http://www.cic.unb.br/~rezende/sd.htm > urna eletrônica: avaliação

Análise do Relatório 'da Unicamp'

Publicada no livro "Burla Eletrônica", de
O. Maneschy & M. Jacobiskind (ed)
editado pelo Instituto Alberto Pasqualini, 2002

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia
6 de Setembro de 2002


A chegada do relatório

Ao cair da tarde do dia 29 de Maio de 2002, os presentes no Seminário do Voto Eletrônico realizado no Espaço Cultural da Câmara dos Deputados encerravam os debates comungando, com a possível exceção dos espiões, um forte sentimento de civilidade. Suas inquietudes e perplexidades sobre o sistema recém construído com aquilo de mais moderno para o exercício da cidadania brasileira, ali expostas e refletidas, causaram poderosa catarese. Esse leviatã, coberto pela grande imprensa e por autoridades eleitorais com um véu de fatalismo e perfeição mistificantes, desvelava-se numa imagem assustadora, integrada por combinações desmistificantes de inépcia, interesses indefensáveis, penumbras de discrepâncias, velhos vícios de quem se acha no direito de usucapião sobre o Poder, e o perigoso fascínio por uma varinha de condão, vendida nos mais sofisticados mercados de hoje como produto tecnologia-enquanto-pancéia.

Esta poderosa imagem inundou-nos com um sentido de urgência histórica e responsabilidade pessoal. Era preciso fazer algo. Como reagiria a imprensa, mediante a inevitável pressão ou censura para duvidar do realismo e consequências daquela imagem, imagem que ameaça emergir, sob tão aprazivel véu, pela ação perfunctória dos duros e pontiagudos fatos ali entrelaçados? O Senador Tuma tinha resumido este sentido com uma frase emblemática, articulada na tarimbada experiência de um investigador policial competente: “O que nos resta fazer é seguir enchendo a paciência deles, até não aguentarem mais”.

Fui para casa assistir aos telejornais. Tinha sido entrevistado por três redes de TV e queria ver quais iriam dar matéria sobre o assunto. E se dessem, como editariam as minhas falas. Nenhuma delas deu. Nada sequer sobre o Semiário. Mostraram apenas o presidente do TSE entregando o relatório da Unicamp ao presidente do Senado, e proclamando a frase que custou aos contribuintes quase meio milhão de reais. O sistema informatizado de eleições – a Unicamp acaba de comprovar – é “robusto, seguro e confiável”, dizia. O contraponto da estória – a quem se responde, quais dúvidas se redime – era nas entrelinhas a sua própria ausência. Lembrei-me daquela outra frase, a do Senador Tuma. Peguei imediatamente o telefone e liguei para a jornalista que me entrevistara sobre o tema, havia duas semanas. Ela havia me dito que teria o relatório em primeira mão, pois cobria os Tribunais Superiores em Brasília para o seu jornal. Haviam lhe prometido.

-- “Você tem uma cópia do relatório?”, perguntei.

-- ”Não. Estou decepcionada, pois haviam me prometido”, respondeu ela.

-- “O Relatório foi entregue pela comissão da Unicamp ao TSE há cinco dias”. Disse-lhe, conforme haviam me informado colegas da Unicamp. Um dos membros da comissão que elaborou o relatório, a quem dedico apreço e amizade, também havia me informado que a comissão só o divulgaria para o contratante, o TSE.

-- ”Ele só foi divulgado hoje à tarde, no Congresso. Apenas os presidentes da Câmara e Senado receberam cópia. Eu e os demais jornalistas interessados recebemos apenas um release de uma página, dizendo basicamente o que o presidente do TSE disse no Congresso, diante das câmaras de TV. Amanhã vou lá cobrar a promessa da minha cópia”.

-- ”Se quiser, quando receber estarei à disposição para lhe ajudar a entender”

-- “Obrigada. Entrarei em contato”

Às 11 horas do dia seguinte, chegava à minha porta um motorista do jornal, com uma cópia do relatório da Unicamp para me entregar, enviada pela mesma jornalista. Debrucei-me sobre o documento e comecei a analisar seu conteúdo linguísico, a partir daquela frase “abracadabra”,  pinçada daquelas 54 páginas para nos ser oferecida como rara pepita. Na intimidade dos nossos lares e em horário nobre, na voz do presidente do TSE pelas câmaras de TV, pronunciada do Congresso Nacional com a devida pompa. Às 15 horas, telefonei-lhe novamente. Acabara de decifrar a roteiro retórico da peça literária que ela, tão gentil e agilmente, havia posto em minhas mãos.
 

