Artigo Destaque dos editores

Relatório sobre sistema de votação eletrônica sugere auditoria independente do software e da Justiça Eleitoral

Exibindo página 4 de 7
Leia nesta página:

4. ANÁLISE DOS ARGUMENTOS TÉCNICOS DO CMTSE

Inicia-se a análise de mérito, nesta Réplica, na Seção 4.1 apresentando-se comentários sobre os temas citados no Relatório CCJC 2007, mas que foram ignorados no Relatório CMTSE.

Em seguida, nas Seções 4.2 a 4.5, são analisados os argumentos técnicos da CMTSE, na mesma ordem em que foram apresentados, relativos à descrição das salvaguardas do sistema eleitoral brasileiro, à identificação do eleitor, à impressão do voto e às suas conclusões.

4.1. Temas Omitidos pelo CMTSE

O Relatório CCJC 2007 analisou Projetos de Lei existentes na Câmara dos Deputados e propôs novos Projetos de Lei sobre os seguintes temas:

  1. Consequências da concentração de poderes no processo eleitoral brasileiro.

  2. Dificuldades práticas e falta de verba oficial para as entidades encarregadas da fiscalização eleitoral.

  3. Auditoria Independente do Software sobre a Apuração, por recontagem de 2% dos votos impressos conferíveis pelo eleitor (VICE).

  4. Uso de software de código aberto à inspeção nas urnas eletrônicas.

  5. Permissão do voto em trânsito.

Apenas o item (c) acima foi avaliado pelo CMTSE. Comenta-se, a seguir, a importância dos outros temas que o CMTSE ignorou.

4.1.1. Direito do Eleitor de Conferir o Destino do seu Voto

Porque gado a gente marca.

Tange, ferra, engorda e mata.

Mas com gente é diferente...

Geraldo Vandré e Theo de Barros – canção: Disparada

O Relatório CCJC 2007 aborda a questão da percepção do eleitor sobre o destino do seu voto ao propor o projeto de lei para a materialização do voto, justificando da seguinte forma:

"A materialização deve ser entendida como a possibilidade de recontagem física dos votos, garantindo ao eleitor a conferência visual de seu voto , sem qualquer manipulação 64 ....

Trata-se, enfim, de uma sistemática de fácil entendimento, mesmo para os cidadãos eleitores mais humildes , e que combina as vantagens da agilidade da informática, com a possibilidade de eventual verificação dos votos consignados eletronicamente."

Dada a sua importância, esse direito do eleitor é tratado como fundamental já no parágrafo único do Artigo 1º da Constituição Federal: "Todo o poder emana do povo, que o exerce por meio de representantes eleitos ou diretamente, nos termos desta constituição".

E, para a escolha dos eleitos, agregam-se os três princípios eleitorais básicos:

  1. Direito do Cidadão Votar e ser Votado.

  2. Princípio da Inviolabilidade do Voto.

  3. Princípio da Publicidade, no processo eleitoral.

O primeiro encontra sustentáculo no Art. 14. caput e § 3ºda Constituição Federal,que resulta nas modalidades ativa e passiva de garantia ao pleno exercício da soberania popular, nos termos:

  • Direito ativo – de votar e eleger seus representantes – Art. 14. caput da CF.

  • Direito passivo – de ser votado e ocupar um cargo público – § 3º do Art. 14. da CF.

Como um dos substratos do Art. 14. da Carta Magna, tem-se que a SOBERANIA POPULAR será exercida pelo VOTO DIRETO ESECRETO, núcleo desse preceito e que permite eleições livres e honestas.

Ressalte-se que o direito ao sigilo do voto é irreversível, o que o diferencia de outros sigilos, como o telefônico ou o bancário, que podem ser revertidos por ordem judicial.

Desse núcleo se extraem a liberdade da expressão da vontade popular e os atributos essenciais do voto: SINCERIDADE, AUTENTICIDADE e EFICÁCIA.

O voto é, nesse quadro, um direito e ao mesmo tempo uma obrigação, além de selar o destino político de um povo, posto que numa democracia o poder de tomar decisões políticas está nas mãos do cidadão, que elege seus representantes.

