Relatório sobre sistema de votação eletrônica sugere...

3. INFORMAÇÕES PRELIMINARES

Apresenta-se, neste capítulo, uma série de informações preliminares que ajudarão a ilustrar e esclarecer a análise que será desenvolvida no Capítulo 4 seguinte.

De início, são descrições de alguns casos concretos relacionados às dificuldades de fiscalização do processo eleitoral eletrônico pelos Partidos Políticos, apresentando situações vividas pelos fiscais desde a apresentação dos sistemas no TSE até casos ocorridos nos cartórios eleitorais de cidades espalhadas pelo país.

A seguir é descrita a experiência de fiscalização pela OAB, destacando-se suas dificuldades em 2004 e o abandono da fiscalização em 2006 e 2008.

Ao final deste capítulo, introduz-se o conceito de Independência do Software em Sistemas Eleitorais, que vem ganhando cada vez mais espaço e tem sido adotado como referência técnica em muitos países que passaram a dar maior atenção às questões de transparência e confiabilidade geral de sistemas eletrônicos de votação.

3.1. Dificuldades de Fiscalização pelos Partidos - Descrição de Casos Concretos

A cada nova eleição, crescem muito as denúncias de problemas nas urnas eletrônicas, como foto trocada do candidato, votação encerrada antes da confirmação do eleitor, eleitor impedido de votar, etc.

Devido à carga emocional do evento, frequentemente esses casos vêm acompanhados de acusações de fraudes e repercutem na imprensa.

Na Seção 2.4 do Relatório CMTSE, se generaliza uma explicação simplória de que "muitos desses relatos não são apresentados à imprensa por má fé, mas por falta de conhecimento do processo eletrônico de votação". No Anexo A do Relatório CMTSE é apresentada explicação para 3 casos que repercutiram na mídia televisada.

No entanto, existem muitos casos bem documentados de problemas no processo eleitoral eletrônico, que tornam ineficaz a fiscalização pelos partidos políticos e que nunca receberam explicação convincente do administrador eleitoral e também não foram explicados pelo CMTSE, em que pese sua opção espontânea de "ampliar o escopo deste rico debate".

Os casos documentados aqui descritos não se ajustam aos rótulos de "denunciantes desinformados" ou de "choro de perdedor" - há até dois casos em que o denunciante ganhou a eleição - e ainda servem de exemplo de como está desequilibrado o jogo de poder entre fiscais e fiscalizados no processo eleitoral brasileiro, com flagrante desvantagem dos fiscais.

3.1.1. Coação em Massa de Eleitores - 1998 e 2008

A opção do administrador eleitoral por identificar o eleitor usando a própria urna eletrônica, seja pelo número do título ou pela biometria, é um reforço muito forte à ideia de que o voto poderá ser identificado posteriormente.

Em função desta peculiaridade de nosso sistema, a cada eleição crescem as denúncias de coação de eleitores sob a alegação de que o voto será identificado nas urnas eletrônicas. É uma modalidade nova de golpe eleitoral que chegou com nossa urna eletrônica e tem sido denominada como Voto-de-Cabresto-em-Massa .

Esse problema já havia sido detectado em 1998, na segunda eleição com urnas eletrônicas, quando surgiu forte boato entre os funcionários de empresas estatais do Rio Grande do Sul de que a digitação do número do título simultânea à digitação do voto seria usada para identificar os funcionários públicos que não votassem na chapa da situação.

O TRE-RS teve que apresentar repetidos esclarecimentos pela grande imprensa 37, tentando desconvencer os eleitores intimidados pelo boato.

Dez anos depois, notícia 38 divulgada pelo TSE pouco antes da eleição de 2008, comprova a persistência do problema. Revela os esforços do TRE-RJ por meio de campanha publicitária pela TV para:

"... esclarecer o eleitores quanto à inviolabilidade do voto , em resposta à ação de grupos criminosos que atuam em comunidades carentes do Rio de Janeiro que estariam coagindo os eleitores dessas comunidades, afirmando ser possível identificar aqueles que não votassem nos candidatos impostos pelos criminosos"

Para viabilizar o voto-de-cabresto-em-massa não é necessário que o agente coator consiga quebrar, de fato, o sigilo do voto do eleitor coagido. Basta convencê-lo de que conseguiria e, para isso, a identificação do eleitor na própria máquina de votar ajuda muito ao infrator.

Não se sabe avaliar como o conflito psicológico, entre o boato e o contra-boato, se resolve nas mentes dos eleitores: eles acreditarão na propaganda corretiva do administrador eleitoral ou preferirão, por via das dúvidas, submeter-se ao voto-de-cabresto por medo do poder do coator?

O fato é que o Voto-de-Cabresto-em-Massa sobrevive e cresce a cada eleição, explorando a equivocada forma de identificar os eleitores na mesma máquina de votar que a autoridade eleitoral escolheu adotar.

A projetada adoção de identificação biométrica do eleitor na própria máquina de votar, que tem recebido ampla divulgação publicitária pelo TSE, vai reforçar, no imaginário popular, a ideia de que é possível identificar o voto nas urnas eletrônicas e, com boa certeza, vai servir de estímulo para o crescimento desta modalidade de fraude.

3.1.2. Programas Modificados - 2000

Nas eleições de 2000, o TSE deixou de cumprir vários mandamentos da lei eleitoral relativos a procedimentos de segurança na apresentação dos programas aos Partidos e ao MP, dentre os quais destacam-se os dois seguintes:

Dois terços do software das urnas eletrônicas, que incluía o Sistema Operacional VirtuOS da Microbase e a biblioteca de criptografia da ABIN, foram mantidos secretosaos partidos e até aos próprios funcionários do TSE.
Depois de homologado, gravado em CD-ROM e lacrado na frente do MP e dos Partidos em 06 de agosto de 2000, o software das urnas foi modificado forma que os programas de computador colocados nas urnas eletrônicas em 2000 eram diferentes da versão oficial homologada.

Uma impugnação 39 a esses fatos, apresentada por partido político, foi rejeitada pela Justiça Eleitoral; as mesmas pessoas eram os juízes, peritos e réus no processo.

Essas ilegalidades praticadas pela autoridade eleitoral em 2000 acabaram sendo comprovadas pelos seguintes acontecimentos futuros:

O chamado Relatório "Unicamp"apresentou dados que desmentiam 40 o então secretário de Informática do TSE, revelando que eram falsos os argumentos usados para indeferir e arquivar a impugnação.
Numa entrevista ao Jornal do Brasil 41, os técnicos Oswaldo Catsumi e Paulo Nakaya, do TSE, confessaram que os programas das urnas só ficariam prontos no dia 5 de setembro, um mês após sua lacração oficial. Uma perícia em Camaçari 42, BA, comprovou que os programas nas urnas eletrônicas não eram os mesmos homologados em agosto de 2000 no TSE.
Em comunicado público 43, em 2006, a empresa Microbase confirma que o TSE não cumpria a legislação em vigor na apresentação e lacração dos sistemas.
Na audiência pública perante a CCJC da Câmara, em 25 de novembro de 2008, o Eng. Frederico Gregório, diretor da Microbase, confirmou que o software denominado VirtuOS, de sua autoria e usado em urnas até as eleições de 2006, nunca teve seu código-fonte apresentado ao MP, OAB ou partidos e nem mesmo aos funcionários do próprio TSE.

Embora as ilegalidades, denunciadas tempestivamente em 2002, tenham sido comprovadas por eventos posteriores, nenhuma consequência ou responsabilização daí adveio. O administrador eleitoral continua se omitindo sobre esses fatos, sem apresentar explicações ou esclarecimentos.

O CMTSE, nas conclusões na Subseção 4.1:5, reconhece o abuso no passado, mas não procura explicá-los. Satisfaz-se na esperança que não se repetirão, ao dizer:

"É verdade que, no passado, em vários momentos o TSE não foi suficientemente responsivo às demandas por maior transparência . Entretanto, as iniciativas dos últimos anos mostram claramente uma mudança de atitude, com várias medidas já implantadas"

3.1.3. O Caso Diadema, SP - 2000

Foi nesse município, vizinho à cidade de São Paulo, que em 2000 primeiro se constatou e documentou um rol de irregularidades no processo de votação eletrônica e onde se revelaram, com clareza, as nefastas consequências da concentração de poderes da Justiça Eleitoral.

Para se ter ideia da truculência do administrador eleitoral naquela época, aos Partidos era negado acesso a todos os Arquivos Digitais de Auditoria gerados pelo sistema, sob o argumento de conterem informações próprias de segurança nacional.

