„Wybory internetowe byłyby powszechne, być może równe, prawie na pewno bezpośrednie i chyba tajne. Konstytucyjne zapisy nie są jednak sformułowane w trybie przypuszczającym.

Co więcej, brak pewności co do tego, czy głosowanie będzie równe i tajne, przyczyniłoby się do rozpadu zaufania społecznego do procesu wyborczego i, szerzej, do państwa. Bez społecznego zaufania zaś wybory są tylko pustym rytuałem”.

O tym, że wybory przez internet to wyraz naiwnego technooptymizmu, ignorującego ograniczenia współczesnej informatyki pisze Filip Chudy, informatyk z Uniwersytetu Wrocławskiego i działacz Lewicy Razem*

Nieśmiertelny pomysł

W polskiej polityce jak bumerang wraca pomysł przeprowadzania wyborów drogą elektroniczną lub wręcz internetową.

Ostatnio jest o nich głośno ze względu na gorączkowe poszukiwanie rozwiązania kwestii wyborów prezydenckich wypadających podczas pandemii. Nad poprawką wprowadzającą wybory przez internet trwają prace w Senacie. Nad tym, jak zrobić wiarygodne wybory internetowe, nauka światowa głowi się od lat. Sugerowany przez Izabelę Leszczynę (PO) termin: za kilka miesięcy.

Postulat wyborów internetowych nie narodził się jednak wczoraj. W ostatnich latach proponowała je Koalicja Obywatelska (propozycja wchodziła również w skład Szóstki Schetyny przedstawionej przez Platformę Obywatelską) oraz Wiosna Biedronia (choć ta tylko w wyborach lokalnych). Na Twitterze Platformy Obywatelskiej napisano, że „to już standard w zachodnich demokracjach”, na czym suchej nitki nie zostawił Konkret24.

Czym się różnią wybory elektroniczne od internetowych?

Niezbędne będzie rozróżnienie dwóch pojęć: wyborów elektronicznych i wyborów internetowych. Z wyborami elektronicznymi mamy do czynienia, gdy któryś z etapów procedury wyborczej jest realizowany przy wspomaganiu elektronicznym. Przykładem mogą być wybory, w których oddaje się głosy papierowe, które następnie są zliczane maszynowo. Dalej idąca forma wyborów elektronicznych obejmowałaby oddawanie głosów na specjalnych urządzeniach, bez użycia papieru. Z wyborami przeprowadzanymi w ten sposób wiąże się wiele problemów. O części z nich, na przykładzie amerykańskim, mówił John Oliver w programie „Last Week Tonight” (HBO).

Wybory internetowe są szczególnym rodzajem wyborów elektronicznych. Wyróżniają się tym, że proces oddawania głosów zostaje przeniesiony z lokalu wyborczego do (prawie) dowolnego miejsca na świecie, które jest podłączone do internetu. Następnie głosy miałyby być zliczane przez system komputerowy, który wyznaczałby na ich podstawie wyniki.

Głosowanie internetowe nie zwiększa frekwencji

PO i Wiosna przedstawiają e-wybory jako rozwiązanie sprzyjające frekwencji. To często powtarzany argument przez osoby promujące głosowania drogą internetową. Tyle tylko, że jest to argument nieprawdziwy. Naukowo zajęli się problemem szwajcarscy badacze Micha Germann i Uwe Serdült. W 2017 roku w artykule w „Electoral Studies” piszą, że nie zaobserwowali wpływu tej formy głosowania na frekwencję.

Dokładnie to samo można zaobserwować w Estonii, która od 2005 roku stosuje mieszaną procedurę wyborczą.

Estończyk może wybrać między pójściem na wybory „papierowe” a oddaniem głosu wcześniej przez sieć.

W 2019 roku w wyborach parlamentarnych można było zagłosować przez internet między 21 a 27 lutego, zaś wybory papierowe odbyły się 3 marca. Dowolność sposobu na oddanie głosu nie przekłada się jednak w znaczący sposób na frekwencję.

Od upadku Związku Radzieckiego waha się ona cały czas w granicach 60-65 proc. Co więcej, mimo dowolności formy oddania głosu, tylko 43.8 proc. wszystkich głosów jest oddawanych online. Większość nadal woli tradycyjnie pójść do lokalu wyborczego.

Przyglądając się wyborom w Estonii warto pamiętać, że jest to państwo wiodące pod względem cyfryzacji w Unii Europejskiej i mające liczbę ludności niższą niż sama Warszawa.

Mimo to, w pierwszych wyborach z udziałem głosów internetowych formę cyfrową wybrało zaledwie 1.9 proc. osób. Ze względu na to należy zachować szczególną ostrożność przy próbach przenoszenia estońskich doświadczeń na grunt polski.

