O Brasil informatizou o voto em todas as etapas de uma eleição, mas isto não indica estamos na linha de frente no domínio desta tecnologia e sim que ultrapassamos esta linha de forma imprudente e precipitada. Neste artigo é feita uma análise da segurança do voto na urna eletrônica brasileira para demonstrar que esta não garante o direito do eleitor ao voto secreto e à apuração honesta. É uma questão tanto técnica quanto jurídica. Conclui-se que a implantação do voto eletrônico necessita de melhor debate no Brasil, como tem ocorrido no resto do mundo, e propõe-se que este assunto passe a ser melhor discutido dentro da universidade brasileira.
1. INTRODUÇÃO
Segundo Pinto Ferreira (Ferreira, 1991) datam de 1892, na cidade de Lockport, NY, USA, as primeiras experiências de mecanização do voto pela adoção de "voting machines", que eram máquinas que incrementavam contadores mecânicos de votos.
Mas também em eleições democráticas a eletrônica e a informática vêm ganhando terreno. O Brasil saiu na frente neste campo da informatização do voto e, em 1996, tornou-se o primeiro país a implantar o voto eletrônico em toda a sua extensão, isto é, desde a identificação do eleitor até a finalização da apuração e totalização dos votos, passando pelo próprio ato de votar.
Experiências com o voto eletrônico tem sido desenvolvidas em outros países, inclusive nos mais ricos e mais avançados tecnologicamente, mas até agora em nenhum deles foi implantado o voto eletrônico de forma completa como no Brasil.
Muitos entendem que este é um sinal da pujança e desenvolvimento da tecnologia de informação no Brasil e sinais de ufanismo são visíveis nos textos da imprensa em geral e do próprio Tribunal Superior Eleitoral (TSE) quando tratam da urna eletrônica.
Mas a prudência e o bom senso recomendam que se pense com mais cuidado e profundidade sobre este fato:
Por que outros países, reconhecidamente mais capacitados técnica e financeiramente, ainda não implantaram o voto eletrônico de forma total e completa?
Certamente não é por falta de domínio da tecnologia necessária.
Muitas empresas internacionais dedicam recursos e esforços para desenvolver sistemas e equipamentos para o voto eletrônico, inclusive as grandes como a IBM e a Bull.
Alguns movimentos civis pela adoção do voto eletrônico e até algumas ONGs onde se debate o conveniência e segurança do voto eletrônico tem sido criados em vários países, como:
VoteSite.com, the internet voting company nos EUA (http4).
-
New Zealand Electronic Electoral Trial, na Nova Zelândia (http2).
UK Citizens Online Democracy, na Inglaterra (http7)
International Institute for Democracy and Electoral Assistance, na Suécia (http6).
Se a tecnologia está disponível, se existem recursos financeiros, se existem entidades a favor, então por que, no resto do mundo, o voto eletrônico tem resistido à informatização completa? Só há uma resposta para este aparente paradoxo:
A questão da segurança do voto eletrônico ainda não foi resolvida de forma satisfatória!
Com este artigo propomos que o debate sobre a política de segurança do voto eletrônico seja trazido para dentro das universidades brasileiras .
Iniciamos este debate com a análise da segurança do voto na urna eletrônica1 apresentada a seguir, onde são mostradas as falhas que a tornam insegura para o eleitor, sugerindo que talvez o Brasil não esteja na linha-de-frente da tecnologia do voto eletrônico e sim que ultrapassou esta linha de forma imprudente. Ao final se tece considerações sobre o voto eletrônico em geral.
2. A RELEVÂNCIA DO PROBLEMA DA POLÍTICA DE SEGURANÇA DO VOTO
O voto eletrônico, não deve ser entendido como uma simples espécie de pesquisa de opinião onde pretende-se estimar a vontade da maioria. Devemos considerar que o conceito de eleição democrática é uma questão de profundo significado ontológico, inserido na milenar luta do homem pela construção de uma organização social mais justa, que defenda o homem comum contra o abuso dos poderosos econômica e politicamente.
Conceitos e ritos como o voto universal, o voto secreto, a liberdade de imprensa e a liberdade de oposição foram desenvolvidos ao longo de séculos e conquistados a duras penas para garantir ao cidadão moderno defesas contra a concentração de poder nas mãos de poucos.
Por isto, no projeto de sistemas de voto eletrônico, é essencial considerar que existem enormes forças políticas e econômicas, nacionais e estrangeiras, interessadas em manipular e burlar o resultado de uma eleição. Subestimar a força de tais oponentes seria um grave erro na política de segurança da informatização do voto.
