Beneficiile votului online sunt evidente - oamenii votează mai uşor şi mai comod, voturile se numără mai repede, obstacolele în calea participării anumitor categorii de alegători sunt eliminate (nu doar Diaspora; şi persoanele cu dizabilităţi ar beneficia). Ce sacrificăm nu e la fel de uşor cuantificabil.

Sistemul de vot ideal trebuie să îndeplinească câteva condiţii minimale: să voteze doar cine are dreptul şi doar o dată; să înregistreze şi să numere corect voturile; votul să fie secret; şi să ai încredere în sistem chiar dacă nu ai încredere în fiecare om din sistem. Sistemele clasice de vot (cu ştampila sau pixul pe hârtie) satisfac rezonabil aceste cerinţe. Evident, nu sunt 100% sigure, pentru că nimic pe lume nu e. Dar funcţionează.

Chiar dacă nu avem încredere în toţi oamenii din sistem, trebuie ca destul de mulţi să fie corupţi pentru a corupe sistemul. Avem încredere în observatori, putem observa chiar noi dacă dorim şi înţelegem tehnologia implicată. Putem detecta, prin metode la îndemâna multora dintre noi, dacă ceva dubios se întâmplă şi sistemul are mecanismele necesare pentru a investiga şi remedia (dacă ni se par suspecte rezultatele dintr-o secţie de vot, putem să renumărăm voturile din acea secţie).

Încrederea este un concept păcătos. Ea nu este binară - în general nu avem încredere 0% sau 100%, avem mai multă sau mai puţină încredere şi facem sau nu ceva când avem suficientă încredere. Nu avem o încredere oarbă în sistemul clasic de vot, nu avem certitudinea că livrează un rezultat integru. Dar avem suficientă încredere. Suficientă încredere înseamnă că riscurile sunt acceptabile. Ştim că există riscuri, dar - de bine, de rău - le considerăm acceptabile. Teoria zice că analiza riscului trebuie să determine care sunt ameniţările potenţiale, probabilitatea ca acestea să se concretizeze şi consecinţele producerii lor. Apoi, pe baza combinaţiei dintre probabilitatea producerii unui eveniment negativ şi consecinţe iei o decizie, influenţată invariabil de toleranţa ta personală la risc. Pare foarte analitic şi matematic, dar, la un nivel intuitiv, cred că aşa funcţionăm.

Beneficiile votului online sunt evidente - oamenii votează mai uşor şi mai comod, voturile se numără mai repede, obstacolele în calea participării anumitor categorii de alegători sunt eliminate. Ce sacrificăm nu e la fel de uşor cuantificabil.

Poate un exemplu ilustrează mai bine: Ai vrea să faci o plimbare în parc la ora 11 şi prognoza meteo spune că există o probabilitate de 50% să plouă. Cunoşti probabilitatea evenimentului nedorit (ameniţarea). Consecinţele le intuieşti cu uşurinţă: te vei uda. Dacă după plimbare te întorci acasă, parcă ar merge - e fifty-fifty, trăieşte periculos măcar o dată! Dacă ai o întâlnire importantă de afaceri la 12, parcă nu.

Să complicăm un pic problema: există o probabilitate de 60% să răceşti dacă te prinde ploaia. Asta se traduce - te rog să mă crezi pe cuvânt dacă nu ţi-a plăcut matematica - într-o probabilitate de 30% să răceşti dacă mergi în parc. Este un risc acceptabil? Este un risc acceptabil dacă peste două zile ar trebui să pleci în vacanţă?

Şi hai să mai complicăm un pic situaţia: dacă te prinde ploaia, există şi o probabilitate de 90% să îţi murdăreşti pantofii. Mă mai crezi o dată pe cuvânt când îţi spun că situaţia, probabilistic vorbind, arată aşa: ai 30% şanse să răceşti, 45% şanse să îţi murdăreşti pantofii, 48% şanse ca cel puţin una din astea două se întâmple şi 27% la sută şanse să ajungi acasă şi răcit şi cu pantofii  murdari. De fapt, şansele nu sunt fifty-fifty să te prindă ploaia, şansele sunt (aproape) fifty-fifty să ţi se întâmple ceva nasol şi concret (ori răceşti, ori îţi murdăreşti pantofii). Deci, ce faci? Mai mergi în parc?

