http://www.cic.unb.br/~rezende/sd.htm > urna eletrônica : entrevistas

Fiscalização e Garantias

Entrevista ao Jornalista Fabrício Azevedo,
Para publicação no Jornal da Comunidade.
Publicação vetada pelo Jornal (25/08/02)

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
9 de Agosto de 2002


Fabrício Azevedo: Quais as principais deficiências da Urna Eletrônica ?

Pedro Rezende: As deficiências realmente perigosas e inquietantes estão no processo, e não na urna. Tomemos dois exemplos. O primeiro é a apresentação dos softwares aos fiscais dos partidos. Isto só tem sido permitido antes da eleição. Nunca durante ou depois. Se o motivo para se dificultar a análise do software pela sociedade, inclusive com cláusulas formais e irrestritas de sigilo para quem queira fiscalizar, for mesmo o risco do software ser adulterado na urna pelos fiscais, a lógica desta cronologia está invertida. Seria mais arriscado dar-lhes este acesso antes do que durante ou depois da eleição.

O segundo exemplo é a mais recente novidade, com as novas urnas que imprimem os votos individuais. O motivo é para permitirem a conferência da versão eletrônica do boletim de urna contra uma prova material dos seus dados. A idéia é submeter uma amostragem de 3% das urnas à apuração paralela feita nos votos impressos.

Acontece que as normas sobre o processo contém estranhezas. Por exemplo, que a contagem dos votos impressos deverá ser tabulada por uma urna eletrônica. Uma urna eletrônica estará conferindo outra, comunicando-se através de papel, sem que os fiscais humanos tenham direito de registrar esta comunicação para efeito de prova do que se quer provar pela reintrodução do papel.

Outra coisa estranha é a norma sobre o sorteio da amostra de 3% das urnas. O texto original da lei que institui o voto impresso previa que o sorteio seria no dia da eleição, mas o presidente do TSE manobrou, no dia da votação desta lei, para que a bancada governista do senado aprovasse emenda antecipando o sorteio para a véspera.

E qual o problema com a vespera? Caso o software da urna tenha sido inoculado com código malicioso, ele poderá ser avisado do "exame antidopping", para que fique quieto e não fraude no dia seguinte. O aviso pode ser dado, por exemplo, ligando e desligando a urna na madrugada da véspera. Se a inoculação tiver ocorrido antes do software ser replicado a todas as urnas, teremos 97% de urnas fraudando e 3% de urnas demonstrando, "por amostragem", que a eleição está limpa. E quem poderia estar bolindo no software da urna?

Em recente debate na TV Culura, perguntado da possibilidade de fraude através de inserções maliciosas nos softwares o presidente do TSE admitiu-a em tese, mas retrucou com uma pergunta retórica: quem iria inseri-las, se ninguém de fora tem acesso aos softwares? A própria pergunta já traz a resposta: alguém de dentro.

É estranho que o interessado nessa antecipação, uma medida que permite a eventuais códigos trapaceiros inseminados na urna serem avisados da possibilidade de detecção, seja o mesmo que controla o acesso legítimo necessário para esta inseminação. Na eleição passada, a guarda da urna na véspera poderia ser atribuída ao mesário ou ao tribunal, a critério do juiz eleitoral. Haviam juízes que davam a guarda ao mesários, e juízes que mantinham a guarda no tribunal. Vamos ver como será nesta eleição em Brasília, onde todas as urnas terão voto impresso.

FA: O modelo com o voto impresso é mais seguro ?
PR:  São perfis de riscos diferentes. O voto manual é mais vulnerável a fraudes de varejo e de origem externa ao processo. Mas permite a arbitragem de disputas, pois o voto tem expressão material e pode ser recontado. Já o nosso processo eletrônico atual é praticamente impossível de ser adequadamente fiscalizado e, por isso, é mais vulnerável a fraudes de origem interna. Os votos não podem ser recontados. Assim, agentes que organizam e operam o sistema podem se sentir tentados a aproveitarem-se desta inadequação para abusar do poder que detêm, como arquitetos do sistema. Principalmente se as normas que regulam seu uso eleitoral agravarem ainda mais essas deficiências de fiscalização. E ocorre que agravam, sob a justificativa de que os arquitetos do sistema precisam prevenir-se ao máximo contra fraudes de origem externa.
FA: Quais as suas sugestões para tornar a Urna Eletrônica mais segura?
PR: Primeiro, permita-me dizer por que considero inóquas as medidas para isso adotadas para esta eleição. Além do voto impresso, o TSE adotou a votação simulada, com urnas preparadas para a eleição e no dia da eleição, selecionadas por amostragem. Já comentei a inocuidade da primeira medida. Quanto à segunda, coforme está programada não atende ao propósito de demonstrar a lisura da eleição, pois harevá sempre sinais externos que podem avisar ao software que ele está sendo testado  Principalmente se quem regulamenta este teste é quem constrói e instala esses softwares. Trata-se da mesma situação do sorteio da véspera para a apuração paralela.

