http://www.cic.unb.br/~rezende/sd.htm > urna eletrônica : entrevistas

Violabilidade da Urna Eletrônica

Entrevista à Jornalista Milly Lacombe,
Para publicação na Revista Super Interessante

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
20 de Setembro de 2002



Milly Lacombe: 1. As urnas eletrônicas são seguras (contra violações, hackers etc)?

Pedro Rezende: São seguras demais, e aí está o problema. As urnas são seguras contra ataques externos, vindos de fora do sistema, mas não só isso. Se alguém com acesso privilegiado, de dentro do sistema, quiser burlá-lo para fraudar o pleito, garantindo a eleição de um ou de outro candidato com votos fabricados, ninguém terá condição de provar que houve fraude, devido a deficiências na norma regula a fiscalização. Ao eleitor que queira preservar sua cidadania, deveria interessar apenas a primeira dessas duas seguranças, porém, conjugada ao inverso da segunda delas.

ML: 2. Por quê?
PR: Por que o modelo de segurança do sistema eleitoral brasileiro está equivocado. O modelo escolhido pelos arquitetos desta modernização é intersubjetivo, e não objetivo. Não temos como julgar se este equívoco decorre de inépcia ou má fé, mas a persistência no equívoco tende a apontar em uma das duas direções. Vou tentar explicar melhor.

Modelos de segurança intersubjetivos são baseados no máximo sigilo. Mas eles só são eficazes para sistemas com apenas dois interesses relevantes em jogo. Sistemas com mais de dois interesses permitem o conluio entre dois ou mais agentes visando prejudicar os outros, sem o risco da trapaça ser descoberta a tempo de preveni-la. Nesses casos o modelo intersubjetivo é absolutamente contra-indicado. A segurança que qualquer deles pode almejar só é alcançada através do equilíbrio de riscos e responsabilidades, indicando um modelo objetivo. A segurança objetiva deve ser buscada através de um delicado equilíbrio entre sigilos e transparências.

No sistema eleitoral, os interesses em jogo são o da justiça eleitoral e os dos partidos. Temos então mais de dois interesses em jogo, pois temos mais de um partido político. Neste caso é a transparência, e não o obscurantismo, que deve nortear a busca de segurança para todos, e não apenas para o dono do sistema. Esta sabedoria, tão velha como a própria democracia, está no ditado que diz ser o preço da liberdade a eterna vigilância. Está também na lei eleitoral 9504/97, em seu artigo 66. A crise atual do capitalismo globalizado, para não falar do painel do senado, é uma evidência insofismável desta sabedoria.

O modelo de segurança do nosso sistema eleitoral considera que os intersses relevantes em jogo são apenas o do TSE e o de potenciais fraudadores, com o TSE nos apontando onde podem estar esses fraudadores, e nos recusando o mesmo direito, impedindo os partidos de fiscalizarem amplamente os softwares, desrespeitando assim a lei eleitoral em relação ao direito de fiscalização dos partidos, expresso no supracidado artigo 66. Ora, com a informatização completa do processso eleitoral a fiscalização deixa de enfocar a vigilância das urnas e a contagem dos votos, para enfocar a confecção e a instalação dos programas que registram, tabulam e totalizam votos.

Desta forma, se os partidos aceitam pelo menos um software secreto ou inauditável na urna, qualquer que seja o pretexto, o autor do software pode se valer disto para beneficiar algum partido através do desvio calculado de votos, sem o risco de ser descoberto. Basta modificar algumas linhas do programa no momento adequado, sem que os prejudicados saibam. Se ele precisar para isso de informação que não tem, certamente saberá como obtê-la, razão porque a comparitmentação de conhecimento, brandida pelo TSE como garantia da neutralidade no sigilo de softwares, não impõe barreiras suficientes para o grau de risco social envolvido.

Para este grau de risco é insuficiente basearmos toda a segurança apenas na palavra de pessoas. Pior ainda quando a que responde por todas elas, na hierarquia de decisão e poder eleitoral, é alguem que repetidas vezes promete e não cumpre, e que não gosta de ser cobrado das suas promessas.

ML: 3. Como funcionam (apenas uma rápida abordagem técnica, feita de um especialista para leigos)?
PR: A urna é um computador que grava um arquivo com uma tabela de votos, o boletim de urna. Esta tabela contém totais de votos por condidato naquela urna. Esta tabela precisa ser transportada e esses totais de urna somados, para se obter totais por município, estado ou federação. Cada palavra na frase anterior é um procedimento que pode, em princípio, ser ocultamente burlado por quem manipula programas. Isto porque esta tabela não retém a materialidade dos votos, fato que está na raiz das enormes dificuldades para se fiscalizar uma eleição informatizada desse tipo.

Escolher um sistema que tem mais de 25 mil programas na urna para contar e tabular em torno de 400 votos, é uma decisão totalmente absurda, do ponto de vista do eleitor que esteja interessado na fiscalização do processo. O sistema poderia ser bem mais simples. A escolha de um sistema tão complicado para a urna, como este mais recente, baseado no Windows CE, só pode ter um efeito prático. O de dificultar a fiscalização.

