http://www.cic.unb.br/~rezende/sd.htm > urna eletrônica : entrevistas

Medo da Urna

Entrevista ao Jornalista Eduardo Horácio Jr.,
sobre o sistema eleitoral brasileiro em 2002.
Publicada no Jornal Opção em 16/06/02

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
2 de Junho de 2002



Eduardo Horácio: O senhor teme a urna eletrônica?

Pedro Rezende: As urnas eletrônicas e as redes de totalização eletrônica de votos são parte de uma nova tecnologia para o processo eleitoral. E como toda tecnologia, funciona como uma arma. O temor que inspira depende de como é usada. Da forma como tem sido usada a urna, sem a possibilidade de auditoria efetiva nos programas e procedimentos envolvidos, pode tanto ser usada para uma eleição honesta, através de programas honestos, como para uma eleição dirigida, onde a fraude não pode ser comprovada.

É verdade que algumas formas de fraude foram eliminadas. Mas há um preço: o da possibilidade de fraudes que podem atingir todas as urnas através de uma ínfima alteração sorrateira em algum programa, numa das etapas que esses percorrem entre o momento em que são escritos, compilados, replicados, instalados e ativados nas urnas ou nas juntas apuradoras. Por sua simplicidade de instalação e alcance, muito mais perigosas que as de varejo em papel. Assim como o advento do revólver introduziu o assassinato que não mancha o assassino de sangue, o computador introduziu a eleição que não mancha o fraudador de tinta.

O processo informatizado, como está no momento, só pode ser considerado robusto, seguro e confiável por quem não quer admitir a hipótese ou a relevância das possíveis fraudes de origem interna. Isto é, fraudes por iniciativa, descuido ou cumplicidade de quem constrói, manipula ou instala os softwares no processo, ou a eles tenha acesso privilegiado, já que a ninguém mais é dado conhecê-los.

O desdém por esta hipótese, implícito na palavra oficial sobre o sistema, emperra a possibilidade de atingirmos um patamar aceitável de risco à verdade eleitoral através de medidas de aprimoramento no sistema. Tomemos como exemplo a palavra do ministro presidente do TSE ao Jornal do Brasil, publicada em 2/6/02. Ele teria dito que "a questão da fraude é uma cabeça antiga pensando num sistema de voto tradicional".

Meu temor não é da urna, mas da insistência neste desdém, que doutra feita precipitou a revolução de 1930. A ressucitação eletrônica desse desdém, que quer apagar da memória coletiva as conquistas humanistas que custaram sangue e vidas a nossos avós, precisa ser debitada a cabeças duras que não aprenderam com aquela revolução.

As armas da revolução de 30 também eram seguras. Com bala boa na agulha, seguramente o tiro saía quando o gatilho era puxado. Também a urna é segura. Entra software honesto, sai eleição limpa. Porém, a segurança que interessa à sociedade não é a do funcionamento da espingarda ou da urna, mas a da intenção no seu uso. Neste sentido, uma arma ou uma urna pode ser segura ou não, para eu, voce ou um eleitor analfabeto, dependendo de quem a empunha e para onde é apontada, com a mira ou com o software..

EH: A impressão do voto seria uma alternativa para evitar a fraude ou não resolveria o problema?
PR: A eleição é um tripé: votação, apuração e fiscalização. Como está implementada hoje, a informatização do processo contribui para facilitar a votação e acelerar a apuração. Mas quanto à fiscalização, parece montada para dificultar, embora a dificuldade seja de natureza apenas processual, normativa, e não técnica. A impressão do voto seria apenas uma das medidas necessárias para permitir a fiscalização eficaz. Mesmo assim, houve resistência. Primeiro, foi eliminada por ser cara, apresentar defeitos etc. Imaginem os bancos querendo tirar as impressoras dos caixas eletrônicos com o mesmo argumento. E mesmo quando adotada em todas as urnas, para a eleição de 2004, sem as outras medidas necessárias, a impressão do voto não pode garantir nada. Explico o porquê.

A impressão do voto permitiria aos fiscais conferir, em uma e outra urna sorteada, se os totais impressos no boletim de urna, ao final da votação, coincidem ou não com a contagem manual dos votos que cada eleitor teria visto cair num recipiente lacrado, após confirmar seu voto. Porém, esta conferência não garante que a versão impressa do boletim de urna coincida com a versão eletrônica. A versão eletrônica do boletim de urna é que interessa, pois é ela que irá para a junta apuradora para ser totalizada.

