano a pensare che essi possano essere utilizzati per spostare decisamente l’esito delle prossime elezioni, come successo in USA e quasi in Francia.
Se immaginiamo una semplice applicazione in Italia delle dinamiche delle recenti elezioni in USA e Francia, vediamo come il sistema Rousseau può esser visto come l’equivalente nell’M5S dell’improvvido mail server della Clinton – e dei sistemi di comunicazione interna del Partito Democratico USA – che costarono elezioni alla Clinton.
Vediamo se ci sono gli elementi.
-In Usa e Russia, vi sono spesso stati capi di stato che erano ex capi dei servizi segreti (Putin, Bush senior) e in Italia ancora no.
-Minniti, per decenni a capo dei servzi e quindi della cybersicurezza, è lanciato dal governo e PD come leader dell’agenda del giorno immigrazione, e quindi come leader.
– A giugno ci fu un attacco frontale, menzognero e premeditato di Renzi in prima serata contro Angelo Tofalo, principale esponente M5S di cybersicurezza.
-La gestione pessima ad oggi della cybersicurezza interna da parte del M5S, li espone fortemente a critiche, leaks e hacks ben temporizzate, da parte di molteplici attori, per manipolare l’agenda mediatica.
Proviamo ad immaginare una possibile strategia di forze politiche e mediatiche avverse al M5S. Eccola.
Attaccando PD e Minniti con sparate di grandi hackeraggi basate sul quasi niente, la Repubblica ottiene di: (1) consolidare il tema cybersecurity come centrale per elezioni (ancorché in maniera completamente sballata), (2) legittimarsi come testata indipendente sul tema agli occhi di chi non sa del settore, senza criticare minimamente le gravi effettive falle di sicurezza dello stato PD e (3) si apre quindi il campo ad attacchi molto più mirati per rilanciare in controcanto ogni leak in un probabile futuro stillicidio sulla sicurezza sistemi M5S.
In più possono contare di essere coadiuvati, ancorché indipendemente e con fini diversi, da hacker di ogni tipo: stati esteri, hacker indipendenti simpatizzanti PD, e hacker etici simpatizzanti dei fini del M5S ma non interamente dei mezzi (come WikiLeaks e Anonymous) e fortemente critici di alcune sue pratiche digitali e organizzative autocratiche.
Come può l’M5S salvarsi da tale stillicidio e le sue conseguenze?
Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.
E se la soluzione per l’Intelligenza Artificiale fosse l’Intelligenza Collettiva?! Chissa che la chiave del successo – nel controllo umano, allineamento ai valori umanità, e redistribuzione dei benefici – dell’Intelligenza Artificiale futura è la governance delle organizzazioni umane criticalmente coinvolte formalmente (proprietà, ricerca, regulamentazione) e informalmente (hacking). Una Singularity AI positiva per la larga maggioranza degli umani, infatti, sarà niente altro che il prodotto collaterale (“by-product”) di efficaci forme di Intelligenza Collettiva transnazionale – ovvero di governance transnazionale altamente democratica e competente – in ambiti critici, a partire da: mainstream media control, cybersecurity, AI. Alla fine il problema del futuro di AI, e quindi della razza umana, non è un problema tecnologico, ma esclusivamente un problema di governance che vada a produrre e regolare tecnologie e standard di AI che realizzino le enormi opportunità della AI invece dei suoi peggiori incubi.
ENISA Threat Landscape 2016 report: cyber-threats becoming top priority
https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2016-report-cyber-threats-becoming-top-priority/
If IT security boils down to that of the weakest “link”, then what is the sense arbitrarily limiting the scope of the annual EU ENISA Cyber Threat Reports by exclude some “links” such as the entire supply chain. Why is that?!
US Defense Science Board said already in 2005: “Trust cannot be added to integrated circuits after fabrication”.
In the Thematic Landscape Hardware document, vulnerabilities introduced during the fabrication and supply chain are out of scope. They say: “According to the scoping performed in Section 1.1, supply chain security aspects which are relevant for invasive/integrated modification of hardware was not in scope of the good practice research.”
The CEO of Google DeepMind is worried that tech giants won’t work together at the time of the intelligence explosion
http://www.businessinsider.com/google-deepmind-demis-hassabis-worries-ai-superintelligence-coordination-2017-2?IR=T
Absolute must read for those that think AI Superintelligence explosion may be just science fiction or decades away. Even the largest groups that have huge economic interests in downplaying the risks of AI, are now clearly spelling out the risks and the hinting in the right direction. Conforting.
Con la conquista di 2 grandi città, il Movimento Cinquestelle ha finalmente l’occasione e le risorse per realizzare la promessa democrazia diretta, online e non, in larga scala. Il programma prevede un forte consolidamente e estenzione degli istituti di partecipazione e la progressiva estenzione a tutti i cittadini di strumenti online di partecipazione in larga scala e deliberativa – invece che meramente consultiva – al processo deliberativo dell’amministrazione comunale.
