http://www.cic.unb.br/~rezende/sd.htm > urna Eletrônica: entrevistas

Urna Eletrônica em Xeque

Entrevista à Jornalista Carolina Chuahy,
sobre o sistema eleitoral brasileiro de 2002

Editada e publicada no O POPULAR de Goiânia em 24/6/02

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
14 de Agosto de 2002


CC: Carolina Chuahy -- Editoria de Política
A partir do relatório da Unicamp, a urna eletrônica pode ser considerada segura?
PR: Depende. Segura para quem, e contra o quê? Nunca duvidei que a urna fosse segura, robusta e confiável, como diz o relatório. O problema é que é segura demais. O seu excesso de segurança é problemático porque empacota junto dois tipos de proteção, das quais só uma pode interessar ao eleitor genérico: a proteção contra falhas não intencionais e fraudes de origem externa[; e a proteção para fraudes de origem interna (trecho suprimido)]. Esta amarração resulta do modelo de segurança adotado para o sistema de votação informatizada, que podemos chamar de obscurantista.
CC: -- O que o TSE deveria fazer, então, para garantir a segurança?
PR: Deveria honrar o artigo 66 da lei 9.504/97, ainda em vigor, que dá aos partidos o direito de fiscalizarem todas as etapas do processo eleitoral. Mas a opção que fez pelo modelo obscurantista está em conflito com este dispositivo, desprezado no que toca ao software. O TSE queria, e continua querendo, que os partidos aceitem softwares secretos na urna. [O despacho de um ministro do TSE negando petição do PDT pela impugnação da urna na eleição de 2000, por violação do referido artigo, assim registra: “pois é fato que menos pessoas tiverem acesso a tais informações, menor a possibilidade de vulneração e risco à segurança das eleições". O cálculo de probabilidade do ministro indica que só os autores do software devam ter tal acesso, à revelia da lei 9.504/97.

O modelo de cujo cálculo o ministro se vale é sadio em sistemas com até dois interesses em jogo. Com mais de dois, o obscurantismo pode acobertar conluios entre dois ou mais jogadores para fraudar os restantes, desequilibrando o jogo.  Por isso, os jogos de azar definem claramente a fronteira entre o secreto e o fiscalizável, através de regras. A organização de eleições funciona exatamente como uma banca de jogo. Assim, o modelo obscurantista seria sadio à segurança do sistema eleitoral se, além da Justiça Eleitoral, tivéssemos apenas um partido político. Como nossa lei eleitoral também define com clareza essa fronteira no referido artigo, podemos supor que seus autores quisessem excluir dela o totalitarismo.]