Talvez o teste de lisura mais eficiente seja algo parecido onde, ao invés da votação simulada, algumas urnas sejam amostradas para inspeção. Da urna seria extraído seu flashcard interno para ser examinado em outro computador, pelas partes interessadas na lisura do processo. Certamente a justiça eleitoral não é a única parte interessada na lisura do processo.

Estas condições são necessárias porque um software ativo pode esconder suas trapaças de quem com ele interage, mas um software inativo dificilmente esconde a lógica desta trapaça a um analista especializado e arguto. Se o software pode ser examinado antes de entrar na urna, por que não depois? E mesmo se for adotada esta proposta, decisões já tomadas as dificultam sobremaneira, como por exemplo, a adoção de sistema operacional superdimensionado para o propósito da urna.

FA:  Há casos comprovados de fraude em eleições com a Urna Eletrônica ? O senhor poderia citar exemplos?
PR: Sim. Em Camaçari, a urna eletrônica foi usada para fraudar o cadastro eleitoral, embora não na condição de máquina de colher voto. Isso mostrou que é possível à própria justiça eleitoral instalar na urna softwares que instrumentam o ilícito.

Em Santo Estêvão, por outro lado, ficou comprovado que o lacre da carga da urna não garante nada. Numa perícia feita por ordem da justiça, do pouco que foi permitido fazer e está documentado nos autos do processo foram encontradas urnas cujo arquivo eletrônico que registra ocorrências assinala a instalação dos softwares em data posterior à data lançada no lacre físico externo da urna.

Este lacre físico externo tem sido apresentado como a garantia de que o testemunho da lacração registra a "auditoria pública" das urnas. Só poderia sê-lo se os fiscais de partido pudessem saber que o lacre é inviolável, e que os programas sendo ali inseridos são os mesmos que foram examinados no TSE, durante a apresentação dos softwares, 60 dias antes. A perícia de Santo Estêvão nega a primeira condição. Quanto à segunda, a justiça eleitoral tem dito o seguinte: Os fiscais ficam sabendo porque um dos nossos programas lhes diz. Trata-se de argumento circular, uma falácia lógica.

FA: Se a urna é auditada publicamente, inclusive por técnicos dos partidos políticos, como um programa com fruade poderia ser introduzido no sistema ?
PR: Pelo que se sabe até agora acerca da eleição deste ano, o procedimento que chamam de auditoria pública da urna será como o da eleição passada. Se for, trata-se de uma imprecisão, cuja insistência pode estar sinalizando má fé, dizer-se que a urna é auditada publicamente. Nunca foi. Como explico na pergunta anterior, não se pode pretender que o testemunho visual da carga dos softwares nas urnas e sua posterior lacração constitui um testemunho solene de que os softwares apresentados no TSE, 60 dias antes, são os mesmos que estarão na urna no dia da eleição.

Neste procedimento, quem estará dizendo que os softwares não foram modificados neste período será um desses softwares, que pode, perfeitamente, ter sido também modificado para dizer isso por conta própria. Por acaso a frase "eu digo a verdade" é uma demonstração da verdade? Um software que imprimisse esta frase na tela estaria com isso provando a verdade? Dizer que o procedimento de fiscalização de carga das urnas, conforme hoje regulamentado, é uma auditoria pública da urna, é o uso mais abusivo imaginável do argumento da autoridade.

FA: Uma auditoria dos softwares do TRE não poderia comprometer a segurança do sistema?
PR: Pode comprometer a segurança do sistema contra fraudes inseridas de fora, mas também pode comprometer a segurança da fraude inserida de dentro, caso haja. Sua pergunta aborda a questão clássica de como se busca equilíbrio de riscos, sedimentada em regras de jogos de azar, de contabilidades financeiras e em jurisprudências eleitorais. Só podemos tentar esta busca se estivermos de acordo sobre como avaliar os riscos, e parece que o TSE e alguns partidos estão longe deste acordo.

Há várias maneiras de se buscar este equilíbrio compromentendo minimanente o risco que corre o TRE de invasão de origem externa. Por outro lado, a certeza de que uma fraude de origem interna não seria descoberta devido à falta de auditoria externa nos softwares da justiça eleitoral tem o efeito de aumentar o risco deste tipo de fraude. Todos nós sabemos que a expectativa de impunidade é a mãe da maioria dos crimes. Este equilíbrio nunca será alcançado enquanto a sociedade comportar-se como se a confiança coletiva emana da autoridade do Estado, e não o contrário.