Assim, entendemos que a confiabilidade do processamento de informações do voto eletrônico é um caso que exige alta segurança e deve receber a maior prioridade possível sempre e onde o risco de fraude existir, inclusive impondo aumento de custos e restrições à praticidade do sistema quando necessário. Não é uma boa política de segurança se deixar abertas brechas nas defesas do sistema de voto eletrônico apenas a título de economia ou praticidade.
Segundo P. C. Camarão (Camarão, 1997), Secretário de Informática do TSE, na qualificação das urnas eletrônicas de 1996 testava-se o funcionamento de hardware e de software em amostras definidas segundo critérios estatísticos normalmente aceitos para a qualificação de equipamentos industriais. Mas, considerando que o software contido nas urnas pode ser alvo de ataque de um oponente interessado em fraudar eleições, fica levantada a dúvida se a validação estatística é um bom critério a ser utilizado neste caso. Não seria este um caso onde dever-se-ia testar o software em todas as urnas ?
É necessário considerar que o oponente do voto eletrônico é econômica e tecnologicamente capaz, o que, por sua vez, impõe que sejam criadas defesas fortes contra o acesso indevido e contra a adulteração dirigida de dados.
O caso da garantia da inviolabilidade do voto é especialmente complexo, pois pelos princípios constitucionais ideais e pela própria lei, o acesso ao conteúdo do voto de um eleitor não deve ser possível por qualquer categoria de operador, programador ou super-usuário do sistema , nem durante e nem depois da votação!
Este requisito remete ao problema de difícil solução que é a segurança do sistema contra ataques de agentes internos desonestos2.
O voto eletrônico exige que a segurança contra estes agentes seja redobrada e, também aqui, subestimar a possibilidade da fraude ser cometida por um grupo de projetistas e programadores mancomunados, constitui falha grave na política de segurança adotada.
Em 23 de setembro de 1998, às vésperas da eleição, o Secretário de Informática do TSE falando sobre este problema declarou em entrevista ao jornal Folha de São Paulo (Caderno Eleições, pg. 5):
"… isso não significa que não vá haver tentativas de fraudes. Mas quem for tentar terá de subornar pelo menos uns 30."
É bom considerar que esta possibilidade se fraudar a eleição em todo território nacional subornando-se apenas "uns 30", não existia com a urna tradicional onde com 30 elementos subornados daria para se fraudar a apuração de apenas algumas urnas.
Dentro desta filosofia de segurança máxima até mesmo contra seus projetistas e administradores, o voto eletrônico exige um esquema de segurança tão complexo que esta é a grande barreira que tem impedido a adoção do voto eletrônico integral nos demais países do mundo.
Este tema é amplo e intrincado. Tem sido discutido dentro da Internet, no Brasil, pelo Fórum de Debates do Voto Eletrônico (http1) e, no exterior, por várias listas de debates como a NZ Electronic Electoral Trial List (http3) da Nova Zelandia e a VoteSite.com Mailing List (http5) no estado da Califórnia, EUA.
Na Nova Zelândia está em desenvolvimento um teste público de um sistema de "e-voting" (http2), que ocorrerá em paralelo a uma eleição normal, patrocinado por agências governamentais e por universidades, para se avaliar se é possível se implantar um sistema seguro e satisfatório.
Na lista americana tem surgido assustadoras propostas de "e-voting" com a utilização de cédulas de voto virtuais a serem preenchidas e assinadas digitalmente pelo eleitor. Comparando com a votação tradicional, isto equivaleria a imprimir a identificação do eleitor na cédula eleitoral (voto impresso), a inviolabilidade do voto fica totalmente comprometida! Quanto aos custos para manter os centros de autenticação digital do eleitor funcionando e constantemente interligados (pois cada eleitor só pode votar uma vez) existe a sugestão de se cobrar do próprio eleitor uma taxa de manutenção do seu registro e assinatura digital. Em outras palavras, o eleitor teria que pagar para poder votar!
Mas também lá na Califórnia está se propondo que o sistema de voto eletrônico seja implantado em partes, inicialmente em paralelo ao sistema tradicional, para permitir sua avaliação antes da implantação definitiva.
Já no Brasil a implantação do voto eletrônico não foi em paralelo para a avaliação da sociedade e sim em substituição direta do voto tradicional3. O TSE recorreu a entidades acadêmicas inicialmente para colher sugestões sobre a urna eletrônica e, posteriormente, para orientá-lo com relação as alguns aspectos ligados a segurança de dados, como a criptografia dos disquetes com os Boletins de Urna4 e o Bloqueio de Acesso ao Subsistema de Totalização. Porém, nunca houve um debate aberto, em nível acadêmico, sobre como se informatizar com segurança toda uma eleição.
Nem mesmo questões polêmicas do projeto, como a decisão de não se mostrar o voto impresso ao eleitor (eliminando a possibilidade de auditoria da apuração) e a decisão de se fazer a identificação do eleitor e a coleta do seu voto numa mesma máquina (tornando a inviolabilidade do voto dependente da honestidade dos programadores), foram debatidas dentro de universidades brasileiras.