Zaufanie społeczne to podstawa wyborów

Proces wyborczy swojej wartości nie czerpie sam z siebie. Tę wartość nadaje mu dopiero powszechne zaufanie społeczne. W przypadku wyborów tradycyjnych zaufanie to wynika z istnienia jasnego i precyzyjnego opisu procedury wyborczej, ujętej w aktach prawnych, oraz z wielostronnego, również obywatelskiego, nadzoru nad kolejnymi jej etapami. Dzięki temu, że w komisje wyborcze obsadzane są przez osoby o zróżnicowanych poglądach, można mieć zaufanie, że wyniki zostaną przedstawione możliwie rzetelnie.

W całym procesie błędy ludzkie mogą się, oczywiście, wydarzyć. W razie jakiejś nieścisłości można dokonać ponownego przeliczenia głosów. W skrajnym przypadku konieczne może być powtórzenie wyborów. Wtedy wystarczy powtórzyć wybory w obszarze, w którym stwierdzono nieprawidłowości.

Wybory internetowe podważają obie podstawy zaufania społecznego.

Kodeksy i ustawy zastępuje się kodem źródłowym aplikacji zliczającej głosy. Taki kod jest zrozumiały wyłącznie dla niewielkiego grona osób znających się nie tylko na programowaniu, ale wręcz na konkretnym języku programowania.

Dodatkową kwestią jest to, czy taki kod będzie, na wzór ustaw, dostępny publicznie dla wszystkich zainteresowanych. W przypadku Estonii jawność jest jedynie częściowa. Co gorsza, nawet specjalistki i specjaliści, którzy będą w stanie przeczytać kod, nie mają w praktyce możliwości zweryfikowania, czy działa on w stu procentach zgodnie z opisem. Osobom bez specjalistycznej wiedzy pozostaje tylko wybór, czy uwierzyć w objawioną im czarną skrzynkę. W praktyce monitorowanie poprawnego przebiegu wyborów zostaje odebrane społeczeństwu i przekazane w ręce osób, które pisały kod systemu i nim administrują.

Niesprawdzalny kod

Wybory są jednym z kluczowych dla bezpieczeństwa państwowego procesów. Potrzebują więc szczególnie mocnych gwarancji poprawnego i bezpiecznego ich przebiegu. Nie jesteśmy w stanie tego zagwarantować, gdy oprzemy wybory na programie komputerowym, zwłaszcza komunikującym się przez internet.

Za poprawny przebieg odpowiadałoby poprawne napisanie kodu aplikacji wyborczej. Błędy programistyczne jednak się zdarzają, także w dużych projektach.

Nawet dokładne i długie testowanie oprogramowania nie daje pewności co do bezbłędności.

Każdy przeprowadzony test sprawdza jedynie, czy w danym scenariuszu program zadziałał zgodnie z oczekiwaniami. Nawet bardzo duża liczba pomyślnych testów pozwala wyłącznie stwierdzić, że w testowanych scenariuszach program zwracał poprawne wyniki. Nie uprawnia to jednak do stwierdzenia, że program zawsze daje poprawny wynik — do tego trzeba by faktycznie sprawdzić każdy możliwy scenariusz. Jest ich jednak zbyt dużo, by dało się to zrobić w praktyce. Nawet samych możliwych kombinacji głosów w drugiej turze wyborów prezydenckich byłoby, przy 30 milionach osób uprawnionych do głosowania i 4 możliwościach (kandydatka A, kandydat B, głos nieważny, głos nieoddany), 4³⁰⁰⁰⁰⁰⁰⁰. To wielokrotnie więcej niż mamy atomów we Wszechświecie (ok. 4¹⁵⁰). Nie mamy na Ziemi komputerów o wystarczającej mocy obliczeniowej.

Wykrycie błędnego działania oprogramowania wyborczego w trakcie wyborów i po nich jest trudniejsze niż przy wykonywaniu czynności przez ludzi.

Komputer nie jest istotą myślącą, zdolną wyłapywać takie błędy. Ludzie z kolei mają bardzo ograniczony wgląd w pośrednie stany programu. W razie usterki nie są dostępne papierowe karty do głosowania, które można by przeliczyć ponownie. Wybory musiałyby być powtórzone w każdym miejscu, w którym głosowano z użyciem wadliwego oprogramowania. Zwykle w praktyce oznaczałoby to ponowne wybory w całym kraju.

Łakomy kąsek dla hakerów

Zagrożenia techniczne związane z wyborami internetowymi nie ograniczają się wyłącznie do nieumyślnych błędów programisty. System służący do przeprowadzania wyborów może też stać się celem ataku osób, grup lub organizacji, którym zależeć może na zakłóceniu przebiegu wyborów lub zmianie ich wyniku. Takiemu systemowi można zaszkodzić na wiele sposobów.

Podobne do błędu programisty jest umieszczenie w aplikacji złośliwego kodu. Może tego dokonać ktoś z zespołu programistycznego, może to też być sprawka ataku hakerskiego. Przy odrobinie szczęścia atak może zostać wykryty. Jeżeli jednak nie zostanie on zauważony, to oddajemy władzę nad wynikami wyborów w ręce hakerów.

Tak naprawdę nigdy nie mamy pewności, czy doszło do ataku, co nakazuje wątpić w każde ogłoszone wyniki wyborów internetowych.