Evident, (mai) nimeni nu face un astfel de calcul înainte de ieşi la plimbare în parc. Pe lângă faptul că e complicat matematic, nu suntem, în general, prea buni la a evalua riscurile. În exemplul nostru ai, totuşi, 52% şanse să nu păţeşti nimic grav chiar dacă te prinde ploaia. Dacă plimbarea în parc ţi s-a părut un exerciţiu complicat de evaluare a riscului şi decizie probabilistică, votul electronic este infinit mai complex şi complicat.

Votul electronic, şi în special cel prin internet, ne cere să sacrificăm din siguranţă/încredere pentru a dobândi comoditate. Asta cred că este esenţa dezbaterii pe care trebuie să o avem. Problema mea este că nu ştiu - şi realistic vorbind nu am cum să ştiu - câtă încredere trebuie să sacrific. Nu am un răspuns definitiv. Dar am multe întrebări, pe care cred că ar trebui să ni le punem cu toţii.

Riscurile şi provocările sistemelor de vot electronic nu sunt doar altele. Sunt altfel. Tehnologia din spatele lor nu poate fi pricepută de oricine. Cei mai tehnici dintre noi o înţeleg la nivel de concepte. Dar foarte puţini o înţeleg la nivel tehnic. Câtă încredere eşti dispus să ai într-o tehnologie pe care nu o pricepi cu adevărat?

Cu cât o înţelegi mai bine, cu atât devine mai evident că are probleme de siguranţă. Unele ţări au renunţat la votul electronic tocmai din cauza îngrijorărilor legate de siguranţa acestuia. Altele îl folosesc doar acolo unde au considerat că beneficiul este net superior riscului.

Există trei puncte în care poţi „hăcui“ un sistem on-line de vot: poţi compromite serverul/serverele, poţi compromite transmiterea datelor sau poţi compromite dispozitivul folosit de alegător pentru a vota (laptopul, tableta, telefonul mobil). Nu e simplu, dar se poate face. S-a făcut.

Poţi securiza eficient dispozitivele pe care le folosesc alegătorii? Nu aşa, la modul general, ci în România, unde statul a plătit 10.000 de euro celor care au spart sistemul informatic al unui spital. În România, unde autoritatea în domeniu tocmai ne-a anunţat că 20% din echipamentele IT din administraţia publică sunt infectate. Angajatul care a dat un click aiurea pe calculatorul instituţiei probabil l-a dat şi pe calculatorul de acasă. Problema nu este că tu nu îţi poţi securiza dispozitivul de pe care votezi. Degeaba o faci doar tu. Problema este câtă încredere ai că toţi ceilalţi alegători ştiu să o facă, pot să o facă şi o vor face.

Evident, tehnologia poate ajuta. Mai multă tehnologie înseamnă mai multă siguranţă. Mai multă siguranţă înseamnă că cei care au capacitatea şi resursele să hăcuiască sistemul sunt mai puţini. Dar dacă o fac, nu o fac de amorul artei. O fac pentru că au un interes. Şi, destul de probabil, au şi capacitatea de a o face fără să fie detectaţi în timp util. Te ajută cu ceva că afli după 2-3 ani că alegerile au fost hăcuite?

Dacă 10% din alegeri sunt atacate şi 10% din atacuri sunt nedetectate, asta înseamnă că 1% din alegeri ar putea fi compromise. Nu vom ştim dacă atacul a avut succes pentru că nu vom ştim nici măcar că a avut loc.

Calculul nostru de probabilităţi arată cu totul altfel în cazul votului electronic: este mult mai dificil să compromiţi un sistem electronic de vot decât este să compromiţi rezultatul într-o secţie de vot. Dar efectele sunt cu totul altele.

