Con la conquista di 2 grandi città, il Movimento Cinquestelle ha finalmente l’occasione e le risorse per realizzare la promessa democrazia diretta, online e non, in larga scala. Il programma prevede un forte consolidamente e estenzione degli istituti di partecipazione e la progressiva estenzione a tutti i cittadini di strumenti online di partecipazione in larga scala e deliberativa – invece che meramente consultiva – al processo deliberativo dell’amministrazione comunale.

La presidente degli Stati Generali dell’Innovazione, Flavia Marzano – da 15 anni una dei leader italian delle battaglie per il software libero, formati aperti e dati aperti nella pubblica amministrazione – è stata invitata ad essere il nuovo Assessore alla “Roma Semplice” da parte della nuovo amministrazione capitolina M5S. Avrà l’onere, onore e sfida di sviluppare tecnologie e processi ICT che – non solo supportino una radicale trasparenza per combattere la malapolitica – ma vadano realizzare l’agognata democrazia diretta digitale.

La maggioranza degli esperti e giornalisti del settore pensano che l’utilizzo di software e open source della parte server, e l’applicazione del livello 3 dello SPID (Sistema Pubblico di Identità Digitale – ovvero i sistemi di sicurezza comunemente usati per i servizi bancari – possano essere sufficienti per minimizzare sufficientemente i rischi.

As esempio, il vicepresidente di Stati Generali dell’Innovazione, Nello Iacono, ha fatto delle proposte in un post del 23 giugno:

“Alcune riflessioni sulla spinta possibili per Spid: una sua diffusione rapida consentirebbe di renderlo fattore abilitante della cittadinanza digitale e della partecipazione dei cittadini, consentendo di ridurre drasticamente costi e tempi”

Similarmente, il progetto Parelon, sviluppato da volontari del M5S Regione Lazio con risorse solo volontarie e limitate, ha centrato la sua sicurezza su l’utilizzo e sviluppo in sofwtare libero (e.g. open source) e sistemi di autenticazione con chiavetta bancaria (one time password generator). Cionostante, essi ammettono come il loro sistema debba rinunciare alla confidenzialità del voto per offrirne sufficienti livelli di sicurezza. Cosa che può essere accettabile, epr scelta, per un partito, ma è costituzionalmente vietato per il voto politico e amministrativo.

Molti fanno riferimento al voto elettronico online della Estonia (patria dell’attuale Commissioner IT della EU) oppure in qualche zona della Svizzera a livello semisperimentale.

Gli obiettivi e l’idea di base sono di tali proposte sono encomiabili: far si che il desiderio di alcune nuove amministrazioni di espandere in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva -utilizzando i nuovi standard per transazioni e comunicazioni informatiche private e sicure, lo SPID, Sistema Pubblica di Identità Digitale – possa essere sfruttata inoltre per: (a) rendere più semplice ed economica l’interazione del cittadino con l’amministrazione; (b) diffondere fra i cittadini tale SPID, in modo da possa rendere più efficienti le transazioni economiche ed realizzare risparmi potenzialmente enormi di denaro pubblico derivanti dalla dematerializzazione di servizi della pubblica amministrazione.

Tale obiettivi, d’altronde, si scontrano con il fatto che vi è un largo consenso fra i massimi esperti di sicurezza informatica al mondo che anche il terzo e massimo livello dello SPID – come anche ogni altro standard di sicurezza esistente, finanche quello per l’ICT abilitato a trattare segreto di stato – forniscono livelli di sicurezza o privacy che sono ad oggi molto lontani dal fornire garanzie sufficienti contro abuso di larga scala di sistemi di voto online o partecipazione deliberativa online dei cittadini, come ad esempio quello di propossa e sottoscrizione di una proposta di legge ad iniziativa popolare. L’associazione Verified Voting, che aggregò gli esperti sopramenzionati, spiega bene perchè le tecnologie e metodi di sicurezza che usiamo per le transazioni bancarie, controintuitivamente, sono radicalmente inidonee per proteggere il voto dei cittadini.

Ogni report di organi riconosciui delle elezioni in Estonia, ha rivelato un’enorme quantità di vulnerabilità, che porta a concludere che attori con capacità anche moderate possano aver alterato i voto esperssi via internet in tali elezioni, e possano ben farlo in futuro dato che l’Estonia ha preferito investire in pubbliche relazioni che non invece, prendere atto pubblicamente dell’entità della sfida, ed investire adeguatamente nella ricerca di soluzioni adeguate.