Também não garante que os totais nos boletins de urna foram somados corretamente na junta apuradora. Os fiscais teriam que poder verificar cada um desses passos, dos quais a contagem dos votos na urna é apenas o primeiro. A divulgação das parcelas totalizadas por urna, e não apenas por região, em forma digital e em tempo hábil para que os partidos possam conferir a apuração com seus próprios programas e apresentar recursos no prazo legal, seria uma medida que permitiria esses passos. Mas nunca foi tomada. Por que o prazo para recursos é só de 72 horas, e os boletins de urna não são disponibilizados aos partidos em versão eletrônica? O TSE poderia proteger a integridade de tudo assinando digitalmente o que divulga. Por que não o faz?

EH: O sr. teme a chamada urna clonada como forma de fraudar uma eleição?
PR: Nem tanto, pois seria uma fraude de varejo, à moda das antigas urnas grávidas de papel. Mas certamente elas são possíveis, e podem ser muito populares para o negócio das eleições municipais. Em vários eventos públicos, técnicos do TSE têm argumentado que seria impossível ao mesário levar, na véspera da eleição, a urna à sua casa para fazer uma eleição simulada às escondidas, produzindo um boletim de urna em um disquete que ele entregaria, depois, no lugar do disquete gravado pela mesma urna no dia da eleição. Esses técnicos argumentam que a urna tem um dispositivo que bloqueia o funcionamento do programa de votação fora do dia da eleição. Entretanto, nos autos do processo de impugnação da eleição de 2000 em Santo Estevão, BA, na ata de abertura de perícia em uma das urnas lá usadas, está registrado a existência de um programa disponível aos técnicos do sistema que permite alterar a data do relógio da urna. É claro que um mesário poderia clonar a eleição de sua seção com um disquete desses. Ele sabe que não será pego se clonar, porque os partidos não têm como rastrear, em tempo hábil, os dados do boletim no disquete que a junta apuradora receberá dele. E mesmo que tenham, por garantia adicional, ele pode até negar-se a entregar cópia do boletim de urna impresso aos fiscais de partido, como tem acontecido em eleições anteriores. Como a norma dizia que apenas uma cópia do boletim de urna se destina a fiscais de partido, ele pode dizer a um deles que já entregou a um fiscal que já foi embora, e fica tudo por isso mesmo.
EH: Que outras formas de fraude poderiam existir com a urna eletrônica? 
PR: Inúmeras. Não sei se conseguiria pensar em todas. Algumas vêm a mente, como as fraudes no cadastro, enxertado de eleitores fantasmas, que na verdade têm origem com o voto tradicional e não poderão ser eliminadas com a informatização. Mas as fraudes mais perigosas são as possibilitadas pelo software. Além do programa de votação, qualquer software na urna, como o sistema operacional e a biblioteca criptográfica, poderia bolir nos votos. 

Como funciona hoje o sistema, ambos poderiam bolir, quer antes do voto ser contado, quer depois de contado e antes de impresso o boletim de urna, quer depois de impresso e antes de gravado em disquete o boletim de urna, o que seriam formas de fraude indemonstráveis devido à dificuldade prática, para não falar de impossibilidade, de se fiscalizar a totalização dos boletins de urna. E mesmo conferido os boletins de urna, há que se convencer um juiz eleitoral de que o erro está no programa decretado honesto, e não na soma manual feita às pressas pelo partido. 

Com a fiscalização de araque que tivemos na totalização até a eleição passada, os possíveis pontos de inserção de fraudes não se restringem à urna e ao cadastro. O disquete pode ser trocado pelo de uma urna clonada durante o transporte, e também seu boletim na junta de apuração. O próprio programa de totalização pode desviar votos dos boletins de urna, enquanto os soma. Basta que as parcelas por urna não sejam divulgadas em tempo hábil para a conferência da soma, como tem sido feito, para desestimular a conferência posterior. E antes disso, o boletim no disquete pode ser decifrado, bolido e recifrado, antes de ser introduzido ao programa de totalização, por quem detém a chave de decifragem do boletim de urna. Este tipo de fraude seria evitável se a criptografia empregada fosse para assinatura digital, e não para sigilo. 