Problema nu este că tu nu îţi poţi securiza dispozitivul de pe care votezi. Degeaba o faci doar tu. Problema este câtă încredere ai că toţi ceilalţi alegători ştiu să o facă, pot să o facă şi o vor face.

Îţi cer să mai ai o dată încrede în matematica mea: în România sunt, rotunjit de dragul calculelor, 18.000 de secţii de vot. Să zicem că un partid reuşeşte să controleze 10 dintre ele. Nu 10%, doar zece secţii de vot. Adică 0,0555% din totalul secţiilor de vot. Avem, rotunjit din nou, 18 milioane de alegători, adică o medie de 1.000 de alegători per secţie. La o prezenţă la vot de 50%, partidul nostru rău intenţionat controlează 5.000 de voturi (10 secţii de vot cu câte 500 de voturi). Cât de probabil crezi că este ca în România un partid să controleze 10 secţii de vot?

Să ne imaginăm acum că avem un sistem de vot electronic, pe care îl folosesc 30% dintre alegători. Avem aceeaşi prezenţă la vot de 50%, deci 9.000.000 de alegători au votat şi, din aceştia, 2.700.000 (30%) au făcut-o electronic. Care sunt şansele ca sistemul să fie hăcuit şi cineva să controleze 2.700.000 de voturi? Una din zece? Una din o sută? Una din o mie?

Ca să controlezi 10 secţii de vot îţi trebuie vreo 30-50 de oameni. Un sistem electronic de vot îl poţi compromite cu 3-5, ca să nu zic cu unul singur. Şansele ca o secţie de vot să fie compromisă sunt relativ mari, dar consecinţele (foarte) limitate. Şansele ca un sistem de vot electronic să fie compromis sunt foarte mici. Dar consecinţele dramatice. Ce variantă preferi?

Imaginează-ţi că un hacker anunţă că a spart un sistem de vot electronic. Vin 100 de experţi şi îţi spun că totul e în regulă, în ciuda incidentului niciun vot nu a fost schimbat. Sunt aceeaşi 100 de experţi care ţi-au zis că sistemul e sigur. Ceilalţi 100 de experţi, care îţi ziceau că sistemul nu are cum să fie sigur, îţi spun că nu poate nimeni garanta că nu a fost schimbat niciun vot. Pe cine crezi? Mai ai încredere în rezultatul alegerilor? Nimeni nu-ţi va putea oferi certitudinea că voturile au fost compromise şi nimeni nu-ţi va putea oferi certitudinea că nu au fost compromise. Vei fi tentat să îi crezi pe unii sau pe alţii în funcţie de cum îţi convin rezultatele. E uman să fie aşa. Eşti dispus să accepţi incertitudinea privind integritatea procesului când ai câştigat. Celălat e un ofticos, d-aia zice ce zice. Dar când ai pierdut?

Să zicem că decidem să repetăm alegerile compromise. O să coste, dar democraţia e importantă. Doar că nu e aşa simplu. De multe ori, ca acum, de curând, alegerile vin cu o energie a societăţii. Poţi repeta alegerile, dar nu poţi repeta momentul. Vei avea un rezultat integru, dar el va surprinde o altă realitate. E suficient ca 0,3% (aşa, vreo 30.000 de alegători, dacă ne raportăm la alegerile din 26 mai) să se răzgândească în cele 2-3 săptămâni şi poza va fi alta.

Exagerez şi simplific. Nu pentru că vreau să te sperii. Ci pentru că vreau să îţi pui cu adevărat aceste întrebări. Toate aceste întrebări ni le putem pune şi în raport cu sistemul clasic de vot. Doar că nu au aceeaşi magnitudine. În sistemul clasic sunt şanse mari să fie compromis un număr mic de voturi. În sistemul electronic sunt şanse mici să fie compromis un număr mare de voturi.