La presidente degli Stati Generali dell’Innovazione, Flavia Marzano – da 15 anni una dei leader italian delle battaglie per il software libero, formati aperti e dati aperti nella pubblica amministrazione – è stata invitata ad essere il nuovo Assessore alla “Roma Semplice” da parte della nuovo amministrazione capitolina M5S. Avrà l’onere, onore e sfida di sviluppare tecnologie e processi ICT che – non solo supportino una radicale trasparenza per combattere la malapolitica – ma vadano realizzare l’agognata democrazia diretta digitale.
La maggioranza degli esperti e giornalisti del settore pensano che l’utilizzo di software e open source della parte server, e l’applicazione del livello 3 dello SPID (Sistema Pubblico di Identità Digitale – ovvero i sistemi di sicurezza comunemente usati per i servizi bancari – possano essere sufficienti per minimizzare sufficientemente i rischi.
As esempio, il vicepresidente di Stati Generali dell’Innovazione, Nello Iacono, ha fatto delle proposte in un post del 23 giugno:
“Alcune riflessioni sulla spinta possibili per Spid: una sua diffusione rapida consentirebbe di renderlo fattore abilitante della cittadinanza digitale e della partecipazione dei cittadini, consentendo di ridurre drasticamente costi e tempi”
Similarmente, il progetto Parelon, sviluppato da volontari del M5S Regione Lazio con risorse solo volontarie e limitate, ha centrato la sua sicurezza su l’utilizzo e sviluppo in sofwtare libero (e.g. open source) e sistemi di autenticazione con chiavetta bancaria (one time password generator). Cionostante, essi ammettono come il loro sistema debba rinunciare alla confidenzialità del voto per offrirne sufficienti livelli di sicurezza. Cosa che può essere accettabile, epr scelta, per un partito, ma è costituzionalmente vietato per il voto politico e amministrativo.
Molti fanno riferimento al voto elettronico online della Estonia (patria dell’attuale Commissioner IT della EU) oppure in qualche zona della Svizzera a livello semisperimentale.
Gli obiettivi e l’idea di base sono di tali proposte sono encomiabili: far si che il desiderio di alcune nuove amministrazioni di espandere in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva -utilizzando i nuovi standard per transazioni e comunicazioni informatiche private e sicure, lo SPID, Sistema Pubblica di Identità Digitale – possa essere sfruttata inoltre per: (a) rendere più semplice ed economica l’interazione del cittadino con l’amministrazione; (b) diffondere fra i cittadini tale SPID, in modo da possa rendere più efficienti le transazioni economiche ed realizzare risparmi potenzialmente enormi di denaro pubblico derivanti dalla dematerializzazione di servizi della pubblica amministrazione.
Tale obiettivi, d’altronde, si scontrano con il fatto che vi è un largo consenso fra i massimi esperti di sicurezza informatica al mondo che anche il terzo e massimo livello dello SPID – come anche ogni altro standard di sicurezza esistente, finanche quello per l’ICT abilitato a trattare segreto di stato – forniscono livelli di sicurezza o privacy che sono ad oggi molto lontani dal fornire garanzie sufficienti contro abuso di larga scala di sistemi di voto online o partecipazione deliberativa online dei cittadini, come ad esempio quello di propossa e sottoscrizione di una proposta di legge ad iniziativa popolare. L’associazione Verified Voting, che aggregò gli esperti sopramenzionati, spiega bene perchè le tecnologie e metodi di sicurezza che usiamo per le transazioni bancarie, controintuitivamente, sono radicalmente inidonee per proteggere il voto dei cittadini.
Ogni report di organi riconosciui delle elezioni in Estonia, ha rivelato un’enorme quantità di vulnerabilità, che porta a concludere che attori con capacità anche moderate possano aver alterato i voto esperssi via internet in tali elezioni, e possano ben farlo in futuro dato che l’Estonia ha preferito investire in pubbliche relazioni che non invece, prendere atto pubblicamente dell’entità della sfida, ed investire adeguatamente nella ricerca di soluzioni adeguate.
I cittadini, sono per lo più tenuti all’oscuro di tali rischi del “voto online” ed anche della grande probilità di abusi già avvenuti e non scoperti, con ricorrenti richiami a migliorare la democrazia attraverso un semplice “voto dal tablet” di vari politici, incluso il M5S, eccetto per qualche sporadico articolo che sottolinea le grandi sfide che prima bisogna affrontare. Anche dopo un battage pubblicitario gigantesco e planetario, nella Estonia E-residency, centrato sulla sicurezza e confidenzialità offerta, hanno creduto in sole 10.000 persone.
A differenza di altri in SGI, Flavia Marzano ha mostrato di essere ben cosciente delle sfide tecniche, organizzative e procedurali che comporta l’offrire in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva. Fu la Marzano, nella primavera del 2014, in qualità di Presidente degli Stati Generali dell’Innovazione (SGI) – la primaria NGO del settore IT solidamente in area PD – che accettò di partecipare all’iniziativa della Open Media Cluster di convocare 2 incontri in Regione Lazio con i capogruppo di PD, M5S e SEL, o loro diretti delegati, per una campagna di legge per il “software libero, hardware documentato, partecipazione e servizi telematici trasparenti”.