Somente após 9 meses da eleição, e não antes de se recorrer ao TSE, os partidos concorrentes obtiveram acesso a apenas os Arquivos de LOGdas urnas.

A análise desses arquivos revelou que todas as urnas eletrônicas tinham sido carregadas fora da cerimônia oficial de carga e lacração, dias antesda convocação por edital público, tendo todas ficado sem lacres durante dias.

A grande maioria das urnas eletrônicas utilizadas - 431 de 451 - foram inseminadas com o software de votação nos dias 22 e 23 de setembro, 2 em 24/9, 7 em 25/9, 2 em 26/9, sendo que todas elas só foram lacradas no dia 28/9.

Esses dados mostravam que a totalidade das urnas eletrônicas de Diadema em 2000, estiveram carregadas com os programas mas sem lacree sem a presença de fiscais dos partidos políticos por vários dias, em total oposição aos procedimentos de segurança apontados como salvaguardas na Subseção 2.1.3 do Relatório CMTSE .

O resultado do processo judicial aberto contra os procedimentos de preparação das urnas pelos funcionários da Justiça Eleitoral foi pelo indeferimento do pedido, alegando, a própria Justiça Eleitoral, não haver elementos suficientes para infirmar a alegação. Perícia nas urnas não foi deferida.

Este Caso Diadema 2000, é mais um bom exemplo de que "no passado, em vários momentos o TSE não foi suficientemente responsivo às demandas por maior transparência...", como foi citado no Relatório CMTSEem suas conclusões.

A indignação e o sentimento de impotênciaperante o tratamento autoritário e obscuro que o caso recebeu da autoridade eleitoral, levou o candidato denunciante das irregularidades, à atitude radical de iniciar uma greve de fomeque durou 10 dias.

3.1.4. Assinaturas Digitais Divergentes - 2002 e 2008

Na Seção 2.1.2 do Relatório CMTSE é dito que geração de resumos digitais (Tabelas de Hash) durante a cerimônia de lacração dos sistemas no TSE, perante o MP, a OAB e os Partidos, é uma das salvaguardas do sistema. Porém, nem sempre esse procedimento de segurança foi cumprido com o rigor necessário para sua mínima eficácia.

Nas eleições de 2002 - 2º turno - e de 2008, fiscais de partidos, ao verificarem os arquivos carregados nas urnas eletrônicas, detectaram a presença de um conjunto de arquivos com resumos digitais diferentes do oficial homologado nas respectivas cerimônias de lacração dos sistemas (vide Anexo 2 desta Réplica).

Em 2002, a diferença foi descoberta pelo fiscal eng. Hebert Rodrigues Pereira na cidade de Campina Grande, PB, e em 2008 a fiscal adv. Maria Cortiz (coautora desta réplica) encontrou 16 arquivos não assinados ou "sobrantes" nas urnas de Timon, MA.

Nos dois casos, a providência dada pelo administrador eleitoral foi a de publicar novas Tabelas de Hash, calculadas a portas fechadas, fora de uma cerimônia oficial perante os agentes fiscais externos, impedindo-os de saber quais programas foram assinados, e considerar válido, a posteriori, o procedimento de carga das urnas onde os erros foram encontrados.

Detalhes do Caso Campina Grande 2002, podem ser acompanhados nas mensagens eletrônicas 44 trocadas entre os fiscais externos de então. A decisão do administrador eleitoral, naquela ocasião, foi de esconder o problema do público, da imprensa e até dos fiscais externos como mostra o memorando apresentado no Anexo 2.1, onde se passavam instruções aos supervisores dos polos de carga das urnas para procurarem esconder o problema dos fiscais dos partidos e do MP.

A perícia nas urnas foi indeferida. As Tabelas de Hash originais, que demonstravam a impropriedade, foram retiradas do sítio do TSE. Tabelas novas foram publicadas no lugar.

Em 2008 a reação do administrador eleitoral foi "menos irregular". Foi publicada uma nova tabela de hashs, mas as anteriores foram mantidas publicadas. No Anexo 2.2 apresenta-se o fac-simile da tabela complementar com as assinaturas dos "arquivos sobrantes" calculada, sem a presença de fiscais, em 25/10/2008, dez dias depois de encerrada a cerimônia oficial de apresentação dos sistemas.

Esses dois casos são exemplos acabados de como a concentração de poderes é terreno fértil para a prática de abusos que acabam por comprometer a transparência e segurança do processo eleitoral, podendo anular completamente a eficácia dos mecanismos de fiscalização externa permitidos.

O caso de 2002 comprova o dito pelo CMTSE, nas conclusões de seu relatório, que "no passado, em vários momentos o TSE não foi suficientemente responsivo às demandas por maior transparência ...".

Já o caso de 2008, que praticamente repete a prática, desmente o alegado em seguida pelo CMTSE, de que "... as iniciativas dos últimos anos mostram claramente uma mudança de atitude, com várias medidas já implantadas".

3.1.5. O Caso Marília, SP - 2004

Os Arquivos Digitais de Auditoria das urnas usadas em 2004 na cidade de Marília, SP, foram obtidos no TRE, tempos depois da eleição, posto que os Juízes Eleitorais do município se recusaram a entregar os dados.

Esses arquivos indicavam ter ocorrido geração de flashs de carga 45 em duplicata e também discrepâncias no horário de recebimento dos Boletins de Urna da 400ª ZE.

Essas três informações, em conjunto, a saber:

Resistência dos juízes/administradores à auditoria;
Flash de carga em duplicata;
Discrepâncias nos recebimentos dos BU;

são compatíveis com a hipótese de fraude por "clonagem de urnas", que consiste num ataque interno no Cartório Eleitoral, no qual se prepara um conjunto de urnas com data antecipada para nelas efetuar uma votação prévia que gera documentos com resultados falsos, mas aceitáveis pelo sistema totalizador, e se prepara um outro grupo de urnas para serem enviadas às seções eleitorais. No momento de totalização, os disquetes de resultados dos dois grupos são trocados dentro do Cartório Eleitoral, o que caracteriza o tipo de fraude como um ataque interno.

O Arquivo de Espelhos de Boletins de Urna da 400ª ZE, gerado em 14/10/2004 às 15:22:55 h, indicava que muitas seções eleitorais tiveram seus resultados recebidos para totalização antes do início da votação.

Como exemplo, mostra-se o cabeçalho da página 45 do arquivo, referente à seção eleitoral 0008, apresentado a seguir:

Justiça Eleitoral/SP pág.:45

Sistema de Gerenciamento - Versão: 2.09 (Oficial) 14/10/2004

Eleições Municipais de 2004 15:22:55

Espelho de Boletim de Urna 1º turno

Eleitores Seções Seções Seções N.vagas

Município ZT Aptos AgregadasEfetivas Vereadores

[66818] - MARILIA 0070 141,159309 7 302 13

Zona Eleitoral: 0400 Seção: 0008

Seções Agregadas: Esta seção não possui seções agregadas.

Aptos:530 Comparecimento: 445 Faltosos: 85

Tipo de Urna: Apurada Origem: URNA ELETRÔNICA

Data do Recebimento: 03/10/2004 6:40:28

Cód.UE: 148909 PM Cód. Carga: 090.225.521.369.572.240. 332.446

Data: 27/09/2004 Hora: 15:59:00 Cód.FC: 8D66079F

Nesse cabeçalho são apresentados a data e hora de três eventos, a saber:

Na segunda e terceira linha tem-se a data e hora em que o arquivo foi criado em 14/10/2004 às 15:22:55 h.
Na antepenúltima linha, destacado em negrito, tem-se a data e hora do recebimento do Boletim de Urna em 03/10/2004 às 6:40:28.
Na última linha aparece a data e hora da carga da urna em 27/09/2004 às 15:59:00.

A eleição ocorreu em 03/10/2004. A hora 6:40:28 (item 2), é incompatível com o recebimento dos Boletins de Urna, os quais só são oficialmente gerados após às 17:00 h. Esse problema apareceu em todas as seções eleitorais da 400ª ZE.

Questionada a respeito, a Seção de Apoio às Eleições do TRE-SP emitiu parecer técnico em 28/02/2005, onde tentou explicar essa discrepância, afirmando que a hora de recebimento dos BU estaria grafada em padrão americano (12 h mais AM ou PM) devido ao arquivo ter sido gerado em computador no qual o sistema operacional Windows seria de versão em inglês.

O padrão brasileiro para data e hora segue o formato "dia/mês/ano" para a data e "24h" para a hora, enquanto o padrão americano usa "mês/dia/ano" para a data e "12h mais AM ou PM" para a hora.