Assim, o direito do cidadão deverá ser exercido livre e soberanamente, e sua vontade deve ser respeitada e obedecida. Mas esse respeito e obediência deverá perseguir o processo até sua etapa final - a divulgação dos resultados - pois somente ali o voto preencherá os atributos essenciais, em especial o de sua EFICÁCIA.

A Soberania do Eleitor

Em 2002, os Procuradores da República Celso Antônio Três 65 e Marco Aurélio Aydos 66 já abordavam a tese da soberania do eleitor médio poder fiscalizar o processo eleitoral sem deter conhecimentos especiais.

Em defesa da fiscalização pelo homem-médio, preleciona Celso Antônio Três:

"A soberania do povo, em nome do qual todo o poder é exercido, tem no direito ao voto universal e secreto o meio de expressão da soberania popular. Tal direito carece de amplo exercício de fiscalização para sua completa efetivação. Fiscalização esta que deve ser exercida e compreendida, motu próprio, pelo eleitor comum, mediano, titular primeiro desta soberania ."

Para o Ilustre Procurador, a tecnicidade do processo não deve subjugar o exercício da soberania pelo eleitor-médio:

"(...) Contudo, mesmo fosse cientificamente possível garantir a segurança técnica [do voto eletrônico], isso não seria suficiente . Impõe-se disponibilizar ao cidadão, através de suas faculdades normais , motu próprio, a possibilidade de sindicar a devida observância à sua vontade eleitoral.

(...) De que vale um poder, uma prerrogativa, desprovido dos instrumentos necessários à sua efetivação?!?!?

Soberania pressupõe poder supremo . Onde está a supremacia do povo em um processo cuja apuração não é instrumentado por mecanismos que permitam-lhe certificar-se da soberania de sua vontade?!?!?.

Soberano que não é instrumentado a fiscalizar o exercício de sua soberania não é soberano. "

Em sua conclusão defende a tecnologia do processo, porém conjugada a um modelo simples de confirmação dos resultados:

"Urge conciliar a irremovível instrumentação da soberania popular com as conveniências da tecnologia . Proceder-se a votação e a apuração eletrônica, acompanhada da impressão física das cédulas, de forma a garantir a palpável, testemunhável, eventual aferição que venha a fazer-se necessária, uma das soluções."

Recentemente, em março de 2009, essa mesma tese foi acatada pelo Tribunal Constitucional Federal da Alemanha ao julgar o uso de máquinas de votar Nedap ESD 1 e ESD 2 - do tipo máquinas DRE sem VICE - na eleição para o parlamento em 2005.

Num longo acórdão 67, a corte suprema alemã criou jurisprudência, demarcando princípios e fundamentos sobre o uso de máquinas de votar e considerando contrário ao Princípio da Publicidade e à Constituição o uso de máquinas DRE sem Voto Impresso Conferível pelo Eleitor.

Desse acórdão da corte suprema alemã, se destaca o seguinte, de acordo com tradução para o português realizada pelo CMind:

" Princípios

2. Na utilização de máquinas eletrônicas de votar, é necessário que o cidadão, que não possui experiência especial sobre o assunto, possa controlar de forma confiável os passos essenciais da ação de votar e da aferição dos resultados.

Decisão

2. A utilização de máquinas de votar Nedap ESD 1 e ESD 2 [máquinas DRE sem VICE ] na eleição do 16º Parlamento Alemão não estava de acordo com o PRINCÍPIO DE PUBLICIDADE no processo eleitoral implícito no artigo 38, conjugado ao artigo 20, parágrafos 1 e 2 da Constituição.

Fundamento 111

O PRINCÍPIO DA PUBLICIDADE exige que todos os passos essenciais da eleição estejam sujeitos à comprovação pública. A contagem dos votos é de particular importância no controle das eleições .

Fundamento 155

Os votos foram registrados somente em memória eletrônica. Nem os eleitores, nem a junta eleitoral ou os representantes dos partidos poderiam verificar se os votos foram registrados corretamente pelas máquinas de votar. Com base no indicador no painel de controle, o mesário só pode detectar se a máquina de votar registrou um voto, mas não se os votos foram registrados sem alteração. As máquinas de votar não previam a possibilidade de um registro do voto independente da memória eletrônica, que permitisse aos eleitores uma conferência dos seus votos .