I cittadini, sono per lo più tenuti all’oscuro di tali rischi del “voto online” ed anche della grande probilità di abusi già avvenuti e non scoperti, con ricorrenti richiami a migliorare la democrazia attraverso un semplice “voto dal tablet” di vari politici, incluso il M5S, eccetto per qualche sporadico articolo che sottolinea le grandi sfide che prima bisogna affrontare. Anche dopo un battage pubblicitario gigantesco e planetario, nella Estonia E-residency, centrato sulla sicurezza e confidenzialità offerta, hanno creduto in sole 10.000 persone.

A differenza di altri in SGI, Flavia Marzano ha mostrato di essere ben cosciente delle sfide tecniche, organizzative e procedurali che comporta l’offrire in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva. Fu la Marzano, nella primavera del 2014, in qualità di Presidente degli Stati Generali dell’Innovazione (SGI) – la primaria NGO del settore IT solidamente in area PD – che accettò di partecipare all’iniziativa della Open Media Cluster di convocare 2 incontri in Regione Lazio con i capogruppo di PD, M5S e SEL, o loro diretti delegati, per una campagna di legge per il “software libero, hardware documentato, partecipazione e servizi telematici trasparenti”.

Tale proposta di legge, ad oggi nemmeno discussa dal consiglio a maggioranza PD, prevede che ogni servizio critico al cittadino, come e-health o partecipazione online, debba obbligatoriamente essere offerto in rispetto di “servizi telematici trasparenti“, derivato dal concetto di telematica trasparente (evoluto ne concetto di trustless computing della Trustless Computing Initiative) – che prevedono requisiti di verificabilità e livelli di verifica estremi in relazione ala complessità per ogni tecnologia o processo critico coinvolto – dal lato server e dal lato utente – nella fruizione o nel ciclo vita della soluzione, dalla definizione degli standard, an design del CPU, al monitoraggio della fase di fabbricazione. Dopo settimane di enorme pazienza e solleciti da parte di Davide Barillari, portavoce del M5S regione Lazio, il PD e SEL continuavano a comunicarci come fossero in attesa di coinvolgimento di loro esperti per valutare le nostre proposte.

Negli stessi giorni, come risultava evidente che il PD non avesse ne la volontà politica e ne la capacità tecnica di proporre una seria legge sul tema, la direzione generale degli Stati Generali dell’Innovazione bocciò ogni coinvolgimento della SGI stessa nella campagna, nonostante il suo successo e il fatto che Richard Stallman stesso, investore del software libero, fosse venuto a Roma per promuoverla, e ripetuti solleciti da parte della loro presidente. Come sempre in Italia, è difficile concludere quanto dichiarazioni gravemente erronee circa temi assolutamente vitali per la democrazia e la società, da parte di soggetti coinvolti nell’ICT per la PA, siano dovuti a sottomissione politica o a grave impreparazione tecnica.

Molto del silenzio che si è sentito (il silenzio fà un rumore tremendo) su questi temi da parte del M5S, con pochissime eccezioni di Davide Barillari e pochi altri, rischia di trasformare un’enorme opportunità di rilancio del paese in un incubo di votazioni manipolate e, nella misura in cui se en potrà comprovare la comprommissione, una conseguente forte delegittimazione del M5S nella sua capacità di realizzare responsabilmente il suo primario obiettivo di sempre.

Come disse bene George Orwell: “In un tempo di universale inganno, dire la verità è un atto rivoluzionario“. Sono ben cosciente dell’enorme costo di dire la verità, per quasi tutti in questo paese, ma è venuto il momento di dire la verità sull’entità della sfida tecnologica, socio-tecnica ed organizzativa della democrazia diretta online.

More news on Obama’s search for legislative or regulatory solution to lawful access to digital systems.

For some time now, the US government has been ever more often stating that there will not be a mandatory technical requirements to enable remote state lawful access, but that they expect provider to somehow come up autonomously with solutions that would allow for lawful access when needed by investigating agencies.

But any company that decided to come up with some techncial and organizational processes to do so, even with extremely effective safeguards for both the citizen and the investigating agency, would appear to be, and possibly actually be, less secure than competing services or devices that do not provide such access.

