http://www.cic.unb.br/~rezende/sd.htm > urna eletrônica : entrevistas

A Justiça Eleitoral fiscaliza violações internas?
E quanto às gerações?

Entrevista a Bruna Borges,
Para matéria no Portal UOL

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
  14 de Agosto de 2014
 



Bruna Borges: 1. Em sua opinião, a urna brasileira é segura?

Pedro Rezende:
A urna eletrônica é segura mas não no sentido simplista e ingênuo que a propaganda oficial insinua e o leigo tende a entender. A urna do TSE é um tipo de computador, que portanto seguramente se comporta conforme é programada: se entra software honesto, sai votação limpa; se entra software desonesto, sai votação fraudada na sessão eleitoral correspondente.

Ainda, é ingênuo e perigoso pensar em segurança da urna como a mesma coisa que segurança do processo eleitoral do ponto de vista de quem acredita em democracia, porque a honestidade do software que entra na urna é condição necessária mas não suficiente para a lisura de uma votação informatizada. Votações continuam podendo ser fraudadas em qualquer de suas tres etapas mesmo depois de informatizadas, na primeira e na terceira etapas, mesmo com software honesto na urna. Na primeira etapa, quando eleitores habilitados numa sessão são identificados e liberados a votar, e na terceira, quando os boletins de urna oriundos das sessões eleitorais são somados para o resultado dos respectivos pleitos da eleição.

BB: 2.A urna eletrônica está vulnerável a ataques externos? E quanto a ataques efetuados por pessoas que trabalham nas eleições, a Justiça Eleitoral consegue evitar ou fiscalizar violações de seus funcionários ou mesários?

PR:
Não há sistema informatizado invulnerável, e fica cada vez mais ridículo insinuar ou pretender o contrário na medida em que recrudesce a ciberguerra, cujas ações estão cada vez mais escancaradas com os desdobramentos das revelações de Snowden. Qualquer interessado em fraudar um complexo sistema informatizado buscará o caminho que lhe ofereça melhor relação entre o esforço ou dificuldade de execução, e o risco de ter o efeito da fraude desvelado e anulado ou a sua autoria rastreada e punida. A nossa democracia tem um perfil determinante para esse caminho, que conjuga um sistema de votação concentrador de riscos, um modelo de desenvolvimento para esse sistema que despreza riscos de origem interna, como revela a análise vencedora do último teste externo, e um regime eleitoral que repete um vício outrora fatal para a Republica Velha, o de concentrar os tres poderes da esfera eleitoral numa única instituição. A Revolução de 1930 deslocou esse vício do legislativo para o judiciário, numa reação política pendular que na ocasião parecia apta a neutralizar o conluio conhecido como política café-com-leite.

Até onde sei, dentre as democracias atuais, só no Brasil as votações oficiais são regulamentadas, executadas e julgadas por uma mesma instituição. Mais precisamente, por um ramo atípico do judiciário cuja cúpula congrega metade dos juízes da corte suprema, os quais não se constrangem em alardear, até em sentenças, a falaciosa suposta invulnerabilidade do sistema de votação que eles controlam. Nesse contexto, o caminho para qualquer ataque que se preze incluirá tanto operadores externos quanto internos, que cada vez mais se confundem conforme a justiça eleitoral expande a terceirização das tarefas relativas à operação do seu sistema de votação, notadamente as de fiscalização de efeitos internos. Sobre a da votação paralela, por exemplo, analisei o caso da eleição de 2014 em artigo publicado também no Observatório da Imprensa onde respondo ao corregedor eleitoral do Rio de Janeiro que me havia citado; e sobre a da segurança de sua rede corporativa de dados, em entrevista ao portal IG por ocasião da denúncia de fraude via rede na eleição municipal de Saquarema em 2012.

Então eu diria que não só a urna, mas o sistema de votação como um todo, estão mais vulneráveis a ataques mistos, que envolvem interesses externos e operadores internos, enquanto os internos ou semi-internos ficam por isso sujeitos a pressões para se envolverem em conluios, que se tornam atrativos na medida em que o mito da inviolabilidade do sistema de votação do TSE se enraiza em nossa cultura cívica. Para adubar o arraigamento desse mito, duas ações direcionadas podem ser úteis: por um lado, a propaganda oficial, se confundir no leigo o conceito de segurança dos donos do sistema contra eficácia na fiscalização externa, com o de segurança dos cidadãos que acreditam em democracia contra fraude eleitoral envolvendo operadores internos ou semi-internos; e por outro lado, a regulamentação do processo eleitoral, se tornar a fiscalização externa inócua, sem parecer estar suprimindo direitos de quem ainda queira fiscalizar.