FA: Qual seria o grau de confiabilidade da Urna Eletrônica?
PR: A urna eletrônica é totalmente confiável mas não no sentido simplista e ingênuo que frequentemente se quer inferir. Ela é confiável no sentido de que age exatamente conforme é comandada. Entra software honesto, sai eleição limpa. Entra software desonesto, sai eleição fraudada. A urna eletrônica, ou qualquer tecnologia, é como uma arma. Uma arma empunhada neste caso pelo processo eleitoral. Quando carregada, para onde estiver apontada quando se puxa o gatilho sairá a bala. O processo eleitoral se equilibra num tripé: votação, apuração e fiscalização. Se a sociedade perde o controle sobre o processo, não podendo fiscalizar adequadamente, a democracia irá cair. Seria como se a mente perdesse o controle sobre o punho que segura a arma.
FA: O senhor não acha que esse sistema é mais seguro que o voto de papel?
PR: Com o processo atual o sistema informatizado é, sim, mais seguro. Só que seguro demais. Ele é seguro contra as fraudes típicas da votação manual ao mesmo tempo em que é seguro também para esconder fraudes típicas de sistemas informatizados. Se quisermos manter o status quo estaremos aceitando o negócio: uma nova proteção para velhos riscos em troca de novos riscos. O problema é que, com esse novo risco, o estrago que uma pessoa apenas -- ou um pequeno grupo de pessoas -- pode fazer na verdade eleitoral, comparado aos riscos antigos, é assombroso, agravado pelas dificuldades naturais que a informatização impõe à perna do tripé eleitoral que cabe diretamente à sociedade: a fiscalização.

Numa recente entrevista que lhe concedeu o presidente do TRE do Distrito Federal, ao responder à sua pergunta se não existem mesmo chances das urnas eletrônicas serem violadas, o ministro responde:

"Não, mas deixe-me explicar. Depois da urna ser programada, ela é auditada publicamente por juizes eleitorais, representantes de partidos e da comunidade em geral. Depois dela ser aprovada ela é lacrada publicamente. Ela permanece com esse lacre até o momento que o presidente da mesa receptora de votos inicia o voto. A urna não tem nenhuma ligação externa ou abertura para inserir programas".
Acontece que a auditoria que importa é a dos programas, e não a do funcionamento da urna, pois um programa trapaceiro pode perfeitamente omitir-se de qualquer ação delituosa durante os testes, se souber que se trata de um teste, como estou tentando explicar nesta entrevista. Porém, a auditoria pública da compilação e instalação dos programas nas eleições passadas, bem como a auditoria prevista para esta eleição, em portaria já publicada pelo TSE, são incompletas, e portanto, tecnicamente, não podem ter nada do caráter fiançador que se supõe do uso do termo "auditoria pública". É para evitar isso que o artigo 66 da lei 9.504/97 fala dos direitos dos partidos à "ampla fiscalização dos softwares", dispositivo este sistematicamente violado nas sucessivas regulamentações do TSE para a auditoria dos programas, quanto a qualquer interpretação eficaz de amplitude. Violação esta sustentada, inclusive em respostas a impugnações e pedidos de liminares, por argumentos técnicos posteriormente desmentidos pelo laudo da Unicamp.

Foi devido a este impasse que os legisladores introduziram a materialização do voto para recontagens e validações por amostragem, na Lei 10.408/02, prevendo a impressão do voto. Porém, na resposta à pergunta anterior, sobre o porquê da impressão do voto, na qual o presidente do TRE-DF justifica, corretamente, esta medida como resultado "da necessidade de se demonstrar a inviolabilidade do sistema", ele em seguida sugere que na proxima eleição o voto impresso poderá ser abolido "por ser redundante".

Como pode o atendimento a uma necessidade ser redundante? Como pode uma tal falácia, proferida por um magistrado, passar incólume em uma entrevista, que, bem ou mal, implicita e elegantemente denotou na pergunta seguinte esta falha, mas cuja resposta tergiversou da falha? Mesmo que relevemos esta falácia, ainda estamos diante da questão inicial, de como a medida que reintroduziu o voto impresso garante o que dela se diz, e cuja resposta pode expor outras falhas dedutivas. Da maneira em que está regulamentada a sua utilização neste sistema, ela não serve para provar inviolabilidade nenhuma, dado ao esvaziamento de sua eficácia, decorrente de sutis mudanças no texto original da Lei 10.408/02, obtida por meio de manobras políticas em seu trâmite legislativo, como explico em vários dos meus artigos e entrevistas. Além disso, a ineficácia do lacre físico da urna como garantia de inviolabilidade dos softwares ali instalados ficou comprovada pelo laudo pericial que está nos autos do processo de impugnação da última eleição municipal de Santo Estêvão (BA), já tornados públicos.

O painel do Senado nos mostra que esse novo tipo de fruade só tem chance de ser detectado se a auditoria externa for imposta onde não foi planejada, se não for corretamente planejada de início. Ignorar os novos riscos que a informatização introduz em processos sociais sensíveis, como os de sustentação da democracia, é ingenuidade ou má fé. Ao dizer isso, exponho-me ao estigma de conspiracionista e paranóico. Entretanto, a persistência desse estigma reflete a consistência de minhas preocupações. Caso contrário, meus alertas estariam sendo rechaçados com arguentos técnicos, e não com argumentos psicosociais ou com censura.