A data e a hora de geração do arquivo em questão (item 1 - 14/10/2004 às 15:22:55), está obviamente em formato brasileiro pois não existe mês 14 e nem 15 horas no padrão americano. Isto indicaria que o arquivo fora gerado em computador configurado no padrão brasileiro.

A data e a hora da carga da urna (item 3 - 27/09/2004 às 15:59:00) também está obviamente em padrão brasileiro, mais uma vez indicando que o computador que escreveu esse dado no arquivo estava em padrão brasileiro.

A data do recebimento do boletim de urna (item 2 - data de 03/10/2004) só pode estar em padrão brasileiro, indicando o dia 3 de outubro de 2004, dia do 1º turno das eleições de 2004. Se essa data estivesse em padrão americano estaria indicando o dia 10 de março de 2004, data em que era impossível se receber Boletins de Urna, visto que o Sistema de Gerenciamento 2004 T1, segundo o parecer técnico, só foi instalado em setembro de 2004. Confirma-se, assim, que o computador que inseriu esse dado no arquivo estava em padrão brasileiro.

Já a hora de recebimento do BU (item 2 – hora 6:40:28) indica que os Boletins de Urna 400ª ZE já tinham sido recepcionados pelo sistema de totalização antes da eleição ter tido início.

Houve dois processos judiciais decorrentes dessas constatações: um inquérito do Ministério Publico e uma representação de Partido Político.

Na primeira instância, o juiz que também era o responsável administrativo pelos procedimentos questionados, indeferiu os pedidos de perícia e recusou-se a mandar lacrar os computadores utilizados, para preservar eventuais provas.

Três anos depois, na terceira instância, foi reconhecida a necessidade de perícia e o processo retornou à primeira instância, mas, nesse momento, os equipamentos já haviam sido modificados pelo uso em outras eleições e as provas estavam perdidas.

Ambos processos se encerraram em 2009, sem julgamento final, por decurso de prazodevido a protelação dentro da própria justiça e administradora do sistema contestado. Nenhuma perícia foi deferidae as eventuais provas pereceram, não sendo mais possível a realização de perícia nos meios eletrônicos. Sobre o juiz-administrador que não preservou as provas, nada recaiu.

3.1.6. O Caso Campos do Goitacases, RJ – Eleição Suplementar 2006

Essa eleição suplementar em Campos do Goitacases, RJ, foi realizada em março de 2006 por anulação do pleito oficial de 2004.

As dificuldades de fiscalização, adiante descritas, são apresentadas pelo lado do candidato que venceu a eleição, desmentindo o refrão generalizante de que as denúncias contra as urnas eletrônicas são sempre fruto de "choro de perdedor".

Por interesse do candidato vencedor, foi montado um esquema de fiscalização preventiva do processo eletrônico de votação desde seu princípio.

No entanto, cada passo da fiscalização, para ser realizado, enfrentou autoritarismo e resistências nascidas dentro do corpo de membros da administração eleitoral. As cerimônias de fiscalização, obrigatórias, só foram marcadas depois de muita insistência e uma foi negada. As irregularidades encontradas só foram corrigidas quando enfrentado o autoritarismo do agente responsável.

Já de início, a autoridade eleitoral descumpriu frontalmente o Artigo 66 da Lei 9.504/97 que manda apresentar, com antecedência em cerimônia oficial, os programas de computador do sistema eleitoral aos partidos concorrentes, cerimônia esta que o CMTSE afirma ser umas das salvaguardas de segurança do sistema.

O argumento usado para justificar tal ilegalidade revela um exercício de autoritarismo desmedido. Alegou-se que tal artigo de lei só se aplicaria a eleições oficiais que ocorrem no mês de outubro dos anos eleitorais. Segundo essa interpretação da justiça-administração eleitoral, ela própria, nas demais eleições complementares, estaria desobrigada dessa norma legal que é, teoricamente, uma salvaguarda de segurança.

Devido ao calendário justo imposto pela mesma autoridade, não havia tempo suficiente ou mesmo órgão do poder judiciário capaz de rever a decisão.

Sem alternativa adequada, o candidato teve que desconsiderar padrões de segurança, e foi forçado a participar de eleição eletrônica cujo software era totalmente secreto, embora seus resumos digitais fossem publicados para "conferência de integridade".

O passo seguinte da fiscalização, a conferência das assinaturas no sistema gerador de mídias, foi dificultado por questões atinentes à logística e prazos. A cerimônia foi marcada, em cima da hora, na sede do TRE na capital estadual, forçando a fiscalização a idas e vindas, atravessando o Estado para acompanhar o trajeto das Flashs-de-Carga.

De volta a Campos do Goitacases, a fiscalização foi acompanhar as sete cerimônias de carga e lacração das urnas, que ocorriam em sequência durante 3 dias.

Constatada a regularidade das assinaturas dos programas das urnas eletrônicas, passou-se à conferencia dos dados dos candidatos concorrentes ao pleito. Verificou-se a ausência do nome de um deles no arquivo de candidatos.

O candidato, cujo nome não constava no arquivo de candidatos, estava em terceiro lugar nas pesquisas prévias e os votos que lhe fossem dados seriam anulados, afetando sobremaneira a quantidade de votos válidos, podendo resultar na vitória irregular de um dos candidatos em primeiro turno.

Para surpresa dos fiscais dos partidos, informada do fato, a Juíza eleitoral e chefe administrativa da cerimônia de carga mandou prosseguir os trabalhos de lacração das urnas, ignorando os protestos dos partidos presentes no local. Somente quando estes exigiram que a decisão de manter a irregularidade constasse em ata, a administradora-chefe mandou suspender a sessão e regularizar a situação.

Outra travessia do Estado foi necessária para acompanhar a nova geração de mídias e nova carga das urnas, mas, quando da conferência, verificou-se a ausência do nome do vice do mesmo candidato ausente na fase anterior. Essa ausência tinha o mesmo potencial de antecipar a eleição irregular em primeiro turmo de um candidato.

Premido pelo tempo, finalmente o administrador eleitoral teve o bom senso de realizar a terceira cerimônia de geração de mídias na própria cidade de Campos e a carga e lacração das urnas pôde se encerrar.

A cerimônia oficial obrigatória seguinte, chamada de Oficialização do Totalizador, não foi marcada pela autoridade eleitoral local. Levou horas de tratativas, para convencimento dos servidores eleitorais, de que havia necessidade de conferência das assinaturas digitais dos programas instalados nos computadores de totalização antes da oficialização do sistema.

Aberta a cerimônia, encontrou-se um programa instalado no sistema de totalização cujo resumo digital diferia da tabela obtida, a duras penas, no TSE.

Alertada a servidora do TRE/RJ, que chefiava os trabalhos, sobre a irregularidade, sua explicação é que seria um fato normal, insignificante e que a oficialização do totalizador poderia ser completada. Novamente, somente quando os fiscais presentes exigiram constar em ata a irregularidade encontrada, a cerimônia foi suspensa para reinstalação do sistema de totalização e, no dia seguinte com a votação já em andamento, nova oficialização pôde ser feita com todas as assinaturas digitais dos programas de totalização coincidindo com a tabela do TSE.

As tentativas das autoridades eleitorais locais, apoiadas em juízes, para dar continuidade aos preparativos oficiais mesmo diante de irregularidades constatadas e sua retração quando exigido que os fatos fossem registrados em ata, são mais exemplos de como o acúmulo de poderes no processo eleitoral brasileiro facilita o autoritarismo a ponto de inibir e até tornar inócua a fiscalização pelos partidos.

O CMTSE, no entanto, por não ter ido a campo e apenas ter como consultores os técnicos do TSE, não constatou essa realidade em seu relatório.

3.1.7. O Caso Alagoas - 2006

A eleição para governador de Alagoas em 2006 teve o resultado questionado pelo candidato que ficou em segundo lugar, uma vez que ele entendia que os resultados potenciais apontados pelas as pesquisas eleitorais prévias foram flagrantemente contrariados, até mesmo em seus redutos eleitorais.

Para avaliar a confiabilidade do resultado eleitoral foi promovida uma análise do Arquivos Digitais de Auditoria das urnas eletrônicas.

Abstract: -se a seguir o desdobramento técnico e jurídico desse caso, cujo detalhamento 46 e exemplos pode ser acompanhado em página no sítio do Fórum do Voto Eletrônico na Internet.

