29 maja 2026 r. Prokuratura Okręgowa w Warszawie umorzyła dochodzenie w sprawie o zakłócone wybory online na przewodniczącego Polski 2050 — „wobec braku danych dostatecznie uzasadniających podejrzenie popełnienia przestępstwa”. Sprawą zajmowało się Centralne Biuro Zwalczania Cyberprzestępczości. Wybory online odbywały się na komercyjnej platformie ankietowej.
Co ustaliła — i czego nie mogła ustalić — prokuratura na podstawie systemu Polski2050
Z komunikatu prokuratury wynika, że do procesu wyborczego wykorzystano narzędzie przeznaczone zasadniczo do zbierania ankiet przydatne jednak wg producenta i operatora również w procesach wyborczych. Także na wybory online w glosowaniach tajnych.
Co się wydarzyło?
- 12 stycznia 2026 r. ok. godz. 21:00 nastąpiła blokada dostępu do strony głosowania a w panelu administratora głosowania licznik użycia strony pokazał wartość 26 483 przy limicie 1000 – blokada nastąpiła z powodu wejść na stronę a nie z powodu nadmiarowych głosów, limit ustawiono na wybory online dla samych tylko wejść na stronę zgodnie z wykupionym planem;
- zaproszenie do oddania głosu wysłano do 698 osób uprawnionych; Do oddania głosu potrzebne było zaproszenie wysłane na e-mail oraz token dostępu;
- usługa była świadczona z ograniczonym zakresem rejestrowania i przechowywania logów – nie dowiedzieliśmy się z komunikatu prokuratury się czy to „ficzer” czy wybór Polski2050;
- (…) „Nie została dokonana żadna zmiana danych informatycznych, nie doszło do żadnego ataku ani ingerencji osób trzecich. System działał prawidłowo. Nie odnotowano oddania żadnych głosów nadmiarowych ani nieautoryzowanych. Ponadto, w trakcie dochodzenia ustalono, iż formularz ankiety był udostępniony w trybie wymagającym zaproszenia e-mail oraz tokenu dostępu. Dostęp do formularza nie był przewidziany jako publiczny dostęp bezpośredni.” (…)
- brak logów wykluczył możliwość ustalenia tożsamości osób i odróżnienia, które wejścia na strone głosowania wykonały osoby uprawnione i ile razy weszły na stronę głosowania, a które — nieuprawnione. W szczególności nie wiadomo, które wejścia z ogólnej liczby 26 483 wynikły z odświeżeń strony przez osoby, które nie zdołały oddać głosu przed blokadą systemu a które od ciekawskich.
- (…) Uzyskane dane w postaci struktury prób wejścia na stronę ankiety w korelacji z ich czasem wykluczają działanie poprzez zmasowane i jednoczesne wysyłanie zapytań, żądań wejścia na stronę podczas trwania głosowania w tym również w godz. 20:30-22:00. Nie wskazują na celowy atak i dokonanie blokady strony poprzez umyślne działanie w zamiarze bezpośrednim. Otrzymane dane w tym wskazane źródło ruchu wskazują, iż nie zaistniało zdarzenie sztucznego generowania ruchu (tzw. botnet). (…)
Z jednej strony z komunikatu prokuratury wynika, że nie ma danych do oceny skąd wzięło się 26 483 wejść na stronę głosowania. Z drugiej strony wg prokuratora sama struktura tych wejść nie była podejrzana. Warto odnotować, że z komunikatu nie wynika jednak jak konkretnie rozłożyła się w czasie liczba tych wejść. Nie dowiedzieliśmy się z komunikatu prokuratury jaka część wejść na stronę głosowania online przypadła na czas tuż przed blokadą. Nie możemy się więc przekonać na własną rękę o ile rzeczywiście wybory online nie zostały celowo zakłócone.
Czego mógłby dowiedzieć się prokurator gdyby zastosowano sprawdzalny system na wybory online
W miarę dobrze znam system tajnego sprawdzalnego głosowania online Belenios. Tłumaczę jego interfejs na język polski. Eksperymentuję z tym systemem. Użyję cech tego systemu do hipotetycznego scenariusza i porównania – „co by bylo gdyby”. W uproszczeniu, chodzi o odpowiedź na pytanie czy prokurator dostałby więcej przydatnych danych do oceny zakłóconego głosowania gdyby Polska2050 zastosowała system Belenios albo inny podobny (Zeus, Helios).
Na jakich założeniach opiera się Belenios i jego wariacje.
- Publiczna „tablica” wyników — wszystkie głosy trafiają do jawnego, dostępnego z zewnątrz, archiwum połączonego łańcuchem skrótów (hash chain), w trybie „tylko-dopisywanie”. Niczego nie da się po cichu usunąć ani podmienić.
- Uwierzytelnienie i Indywidualne kody głosowania (credentials) — głos może oddać wyłącznie uwiezytelniony posiadacz unikalnego, kryptograficznego poświadczenia, a każdy głos jest podpisany. To mechanizm przeciwdziałający „dorzucaniu” głosów (ballot stuffing).
- Dowody zamiast zaufania — do wyniku dołączane są „dowody wiedzy zerowej” (poprawności głosów, przetasowania, deszyfrowania wyniku). Każdy może matematycznie sprawdzić, że ogłoszony wynik odpowiada oddanym głosom. Również z zewnątrz. W trakcie i po zakończeniu wyborów.
- Mężowie zaufania (trustees) — odszyfrowanie wyniku głosowania wymaga współdziałania niezależnych podmiotów. Żaden administrator nie może samodzielnie odszyfrować ani zmanipulować wyniku.