CC:  O senhor coloca em dúvida a seriedade do relatório da Unicamp quando cita os casos Badan Palhares e Painel do Senado?
PR: Coloco a de leituras parciais e superficiais do relatório. Basta ler o penúltimo parágrafo da conclusão do relatório, junto com as oito medidas de segurança recomendadas e ali comentadas, para se ter uma idéia da seriedade com que a comissão da Unicamp considera o risco de fraude de origem interna.  [Este relatório foi inicialmente requisitado pelo Senado, com uma lista detalhada de requisitos de vulnerabilidade a serem analisados, com a participação de acessores técnicos de partidos políticos. Porém, em seguida, o atual presidente do TSE negociou com o Senado a substituição daquela requisição, por uma outra de sua iniciativa. A requisição seguinte excluiu os representantes dos partidos, e omitiu os tipos de vulnerabilidade a serem investigados. A comissão ficou livre para dar importância ao que lhe conviesse em sua análise.] O problema do relatório está na sua retórica, pois contém ambiguidades desnecessárias.
CC:  Como seriam feitas as auditagens? As apresentações aos partidos previstas na lei não são suficientes?
PR: A fiscalização eficaz dos programas é o maior desafio técnico para a segurança de ambos, eleitores e TSE. Como tem sido feitas o efeito é nefasto, pois servem apenas para dar a impressão de que a urna está sendo adequadamente fiscalizada. Até agora não temos como saber se os programas apresentados noventa dias antes da eleição são os mesmos que estão na urna no dia da eleição. Para a eleição de 2002 o TSE acolheu, há duas semanas, sugestões sobre como proceder a verificação de integridade dos programas. O PDT apresentou uma proposta de minha iniciativa para um protocolo de verificação, que busca esta eficácia sem aumentar o risco de vulneração externa durante a verificação. Entretanto, basta a exclusão de um só programa, ou etapa do processo transformativo por que passam, para que esta verificação possa ter o mesmo efeito que um mágico consegue com sua caixinha de truques.
CC: O senhor ou algum de seus alunos já fez um programa que, se instalado na urna eletrônica, comprometeria o pleito? Se sim, o que aconteceu? Se não, qual o nível de conhecimento necessário para fazer esse programa?
PR: Qualquer programador, até mesmo iniciante, saberia como inserir quatro linhas de código no programa da urna para este fim, caso participasse do processo de elaboração do mesmo. O conhecimento necessário é o da estrutura de dados do arquivo contendo o boletim de urna, além da aritmética ensinada na quarta série do primeiro grau.
CC:  A possibilidade de fraude existe dentro do TSE?
PR: [A prática e a teoria coincidem numa coisa. A possibilidade de fraude é inversamente proporcional ao risco de punição. (suprimido)] Ao explicar como a segurança das eleições é vulnerável à manipulação de programas, como tenho feito em várias ocasiões, não estou dizendo que eu posso fraudá-las. Estou, sim, dizendo quem pode fraudá-las, ao lembrar quem tem acesso legítimo aos meios necessários, num sistema tão seguro contra perigos externos como o nosso. E ao lembrar quem pode ter acesso legítimo aos meios de prova – a fiscalização eficaz desses programas, estou dizendo também quem pode fraudá-las impunemente.
CC: Qual a importância e a interferência da Agência Brasileira de Inteligência no processo eleitoral?
PR: Se o software que fornece fosse auditável e o tipo de criptografia adequado ao contexto, como sugere o relatório da Unicamp, não teria a mínima importância. Já a interferência, esta tem sido muito curiosa. Parece que o serviço secreto do poder executivo tem sido útil para explicar ao leigo o por quê de softwares secretos na urna. Ouvimos o chefe do serviço secreto dizer que seu software precisa ser secreto para dar segurança. Mas nunca o ouvimos explicar com clareza a quem e contra o quê, ou mesmo o próprio autor do software afirmando isso. A urna não está ligada na internet nem precisa se tornar programável por teclado, para se culpar os hackers. [Não há boa razão para se confundir o eleitor, fazendo-o crer que software e chaves criptográficas são inseparáveis.]
CC: O que muda com a lei 10.408? O voto impresso resolve o problema?
PR: Esta lei foi aprovada de forma curiosa. Foi proposta ano passado no Senado, para por fim ao obscurantismo normativo que inviabiliza a fiscalização e auditoria do sistema. Poucos dias antes da votação da matéria, o presidente do TSE enviou aos senadores da base governista pedido para que apresentassem 15 emendas ao projeto, ememdas que foram apresentadas no dia da votação. O senador Bello Parga apresentou a emenda que antecipa para a véspera da eleição o sorteio das urnas que terão conferência dos votos através da apuração dos votos impressos. Outra emenda, apresentada pelo senador Francelino Pereira, restringe o direito dos partidos auditarem alguns dos programas do sistema eleitoral e suprime condições obrigatórias para a eficácia da auditoria restante. O então líder do governo, senador Hugo Napoleão, diante da recusa do relator em acatar estas emendas, pediu votação em separado para as mesmas e instruiu seus liderados a votarem a favor. Além disso, instruiu-os contra a emenda que retirava o último artigo do projeto de lei, estabelecendo prazo de um ano para sua entrada em vigor, sob o argumento de que já havia acordo na Câmara para aprová-la a tempo para sua vigência na eleição de 2002. [Hugo Napoleão conseguiu o que queria, a aprovação do projeto com essas emendas no plenário do Senado em 2 de Outubro de 2001.

Na Câmara, onde o projeto no dia seguinte com pedido de urgência, um acordo de lideranças retirou neste mesmo dia a urgência, sob o argumento de que a matéria precisava ser melhor estudada. Na Comissão de Constituição e Justiça da Câmara, onde tramitou em 15 dias, as tais emendas foram retiradas. Porém, no dia em que foi a votação no Plenário, o ministro Jobim pediu e conseguiu um outro acordo de lideranças para que o projeto fosse revertido à versão aprovada no Senado,  desta vez sob o argumento de que, se aprovada na Câmara com as modificações propostas pela CCJ, o projeto teria que voltar para o Senado, perdendo assim o prazo de vigência para eleição de 2002. Ocorre que este prazo já havia se esgotado no dia seguinte à sua chegada na Câmara.

Com o sorteio dos 3% das urnas a serem conferidas, basta alguém ligar a urna na noita anterior com um disquete esperto, que avisa o sistema para comportar-se direitinho no dia seguinte. Quanto ao nobre senador Hugo Napoleão, recebeu do TSE o governo do seu estado, quize dias depois de aprovada esta lei no congresso, cassado o governador eleito. Este ato final não deixa de matizar o caso com certa ironia semântica: Mão Santa deletado.]