A opção pela assinatura digital neutralizaria qualquer possível vantagem do Cepesq da Abin como fornecedor da criptografia. E além disso, a fiscalização eficaz da totalização tornaria a criptografia uma proteção auxiliar, secundária, pois os fiscais de seção poderiam verificar pela internet se os boletins impressos em suas urnas foram lançados corretamente na totalização, enquanto fiscais dos candidatos verificam se a soma de seus votos nos diversos boletins foram corretamente efetuadas. 

Agora que o uso impróprio de criptografia já foi denunciado, tanto pelos críticos quanto pelo próprio relatório encomendado à Unicamp, a insistência do TSE em manter a solução encomendada à Abin pode ter uma outra leitura. Sendo a Abin um órgão de serviço secreto, seria menos estranho explicar por que o programa por ela feito precisa entrar secretamente na urna: estaria assim melhor nos protegendo contra os hackers. Porém, nem a urna nem as máquinas que fazem a totalização estão ligadas à internet. Tampouco permitem a programação pelo teclado. E basta um programa secreto na urna, ou nas juntas totalizadoras sob as normas em vigor, para tornar a fraude indemonstrável. 

Os tais hackers só poderiam penetrar a partir do próprio esquema. A solução para neutralizar tanto poder delegado a quem está no sistema seria a verificação de integridade dos softwares pelos fiscais de partido, em todas as etapas por que passam os softwares, conjugado à fiscalização eficaz na votação e na totalização. Tomar a questão da Abin como ponto de honra desvia a atenção do ponto essencial para a segurança que falta à sociedade: a eficácia da fiscalização. A Abin é, em minha opinião, neste caso apenas o bode na sala. Acho melhor parar por aqui, para não parecer uma cabeça velha pensando no voto tradicional.

EH: A lei brasileira é bem clara dizendo que o acesso ao conteúdo do voto de um eleitor nunca deve ser possível por qualquer categoria de operador, programador ou super-usuário do sistema, nem durante nem depois da votação. A quebra do sigilo de voto não existe no Brasil. Como impedir, então, que programadores do sistema criem “portas do fundo” e assim ganhem acesso ao conteúdo dos votos?
PR: Basta escolher outro dado, diferente do número de eleitor, que o mesário precisa digitar no seu microterminal para liberar a máquina de votação para o próximo voto. Qualquer símbolo poderia servir para isso; por que escolher justamente o único que pode comprometer o sigilo do voto, ou seja, o número do título do eleitor? Quanto ao sigilo do voto, este sigilo diz respeito à identificação do eleitor de um voto. A partir do momento em que se somam os votos de uma urna, a necessidade do sigilo não mais se aplica. Não há porque se usar esta frase mágica para se dificultar a fiscalização, não divulgando as parcelas por urna totalizadas a partir dos disquetes, ou para justificar o uso incorreto de criptografia para o transporte do boletim de urna.
EH:O ex-governador Leonel Brizola tem razão quando diz que o sistema brasileiro de eleição não é seguro?
PR: Não devemos polemizar. O sistema de eleição é seguro. Só que seguro demais. Ele casa duas proteções das quais só uma interessa ao eleitor. Da forma como está normatizada a fiscalização, ele dá proteção não só contra falhas não intencionais e contra fraudes de origem externa, mas também para fraudes de origem interna. Ninguém mais do que Brizola entende de fraude eleitoral eletrônica no Brasil. O que ele está dizendo é que o problema com o sistema é como o da Roseana Sarney: o problema está no cônjuge. Só nos interessa uma das proteções que nos querem vender casadas.
EH:Uma petição do PDT, baseada fundamentalmente no artigo que prega a independência dos poderes Executivo, Legislativo e Judiciário e na lei 9.504/97, artigo 66, que garante aos partidos o direito de fiscalizar todas as fases do processo de votação, mostra que os direitos dos eleitores e dos partidos têm sido flagrantemente desrespeitados desde a implantação do sistema eletrônico de votação. O sr. concorda com isso?
PR: Plenamente. O caso típico é o engavetamento de um mandado de segurança contra a denegação de impugnação da apresentação dos programas da urna, por não terem sido todos apresentados aos fiscais de partido, violando a letra da lei mencionada. O TSE fechou a gaveta até passarem as eleições e os prazos de recurso, e então deu despacho ao mandado de segurança, negando-a pelo fato de seu objeto não mais existir: a impugnação de uma eleição que teria já transcorrido. Não fosse um documento jurídico, pensaria em uma tal resposta como um deboche. 
EH:O sr. vincula o escândalo da violação do painel eletrônico do Senado, que envolveu os então senadores Antonio Carlos Magalhães e José Roberto Arruda, com esse medo de fraude das eleições?
PR: Vamos listar os vínculos. Tanto o painel do Senado quanto o sistema eleitoral usam o mesmo sofisma como paradigma para o modelo de segurança: quanto menos pessoas conhecerem o sistema, menor a chance de vulneração. Como quem faz precisa conhecer, o conhecimento deve se restringir a esses. Mas há um problema por trás deste raciocínio. Caso esses possam se beneficiar de fraudes montadas por lógica oculta no sistema, estarão correndo risco mínimo, pois, sob o pretexto de minimização dos riscos de sua vulneração, ninguém mais terá acesso à lógica do sistema. 