ML: 4. Quantos programas normalmente fazem parte de sistema como esse (incluindo o de totalização)?
PR: Um sistema dedicado para operar a urna pode ser bem mais simples que os atualmente empregados pela Justiça Eleitoral, com algumas centenas de arquivos. Isto ficou demonstrado nos concursos promovidos para escolha do modelo da urna, na primeira metade da década de 90. A confeção das urnas e a contratação de software seriam bem mais simples. Sairia mais barato para o eleitor, enquanto que, por outro lado, que tem algo a ganhar com este negócio não ganharia tanto.
ML: 5. O senhor participou da comissão da UNICAMP que avaliou as urnas de 2000?
PR: Não participei. Fiz uma análise das deficiências técnicas e linguísticas do relatório para a Folha de São Paulo e para a Fundação Alberto Pasqualini. Esta fundação deverá estar lançando um livro a respeito em breve.
ML: 6. Sabe me dizer se as recomendações propostas pelo relatório foram seguidas pelo TSE?
PR: Sei, mas este dado não é relevante. Prefiro comentar o conjunto e a atitude da justiça eleitoral diante delas. Todas as oito recomendações foram no sentido de dificultar ou tornar detectável possíveis fraudes de origem interna. Dessas, algumas foram atendidas em parte, sem alcançar com isso a eficácia pretendida. Outras foram prometidas pelo presidente do Superior Tribunal Eleitoral à Comissão de Constituição e Justiça da Câmara, em 19 de Junho, mas não foram cumpridas.

Aliás, esta não é a primeira vez que isto acontece. O mesmo ministro fez o mesmo na eleição de 2000, então vice-presidente do TSE e falando em nome do presidente no Senado, em julho de 2000. Quando o PDT o interpelou desta vez, para que transcrevesse para normas a serem seguidas por seus subordinados as promessas que havia feito, sua resposta no processo foi que ninguém deve se sentir credor de suas promessas, pois "o instrumento da interpelação é estranho ao direito eleitoral".

Relevante aqui é o fato de que de nada adiantaria cumprir sete de oito recomendações, se o assunto é segurança. Se uma das recomendações para proteger sua casa seja trancar a porta dos fundos, e se ladrão sabe que voce não tranca, voce estará protegida?

 ML: 7. Quais as medidas de segurança que devem ser tomadas para garantir que a equipe que faz o manuseio físico das urnas não possa violá-las?
PR: É impossível, com as normas vigentes, obter-se qualquer garantia de inviolabilidade. Tomemos como exemplo o que pode parecer óbvio desmentido do que acabo de afirmar: os lacres físicos na urna. Da forma como vinham sendo usados até a eleição passada, forma definida em detalhes por uma resolução do TSE, os lacres físicos não protegem nada, como ficou comprovado pelo laudo técnico nas urnas periciadas no processo de impugnação da eleição municipal de Santo Estêvão, na Bahia. As urnas podem ser desmontadas e suas memórias trocadas sem se violar os lacres. Isto ocorre desde 1996, e só veio à público com este laudo.

Costumamos ouvir autoridades eleitorais dizerem que se o sistema fosse sujeito a fraude teriam surgido provas disto. O que é diabólico nisso é o fato de que o sistema é inseguro justamente porque os procedimentos não permitem a produção de provas contra quem as julga. Este laudo de Santo Estevão, por exemplo, só foi possível porque envolvia uma pendenga entre dois partidos governistas, e, talvez por isso, foi o primeiro processo de fraude eleitoral informatizada em que o juiz permitiu a nomeação de um perito externo. Que tipo de falha um perito interno irá "encontrar", caso esteja ele fraudando ocultamente através das mesmas? Todas as perícias anteriores, bem como as chamadas auditorias públicas, são totalmente ineficazes como medidas fiscalizatórias.

Para suprir a falta de eficácia fiscalizatória com as normas vigentes, cheguei até a apresentar uma proposta de protocolo de verificação cruzada de integridade de programas ao TSE, através do PDT, a quem dei assessoria técnica voluntária durante a fase preliminar da apresentação dos programas, no início de junho. O TSE estava aberto a sujestões, e esta proposta detalhava os procedimentos necessários para atender a uma das sujestões da Unicamp. Mas não houve sequer resposta do TSE à sugestão.

Com as normas vigentes, o máximo que a fiscalização pode aspirar é detectar burlas para a fraude, caso ocorram. Para isso o voto impresso como medida fiscalizatória sobre a votação eletrônica é a alternativa mais eficaz. E também aí houve manipulação política do presidente do TSE para esvaziar a eficácia fiscalizatória da medida, manobrando para aprovar a antecipação da data do sorteio das urnas a serem fiscalizadas para a véspera da eleição. Ora, é muito fácil programar o código que burla o sistema para não fraudar caso seja avisado que foi sorteado para ser fiscalizado. Este aviso pode ser tão simples como ligar e desligar a urna na véspera, ou, logo que ligada para a eleição, digitar-se uma sequencia especial de teclas.

E o que estamos vendo a respeito é uma campanha enganosa, inclusive com a participação da mídia divulgando uma versão distocida dos fatos sobre o assunto. Diz esta versão que o voto impresso será testado este ano para ver se aprova, se compensa ser adotado nas futuras eleições. O voto impresso deve estar em todas as urnas a partir de janeiro de 2003, como manda a lei 10.408, aprovada na esteira da indignação coletiva com o painel do senado, um caso típico do modelo de segurança inadequado fazendo a  verdadeira vítima, que é a sociedade, de otário. O que esta versão está na verdade fazendo é campanha contra a lei 10.408, fazendo novamente a sociedade de otário. Veja só esta pérola do presidente do Tribunal Regional Eleitoral do DF, numa entrevista que concedeu a um jornal de Brasília em Julho deste ano.

Perguntado sobre o porquê da impressão do voto ele justifica, corretamente, esta medida como resultado "da necessidade de se demonstrar a inviolabilidade do sistema", ele em seguida sugere que na proxima eleição o voto impresso poderá ser abolido "por ser redundante". Como pode o atendimento a uma necessidade ser redundante? Como pode uma tal falácia, proferida por um magistrado, passar incólume em uma entrevista?