Analisando a Introdução do Relatório

Logo na sessão de abertura e no primeiro item do documento, na Introdução (1), estava registrada a natureza do trabalho contratado. Conforme alertara o moderador do Forum do Voto Eletrônico, inclusive na introdução deste livro, não se trata de um trabalho de avaliação externa do sistema, como originalmente proposto e reiteradamente insinuado. A participação do Poder Legislativo na demanda e controle desta avaliação, através da lista de quesitos e assistentes nomeados pela Comissão de Constituição e Justiça do Senado Federal para acompanhar os trabalhos, constantes da proposta inicial dirigida à Unicamp, não mais constavam da peça contratual que ensejou esta análise, firmada entre o TSE e a Fundação de Desenvolvimento da Unicamp, conforme reconhecem no documento os itens "Apresentação: Composição da Comissão de Avaliação" (1.1) e "Objetivo e escopo" (1.2).  Inicia o item 1.2 afirmando:
“O objetivo do trabalho aqui relatado foi a análise do Sistema Informatizado de Eleições visando detectar a existência de eventuais vulnerabilidades, avaliar o seu impacto e recomendar medidas para eliminá-las e atenuá-las. Em especial, a análise visou as vulnerabilidades que pudessem comprometer os requisitos fundamentais de um sistema informatizado, ou seja, o sigilo do voto e o respeito à expressão do voto do eleitor. Adicionalmente, buscou-se avaliar a auditabilidade das funções e da operação do sistema”.
Pergunte-se: Em que sentido vulnerabildades comprometedoras dos requisitos fundamentais de um tal sistema seriam eventuais? Como prescrutar ou medir a eventualidade? Em que sentido uma deficiência na auditabilidade da operação do sistema se adiciona a suas eventuais vulnerabilidades? Não sendo uma tal deficiência uma vulnerabilidade especial, seria ela de pouca relevância?

A participação de um interesse prejudicável, e distinto dos que possam animar aqueles que respondem pelo sistema, na definição do objetivo e escopo desta análise, visa estabelecer limites à subjetividade nas respostas que precisam ser encontradas para essas perguntas. Tais limites são necessários para a eficácia de uma análise como esta. Não mais ali representados os interesses do Congresso Nacional, equivocado seria atribuir-lhe a demanda por esta análise, demanda que antes houve mas cujo teor ali se mutila. Mesmo transfigurada, esta demanda foi sugerida como origem do relatório pelo mestre de cerimônias da sua apresentação, seu verdadeiro demandante.

A comissão contratada para conduzir os trabalhos, escolhida por sua suposta e testada neutralidade, trabalhando sob os auspícios exclusivos do contratante – o mesmo responsável pelo sistema – encontrou-se, dessa feita, livre para interpretar o que sejam eventualidade e adicionalidade no objetivo e no escopo de sua análise, à penumbra desses auspícios. Pelo que se possa obstar a esta interpretação, ilumine-se a parte do documento referente à engrenagem contratual que lhe enseja. O documento encerra sua "Apresentação" (1) dizendo:

“As atividades são referentes ao Contrato TSE n. 54/2001 de prestação de serviços tecnicos especializados, celebrado entre o Tribunal Superior Eleitoral e a Fundação de Desenvolvimento da UNICAMP com a interveniência da Universidade Estadual de Campinas, assinado em 30/11/01. A execução das atividades contratadas foi autorizada pelo Ofício 4672/2001 – SI/DG de 07/12/2001”.
Em parte alguma do documento encontra-se qualquer esclarecimento sobre a natureza desta interveniência. Há, porém, uma parte do documento – de qualquer documento desta natureza – na qual aquilo que a penumbra abstrai virá se revelar, por intermédio dos seus efeitos. Na conclusão, podemos vir a entender os sentidos de eventualidade e de adicionalidade que a comissão escolheu abraçar para objetivar seu trabalho.
 

Analisando as Conclusões do Relatório

A frase de abertura das Conclusões (6) é a tal frase abra-cada-brado [em defesa do sistema com ela]:
“O sistema eleitoral de votação implantado no Brasil a partir de 1996 é um sistema robusto, seguro e confiável atendendo a todos os requisitos do sistema eleitoral brasileiro:”
A licença poética para comentar esta frase-síntese, refrão que enche a boca de âncoras globais e de ingênuos boçais, foi instituída pela programação extra na cerimônia de encerramento da apresentação dos softwares do sistema, na madrugada do sábado dia 10 de agosto de 2002, abordada no crepúsculo deste livro. A escolha da palavra "boçal" não tem a intenção de insulto, mas de sintetizar uma qualidade psicológica. Boçal significa pouco culto e pouco inteligente, uma mistura explosiva nos dias de hoje, muito perigosa quando ligada ao estopim da ingenuidade. Aqui, seria boçal ingenuidade tomar a frase de abertura por conclusiva da análise em foco, como pretendo mostrar.