Fundamento 156

As principais etapas no processamento dos dados pelas máquinas de votar não poderiam ser entendidas pelo público . Como a apuração é processada apenas dentro das máquinas, nem os oficiais eleitorais, nem os cidadãos interessados no resultado podiam conferir se os votos dados foram contados para o candidato correto ou se os totais atribuídos a cada candidato eram válidos. Com base num resumo impresso ou num painel eletrônico, não era suficiente conferir o resultado da apuração dos votos na central eleitoral . Assim, foi excluída qualquer conferência pública da apuração que os próprios cidadãos pudessem compreender e confiar sem precisar de conhecimento técnico especializado ."

Tendo traduzido a decisão da corte alemã para o espanhol, o cientista político teuto-portenho Manfredo Koessl, em artigo no jornal argentino Clarin 68, comentou o seguinte:

"La Corte Constitucional alemana afirma algo que muchos políticos y consultores olvidan : "En la República la elección es cosa de todo el pueblo y asunto comunitario de todos los ciudadanos" y que la función del proceso electoral es la "delegación del poder del Estado a la representación popular". Por ello, su legitimidad no puede ser sacrificada en función de la comodidad de funcionarios o la ansiedad de políticos por conocer los resultados ."

Assim, o Princípio da Publicidade no processo eleitoral, citado na Decisão e no Fundamento 111 acima, vem se entrelaçar ao Direito de Votar e ser Votado e ao Princípio da Inviolabilidade do Voto para compor os PRINCÍPIOS ELEITORAIS FUNDAMENTAIS.

Mas como conciliar, num mesmo processo, um princípio de publicidade e transparência com um princípio de sigilo?

Essa conciliação é propiciada pelo Registro do Voto , que é o ente que trafega entre os três princípios eleitorais para lhes dar consistência e simultaneidade.

O Registro do Voto recebe, sob sigilo, a vontade do cidadão-eleitor e a leva, sem quebrar o sigilo da identidade, para ser vista e contada em cerimônia aberta perante o fiscal do cidadão-candidato.

A Exclusão do Eleitor

O Princípio da Publicidade no processo eleitoral era perfeitamente atendido no sistema de votação manual. O eleitor via o conteúdo do Registro do Voto - a cédula eleitoral – antes de ser colocada na urna. Na apuração, todos esses Registros do Voto eram abertos para serem vistos e contados perante os representantes dos candidatos.

Porém, com a adoção das máquinas DRE no Brasil em 1996, o Princípio da Publicidade no processo eleitoral eletrônico teve seu alcance restringido.

Como ressaltado pelo tribunal alemão nos Fundamentos 155 e 156, o eleitor não tem como ver ou conferir o que foi gravado no Registro Digital do Voto , porque essa gravação só ocorre DEPOIS que ele encerra sua participação ao digitar a tecla CONFIRMA e, assim, nunca terá como saber se o RDV teria registrado o seu voto conforme digitado.

Além disso, o resultado da apuração – o Boletim de Urna – é calculado e oficialmente publicado sem que os fiscais dos candidatos possam antes ver cada RDV para conferi-los e contá-los 69.

O CMTSE, posiciona-se em direção contrária ao Princípio da Publicidade e desconsidera o direito do cidadão médio de entender e fiscalizar o processo, defendendo soluções tecnológicas mesmo que não compreendidas pelo cidadão comum, como em suas considerações finais na Seção 4.3, "verbis":

"O fato de que o uso de criptografia e mecanismos sofisticados tecnologicamente não serem entendidos pela maioria dos eleitores, candidatos e público em geral , não diminui os benefícios que essas ferramentas modernas trazem para a segurança das eleições."

Essa tese esposada pelo CMTSE reflete o posicionamento de seu coordenador e da própria Justiça Eleitoral. Vem crescendo como linha diretriz da autoridade eleitoral nas seis últimas eleições desde a adoção das urnas eletrônicas. Suas normatizações têm seguido uma tendência constante de desconsideração desses direitos constitucionais dos eleitores.