Na tym jednak zagrożenia się nie kończą. Samo podłączenie komputera zliczającego głosy do internetu tworzy ryzyko wtargnięcia i ingerencji w proces wyborczy. Celem ataku może też paść sieć internetowa. Jednym z najprostszych typów ataku (DoS lub DDoS) polega na wysyłaniu bardzo dużej liczby pakietów. Jeśli jest ich tyle, że komputer nie jest w stanie przetwarzać ich na bieżąco, to prawdziwi wyborcy nie mogą oddać głosu. Ten rodzaj ataku jest niezwykle prosty i bardzo tani do przeprowadzenia. W konsekwencji może zostać przeprowadzony nawet przez grupkę odpowiednio zdeterminowanych zwykłych ludzi, zgodnie z prostą instrukcją. Nie trzeba do tego służb specjalnych innych państw ani ekspertów od cyberbezpieczeństwa.

Ryzyko związane z cyberbezpieczeństwem da się zmniejszyć, ale nie można go wyeliminować w całości.

Należyta dbałość o ten aspekt aplikacji do głosowania oznaczałaby znacznie wyższe koszty i dłuższy czas wykonania takiego systemu. Nigdy jednak system nie byłby w pełni bezpieczny i zawsze znalazłby się jakiś podmiot zainteresowany zniekształceniem wyniku lub zakłóceniem przebiegu wyborów internetowych, nieważne, czy byłaby to partia polityczna, grupa ich sympatyków, służby naszego lub cudzego kraju, czy także wielkie korporacje.

Czy wybory internetowe są konstytucyjne?

Art. 127 ust. 1 Konstytucji RP określa, że prezydenta RP wybiera się „w wyborach powszechnych, równych, bezpośrednich i w głosowaniu tajnym”. Czy takie byłyby wybory internetowe?

Powszechność wydaje się być w naszym zasięgu. Aby wybory nie były powszechne, aplikacja do głosowania musiałaby nie pozwolić oddać głosu choć jednej osobie posiadającej czynne prawo wyborcze. W takiej sytuacji wyborca wiedziałby o odrzuconym głosie lub odmowie dostępu, w związku z czym mógłby, zgodnie z art. 129 ust. 2 Konstytucji RP składać skargę wyborczą do Sądu Najwyższego.

W przypadku bezpośredniości sprawa ma się nieco gorzej. Częściowo można by oprzeć się na Profilu Zaufanym, jednak, poza przypadkami kradzieży tożsamości, bylibyśmy zagrożeni ewentualnymi błędami w Profilu Zaufanym. W tym przypadku jednak osoba, za którą głos zostałby oddany przez kogoś innego, niekoniecznie wiedziałaby o tym fakcie, przez co złożenie stosownej skargi byłoby niemożliwe.

W wyborach internetowych mamy bardzo ograniczone możliwości upewnienia się, że komputer zliczający wyniki potraktował nasz głos prawidłowo jako jeden głos, czy może jako dwa lub piętnaście głosów. Nie wiemy, czy nasz głos zostanie policzony w ogóle, czy zostanie dodany do puli właściwego kandydata. Nie możemy z pełnym przekonaniem stwierdzić, że wybory internetowe są równe.

Podobnie sprawa ma się w przypadku tajności. W wyborach internetowych możemy mieć tylko nadzieję, że aplikacja faktycznie oddzieli tożsamość osoby głosującej (której weryfikacja jest potrzebna do stwierdzenia prawa wyborczego) od jej głosu. Wyborca jednak nie będzie wiedział na pewno.

Wybory internetowe byłyby więc powszechne, być może równe, prawie na pewno bezpośrednie i chyba tajne. Konstytucyjne zapisy nie są jednak sformułowane w trybie przypuszczającym.

Co więcej, brak pewności co do tego, czy głosowanie będzie równe i tajne, przyczyniłoby się do rozpadu zaufania społecznego do procesu wyborczego i, szerzej, do państwa. Bez społecznego zaufania zaś wybory są tylko pustym rytuałem.

Zbyt poważna sprawa

Wybory są sprawą niezwykłej wagi. Od tego, czy przeprowadzone zostaną dobrze, zależy zaufanie do ich wyniku. Z tego powodu każda zmiana w sposobie ich organizacji potrzebuje szerokiego poparcia społecznego. Zmiana powinna być przygotowana dobrze, z należytym wyprzedzeniem umożliwiającym przećwiczenie procedur i zapoznanie się wyborców z nowymi warunkami. Robienie tego byle jak, na ostatnią chwilę, skończyć się może jak na przełomie lutego i marca w prawyborach amerykańskiej Partii Demokratycznej w stanie Iowa – kompromitacją.

Filip Chudy – informatyk z Uniwersytetu Wrocławskiego, naukowo zajmuje się przyspieszaniem obliczeń w grafice. Radny krajowy Lewicy Razem, współautor jej programu polityki cyfrowej i programu klimatyczno-energetycznego.