Esse direcionamento é facilitado, e quase legitimado, pelo mito da tecnologia como panacéia triunfal, uma característica marcante da cultura contemporânea. Eis que nessas ações conjugadas ele vem sendo observado, e denunciado por especialistas em segurança digital que prezam a democracia e acompanham de perto a informatização do nosso processo eleitoral, no meu caso há mais de doze anos. Esclarecido o contexto subentendido na pergunta, se a justiça eleitoral consegue fiscalizar violações de seus funcionários ou mesários, só posso responder em tese. Acredito que conseguiria efetivamente apenas em parte, pois toda medida de controle introduzida em sistemas informatizados induz coleteralmente novas formas de ataque, que contornam suas intrínsecas fronteiras de eficácia, fronteiras tanto mais esquivas quanto mais complexo for o sistema.

Doutra feita, em outro sentido da pergunta, se a justiça eleitoral investiga ou não por conta própria, e se pune ou não incautos eventualmente pegos em ilicitudes, não temos como saber, pois nada vem a público acerca de tais ações além de vagas alegações de que elas existem. Se e como elas ocorrem, nada transparece dos atos públicos dos corregedores eleitorais. E agora, nem mesmo advogados externos tem como saber, pois com a mudança para o prédio novo do TSE eles tiveram o acesso bloqueado à rede interna, onde os feitos administrativos são registrados. Quanto aos casos de demanda externa para investigação de ilícitos, visando ação pública para impugnação de pleito por exemplo, a resposta é efetivamente não. Nesses casos um efeito nefasto da citada concentração de poderes tem sempre prevalecido. Ou provocam ameaças de retaliação contra candidatos questionadores, ou perda de objeto da ação judicial por decurso de prazo em mora, ou negam perícia independente ou denegam em setença sob o argumento de que os indícios arrolados não comprovam ter havido desvio no resultado da eleição.

Esta é uma situação kafkiana porque as provas que o acusador busca estão sob controle de juízes que ao mesmo tempo devem ser réus, ao menos por negligência em vista da propaganda que levam a sério. Qual julgador entregaria provas em circunstâncias e profusão adequadas aos critérios de admissibilidade e suficiência, que ele mesmo consideraria, para condenar-se a si mesmo? Algum acesso é sempre negado, sob pretexto da segurança "do sistema". A prova de que tal situação é kafkiana fica evidente na propaganda oficial, quando a justiça eleitoral alardeia esse sofisma, que nunca ninguém comprovou -- em juízo -- que o sistema foi fraudado, como "prova" de que o sistema dela é inviolável. Essa situação materializa uma doutrina esquizofrênica sobre prova eleitoral, onde, para verificação positiva de resultados, vale cantigas de propaganda; e para a verificação negativa, o vale-tudo do rigor jurisprudencial sobre prova documental. Sistema incestuoso de poderes concentrados, este, pode até ser inviolável, mas apenas até a próxima reforma ou golpe de estado; enquanto o de votação, nunca o será.
 

BB: 3. É verdade que a urna brasileira é de 1ª geração e já foram criadas as de 2ª e 3ª gerações? O que diferencia cada uma delas? Quais seus problemas e vantagens?

Sim. Esta classificação dos sistemas de votação em gerações foi inicialmente apresentada em audiência pública no TSE em 2010, e reapresentada a convite num seminário internacional sobre votação eletrônica em 2012. Ela se refere, em termos leigos, aos modelos tecnológicos de urnas eletrônicas usadas pelos respectivos sistema de votação. A idéia de gerações se justifica pelo fato dos respectivos modelos de urna eletrônica terem surgido na literatura científica nessa ordem cronológica e com o objetivo de resolverem problemas práticos tidos como cruciais e inerentes ao modelo anterior. E como expliquei na resposta anterior, ao custo colateral de novas formas de ataque inerentes às alterações ou novidades introduzidas, que precisam então ser integralmente reavaliadas em contextos reais de uso. Podemos resumir o que as diferenciam assim.

1- As urnas modelo DRE (Direct Record Electronic) são as que registram e contam votos de forma puramente eletrônica, e por isso não permitem verificação ou recontagem independente de software. As urnas DRE são usadas em sistemas de 1ª geração desde 1991, na Holanda, e atualmente apenas no Brasil. O modelo anterior que as urnas DRE buscam aprimorar é o da urna física, que apenas coleta cédulas com registro material do voto. O modelo DRE busca impedir as fraudes de varejo praticáveis na aupração por manipulação de cédulas e planilhas de papel (mapas), ao custo colateral de tornar a lisura do resultado completamente dependente da honestidade do software que roda na urna no momento da votação.