O sofisma está em confundir os tipos de risco, como se todos fossem de origem externa, enquanto a minimização dos riscos de origem externa significa uma blindagem para a vulneração interna. Assim, a farsa da segurança no painel do Senado só poderia vir à tona através de uma cisão interna. Fosse Jader Barbalho aliado de ACM, teria a Unicamp sido chamada, e gozado de carta branca para fazer seu trabalho, como a Unicamp que não é a do Dr. Badan Palhares? Quando saiu o laudo, percebeu-se que havia um mecanismo de fraude que era parte do sistema. O tal botão macetoso, que registrava votação de senadores ausentes pelo teclado do secretário da mesa. Questionada a respeito, a empresa que desenvolveu o sistema respondeu: “O sistema foi desenvolvido exatamente como foi especificado pelo cliente”. 

Sem fiscalização externa, ninguém além dos beneficiários da fraude se dariam conta dela. Daí o teatro confessional quando se deram conta, para minimizar danos à ingênua crença na panacéia digital, como solução para os males humanos. A sociedade foi ingênua, manipulada nesta sua crença? Certamente. Continuará sendo? Talvez. Onde há ingênuos, os espertos serão atraídos. Se o público e a imprensa continuarem vendo a coragem pela defesa da cidadania como você vê na sua pergunta, como “esse medo de fraude”, estarão sinalizando aos espertos que o caminho continua livre.

EH:Para ficar claro: qual alternativa o TSE deveria adotar para resolver o problema?
PR: A alternativa é o TSE aceitar o seu papel, e não estou com isso apenas fazendo um trocadilho. Está havendo, nesta história, uma inversão sobre quem deve confiança a quem. É a sociedade que deve decidir onde está a linha aceitável entre riscos toleráveis e riscos que precisam ser contidos pela fiscalização efetiva do processo informatizado. Quem atribui a intenção de volta ao passado aos que querem aprimorar o sistema, estará contribuindo para perpetuar o casamento maldito, entre a segurança contra fraudes externas e para as fraudes internas.
EH:O que o sr. achou da crítica de observadores da ONU, que afirmaram que o processo eleitoral no Brasil não é seguro?
PR: Eles não estão contaminados pelo ufanismo de que estamos sendo vítimas. Enxergaram e descreveram o risco à verdade eleitoral representado por este casamento maldito, sacramentado pelo modelo obscurantista que guia o processo de segurança do sistema.
EH: Como o sr. avalia a participação da Abin-Cepesc no processo eleitoral brasileiro?
PR: Além do que eu já disse, talvez devesse acrescentar que, em minha opinião, o pior efeito da participação da Abin não é exatamente o risco de seu programa criptográfico ocultar algum esquema de fraude, mas o de oferecer um álibi ao TSE para a manutenção de softwares inauditáveis no processo. Mesmo que a Abin entregue um software honesto e robusto ao TSE, conforme encomendado, quem pode saber se o que entra na urna e na rede de totalização como sendo o software da Abin, é o mesmo software entregue? Fora do esquema, ninguém pode saber.
ER: Não existe, na verdade, uma grande teoria da conspiração em torno deste assunto?
Meu avô, do alto dos seus 70 anos e mineira sabedoria, dizia que “quem morre por gosto, o diabo faz o enterro”. No artigo “Síndrome da conspiração”, que escrevi para o Jornal Opção, analiso os dois lados do debate, buscando o que melhor encaixa esta teoria. Quem quiser ler, está em meu site, www.cic.unb. br/~rezende/segdadtop. htm ou na última edição do Jornal Opção. Quem quiser morrer por gosto como cidadão, que vire as costas para o assunto.