Na primeira semana após a eleição, para cumprir os prazos legais, foi desenvolvido um relatório preliminar 47 que detectou corrupção nos Arquivos LOG em mais de 2,5% das urnas eletrônicas utilizadas, colocando sob suspeição o resultado da votação e apuração nessas urnas. Entre a diversidade de lançamentos impróprios encontrados nos arquivos LOG de Alagoas 2006, havia o seguinte:

Mudança do número do município da urna, depois de carregada e lacrada.
Mudança do número da própria urna, depois de carregada e lacrada.
Registro de eventos inexistentes como "código para uso futuro".
Omissão de eventos reais ocorridos.
Sequência de substituição de urnas com ordenação irregular.

Um processo judicial foi aberto propondo o desenvolvimento de perícias para determinar o comprometimento do resultado, em vista do comprovado funcionamento irregular das urnas eletrônicas.

A Secretaria de Tecnologia de Informação (STI/TSE), chamada a se manifestar na pessoa do coordenador do CMTSE, confirmou a ocorrência de "arquivos de LOG que já apresentavam perda de integridade, parcial ou total, quando gerados" nas urnas eletrônicas, mas afirmava, mesmo sem ter apresentado nenhuma análise dos arquivos RDV (de votos digitais) e dos arquivos BU (de resultados), que a perda da integridade dos Arquivos de Auditoria não teria atingido os resultados.

Impedindo que sua afirmação pudesse ser verificada, a Secretaria de Tecnologia de Informação do TSE, através da Informação nº 90/2006-ASPLAN/STI, de dezembro de 2006, negou o acesso dos auditores externos aos arquivos RDV para que sua integridade pudesse ser constatada ou não. Para manter os dados de auditoria do resultado distantes dos olhos dos auditores, a STI/TSE enfrentou até ordem do juiz-corregedor do TRE-AL e se negou a decifrar os arquivos para serem entregues aos requerentes.

Um segundo relatório 48 dos auditores externos 49, elaborado com mais profundidade e apresentado dois meses depois do primeiro, demonstrou que as explicações do relatório STI/TSE sobre os motivos da perda de integridade dos dados de controle eram insuficientes, apontando ainda o seguinte:

Havia 13 tipos diferentes de irregularidades nos arquivos LOG, que atingiram 2282 (44%) das 5166 urnas utilizadas.
Mais de 25% dos arquivos LOG deixaram de registrar o evento de auto-teste, obrigatório segundo a regulamentação.
Havia uma diferença superior a 22 mil entre o total de votos válidos para o pleito de governador registrados nos arquivos LOG e os registrados nos arquivos BU.

Para ilustrar e reforçar a tese de falta de confiabilidade dos resultados dessas urnas eletrônicas utilizadas em Alagoas, foi apresentado o exemplo a seguir, de arquivo LOG que estava mesclado com o arquivo BU :

trecho inicial (1024 caracteres) do Arquivo LOGde nome "10x48sdk.rl1 " da seção eleitoral 0139 da Zona Eleitoral 0035 do município de Senador Teotônio Vilela, AL

__________________________________________

Total de votos de Legenda : 0022

Brancos : 0003

Nulos : 0008

Total Apurado : 0241

Código Verificador: 25054

======================================

SENADOR(A)

Nome do candidato Nro cand Votos

RONALDO LESSA 123 0065

GALBA NOVAES 222 0001

NONÔ 251 0006

COLLOR 288 0132

OTAVIO CABRAL 500 0001

--------------------------------------

Total de votos Nominais : 0205

Brancos : 0005

Nulos : 0031

Total Apurado : 0241

Código Verificador: 41574

======================================

GOVERNADOR(A)

Nome do candidato Nro cand Votos

LENILDA LIMA 13 0005

JOÃO LYRA 14 0043

ELIAS BARROS 19 0001

ANDRE PAIVA 28 0003

TEOTONIO VILELA FILHO 45 0167

Esse texto acima não é o conteúdo de um arquivo LOG normal. É um trecho do Espelho do Boletim de Urna da própria seção eleitoral, que está seguido de registros de logcom perda de integridade frequente e até com inversão da ordem cronológica dos eventos.

Está evidente que, nesse caso, o mau funcionamento do programa na urna provocou uma fusão do arquivo LOGcom o arquivo BU, normalmente independentes, revelando que também os procedimentos de apuração dos resultados foram atingidos pela impropriedade no processamento dos dadosou, como concluiu o prof. Clovis Fernandes, autor do segundo relatório do Caso Alagoas 2006 : "Não é possível afirmar que não tenha havido perda de integridade do RDV ".

Porém, mesmo diante das evidências, no lugar de providenciar uma profunda auditoria a ser realizada de forma independente dos administradores do sistema, como ocorreu no caso das eleições em 2006 no Estado de Ohio nos EUA 50, a autoridade eleitoral brasileira, que ao mesmo tempo é responsável administrativa pelo sistema questionado e juiz nos recursos contra ele, inviabilizou uma perícia independente com as seguintes decisões:

Decretou arbitrariamente que apenas os arquivos RDV, e não os arquivos LOG, devem ser usados para contar a quantidade de votos válidos, embora essa informação esteja registrada e disponível nos dois arquivos que não poderia haver diferença entre os totais obtidos nos dois arquivos.
Simultaneamente, negou acesso aos arquivos RDV pelos assistentes técnicos do requerente.
Transferiu para o requerente a cobrança antecipada de R$ 2 milhões para que fosse desenvolvida uma perícia nas urnas eletrônicas.
Diante do não pagamento desse de valor, proibitivo para qualquer candidato em todo o Brasil, o requerente foi multado e condenado por litigância de má-fé,tendo apresentado provas materiais inquestionáveis do mau funcionamento das urnas.
A perícia sobre as urnas não foi permitida.

Desse conjunto de medidas autoritárias, os dois primeiros itens foram viabilizados a partir de ativa participação do coordenador do CMTSE.

Diante de todos esses aspectos técnicos e jurídicos, os membros deste CMind acompanham a conclusão do prof. Clovis Fernandes, apresentada em audiência pública na Assembleia Legislativa de São Paulo no dia 01 de junho de 2009, a saber:

"Com base na análise dos resultados do pleito de governador de Alagoas 2006 e na atitude do TSE não dá para provar que houve fraude! Nem que não houve fraude!

Motivo: a urna eletrônica brasileira não é auditável! "

Enfatiza-se que a "inauditabilidade" da urna brasileira é decorrente tanto da ação da STI/TSE na esfera judicial e administrativa, quanto da estrutura e técnica de programação temerária utilizada na urna pela STI/TSE. Para eleições do tipo brasileiro, que conta com muitos pleitos, não é possível tornar uma máquina DRE auditável.

Ou seja, não se pode garantir com técnicas puramente computacionais que o voto dado pelo eleitor na urna foi registrado mesmo para o candidato de sua escolha e faz parte da totalização. Por causa disso, em qualquer eleição que se fizer uso deste modelo de urna eletrônica brasileira, será impossível provar que nela houve ou não fraude."

3.1.8. O Caso Maranhão – 2006

Nesse Estado, também foi feita fiscalização preventiva do processo, nos dois turnos para governador, e as denuncias a seguir são apresentadas pelo lado vencedor da eleição, desmentindo o refrão generalizante de que as denúncias contra as urnas eletrônicas são sempre fruto de "choro de perdedor".

1º TURNO

O primeiro fato importante aconteceu na cerimônia de oficialização dos programas de totalização para o 1º turno das eleições. Naquele ato seriam conferidas as assinaturas digitais dos programas instalados nos computadores do TRE–MA.

Foram preparados quatro computadores para essa ocasião. Três deles, que ficavam na parte de baixo de um palanque, recepcionariam os arquivos BU vindos das Zonas Eleitorais e repassariam os dados para o quarto computador, que serviria ao Presidente do Tribunal e totalizava os demais. Este ficava sob os holofotes da imprensa e, por isso, num patamar superior.

No dia de Cerimônia de Oficialização dos programas, em que estavam presentes muitas autoridades e com maciça cobertura do imprensa local, um partido conferiu as assinaturas digitais no quarto computador, usado pelo Desembargador Presidente do Tribunal, onde se constatou a regularidade dos dados.

Ato contínuo, o fiscal pediu, então, para conferir os dados dos outros três computadores, recebendo a resposta de que não havia necessidade, porque os programas estariam interligados. O fiscal insistiu e, como não aceitou os argumentos de servidor do TRE, pôde conferir os demais dados.