As conclusões do relatório continuam. Segue à frase-síntese uma lista descrevendo os cinco requisitos do sistema, um elogio pelo atendimento dos mesmos, e uma outra lista de sete critérios, para as propriedades e características do sistema cuja aferição ou verificação, também afirmadas, justificariam dita abertura das conclusões.

Infelizmente, a relação entre os sete critérios – que por um lado estariam predicando o sistema – e a frase-síntese – que por outro lado lhe doura com adjetivos universais – assenta-se em excessivas e desnecessárias ambiguidades, agravadas pela natureza e importância do documento. Tal relação estará, daqui em diante, sob o foco deste comentário.

Antes, vale notar: sua exuberante permissividade é quem revelará os sentidos de “eventual” e  “adicional”, suspensos e livres na definição do rumo dos trabalhos da comissão analisadora.

Comecemos pela palavra “seguro”. Dela emanam três possíveis sentidos aplicáveis ao  sistema eleitoral. Os trabalhos da comissão atestam dois deles. Atestam a segurança da urna contra falhas não intencionais (safety, também nos sentidos de “robusto” e “confiável”) e contra fraudes de origem externa (security). Porém, nada atestam contra fraudes de origem interna (security, também no sentido de “confiável”). Ao contrário, o relatório termina com oito recomendações para que a segurança e a confiabilidade do sistema possam “ainda ser aprimoradas", todas contra fraudes de origem interna.

Ora, a palavra “seguro” é empregada na primorosa frase-síntese como adjetivo, sem restrições. Daí, depreende-se o caráter supérfluo com que se optou por gravar, no relatório, o sentido da proteção contra as fraudes que possam ter origem interna. Foi dado, assim, por supérfluo o sentido de segurança alcançável somente por uma auditabilidade eficaz, ausente e recomendada, mas desprezada na abertura da conclusão.

Iluminemos agora a palavra “confiável”. Sua substância verseja no poema dedicado ao  ministro do TSE que negou, com amparo em duas justificativas técnicas relatadas em juízo pelos que respondem pelo sistema, a impugnação dos softwares da urna na eleição de 2000. Uma dessas justificativas foi falseada pela penúltima das recomendações do relatório. Pois não faz sentido recomendar que se faça aquilo que já estaria feito, relativo ao acionamento do programa criptográfico, como registra o moderador do Forum do Voto Eletrônico ao abrir este livro. E ao fechá-lo, tomarei a liberdade de transcrever aqueles versos, em gozo da licença outorgada e como derradeiro registro do que esta palavra deve aqui refletir.

Dos sete critérios listados para consagrar conclusivamente a robustez, a segurança e a confiablidade do sistema analisado, o quarto deles é o único que abarca o sentido de segurança ou confiabilidade contra fraudes de origem interna. Porém, é também o único cuja aferição foi vitimada por um colapso. A afirmação de que o sistema satisfaz este critério está presa numa circularidade, oculta na penumbra que recobre de insignificância sua auditabilidade, num colapso lógico-lingúistico a turvar tão oneroso trabalho.
 

O Colapso do Quarto Critério

Diz este quarto critério:
“A contabilização dos votos introduzidos é feita corretamente. O alto grau de relacionamento existente entre as estruturas internas de dados e redundância desses dados confere confiabilidade e consistência aos mesmos”
Esta sentença de duas frases merece cuidadosa análise, já que sua primeira frase é a única, em todo o relatório, que poderia vestir de universalidade os três adjetivos da frase-síntese, na abertura das conclusões.
Comecemos pela primeira frase. Como é ela deduzida? Certamente não da frase seguinte, como veremos. Qual é o seu sentido, já que falta-lhe complemento verbal? Falta-lhe o sujeito da ação contábil: por quem é feita “a contabilização dos votos introduzidos”? Certamente que o sujeito contábil é um software, senão este livro não existiria. Mas a questão é: qual software? O que estava disponível para os testes, ou o que estará agindo nas eleições?