Tehnologia controlează multe sisteme din viaţa de zi cu zi. Poate exemplul cel mai des invocat este că avem încredere în tehnologie să ne gestionăm banii. Folosim banking-ul on-line, facem plăţi cu cardul contactless cât am clipi şi fără să clipim. Dar comparaţia este înşelătoare. Sisteme de banking online sunt construite ca să certifice identitatea părţilor, nu ca să anonimizeze tranzacţiile. Le folosim nu pentru că tehnologia este infailibilă ci pentru că avem încredere că dacă apare o problemă, acesta va putea fi remediată. Dacă cineva ne fură banii, vom fi despăgubiţi. Cum ai putea fi despăgubit dacă cineva îţi fură votul? S-ar putea nici măcar să nu ştii că ţi-a fost furat.

Votul tău poate fi furat şi în sistemul clasic fără să ştii. Dar partidul din exemplul nostru fură un procent infim de voturi, nu 30%. Şi poate nici măcar nu le fură, poate oamenii le vând de bună voie. Nu poţi legifera conştiinţa umană. Dacă un alegător doreşte să îşi vândă votul, o va face. Doar că sistemul clasic este construit astfel încât secretul votului să nu fie doar un drept, ci o obligaţie. Sistemul clasic îţi cere să votezi astfel încât noi, ceilalţi, să avem o certitudine cât mai mare că tu ai votat fără să te vadă nimeni. Votul online nu îmi oferă mie nicio certitudine, oricât de mică, că tu vei vota secret.

Îmi place ideea de vot electronic. Este seducătoare. Îmi doresc votul electronic. Discuţia despre votul electronic este, însă, doar despre jumătatea plină a paharului. Nu vorbim despre compromisurile implicate.

Imagineză-ţi că într-o comună oarecare 60% din alegători au votat on-line. Media pe ţară este 30%, iar în mediul rural 20%. E un rezultat neobişnuit, dar nu imposibil. Doar foarte improbabil. Ai toate motivele să crezi că e ceva putred în comuna Danemarca, dar nicio modalitate de a demonstra dincolo de orice dubiu rezonabil. Desigur, tehnologia ne va spune în ce intervale orare au votat respectivii, de la ce IP-uri, cu ce dispozitiv. Dar nimic din toate astea nu va putea demonstra că primarul a vizitat 60% dintre alegători şi a votat în locul lor. Nu ştiu dacă asta este o problemă pe care Estonia o are. Dar România? Dovezile circumstanţiale sunt foarte bune pentru a semănă neîncredere, dar aproape inutile pentru a o risipi. Câtă încredere ai în rezultatele din acea comună?

Siguranţa unui sistem suferă şi ea de o problemă de percepţie: ce însemnă că un sistem este sigur? O maşină fără frâne, este cât se poate de sigură până intră într-un copac. Mediul academic a demonstrat că toate sistemele de vot electronic existente pot fi sparte. Sunt ele sigure? Unii zic „nu“, pentru că, iată, avem dovada că pot fi sparte. Alţii zic “da“, pentru că încă nu am avut nicio alegere hăcuită. Sau poate am avut şi nici nu ştim? Deci cum e? Sunt sigure? Ce înseamnă că sunt sigure? Este sigur un sistem care funcţionează impecabil în 99,999% din cazuri, doar că atunci când eşuează moare un om? Dar dacă mor 1.000? 10.000? Un milion? Sistemul este la fel de sigur - funcţionează în 99,999% din cazuri. Disponibilitatea mea de a considera acceptabil respectivul nivel de siguranţă se schimbă însă în funcţie de consecinţe.

Îmi place ideea de vot electronic. Este seducătoare. Îmi doresc votul electronic. Discuţia despre votul electronic este, însă, doar despre jumătatea plină a paharului. Nu vorbim despre compromisurile implicate. Nu vorbim despre ce poate merge greşit. Despre ce, inevitabil, la un moment dat va merge greşit. Nu ne gândim la ce vom face atunci. Când crezi că ar trebui să ne gândim? Acum sau când se va întâmpla?