Por exemplo, o projeto da Universidade Federal do Rio Grande do Sul (Price, 1995) oferecido ao TSE sugeria que a urna eletrônica imprimisse o voto e o mostrasse ao eleitor "como mecanismo de segurança da votação". Além disso, P. C. Camarão (Camarão, 1997, pg. 72, item IV b) informa que existia dentro do TSE uma orientação inicial para o projeto da urna eletrônica de 1996 que dizia:
"Deverá ser resguardado o direito a fiscalização da votação e da apuração, bem como garantir a conferência do resultado de cada Seção por meio da auditagem e da recontagem" ;
Mesmo assim o TSE decidiu eliminar o voto conferido pelo eleitor e, por conseqüência, a possibilidade de auditagem e conferência da apuração sem nenhuma explicação pública ou debate aberto que validasse esta decisão.
É por entendermos que algumas destas decisões tomada internamente pelo TSE sobre o nível de segurança oferecido pela urna eletrônica são no mínimo discutíveis que propomos que o debate sobre a política de segurança do voto eletrônico seja trazido para dentro das universidades brasileiras.
3. A LEGISLAÇÃO ELEITORAL
O tema do voto eletrônico tem um lado técnico em informática, quando se fala em segurança do sistema, mas envolve também um lado legal e ambos devem ser considerados. Assim, começamos a análise da urna eletrônica pela observação da estrutura legal que a regulamenta, a qual é composta por Leis e Resoluções.
3.1 As Leis Eleitorais
A legislação eleitoral brasileira está baseada na lei 4.737 de 1965 que é bastante ampla. Numa única lei se abrange todos os aspectos relativos ao processo eleitoral e, por isto, ela é também conhecida por Código Eleitoral Brasileiro, sobre o qual existem muitos livros como (Ferreira, 1991).
A amplitude desta lei é evidenciada pela sua estrutura interna que é composta por:
A votação e a apuração, no Código Eleitoral, são tratadas na Parte Quarta e são cobertas por:
Certamente o Código Eleitoral de 1965 não regulamenta nada sobre o voto eletrônico pois este nem sequer existia então. Apenas seu sucinto art. 152. prevê a utilização de "máquinas de votar mediante a regulamentação do TSE". O voto eletrônico propriamente dito, é regulamentado por outra lei, a lei 9.504 de 1997 (http10), mais especificamente, por apenas 6 dos seus 107 artigos.
Se nota grande discrepância entre a legislação do voto tradicional e do voto eletrônico no que diz respeito a apuração do voto e a sua fiscalização. Enquanto a apuração do voto tradicional é coberta por 37 artigos no Código Eleitoral e outros 11 na lei 9.504, impondo-se o direito à auditagem e à livre fiscalização, descendo-se a detalhes como a cor da caneta dos escrutinadores e a distância mínima entre estes e os fiscais; o voto eletrônico tem a apuração regulada por apenas 2 artigos na lei 9.504 (art. 61. e art. 66).
Este pouco detalhamento da legislação sobre o voto eletrônico é que permitiu que o TSE criasse uma urna eletrônica na qual foi eliminada a possibilidade de auditagem e conferência da apuração por fiscais dos partidos políticos!
Para diminuir este problema o Senador Roberto Requião, PMDB-PR, assessorado por participantes do Fórum do Voto Eletrônico (http1), apresentou em 31 de março de 1999 o Projeto de Lei do Senado - PLS 194/99 (Requião, 1999; http9) onde novos artigos impõem que seja permitida a conferência da apuração e impedem que a identificação do eleitor seja feita em máquina conectada à urna eletrônica5.
3.2 As Resoluções do TSE
Para regulamentar o voto eletrônico com mais detalhes, o TSE emitiu várias Resoluções (http10), entre elas as de número: 20.103, 20.105, 20.132, 20.195, 20.213 e 20.230, todas de 1998, acrescentando mais 25 artigos sobre o tema.
Assim, a maior parte da regulamentação do voto eletrônico é feita por estas Resoluções do TSE, cuja existência revela uma questão jurídica relevante:
Durante as eleições de 1998, o voto eletrônico foi regulamentado, desenvolvido, implantado e controlado pelo próprio TSE que, a este respeito, assumiu as funções legislativas, executivas e judiciárias em evidente afronta ao princípio da tripartição dos poderes! 6
Do ponto de vista técnico estas Resoluções sobre o voto eletrônico, também carecem de melhorias. É nelas que se encontram regulamentadas as duas defesas legais que pretendem dar segurança ao voto eletrônico contra o software desonesto.