O argumento do CMTSE repete esse entendimento, mas fere de morte o princípio de publicidade e os direitos contidos no Artigo 14 da Constituição Federal, pois distancia-se da supremacia do direito do eleitor em ver, de forma a si compreensível, a sua vontade preservada tanto noato de votar quanto na destinação dada a seu voto,posto que é no final do processo que o voto preencherá os requisitos de eficácia, atributo essencial da obediência à vontade popular.

Com essa abordagem da autoridade eleitoral brasileira, a importância do eleitor fica restrita à obrigação de comparecer, identificar-se, votar e acreditar que seu voto foi mesmo registrado e computado, pois daí em diante vale tão somente o que o resultado eletrônico indicar.

Eficiência significa fazer um trabalho de boa qualidade e sem desperdícios. Eficácia é fazer um trabalho correto, sem erros, que atinja totalmente um resultado esperado.

Ao divulgar os resultados com rapidez, o TSE tem sido eficiente. Mas, como o eleitor não tem como conferir o apurado, entende-se que esse trabalho não alcançou o resultado esperado, não foi eficaz no atendimento ao Princípio da Publicidade,e é essa uma grande lacuna conceitualdo sistema eletrônico de votação brasileiro.

Regulamentação do Sigilo do Voto

Essa postura de descaso ao princípio de publicidade quando relacionado à soberania do eleitor, fica claramente revelada, por exemplo, na regulamentação das garantias do sigilo do voto, outro direito constitucionalmente garantido.

Para o sistema de votação manual, essas garantias estão listadas no Art. 103. do Código Eleitoral, nos seguintes termos:

"Art. 103. O sigilo do voto é assegurado mediante as seguintes providências:

I - uso de cédulas oficiais em todas as eleições, de acordo com modelo aprovado pelo Tribunal Superior;

II - isolamento do eleitor em cabine indevassável para o só efeito de assinalar na cédula o candidato de sua escolha e, em seguida, fechá la;

III - verificação da autenticidade da cédula oficial à vista das rubricas;

IV - emprego de urna que assegure a inviolabilidade do sufrágio e seja suficientemente ampla para que não se acumulem as cédulas na ordem que forem introduzidas. "

São regras simples e, para o homem-médio – cidadão comum de cultura técnica mediana -, é fácil e intuitivo compreender que, com o uso de cédulas oficiais - que não contêm identificação do eleitor -, com votação em cabine isolada e com embaralhamento dos votos nas urnas, se garante o sigilo do voto sem ferir a publicidade do registro do voto.

Porém, com a adoção, pelo TSE em 1996, do modelo Máquinas DRE sem VICE como urnas eletrônicas, apenas o inciso II acima pôde ser atendido. Os demais acabam não sendo satisfeitos.

Saliente-se que essas regras do nosso Código Eleitoral seriam perfeitamente atendidas por outro o modelo de máquinas de votar como, por exemplo, as máquinas digitalizadoras (scanners) do voto em papel 70, como as que foram usadas em 2008 nas eleições na Rússia e em mais de 30 Estados norte-americanos.

Para contornar essa impropriedade legal do modelo de urna eletrônica que adotou, a cada eleição desde 1996, a autoridade eleitoral edita instruções onde, no lugar de descrever procedimentos simples e compreensíveis para o eleitor, simplesmente declara de ofício que a integridade e o sigilo do voto estariam irrefutavelmente garantidos desde que usada sua urna eletrônica e o sistema da própria autoridade eleitoral, como no Art. 41. da Resolução TSE 23.218 de 2010, "verbis":

"Art. 41. A integridade e o sigilo do voto são assegurados mediante o disposto nos incisos I a IV do art 103 do Código Eleitoral, devendo ser adotadas, também , as seguintes providências:

I – uso de urna eletrônica ;

II – uso de sistemas de informática exclusivos da Justiça Eleitoral ."

Basicamente, essa norma infra-legal do TSE acrescenta novos incisos ao artigo de lei para contornar o descumprimento da lei pelo modelo de urna que escolheu, o que já é questionável. Agrava esse abuso, o fato de que a redação desses novos incisos não permite ao cidadão comum entender como o sigilo do voto estaria garantido, pois apenas estabelece por decreto que seus próprios sistemas gerariam tal garantia.