Specyfikację systemu Belenios można znaleźć tutaj. Opis Zeusa po polsku można znaleźć w jego instancji zarządzanej przez Konsorcjum PIONIER Polski Internet Optyczny, Poznańskie Centrum Superkomputerowo-Sieciowe tutaj.
No dobrze, ale czy Belenios i jego wariacje z tymi cennymi własnościami faktycznie dałyby śledczym więcej istotnych danych do wglądu niż system zastosowany przez Polskę 2050?
Wydaje się, że tak.
Dlaczego?
Otóż ograniczenia logowania zachowań wyborców na stronie głosowania nie jest potrzebne w systemie Belenios. System zastosowany przez Polskę 2050 takiego ograniczenia natomiast prawdopodobnie bezwzględnie potrzebował jako metody „dowiezienia” warunku tajności wyborów. Przez „anonimizację” oddanych głosów. Czy tym sposobem wybory można uznać realnie za tajne, to temat na inną rozmowę.
Wybory online – porównanie
| Kryterium | system Polski2050 | Belenios |
|---|---|---|
| Kto oddaje ważny głos | Każdy, kto wchodzi z linku/ używa tokenu z zaproszenia. Token można wykorzystać tylko raz. | Tylko posiadacz indywidualnego kodu głosowania, po uwierzytelnieniu się na stronie głosowania; głos jest kryptograficznie podpisany. Tylko ostatni głos jest zliczany. |
| „Wejścia” na stronę wyborów online a głosy | System zliczał same tylko wejścia na stronę głosowania (łącznie 26 483 przy limicie 1000); przy ograniczonym logowaniu nie sposób odróżnić czy nadmiarowy ruch wywołali uprawnieni czy nieuprawnieni (np. ciekawscy. albo niezadowoleni z przebiegu głosowania działający w celu zerwania głosowania). | Wejście na stronę głosowania bez poświadczenia nie staje się głosem. Jest zasadniczo neutralne dla procesu; liczy się wyłącznie podpisany, poprawny głos złożony przez uwierzytelnionego wyborcę. Ruch na stronie głosowania zasadniczo nie przeszkadza. Limit wejść na stronę wyznaczają parametry infrastruktury. |
| Logowanie wejść użytkowników na stronę głosowania | Nie ma logów pozwalających identyfikować użytkowników – nie ma dowodu na to czyje zachowanie zablokowało system. Nie można dociec czy było to działanie umyślne czy np. wynik wchodzenia na stronę przez ciekawskich albo wielokrotne odświerzenie strony przez tą samą osobę. | Nie przeszkadza zachowanie i zabezpieczenie logów pozwalających identyfikować wejścia użytkowników na stronę głosowania (ip, user-agent, date, url). Por. opis danych przetwarzanych w systemie Belenios. |
| Logowanie nieskutecznych autoryzacji/uwierzytelnień na stronie głosowania | Nie ma logów pozwalających identyfikować użytkowników posługujących się nieprawidłowymi danymi do oddania głosu. | Nie przeszkadza zachowanie i zabezpiecznie logów nieskutecznego użycia kodów głosowania albo nieskutecznych uwierzytelnień. |
| Niezależna weryfikacja wyniku | Nie wiadomo jak konkretnie przebiega weryfikacja wyniku głosowania. Producent systemu Polski 2050 pewnie ma na to sposób, ale nie ujawnia tego na zewnątrz. Nie jest możliwy zewnętrzny audyt w czasie i po zakończeniu wyborów. | Każdy może sprawdzić, że wynik wyborów odpowiada oddanym głosom (dowody kryptograficzne). Może to uczynić również niezależny audytor. W trakcie wyborów i po ich zakończeniu. |
| Samodzielna weryfikacja oddanego głosu przez wyborcę | Brak | Każdy wyborca może sprawdzić co się stało z jego głosem i czy został policzony |
| Tajność głosu | Adresy IP osób udzielających odpowiedzi są szyfrowane unikalnymi w skali głosowania kodami nazwanymi Identyfikatorami sieci. Przypuszczam, że dzięki temu operator zrywa związek miedzy głosem a id wyborcy. Przypuszczam, że tym sposobem ma być zagwarantowana tajność głosu. | Chroniona kryptograficznie — ujawniany jest tylko zagregowany wynik po odszyfrowaniu przy udziale mężów zaufania. |
Co dostałby prokurator, gdyby partia użyłaby systemu Belenios i coś zablokowałoby stronę głosowania?
Po pierwsze — materiał dowodowy dot. wyborów możliwy do pozyskania również z zewnątrz i niezależnie od administratora głosowania. Całe archiwum wyborów (struktura wyborów, mężowie zaufania, lista poświadczeń publicznych, wszystkie głosy, przetasowania, deszyfrowania cząstkowe i wynik) jest publiczne.
Po drugie — otrzymłby dowód integralności: Audytor (a więc i biegły CBZC) mógłby samodzielnie i niezależnie od administratora uruchomić narzędzie weryfikujące i otrzymać rozstrzygnięcia matematyczne.
Po trzecie — prokurator otrzymałby logi wejść użytkowników na stronę głosowania (ip, user-agent, date, url) oraz logi nieskutecznych autoryzacji/uwierzytelnień.
Wybory online – Polska2050 – podsumowanie
Umorzenie dochodzenia „wobec braku danych” nie jest tu dowodem, że nic złego faktycznie się nie wydarzyło. System wybrany przez Polskę2050 nie pozwalał na identyfikację użytkowników odwiedzających stronę głosowania. Pole do analizy było więc siłą rzeczy ograniczone. To istotna różnica w stosunku do systemu sprawdzalnego głosowania online. System Belenios tego by nie wykluczył. Tajność głosowania zapewnia inny mechanizm niż ograniczenie logowania zachowań użytkowników na stronie głosowania.
Zobacz więcej moich wpisów.