Dois dos computadores estavam em situação regular, mas em um deles as assinaturas não correspondiam às dos programas oficiais. Muitas explicações foram apresentadas, inclusive que se poderia ir à totalização sem problemas, mas nenhuma delas foi capaz de demover o fiscal, que exigiu a regularização por reinstalação dos sistemas.

Após novas conferências, foi solicitada a lacração dos computadores, somente utilizados após as 17 horas do dia da eleição.

2º TURNO

Nessa etapa, verificou-se que o TRE-MA iria realizar "uma atualização por recarga dos programas em 3% das urnas no dia da votação", posto que algumas delas, no ato da carga, acusavam ocorrência de um erro designado como G-200.

Esse erro teria ocorrido pelo desligamento antecipado de algumas urnas, no 1º turno, por mesários que não aguardaram o momento certo para o encerramento.

Como a nova carga recebida pela urna poderia camuflar eventuais problemas anteriores requereu-se permissão ao Tribunal para se verificar o arquivo LOG de uma das urnas que estariam nessa situação.

Aceito o requerimento pelo Tribunal, foi escolhida uma seção em cuja Ata de Cerimônia de Carga constava uma urna com o erro G-200. Realizada a análise do arquivo LOG, não constava qualquer problema com o encerramento da urna em 1º Turno, e a carga para o 2º Turno estava regular, não necessitando de qualquer atualização.

Ademais, verificou-se que o programa que seria utilizado para a "atualização do software" não inseria nenhum registro no arquivo LOG da urna depois de utilizado. Questionando os técnicos do TRE-MA, viu-se que não tinham conhecimento do problema e iam apenas obedecer "ordem superiores", o que causou imenso receio e preocupação.

A informação foi levada ao Ministério Público, à OAB e ao próprio Tribunal, a quem os candidatos requereram a não utilização de qualquer procedimento extra nas urnas no dia da votação.

Ressalte-se que as medidas preventivas foram possíveis, mesmo contra a disposição de alguns operadores, graças à permissão do Presidente do Tribunal Regional Eleitoral do Maranhão, o que resultou em nenhum questionamento técnico posterior ao pleito.

3.1.9. O Caso Itajaí, SC – 2008

Nas eleições municipais de 2008 em Itajaí, Santa Catarina, constatou-se uma burla intencional, como se descreve a seguir, na cerimônia de carga e lacração das urnas, cerimônia esta que na Subseção 2.1.3 do Relatório CMTSEé classificada como uma das salvaguardas de segurança dos sistemas.

Conforme Art. 32. da Resolução TSE 22.712/2008:

"Art. 32. No período que abrange o procedimento de carga e lacração, deverá ser realizado teste de votação acionado pelo aplicativo de Verificação Pré-Pós em pelo menos uma urna por zona eleitoral, observado o mínimo de uma urna por município."

O município de Itajaí é coberto pelas 16ª e 97ª Zonas Eleitorais de Santa Catarina, sendo que a 16ª ZE também engloba as seções eleitorais do município vizinho de Navegantes.

Na eleição de 2008, os juízes-administradores dessas duas Zonas Eleitorais decidiram fazer a carga das urnas numa única cerimônia conjunta. Na Ata da Cerimônia de Preparação e Lacração das urnas das 16ª e 97ª Zonas Eleitorais, aberta no dia 22 de setembro de 2008, consta o seguinte:

"Foi realizado o teste de votação a que se refere o art. 32. da Resolução TSE nº 22.712/2008 nas urnas das seções 236 (97ª ZE – Itajaí) e 451 (16ª ZE – Navegantes), obtendo-se o resultado constante do boletim de urna anexo, que passa a integrar a presente ata, sendo tais urnas submetidas a nova carga ."

Nota-se, de imediato, que nenhuma urna eletrônica de Itajaí da 16ª ZE foi sorteada para teste.

Já na 97ª ZE, a urna da seção 236, sorteada para o teste obrigatório e estando então carregada e lacrada, na hora do teste foi substituída por outra preparada exclusivamente para o teste e que depois foi colocada à parte.

Os dados impressos anexados à ata e os dados constantes nos Arquivos Digitais de Auditoriada respectiva urna, mais especificamente, as tabelas de correspondências e o arquivo LOG, comprovam de forma inequívocaa ocorrência dessaburla que trocou a urna oficial a ser testada por outra preparada apenas para o teste, fraudando o procedimento de segurança que o CMTSE reputa como salvaguarda.

A Zerésima e no Boletim de Urna impressosanexados à ata,produzidos pela urna testada como sendo da seção 236 da 97ª ZE, apresentaram os seguintes dados:

Eleição de 23/09/2008

Hora do teste: 14:39:25

Município : 81612 – ITAJAÍ

Zona Eleitoral: 0097

Seção Eleitoral: 0236

Código de Identificação da urna : 00852034

Resumo: da Correspondência : 902.000

De forma contraditória, no Comprovante de Carga da urna da seção 236 da 97ª ZE, levada para a votação, e também constante da ata, está registrado o seguinte:

Município : 81612

Zona Eleitoral: 0097

Seção Eleitoral: 0236

Código de Identificação da urna : 00842748

Código de identificação de Carga : 592.799.644.230.781.622.007.290

Resumo: da Correspondência : 007.290 (os últimos seis dígitos do código acima)

Flash de Carga: 88D2D957

Data da Carga: 22/09/2008

Hora da Carga: 18:35:30

Existe diferença no código de identificação da urna e no resumo da correspondência (ou código de identificação da carga) comprovando de forma absolutaque a urna que foi carregada, lacrada e levada a votação na seção 236 não é a mesma que foi levada ao teste de votação simulada.

Os demais arquivos de auditoria,como a tabela de correspondência e o arquivo LOG, confirmam que a urna levada a votação foi a de nº 00842748 e não a testada, que tinha o nº 00852034.

Ressalte-se, ademais, que o arquivo LOG urna 842748, levada para a votação real,não registra a ocorrência do nenhum teste de votação e também não registra a ocorrência de uma nova carga de urna no dia 23 de setembro de 2008.

Em síntese, foi intencionalmente falsificado o teste de integridade dos programas utilizados no município de Itajaí para as eleições de 2008, prescrito no art. 32. da Res. TSE 22.712/08, consubstanciado nos seguintes procedimentos:

Da 16ª ZE não foi sorteada nenhuma urna de Itajaí para ser testada.
Da 97ª ZE foi sorteada a urna da seção 236 para passar pelo teste.
Essa urna, registrada sob nº 842748, tinha sido carregada em 22/09/2008 com o flash de carga 88D2D957, e gerou um Boletim de Urna aceito na Totalização.
O arquivo LOG dessa urna não registra ter sido testada ou recebida nova carga, ao contrário do dito na Ata da Cerimônia de Carga e Lacração.
A urna que passou pelo teste oficial, registrada sob nº 852034, foi carregada no dia 23/09/2008, depois do sorteio, momentos antes de ser testada.
Essa urna usada no falso teste foi em seguida recarregada como urna de contingência, com o flash de carga F[084]DF12, destruindo-se todas eventuais provas nela gravadas.

Simplificando para um melhor entendimento: sortearam uma urna para o teste obrigatório mas, nesse momento, houve a troca desta urna, que já estava preparada, por outra urna que só foi preparada para passar pelo teste e depois posta à parte.

Portanto, o Boletim de Urna e a Zerésima da seção 236 da 97ª ZE, anexados à ata da Cerimônia de Preparação e Lacração das Urnas eram falsos, uma vez que a urna real, previamente preparada e levada para a votação real foi intencionalmente excluída do teste obrigatório.

Assim, com a omissão em testar urnas da 16ª ZE e com a falsificação do teste da urna da 97ª ZE, ao final:

NENHUMA URNA PREPARADA PARA VOTAÇÃO EM ITAJAI PASSOU PELO TESTE OBRIGATÓRIO prescrito pelo Art. 32. da Res. TSE 22.712/08.
Nenhum dos Flash de Carga que carregou as urnas de Itajaí foi testado quanto à sua integridade. Foram utilizados mídias diferentes para carregar as urnas levadas à votação e para realizar o teste de integridade.
As condições complementares presentes nessa troca de urnas testadas, como o fato da urna real estar pronta para o teste desde o dia anterior e posteriormente ter sido levada à votação, afastam a possibilidade de erro, indicando a intencionalidade de burla do teste.

A ação jurídica, denunciando essa fraude interna contra salvaguarda de segurança, não teve seu mérito avaliado pela autoridade eleitoral.