2- As urnas modelo VVPT (Voter-Verifiable Paper Audit Trail) são as que atendem ao critério de verificabildade independente de software, incluido nas diretrizes VVSG (Voluntary Voting Systems Guidelines) pelo EAC (US Electoral Assistance Commission), grupo de pesquisa formado nos EUA após o fiasco da eleição de 2000 para estudar os problemas com votação informatizada e propor soluções. Urnas VVPT são usadas em sistemas de 2ª geração desde 2000, nos EUA. O critério VVPT exige um registro material do voto digital para instrumentar uma trilha de auditoria independente do software. Nesse modelo, alguns tipos de urna (também rotuladas de IVVR) requerem o registro material na entrada da coleta eletrônica, onde uma cédula é escaneada, enquanto outros geram o registro material como saída, imprimindo uma cédula correspondente ao voto digital coletado, alguns com manipulação direta do eleitor e outros sem. Esse modelo se expõe a novas formas de sabotagem, úteis a candidatos sem chance, por manipulação indevida de uma das trilhas: se houver discrepância entre a contagem eletrônica, automática, e a física, manual, a auditoria não pode descobrir qual delas foi violada porque as duas trilhas de custódia dos votos são independentes.

3- As urnas modelo E2E (End-to-End auditability) são as que atendem ao critério de auditabilidade ponta-a-ponta, implementável por trinhas interdependentes de custódia material e digital do voto. Os próprios criptógrafos que encabeçaram o grupo de pesquisa EAC perceberam a vulnerabilidade colateral das urnas VVPT, e propuseram o novo critério E2E para saná-la. Urnas E2E são usadas em sistemas de 3ª geração desde 2006, na Argentina, lá com um tipo de urna que lê e grava registros integrados tipo "RFID-em-cédula", desenvolvidas de forma independente do critério E2E mas que o atende. Os especialistas que propuseram esse critério, caraterístico dos sistemas de 3a. geração, inauguraram em eleição oficial o sistema que desenvolveram, com um tipo de urna eletrônica que emprega redes criptográficas "mix-and-match", no município de Tacoma, nos EUA, em 2009. Nesses sistemas, discrepâncias entre as contagens automática e manual podem ter a origem rastreada em auditoria, devido à interpependência das trilhas. Colateralmente, esse modelo se expõe a novas ordens de complexidade no software ou na tecnologia de registro do voto, cujo único desdobramento com potencial de vulnerabilidade até agora detectado é a necessidade de um cuidado maior na operação do sistema para proteção ao sigilo do voto.

As vantagens e desvantagens no uso de cada modelo de urna são relativas, pois na prática dependerão de vários fatores além dos potencializados por critérios técnicos. Fatores tais como detalhes do sistema de votação onde a urna se integra, posturas de quem administra ou opera o sistema no sentido de franquearem acesso aos recursos de fiscalização e auditoria externa, e atitude do eleitorado em relação à importância do cumprimento da sua função de fiscalização externa. Como os sistemas de votação operam em contextos cuja distribuição de riscos é multipolar, qualquer deles, de qualquer geração, será inapelavelmente frágil e vulnerável a fraudes em situações onde não houver massa crítica de eleitores conscientes da importância da sua função fiscalizatória e dispostos a exercê-la. Inobstante isto, o condão dessa classificação evolutiva, em que as diferenças entre modelos se relacionam tecnicamente pela linhagem, é no sentido de que quanto mais antiga a geração, mais a eficácia da fiscalização externa estará susceptivel a arbítrios na operação ou administração do sistema. Num contexto de uso em que eleitores são adestrados a entender eleição como videogame, por exemplo, um sistema de 1a. geração pode ser facilmente blindado, como se camuflado, contra a eficácia da fiscalização externa, a qual aí se torna semelhante a um mero teatro.
 

BB: 4. É verdade que o modelo utilizado no Brasil foi deixado de ser usado em outros países? Quais? Por quais motivos? O senhor apontaria países que tem modelos mais confiáveis que a urna brasileira?