Em outras palavras, a frase estaria se referindo à corretude contábil nos testes de aferição, ou à corretude contábil no dia da eleição? A primeira opção supõe-se decorrer da análise, enquanto a segunda precisa ser buscada para ensejar o convívio entre a ambígua omissão do sujeito contábil e a palavra em foco – confiável. Confiável, no sentido da proteção contra fraude de origem interna, significa, neste quarto critério, serem os dois possíveis sujeitos contábeis garantidamente os mesmos. Como se afere isto? De que é feita tal garantia? O lugar óbvio para se buscar resposta é a frase seguinte, já que ambas constituem o quarto critério.

Ao examinar a frase seguinte, observamos que toda a sua digressão serve apenas para afirmar que os possíveis objetos da ação contábil – os dados – são persistentes e consistentes. Isto é, antes e depois de eventuais falhas não intencionais do sistema, tais como problemas com a bateria ou defeitos em algum circuito elétrico da urna, os dados serão os mesmos.  Porém, sujeito e objeto da ação contábil são disitintos, pois boletim de urna não é programa de votação. Tal digressão, portanto, não aborda a persistência e consistência do sujeito contábil, antes e depois de eventuais tentativas de burla no sistema. Aborda, apenas, a persistência e consistência do objeto contábil, antes e depois de eventuais falhas no sistema. É claro que a eventualidade de tentativas de burla já foi coberta por outros critérios, mas apenas daquelas tentativas que se originarem externamente. Doutra parte, ignorar as que possam se originar internamente é ferir a universalidade com que se pretendeu vestir as boas qualidades do sistema.

A persistência e consistência do sujeito contábil não foram – e não poderiam ter sido – aferidas pela análise. Não é lógico, portanto, percolar o sentido explícito de "confiável", que emana da segunda frase, para seu sentido impícito na ambígua acepção de corretude, na primeira frase. Isto seria um sofisma, imperdoável nesse contexto. Precisamos, então, ultrapassar o escopo deste quarto critério para buscar tais aferições faltantes. E, ao busca-las por todo o documento, o que vamos encontrar não é propriamente o relato dessas aferições, mas sugestões sobre como obtê-las. Só que vamos encontrar essas sugestões na penumbra das adições, nas oito recomendações sobre auditabilidade, insignificantes para âncoras globais e ingênuos boçais.

Evidentemente, os subscritores do documento se eximem dessas duas categorias. Da primeira, por sua conduta recatada e distante na divulgação do documento. Da segunda, através dos dois últimos parágrafos do relatório, onde registram claramente a seriedade e gravidade com que consideram o risco de fraude de origem interna. Lamentavelmente, entretanto, a objetividade deste registro final se dissolve no mar das eventualidades e adicionalidades subjetivas em que já havia submergido o seu trabalho. No documento assim costurado, cada um lê a parte que lhe interessa, produzindo-se leituras que aparentam vir de relatos distintos, ou, talvez, de um relato esquizofrênico.

Naquela fatídica noite de 29 de Maio de 2002, num gesto de gentileza para com seus telespectadores, o mais global dos âncoras encerrou as pompas da proclamação abra-cada-brado afirmando que a Justiça Eleitoral já havia atendido a quatro das sete recomendações para aprimoramento do sistema, sugeridas no recém-digerido relatório. Mesmo que as sete já tivessem sido atendidas – soube-se depois que eram oito –, precisamos nos lembrar da metáfora da corrente e seus elos para entendermos o que seja segurança. Se uma das medidas para proteger sua casa seja trancar a porta dos fundos, e o ladrão souber que você não a tranca, estará você protegido?

Fui dormir com uma desconfortável sensação de enjôo, como a de quem percebe perigo iminente, e com a frase do Senador Tuma girando na mente.
 

Debatendo o Relatório

Nove dias antes, eu esta estava em situação bem mais confortável. Participava, em Búzios, do 20° Congresso Brasileiro de Redes de Computadores, promovido pela Sociedade Brasileira de Computação - SBC, onde fui abordado pela secretária da Sociedade com um convite para participar de um dos eventos do XXII° Congresso da SBC, que seria realizado em Julho, em Florianópolis. Este evento seria uma sessão dedicada ao processo eleitoral informatizado.

-- “Aceito se for para palestrar ou debater, respondi. ....

O RESTANTE DESTA NARRATIVA PODE SER ENCONTRADO NO LIVRO "BURLA ELETRONICA", EDITADO POR O. MANESCHY E M. JACOBSKIND, PUBLICADO PELO INSTITUTO ALBERTO PASQUALINI, QUE SE ENCONTRA NO PRELO NESTE MOMENTO (28/09/02).
versão .pdf