Na primeira instância, foi indeferida pelo juiz que também era responsável administrativo pela cerimônia onde a burla ocorreu, sob argumento escapista de que as impugnações contra os procedimentos da cerimônia só poderiam ser apresentados dentro da própria cerimônia, desconsiderando o fato de que a irregularidade só pôde ser detectada pelos fiscais dos partidos depois de terem recebidos os arquivos LOG para análise, o que só ocorre após a eleição.

Na segunda instância, também se evitou a avaliação de mérito sob a alegação de intempestividade do pedido que, segundo eles, teria prazos diferentes dos regulados pelo Art. 184. do Código do Processo Civil.

Deve-se salientar, ainda, que na época do descobrimento dessa fraude, em outubro de 2008, o assunto foi levado a conhecimento e discussão com os técnicos da STI/TSE, posteriormente escolhidos para assessores pelo CMTSE.

Dessa forma, não se justifica na Subseção 2.1.3 do Relatório CMTSEa cerimônia de carga e lacração das urnas seja apresentada de forma sucinta como uma das salvaguardas de segurança do sistema eleitoral sem se apresentarem ressalvas quanto à sua eficácia.

Torna-se este, mais um indicativo a apontar a incapacidade do CMTSE em criticar o sistema oficial, reforçando a impressão de sua parcialidade.

3.1.10. Diferenças no código-fonte – 2008

Até 2006, o programa de votação das urnas eletrônicas, após a confirmação final do voto pelo eleitor, procedia a seguinte sequência de eventos:

Somava um voto ao candidato votado e gravava no arquivo BU.
Gravava o voto no arquivo RDV.
Marcava o eleitor como tendo votado no arquivo de eleitores.
Registrava o evento "voto computado" no arquivo LOG.

Na prática, no entanto, ocorriam alterações quando, por qualquer motivo, a urna eletrônica desligava no meio deste processo podendo resultar que parte desses arquivos já estivessem atualizados com o novo voto e outra parte ainda não.

Isso resultava em diferenças entre os totais de votos registrados em cada um desses quatro arquivos, como foi detectado e descrito no relatório 51 de análise dos dados das urnas usadas na eleição em Alagoas 2006, pelo Prof. Clovis Torres Fernandes, coautor desta Réplica.

Para atenuar esse problema, em 2008, o TSE mudou a rotina e parou de calcular o BU a cada voto confirmado. Moveu-se esse procedimento para o final da votação, calculando o arquivo BU somente depois de gravados todos votos no arquivo RDV. Esperava-se que, pelo menos entre estes dois arquivos, deixariam de existir diferenças, difíceis de explicar, na quantidade total de votos.

No dia 11 de setembro de 2008, véspera da primeira compilação oficial dos sistemas, os fiscais de dois partidos, também coautores desta réplica, analisando essas rotinas encontraram uma incoerência numa comparação (comando if) entre a quantidade de eleitores que votaram e a quantidade de votos no arquivo RDV.

Pedindo esclarecimentos aos programadores do TSE, foram informados, no último dia da apresentação dos sistemas, que tal incoerência já tinha sido excluída dos código-fonte que estavam sendo compilados.

Esse acontecido comprova que havia diferenças entre o código-fonte apresentado para análise aos partidos e o que de fato era usado na compilação dos sistemas; nesse caso, essa absurda impropriedade foi descoberta por mero acaso.

Os representantes dos partidos não têm como saber quantas outras diferenças existiam, mas têm fortes motivos para supor que eram muitas diante da recusa do TSE de apresentar a lista de alterações feitas - mais de uma centena segundo um dos programadores do TSE - em função dos relatórios secretos citados no Anexo 1.

É por demais óbvio, mesmo para leigos, que a existência de diferenças entre o código apresentado para análise dos auditores e fiscais externos e o usado de fato nas urnas, quebra toda a segurança pretendida com uma cerimônia oficial de apresentação, compilação e lacração dos sistemas.

Além da impropriedade técnica, ocorreu ainda ato autoritário do administrador eleitoral ao se recusar incluir na ata da cerimônia, citação a esse problema. Um pedido formal apresentado por partido político à Secretaria de Tecnologia de Informação do TSE, em 12 de setembro de 2008, foi ignorado e jamais respondido. A ata não registrou o caso.

Mas o CMTSE, por apenas ter colhido informações sobre a cerimônia com os próprios técnicos do TSE, deixando de ouvir os fiscais externos presentes, não detectou essas impropriedades e autoritarismo e apresentou como salvaguarda um processo frágil e com segurança totalmente comprometida.

Destaque-se, ainda, que além dessa impropriedade na apresentação dos sistemas, a modificação da rotina de cálculo do BU para evitar divergências entre os totais de votos e de eleitores, não resolveu o problema em sua totalidade.

Em seis urnas eletrônicas de modelo 2008 usadas em cidades do interior de Alagoas na eleição de 2008, onde os respectivos Arquivos LOG registravam desligamento imprevisto da urna eletrônica, um fiscal de partido verificou que em quatro delas havia divergência entre a quantidade de eleitores ausentes segundo o arquivo BU e a quantidade de comprovantes de votação não assinados na Folha de Votação das respectivas seções eleitorais.

Essas diferenças não foram encontradas em dez outras seções analisadas cujas urnas não haviam sido desligadas durante a votação, mostrando que ainda pode ocorrer erros na gravação dos arquivos RDV de onde se geram os arquivos BU .

Essa dificuldade do administrador eleitoral para conciliar os Arquivos Digitais de Auditoria entre si e entre os registros em papel, pode estar na raiz da forte repulsa de seus membros contra a ideia de auditoria independente do software (vide Seção 3.3 desta Réplica) por meio da recontagem do voto impresso conferível pelo eleitor.

Os técnicos da administração eleitoral aparentam temer que potenciais erros na apuração eletrônica, gerados por falhas e que hoje passam despercebidos, comecem a ser detectados provocando inevitável desconfiança no processo eletrônico de votação.

3.1.11. O Travamento de Urnas Eletrônicas - 2008

A urnas eletrônicas modelo 1998, entregues pela fabricante Procomp ao TSE, continham um lote de 90 mil cartões de memória (flash-cards) de marca Hitachi com defeito no seu firmware 52 de versão 5.1.1, que causava erro de gravação nos dados quando solicitada gravação de múltiplos setores.

Naquela ocasião, diante da premência de apresentar modelos funcionais, a Procomp solicitou à Microbase - empresa de software produtora do sistema operacional VirtuOS das urnas - que criasse um remendo (patch) em seu gerenciador de memória (driver de bloco) para substituir a gravação de múltiplos setores pela múltipla gravação de um setor, como solução provisória até que os flash-cards defeituosos fossem substituídos. O remendo no sistema operacional foi criado.

Porém, a Procomp posteriormente optou por tomar essa solução como definitiva e decidiu o seguinte:

Não substituiu os flash-cards defeituosos, entregando-os assim mesmo ao TSE.
Não comunicou o defeito nos cartões e nem o remendo no sistema operacional.

Todos esses eventos foram descritos em audiência pública 53 pelo Eng. Frederico Gregório, Diretor Técnico da Microbase, perante a CCJC da Câmara dos Deputados no dia 25 de novembro de 2008. O depoente era o autor (terceirizado) da adaptação do software que depois o fornecedor da urna optou por esconder do TSE.

Para a eleição de 2008, visando padronizar o software de todos os seis modelos de urnas eletrônicas, o TSE adotou o Linux 54, de código aberto, como sistema operacional.

Por desconhecer o defeito dos 90 mil flash-cards instalados nas urnas modelo 98, os programadores do TSE não cuidaram de criar similar "patch" para substituir a gravação de múltiplos setores por múltipla gravação de um setor.

Agravando esta situação, uma vez que o processo de desenvolvimento do software eleitoral continua imaturo como denunciado em 2002 no Relatório COPPE 55 (vide Subseção 4.2.1 desta Réplica), inexiste roteiro de testes exaustivos para o software e o hardware, de forma que a incompatibilidade do software de 2008 com os cartões Hitachi de 1998, defeituosos, não foi detectada até o final da cerimônia de lacração dos sistemas no TSE em 15 de setembro de 2008.

No Maranhão, poucos dias antes do início das eleições, foi desenvolvida uma intervenção em massa por técnicos da Diebold-Procomp a fim de trocar Cartões de Memórias com o referido defeito.

No dia da eleição de 1º turno de 2008, as milhares de urnas que ainda estavam equipadas com flash-cards Hitachi com firmware versão 5.1.1 travavam e necessitavam ser substituídas.