Sim, conforme documentado no portal do forum do voto seguro, por motivos que suponho justificados ou explicados no final da resposta anterior. Sistemas de votação informatizados apresentam potenciais de confiabilidade que são distintos não só entre os sistemas propriamente ditos, notadamente pelos critérios técnicos para custódia dos votos que distinguem as tres gerações, mas também distintos para um mesmo sistema, conforme critérios ou métricas possíveis para se aferir confiabilidade. Existem critérios de todo tipo sendo usados em tais aferições, que vão desde argumentos de autoridade, como os implícitos em propaganda institucional e sentenças judiciais que os arremedam, aos mais analíticos e universais, como aqueles propostos nas diretrizes VVSG pelo grupo de pesquisa EAC a partir de 2005.

Assim, não pode haver critério objetivo de comparação entre sistemas de votação fora de um acordo sobre como se medir confiabilidade neles.
Para escolher um critério de aferição de confiabilidade baseado em como entendo esse conceito aplicável a processos eleitorais, optaria pelo nível de conscientização e participação do eleitorado na imprescindível função fiscalizatória externa. Quando esse nível é alto o suficiente, fraudes de varejo eventualmente praticadas por eleitores, notadamente na primeira etapa da votação, tendem a manter-se em níveis reduzidos, ou a se cancelarem mutuamente em eleições que mais precisam de fiscalização, as equilibradas. E se houver fraude por atacado ou em extensão bastante para influir no resultado, o eleitorado estará coletivamente mais propenso a se convencer da ilegitimidade desse resultado. Por esse critério, as gerações de sistemas de votação mais recentes oferecem mais confiabilidade para o mesmo nível geral de envolvimento do eleitorado, por crescentes dificuldades para os meios internos de sabotagem à eficácia da fiscalização externa.

BB: 5. É mais fácil ou mais difícil identificar fraudes com o sistema eletrônico de votação?

Aqui também precisaríamos de um critério comum. Se adotarmos o critério do potencial de dano per capita combinado ao da periculosidade, o qual foi incluído nas diretrizes VVSG, observamos o seguinte: Em sistemas de primeira geração, as mais perniciosas formas de fraude são praticáveis por atacado e invisíveis; nos de segunda geração, as piores são praticáveis por atacado e parcialmente auditáveis. E nos de terceira geração, estas são praticáveis por varejo e auditáveis, como nos sistema de geração zero (os puramente manuais). Ainda, quanto à relação entre visibilidade e auditabilidade, a eficácia da fiscalização externa é mais facilmente bloqueavel por manobras administrativas de quem opera um sistema de primeira geração do que de qualquer outra, incluindo a geração zero. Entretanto, mesmo fixando esse critério para tentar responder à sua pergunta, a resposta correta ainda é: depende. Para quem quer eleição limpa sob critérios universais de verificabildade, a resposta é oposta à de quem queira fraudar, poder intermediar fraudes impunemente ou ter a última palavra quanto a essa possibilidade, como se jungidos fossem com oniciência divina e pureza moral dos anjos do bem, consagrados que foram por se acharem donos ou experts do sistema.
 

BB: 6. Por que o TSE não permite mais testes abertos ao público sobre a confiabilidade das urnas eletrônicas?

A resposta deve ser buscada no TSE, mas se aqui couber ao invés um palpite, diria que os possíveis motivos estariam relacionados ao fato desses testes, que deveriam ser abertos, quando permitidos não foram propriamente abertos. Tiveram participação externa, mas não foram abertos, já que os dois permitidos -- em 2009 e 2012 -- foram cuidadosamente coreografados. Com detalhes que, a pretexto de excluriem o que estaria "fora de escopo do teste", suprimiam a eficácia investigatória o bastante para permitir-nos inferir que a coreografia almejava direcionar os resultados para validação da propaganda oficial.

Como no primeiro desses testes a participação externa acabou se desviando ligeiramente dessa direção, o teste seguinte só ocorreu tres anos depois, com uma coreografia mais elaborada, no sentido de tornar a supressão na permitida eficácia investigatória menos evidente, com um controle mais rígido do acesso pela imprensa aos "testadores". Nesse segundo teste, em 2012, ocorreu então que a participação externa desviou-se ainda mais do resultado almejado pelo script coreográfico. Sou assim induzido ao palpite de que o próximo script demorará no mínimo mais um ano para ficar pronto, se ficar.
 

BB: 7. O uso da biometria melhora a confiabilidade das urnas?