Tale proposta di legge, ad oggi nemmeno discussa dal consiglio a maggioranza PD, prevede che ogni servizio critico al cittadino, come e-health o partecipazione online, debba obbligatoriamente essere offerto in rispetto di “servizi telematici trasparenti“, derivato dal concetto di telematica trasparente (evoluto ne concetto di trustless computing della Trustless Computing Initiative) – che prevedono requisiti di verificabilità e livelli di verifica estremi in relazione ala complessità per ogni tecnologia o processo critico coinvolto – dal lato server e dal lato utente – nella fruizione o nel ciclo vita della soluzione, dalla definizione degli standard, an design del CPU, al monitoraggio della fase di fabbricazione. Dopo settimane di enorme pazienza e solleciti da parte di Davide Barillari, portavoce del M5S regione Lazio, il PD e SEL continuavano a comunicarci come fossero in attesa di coinvolgimento di loro esperti per valutare le nostre proposte.
Negli stessi giorni, come risultava evidente che il PD non avesse ne la volontà politica e ne la capacità tecnica di proporre una seria legge sul tema, la direzione generale degli Stati Generali dell’Innovazione bocciò ogni coinvolgimento della SGI stessa nella campagna, nonostante il suo successo e il fatto che Richard Stallman stesso, investore del software libero, fosse venuto a Roma per promuoverla, e ripetuti solleciti da parte della loro presidente. Come sempre in Italia, è difficile concludere quanto dichiarazioni gravemente erronee circa temi assolutamente vitali per la democrazia e la società, da parte di soggetti coinvolti nell’ICT per la PA, siano dovuti a sottomissione politica o a grave impreparazione tecnica.
Molto del silenzio che si è sentito (il silenzio fà un rumore tremendo) su questi temi da parte del M5S, con pochissime eccezioni di Davide Barillari e pochi altri, rischia di trasformare un’enorme opportunità di rilancio del paese in un incubo di votazioni manipolate e, nella misura in cui se en potrà comprovare la comprommissione, una conseguente forte delegittimazione del M5S nella sua capacità di realizzare responsabilmente il suo primario obiettivo di sempre.
Come disse bene George Orwell: “In un tempo di universale inganno, dire la verità è un atto rivoluzionario“. Sono ben cosciente dell’enorme costo di dire la verità, per quasi tutti in questo paese, ma è venuto il momento di dire la verità sull’entità della sfida tecnologica, socio-tecnica ed organizzativa della democrazia diretta online.
UPDATE May 20th 2016: una versione estesa ed aggiornata di questo post la trovi qui.
Con le elezioni comunali di Roma del 2016 è per la prima volta possibile che il Movimento Cinque Stelle possa controllare ed amministrare un grande comune d’Italia, il più grande. Sarà un’enorme occasione e responsabilità per dimostrare di poter mettere in pratica i principi di partecipazione, trasparenza e lotta contro corruzione e privilegi tanto affermati fino ad oggi dall’opposizione.
Sarà altresì occasione di implementare con risorse adeguate e sul larga scala, i principi della democrazia diretta e partecipativa fortemente affermati dal movimento, attraverso innovative politiche, tecnologie e processi.
Sarà interessante vedere quali sistemi il Comune di Roma deciderà di adottare, ovviamente attraverso bandi di gara, e in che misura soluzioni attualmente disponibili sul mercato possano fornire livelli di inclusività, di sicurezza e privacy che richiede la Costituzione Italiana, la Carta Europea dei Diritti dell’uomo, e probabilmente i cittadini di Roma, e una buona parte del 97% dei votanti romani del Movimento che hanno scelto di non utilizzare gli strumenti di partecipazione online gratuiti predisposti dal Movimento.
L’amministrazione entrante potrebbe prendere atto della mancanza di tali strumenti e quindi attivare da una parte bandi di gara a breve termine per una fornitura di strumenti per un utilizzo in bassa-scala e/o sperimentale, ed al contempo bandi di gara a lungo termine – in linea e coordinamento con programmi EU pre-commercial procurement, che includano un sostanziale livello di ricerca applicata e sostanziale innovazione di sistemi esistenti per soddisfare i requisiti di cui sopra.
ABS News come out with this article:
http://abcnews.go.com/International/head-nsas-elite-hacking-unit-hack/story?id=36573676
In assessing the veracity and completeness of what the head of NSA Tao says here we should consider it’s important part of its agency mission that hundreds of thousands of potential mid-to-high targets, legit or not, overestimate the manual (as opposed to semi automated) resources and efforts they need to devote per person to continuously compromise them. See NSA FoxAcid and Turbine programs.
So these targets will think NSA “endpoint target list” is small and does not include them, and therefore are fine with end-2-end encryption, and merely moderate or high assurance endpoints, like Tor/Tail, Signal on iOS, or an high end cryptophone.