Isso provocou muito atraso na votação nas cidades de Belém, Goiânia, Recife e seus arredores, onde a troca dos flash-cards ou das urnas atingiu o índice alarmante de 30%. Devido ao volume de intervenções e à falta de material, seções eleitorais tiveram a votação interrompida até as 14:30 h e a votação foi para além das 21 h.

Sob emergência, até helicópteros foram contratados no dia da eleição para transportar novos flash-cards para essas cidades.

Foi justamente a ocorrência desse problema, no Estado do Pará, que despertou a atenção do candidato a deputado federal Gerson Peres, como declarou na abertura das audiências públicas que convocou em novembro de 2008 na CCJC da Câmara dos Deputados, para obter esclarecimentos sobre a confiabilidade das urnas eletrônicas e que, ao final, gerou o Relatório CCJC 2008.

A análise desse caso, que é exemplo da anunciada imaturidade do processo de desenvolvimento do software do sistema eleitoral, foi ignorada no Relatório CMTSE onde tal processo é apresentado como salvaguarda de segurança.

3.2 Dificuldades de Fiscalização pela OAB - Descrição dos Casos

A Lei nº 10.740, de 1º de outubro de 2003, ao revogar a impressão do voto que havia sido determinada em lei anterior, em contrapartida optou por instituir como forma de fiscalização o acompanhamento das "fases de especificação e de desenvolvimento de todos os programas de computador de propriedade do Tribunal Superior Eleitoral, desenvolvidos por ele ou sob sua encomenda, utilizados nas urnas eletrônicas para os processos de votação, apuração e totalização".

Na mesma Lei, atribuiu-se essa prerrogativa não apenas aos Partidos Políticos, mas também à Ordem dos Advogados do Brasil – OAB - e ao Ministério Público – MP -. E os programas executáveis usados na eleição, inclusive os que rodam na própria urna, poderiam receber assinaturas digitais dessas entidades.

Este fato é muito explorado nas notas à imprensa 56 do TSE, comportamento esse repetido no Relatório CMTSE nas Subseções 2.1.2 e 2.1.3 e no Item 1 da Seção 2.2, sempre se apresentando as participações destas entidades como avalistas da confiabilidade do processo eleitoral eletrônico brasileiro. Mas a realidade é diferente.

Nesta seção, baseando-se nas observações e experiências dos advogados membros do CMind que já acompanharam o desenvolvimento dos sistemas junto ao TSE, representando Partidos Políticos ou a própria OAB, são descritas as dificuldades encontradas por esta entidade em auditar o sistema eleitoral brasileiro, a ponto de se poder dizer que tal tarefa foi, na prática, ineficaz.

3.2.1. 2004. – A Tentativa de Fiscalização Correta

Em 2004, primeira eleição em que a OAB desempenhou essa função, foram indicados para participar dessa atividade dois advogados, então integrantes da Comissão de Tecnologia da Informação do seu Conselho Federal, e dois profissionais da área técnica que trabalhavam no Departamento de Informática da instituição.

Embora o TSE tenha desde logo divulgado 57 que a OAB, assim como o Ministério Público, estavam sendo agregados a essa tarefa fiscalizatória, o que possivelmente emprestava uma maior sensação de lisura ao sistema eletrônico de votação, na realidade tratou-se de uma fiscalização bastante limitada, em razão de fatores variados.

Uma primeira dificuldade foi financeira e estrutural: a entidade não dispunha de recursos materiais e humanos para desempenhar uma tarefa que, no correr dos trabalhos, mostrou-se hercúlea e dispendiosa.

Logo de início, foi necessária a contratação de uma empresa de desenvolvimento de software, que pudesse, em curto espaço de tempo, produzir programas de computador para assinar digitalmente e conferir tais assinaturas, tudo segundo as estritas especificações ditadas pelo TSE.

A prestação desse serviço custou alguns milhares de reais à entidade, que não recebe verbas públicas e é custeada pelas contribuições pagas pelos advogados inscritos em seus quadros.

A etapa de validação do software desenvolvido incluía reuniões no TSE, visitas à sala onde o exame dos programas era realizado, ou o comparecimento às sessões finais em que os programas eram digitalmente assinados e demandava outros gastos mais, com o passagens aéreas e estadia de seus representantes, que eram baseados fora de Brasília.

Ao fim de tudo isso, assinados digitalmente os programas, mostrou-se impossível de ser seriamente cumprida, no plano nacional, a tarefa que se seguia: a certificação dos programas instalados nos computadores e urnas eletrônicas.

Para tanto, seria necessário gerar disquetes com o programa de conferência das assinaturas digitais – o que representava mais um gasto, ainda que desta vez mais módico – e distribuir essas mídias entre possíveis fiscais da entidade, nas diversas unidades da Federação. Conquanto o Conselho Federal tenha solicitado a cooperação das Seccionais da OAB, não nos consta que a conferência tenha sido feita senão em Minas Gerais e São Paulo.

Em Minas Gerais, como o TRE local optou por fazer a carga das urnas centralizada em Belo Horizonte, ainda foi possível fazer-se a conferência de cerca de vinte urnas, numa amostragem quase simbólica, dada a dimensão daquele Estado.

Em São Paulo, diferentemente, a carga das urnas foi feita em pontos variados do Estado, o que exigiu uma mobilização às pressas da OAB-SP, no sentido de recrutar em seus quadros de bacharéis em Direito, possíveis fiscais habilitados para realizar a conferência das assinaturas digitais. Gravaram-se disquetes, que foram enviados para cada uma das Subseções espalhadas por esse Estado - em torno de duzentas - juntamente com uma solicitação ao seu Presidente local para que desempenhasse a tarefa.

Esse esforço da OAB-SP desnudou uma outra dificuldade: a capacitação dos representantes, não versados em assuntos tecnológicos, tornava aquela certificação difícil e aparentemente inócua. Pareceu evidente que, não entendendo os meandros daquilo que está sendo fiscalizado, uma pessoa sem conhecimentos técnicos não seria capaz de identificar qualquer tipo de falha ou problema (como os descritos na Subseção 3.1.4 e no Anexo 4), caso viesse a presenciar a ocorrência de algum. Não mais do que uma dezena de representantes compareceram para conferir as assinaturas das urnas, em nome da OAB-SP.

Não há notícia de que a fiscalização da OAB tenha sido realizada noutros estados da Federação, no ano de 2004.

Mas, além disso, outra dificuldade decorria das próprias condições em que o acompanhamento era efetuado. Na etapa de validação, foi permitido um acesso bastante mitigado ao código-fonte dos programas: não era possível analisá-los com independência.

O acompanhamento, no caso, restringia-se a poder ler os códigos-fontes na tela dos computadores do próprio TSE, em uma sala de acesso restrito aos fiscais indicados pelos Partidos, OAB e MP. A OAB enviou, por vários dias, seu gerente de informática à sala restrita do TSE; mas tudo que lhe era possível "fiscalizar" resumia-se a ver, nos monitores, os códigos-fonte de cerca de 4.000 arquivos.

Poder ler o código-fonte de um sistema não é, por si só, uma auditoria ou validação técnica. Para se validar um código-fonte corretamente seria necessário ter total acesso a ele, de modo que seja possível testar, simular, inserir alterações e recompilar para verificar as consequências de situações não previstas.

Esse código-fonte, que, nas condições dadas, já não pôde ser minuciosamente conferido, foi compilado – isto é, vertido para código executável final - nos computadores do TSE, sem que qualquer auditoria pudesse ser feita sobre os mesmos.

Fazendo-se resumo crítico, não há como se ter certeza de que o código-fonte visto, que já não foi adequadamente examinado, seria o mesmo que estava sendo compilado (vide caso descrito na Subseção 3.1.10 desta Réplica).

Os programas executáveis que foram digitalmente assinados pela OAB, MP e Partidos, foram os que resultaram dessa operação, em si repleta de pontos de interrogação.

3.2.2. 2006. e 2008 – O Abandono da Fiscalização Efetiva

Já nas eleições seguintes, 2006 e 2008, dadas as dificuldades vividas em 2004, optou-se por um acompanhamento mínimo, eliminando-se despesas.

A experiência de 2004 demonstrara que o acompanhamento envolvia uma relação custo/benefício desbalanceada: pode-se dizer que os custos da entidade mais o tempo dedicado voluntariamente pelos seus representantes não compensava o pouco benefício que tal tipo de fiscalização, bastante limitada, poderia trazer para a sociedade. E, em reforço do que já foi dito, a OAB não recebe verbas públicas para fazer frente às despesas impostas por este tipo de atividade.

Durante os 180 dias disponíveis para validação do software produzido, em cada eleição, não compareceu nenhum advogado membro da Comissão de Tecnologia da Informação da OAB ou técnico em informática.