This problem could be solved if the US government provided very solid and reliable incentives to those that do, and do in a proper way, i.e., they comply to a minimum of citizen-accountable extreme safeguards, that guarantee both the user and the agency. The US government could approve some solidly enforceable policies that prescribe much higher personal economic and penal consequences for official of state agencies that are found searching or implanting vulnerabilities ONLY for high-assurance IT service providers that offer socio-technical systems to comply to government request, as certified by an independent international technically-proficient and accountable certification body. Such new policies would instead exclude IT service or device providers that do not.

To get 2 beans with one stone, such international body could also certify IT services and devices that offer meaningfully high-levels of trustworthiness, something that is direly missing today. One such certification body is being promote by the Open Media Cluster (that I lead), with the name of Trustless Computing Certification Initiative.

http://www.theatlantic.com/technology/archive/2015/08/humans-not-robots-are-the-real-reason-artificial-intelligence-is-scary/400994/

But what about the bounty of digital technology that is in evidence all around us? Almost 30 years ago, the great economist Robert Solow quipped, “You can see the computer age everywhere but in the productivity statistics.”

An answer to the riddle might be that digital technology has transformed a handful of industries in the media/entertainment space that occupy a mindshare that’s out of proportion to their overall economic importance. .

http://www.vox.com/2015/7/27/9038829/automation-myth?utm_campaign=vox&utm_content=chorus&utm_medium=social&utm_source=twitter

Blaming China for cyber attacks without any public evidence creates highly-perverse dynamics: (1) breached entity, instead of paying in liability/blame for lack of security, can turn itself into victim of act of war; (2) increases support for requests by defense  agencies/contractors for huge funds and anti-privacy anti-privacy legislation; (3) any expert or media who challenges misattribution becomes enemy of the state; (4) no serious investigation in who really behind attacks, why they did it, and why they succeeded; (5) retaliation from China can just make all of this escalate.

Please, every expert go out there and challenge the actual evidence (and lack thereof) of China government responsibility in the attacks!

A proposed definition of “Constitutionally-meanigful levels of trustworthiness” in IT systems

An IT system (or more precisely a end-2-end computing service or experience) will be said to have “constitutionally-meaningful levels of trustworthiness” when its confidentiality, authenticity, integrity and non-repudiation is sufficiently high to make its use – by ordinary, active and “medium-value target” citizens alike –rationally compatible to the full and effective Internet-connected exercise of their core civil rights, except for voting in governmental elections.  In concrete terms, it defines an end-2-end computing experience that warrants extremely well-placed confidence that the cost and risks for an extremely-skilled attacker to remotely perform continuous or pervasive comprimization substantially exceed the following: (1) for comprimization of a single user, the tens of thousands of euros, and the significant discoverability, such as those associated with enacting such level of abuse through on-site, proximity-based user surveillance, or non-scalable remote endpoint techniques, such as NSA TAO; (2) For the comprimization of the entire supply chain or lifecycle, the tens of millions of euros and significant discoverability, that are reportedly typically sustained by advanced actors, for high-value supply chains, through legal and illegal subversions of all kinds, including economic pressures.”

… to establish their tech/service as the “secure” remote communications of choice for global corporations and governments:

Maskelyne followed his trick with an even bigger showstopper. In June 1903, Marconi was set to demonstrate publically for the first time in London that morse code could be sent wirelessly over long distances. A crowd filled the lecture theatre of the Royal Institution while Marconi prepared to send a message around 300 miles away in Cornwall. The machinery began to tap out a message, but it didn’t belong to the Italian scientist.

“Rats rats rats rats,” it began. “There was a young fellow of Italy, who diddled the public quite prettily …” Maskelyne had hijacked the wavelength Marconi was using from a nearby theatre. He later wrote a letter to the Times confessing to the hack and, once again, claimed he did it to demonstrate the security flaws in Marconi’s system for the public good.

Of course cable could be undetectably be “sniffed” then as fiber cable can be sniffed today …

http://www.theregister.co.uk/2013/03/01/post_cryptography_security_shamir/

“In the Second World War if you had good crypto protecting your communication you were safe. Today with an APT sitting inside your most secure computer systems, using cryptography isn’t going to give you much protection.

“It’s very difficult to use cryptography in an effective way if you assume that an APT is watching over the computer system, watching everything that is being done, including the encryption and decryption process.”