A função de uma urna de votação é coletar votos. Mas no sistema de votação do TSE, urnas de primeira geração não só coletam e somam votos sem possibilidade de recontagem, mas também -- inédito em qualquer sistema conhecido -- registram a identificação de eleitores. No sentido de que a biometria nesse sistema acrescenta dados a essa identificação e registro, tal biometria não melhora a confiabilidade dessas urnas, pelo contrário. Pois urnas eletrônicas para votação secreta, de qualquer geração, não deveriam ser usadas para subsidiariamente identificar eleitores. O cúmulo da ironia aqui -- até ousável em vista da teoria esquizofrênica da prova eleitoral -- seria se os defensores desse sistema criticassem os sistemas de terceira geração pelo colateral cuidado adicional neles necessários para se proteger o sigilo do voto.

Desconsiderando esse desvio de função no desenvolvimento do sistema do TSE, desvio que havia sido abolido com ilegal pelo artigo 5 da Lei 12.704/09, mas que foi relegalizado com a anulação desse artigo pelo STF em novembro de 2013, ainda que sob um estapafúrdio argumento de insconstitucionalidade, tal biometria tampouco melhora a confiabilidade da votação no sentido insinuado pela propaganda institucional, que seria o de evitar fraudes na primeira etapa de votação. Antes, ao contrário, conforme acabo de explicar em entrevista à Agencia Brasil de Notícias.
 

BB: 8. Quais recomendações o senhor propõe para aumentar a confiabilidade e a segurança dos dados nas eleições?

A confiabilidade e a segurança em eleições para eleitores que acreditam em democracia, é uma coisa. A segurança dos dados em eleições para quem controla o sistema, é outra coisa. Essas duas coisas, por serem distintas, podem ter metas ou ḿétricas conflitantes. Quando isso ocorre, será em detrimento da primeira, pois quem controla o sistema é o sujeito da segunda. Tanto mais quanto ambas coisas são confundidas pelo sujeito da primeira, o eleitor.

Para a primeira delas, minha recomendação é que uma reforma política comece por dissipar a já citada concentração de poderes referentes ao processo eleitoral. Desmembrando-se, por exemplo, as atuais funções da secretaria de informática do TSE, que na prática exerce o poder executivo no processo de votação. Para a segunda, prefiro não opinar, pois uma resposta direta presumiria indevida inferência ou juízo de valor sobre as metas e métricas que de fato contam para quem detém poder sobre o sistema. Limito-me a mencionar uma outra contribuição acadêmica aos estudos de sistemas informatizados de votação, que apresentei a convite em seminário internacional, a título de mais uma resposta "depende".

Trata-se de um referencial hermenêutico para classificar os possíveis reais objetivos e caminhos na informatização de processos eleitorais, que seriam:

   1- Tecnologia eleitoral como fim em si mesmo (Tecnologia-fim):
        Administrador do processo eleitoral dirige reforma normativa cujos efeitos lhe concentram mais poderes.
   2- Tecnologia eleitoral como meio para um fim (Tecnologia-meio):
        Legislador exerce autonomia para reforma normativa cujos efeitos afetam poderes no regime democrático.
   3- Tecnologia eleitoral como cavalo-de-batalha (Tecnologia-eixo):
        Poderes em regime tripartite disputam hegemonia para dirigir reforma normativa do processo eleitoral.

Devo revelar que quando propus este referencial hermenêutico, ainda não conhecia uma inspirada reflexão precípua registrada, há quase 200 anos, por um dos fundadores da democracia moderna em nosso continente. Thomas Jefferson era ferrenho defensor da descentralização do poder. Ao deparar-me depois com uma coletânea comentada de seus alertas sobre os perigos do que ele chamava de "tirania judicial", não pude evitar de pensar nos caminhos percorridos pelo nosso país e o dele desde então. Minha recomendação técnica para essa segunda coisa da segurança dependeria, portanto, de qual desses tres caminhos de modernização para nossa democracia nossa nação decide seguir.
 

BB: 8. O senhor pode citar casos suspeitos de fraudes nas últimas eleições?

Os casos menos recentes, conhecidos pelo Comitê Multidisciplinar Independente, estão bem documentados no forum do voto seguro. Dos mais recentes, cito como exemplo didático para o viés das minhas respostas anteriores um memorial do caso Saquarema em 2012.




Editor e entrevistado

Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da Cali­fornia em Berkeley. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.cic.unb.br/~rezende/sd.php


Direitos do Autor

Pedro A D Rezende, 2014:  Esta entrevista é publicada no portal do co-autor entrevistado, com a concordância da co-autora entrevistadora, sob a licença disponível em http://creativecommons.org/licenses/by-nd/2.5/br/