No último dia, na Cerimônia de Assinatura e Lacração, compareceu um profissional técnico e, mesmo não tendo previamente estudado o código-fonte, apôs sua assinatura digital nos sistemas em nome da OAB, como apenas para cumprir a formalidade prevista em lei.

Tanto foram simbólicas as assinaturas digitais pelo técnico da OAB em 2006 e 2008, que não foi dada sequência aos procedimentos de fiscalização. A OAB não desenvolveu nenhum trabalho ordenado para a conferência das assinaturas digitais nos arquivos executáveis inseridos nas urnas eletrônicas em todo o Brasil.

Em 2008, a OAB e o MP chegaram a receber do TSE "programas próprios" verificadores de assinaturas, mas, comprovando o puro formalismo da suas participações e o abandono da fiscalização, nenhum representante da OAB ou do Ministério Público, conseguiu detectar a existência dos "arquivos sobrantes", sem assinaturas, incluídos nas 400 mil urnas eletrônicas em todo o Brasil, como citado na Subseção 3.1.4 desta Réplica.

Destarte, embora a participação da OAB seja apresentada pelo TSE como uma forma de abonar, perante a sociedade, os métodos e programas utilizados, pode-se dizer que, em 2006 e 2008, a atuação dessa entidade foi meramente figurativa, diante das limitações financeiras e das restritas possibilidades de auditagem que lhe são franqueadas.

3.2.3. Resumo: das Dificuldades da OAB

Em resumo, apesar da participação da OAB na fiscalização do processo eleitoral brasileiro transmitir uma certa sensação de tranquilidade à sociedade, a experiência no acompanhamento deste processo fiscalizatório demonstrou que:

tais tarefas exigem fiscais com elevado grau de compreensão tecnológica, do contrário participarão como meros figurantes, incapazes de detectar qualquer problema, mais ou menos grave, que eventualmente existisse nos programas carregados na urna eletrônica, como, por exemplo, os "arquivos sobrantes" presentes nas urnas em 2008 (vide Subseção 3.1.4 desta Réplica);
o custo dessa fiscalização é elevado e a OAB não recebe verbas públicas para desempenhar essa tarefa para a sociedade;
mesmo superando os dois obstáculos acima, algo que parece difícil, a eficácia da fiscalização continuará ínfima, eis que o sistema é examinado segundo as regras criadas pelo próprio fiscalizado, isto é, o TSE e seu corpo técnico;
finalmente, caso ocorra uma infiltração criminosa nesse corpo técnico, determinada a fraudar as eleições, restou evidente que a fiscalização, deste modo como é feita, será incapaz de detectá-la.

Desde 2006, a participação da OAB tem sido apenas formal. Na prática, a fiscalização foi abandonada e é abusiva a exploração da imagem da OAB como participante desses procedimentos como, por exemplo, na Subseções 2.1.2, 2.1.3 e na Seção 2.2 do Relatório CMTSE, onde a fiscalização pela OAB é citada de forma a induzir que seria efetiva.

A opção do CMTSE por não ouvir e conhecer a experiência própria dos fiscais externos - dos Partidos e da OAB - levou-o a também ignorar as dificuldades aqui descritas e que, na prática, tornam ineficazes muitas das salvaguardas projetadas para a segurança das eleições.

Esse comportamento do CMTSE caracteriza mais uma OMISSÃO sua e demonstra sua dependência e sua incapacidade de criticar o discurso oficial da autoridade eleitoral.

As descrições dos casos, aqui apresentadas, revelam a ineficácia absoluta da fiscalização externa sobre o processo eleitoral, demonstrando que, atualmente, a sociedade brasileira não detém recursos para auditar o resultado eleitoral eletrônico de uma forma que seja independente dos próprios operadores do sistema.

3.3 Independência do Software em Sistemas Eleitorais

No meio acadêmico e no meio eleitoral internacional, o conceito de Independência do Software em Máquinas de Votar vem ganhando cada vez mais espaço e tem sido adotado como referência técnica.

A Independência do Software em Máquinas de Votarnão significa que tais máquinas não devam possuir software e, sim, que a auditoria da apuração eletrônica dos votos deve ser feita de forma que não dependa de confiar na integridade lógica do software das próprias máquinas.

Ou seja, a conferência do resultado e recontagem dos votos deve dar um resultado que represente fielmente a vontade do eleitor e que não possa ser afetado, qualquer que seja o estado do software do equipamento no momento da votação e da auditoria.

Esse conceito já aparecia em 2004 nas recomendações "ACM Policy Recommendations on Electronic Voting Systems" 58, da ACM - Association for Computing Machinery, pioneira e maior sociedade de profissionais de informática em todo o mundo:

"Recomendações sobre Política para Sistemas Eletrônicos de Votação – Set/2004

Sistemas Eleitorais [eletrônicos] deverão permitir que cada eleitor possa conferir um documento físico (isto é, em papel) para verificar que seu voto foi gravado com precisão e para servir para uma auditoria independente do software sobre o resultado produzido e registrado no sistema.

Tornando permanentes essas gravações (isto é, não baseadas apenas em memórias dos computadores ), propiciam-se os meios pelos quais uma recontagem precisa possa ser feita.

Assegurar confiabilidade, segurança e verificabilidade de eleições públicas é fundamental para estabilizar a democracia . Conveniências e velocidade da apuração de votos não são substitutos para a precisão dos resultados e para a confiança do eleitorado no processo." (tradução pelo CMind)

O conceito de Independência do Software em Máquinas de Votar foi formalizado em 2006 por Ronald Rivest (MIT) e John Wack (NIST) no artigo "On the notion of software independence in voting systems" 59 , declaradamente para enfrentar o problema da "complexidade e dificuldade de testar a integridade de software de sistemas de votação", onde explicitamente propõem o seguinte:

"Propomos que sistemas de votação independentes do software sejam preferidos e que sistemas de votação dependentes do software sejam abandonados."

Primeiramente, é necessário destacar e registrar a importância do matemático Ph.D. Ronald Linn Rivest no contexto do voto eletrônico.

Foram de sua concepção três inovadores e importantes conceitos de segurança que, de algum modo, permeiam os sistema eleitorais existentes e em construção, inclusive o sistema eleitoral brasileiro.

São suas principais criações e contribuições:

Assinatura Digital RSA (1978) – Desenvolvida para garantir a integridade de arquivos digitais e apontada no Relatório CMTSE como uma das principais salvaguardas do sistema brasileiro.
Three Ballot Voting System 60 (2004) – Sistema criptográfico de votação, ainda em desenvolvimento acadêmico, baseado no Sistema Chaum 61, com entrega do voto criptografado ao eleitor para que este possa conferir que o seu voto foi devidamente apurado, sem, no entanto, ter como provar a terceiros em quem ele efetivamente votou.
Independência do Software em Máquinas de Votar (2006) – aqui resumido e já incorporado ao Art. 5º da Lei 12.034/09, que deverá ser aplicado ao sistema eleitoral brasileiro a partir de 2014.

A técnica matemática de assinatura digital para garantir integridade de dados, foi proposta em 1978 como mecanismo de autenticação digital genérica.

Com sua adoção em sistemas eleitorais, inclusive no Brasil, Rivest verificou 62 que o uso da assinatura digital não conseguia cumprir a esperada garantia de integridade lógica do software eleitoral no momento da votação e, então, envolveu-se na criação de novas técnicas autenticatórias para essa área de aplicação, que desaguou no conceito de Independência do Software em Sistemas Eleitorais, aqui abordado.

Rivest participou dos três principais grupos de estudos sobre voto eletrônico nos Estados Unidos:

Membro do CalTech-MIT Voting Technology Project 63 ;
Coautor do Relatório Brennan (New York University).
Colaborador na elaboração das Diretrizes VVSG (NIST e US-EAC).

Nas Diretrizes VVSG, a Independência do Software foi adotada como absolutamente necessária para o credenciamento de sistemas eleitorais eletrônicos, conforme descrito nos itens traduzidos e listados no Anexo 3 desta Réplica, de onde destacamos o seguinte trecho:

"Todos os sistemas de votação precisam ser independentes do software para estar conformes com esta norma .

Um exemplo de sistema dependente do software são as máquinas DRE, que não estão conformes com estas normas .

Equipamentos de votação DEVEM criar um registro independente do voto que o eleitor possa conferir sem auxílio de software.

Atualmente, os sistemas de votação em uso oficial que podem satisfazer a definição de independência do software empregam os registros em papel conferível pelo eleitor"