A Resolução 20.103/98 fala da apresentação dos programas para análise por auditores indicados pelos partidos políticos e a Resolução 20.105/98 regula os testes de certificação das urnas preparadas para funcionamento. Mas, nas eleições de 1998, ambas defesas legais foram burladas por interpretações "liberais" destas regulamentações.
A Resolução 20.105/98 é muito vaga ao dizer que os fiscais dos partidos poderão fiscalizar a "carga das urnas eletrônicas e conferir por amostragem até 3% das máquinas". Além de não se explicar o porquê deste número mágico de 3%, ao implementar na prática esta conferência, a urna eletrônica escolhida pelos fiscais era alterada com a carga de um programa específico para o teste! Após o teste, a urna voltava a ser carregada com o programa real de votação. Claramente, nas eleições de 1998, devido a uma interpretação bastante liberal da lei, o programa real de votação contido na urna eletrônica jamais foi testado por nenhum fiscal de partido político para verificar se desviava votos ou não!
Já a Resolução 20.103/98 afirma que os partidos políticos terão "garantido o conhecimento dos programas de computador a serem utilizados (na apuração e na totalização dos resultados)", mas não explica se são os programas-fonte ou programas compilados. Também é confuso o uso das expressões "Sistema de Totalização de Votos", "Sistema de Apuração" e "Sistema de Totalização de Resultados", e isto tudo resultou que, na prática, nenhum auditor externo ao TSE analisou ou conheceu, na integra, os programas reais contidos na urna eletrônica!
4. GARANTIA DE UM SOFTWARE HONESTO
Vimos que as regras legais para validação e certificação, por auditores externos ao TSE, do software carregado na urna eletrônica, que davam aos fiscais dos partidos o acesso aos programas e ao teste de 3% das urnas, não foram postas em prática de forma correta.
Poder-se-ia pensar que bastaria colocar estas defesas legais em prática de forma correta e teríamos uma urna segura, mas esta conclusão também deve ser melhor ponderada. São estas defesas legais suficientes?
Uma vez que não foi permitida a conferência da apuração (via recontagem dos votos impressos previamente conferidos pelo eleitor), para validar o programa contido nas urnas não basta que os fiscais dos partidos tenham conhecimento apenas do programa-fonte do aplicativo de apuração. Eles têm que se certificar que os programas carregados nas urnas foram gerados pela compilação dos mesmos programas-fonte que foram aprovados, pois um vício de programação pode ser inserido:
no programa-fonte antes da compilação,
durante a compilação,
durante a ligação com bibliotecas externas,
depois de compilado.
E, como já vimos que este é um caso em que não seria recomendada a validação estatística, os fiscais autorizados pelos partidos e os auditores externos ao TSE teriam ao menos que:
conhecer o programa-fonte de todas as bibliotecas de funções, gerenciadores de dispositivos e TSRs utilizados,
conhecer o fonte do próprio compilador (e do compilador do compilador…) e acompanhar todas as compilações,
conhecer todo o conteúdo da máquina onde for feita a compilação e que esta seja lacrada quando fora de uso,
ser técnicos altamente qualificados e dispor de tempo para analisar todo este material,
lacrar o programa-fonte analisado e todos milhares de disquetes de carga com o programa compilado e as tabelas de dados,
acompanhar a carga de todas as urnas (em torno de 250.000 no ano 2000),
lacrar também as urnas eletrônicas assim que fossem carregadas,
proteger as urnas lacradas contra acesso físico depois de lacradas.
Como os programas das urnas são carregados uma parte no fabricante (software básico) e outra parte nos Cartórios Eleitorais de cada cidade (software aplicativo e tabelas), os fiscais dos partidos teriam que correr todo o território nacional para acompanhar a carga, teste e lacração das urnas.
Não temos o número exato por que o TSE não publicou, mas pode-se estimar com boa segurança que em 1998, os fiscais dos partidos não acompanharam a carga nem de 0,1% das quase 170.000 urnas eletrônicas e que em 100% das urnas esta carga foi feita com disquetes não auditados nem lacrados pela fiscalização.
Enfim, o processo de auditagem e certificação do conteúdo real de em torno de 250.000 urnas começa a ficar tão grande, caro e complexo que acaba se tornando impraticável.
Os partidos políticos não dispõem de verba para bancar uma auditoria desta proporção e certamente os cinco dias que a lei dispõe aos partidos para avaliarem "os programas de apuração e totalização" não são suficientes. Assim, devido às dificuldades práticas durante as eleições de 1998 o conteúdo das urna eletrônicas não foi certificado por nenhum auditor externo ao TSE , o que indica que a certificação do software nas urnas como defesa contra o software desonesto não foi suficiente para garantir ao eleitor seus direitos à inviolabilidade e justa apuração dos votos. Outras defesas lógicas além da certificação contra programas desonestos na urna eletrônica devem ser implementadas.