Um partido político apresentou, agora em 2010, sugestão formal à autoridade eleitoral para que fosse incluído um Inciso III no art. 41. acima, com a seguinte redação:

"III - inexistência de conexão entre o sistema ou equipamento de identificação do eleitor e as urnas eletrônicas (§ 5º do Art. 5º da Lei 12.034/09)."

Essa sugestão visava mostrar ao eleitor médio, de uma forma fácil de entender, que o sigilo do voto digital seria garantido pelo fato de não existir nenhuma conexão lógica ou eletrônica entre o equipamento que será usado para identificar o eleitor e a máquina que registra o seu voto, impossibilitando que a identidade do eleitor e seu voto pudessem ser correlacionados, como estabelece o § 5º do Art. 5º da Lei 12.034/09.

Mas, valendo-se do poder de normatizar sobre seu próprio ato administrativo, o TSE ignorou essa sugestão sem apresentar nenhuma justificativa e, na eleição de 2010, o administrador eleitoral, mais uma vez, não vai separar os equipamentos de identificar o eleitor da máquina de votar, como agora pede a lei, ampliando a brecha para a fraude do Voto-de-Cabresto-em-massa, descrita na Subseção 3.1.1 desta Réplica.

Pela óptica da autoridade eleitoral, se o sigilo do voto será mesmo mantido ou se o voto será ou não computado corretamente, não cabe ao eleitor compreender como ou porque. Nessa sua norma, simplesmente estabelece por decreto que o modelo de sistema que adotou garante o sigilo do voto. Ao eleitor e candidatos resta aceitar sem questionar.

A Posição dos Partidos na Regulamentação Eleitoral

No bojo do desinteresse do TSE em dar guarida e, em consequência, eficácia ao direito e soberania do eleitor, também acaba inserindo um constante descaso aos direitos dos candidatos. agentes têm que estar sob a tutela de partidos, que têm sido forçados a absorver e cumprir as decisões unilaterais impostas pelo administrador eleitoral.

Como no exemplo acima, pode-se observar que a postura do administrador frente aos agentes passivos do processo é sempre de defesa ao absolutismo de suas ideias, soluções e decisões. Não se vê uma parceria ou conjugação de interesses, mas sim um antagonismo, onde ao administrador interessa terminar as eleições com eficiência.

A busca pelo requisito da eficácia é tida como uma interferência não desejada, que pode pôr em risco a confiança no processo, torná-lo lento ou macular sua veracidade.

Reitera-se, por pertinente, que autoridades eleitorais de mais de 50 Nações aqui estiveram para conhecer nosso sistema eleitoral eletrônico, mas do conhecimento adveio a rejeição por todos ante a falta de segurança imanente à ausência de instrumentos de rastreabilidade e auditabilidade material do voto, ou seja, instrumentos que permitam ao eleitor comum, ao final, conferir se o voto cumpriu o seu requisito de eficácia.

Contextualizando tais alegações, tome-se como exemplo da condição de exclusão dos Partidos Políticos perante a administração eleitorala recente decisão expressa na Resolução TSE 23.090/09, sobre os testes de segurança nas urnas eletrônicas.

Os testes tiveram origem na petição PET TSE 1896/06, de maio de 2006, onde dois partidos políticos solicitaram a realização de experimentos para testar, perante uma comissão deliberativa independente, a eficácia do voto dado pelo eleitor. Em maio de 2008, um terceiro partido aderiu e, em conjunto, pleitearam indicar membros da comissão deliberativa, sem o que entenderiam indeferido o pedido inicial.

Através da Informação nº 002/2008-STI, de dezembro de 2008, no seu parágrafo 2 (ver no Anexo 1), o secretário do TSE Guiseppe Janino defendeu a inclusão de quatro indicados seus com direito a voto na comissão deliberativa, alegando o seguinte:

"... os [quatro] representantes da justiça eleitoral constituirão minoria no quorum deliberativo , pois a comissão será composta por um representante de cada partido político , que em outubro de 2008, já totalizaram 27"

Porém, negando sua própria informação, em julho de 2009, editou-se a Resolução TSE 23.090/09, estabelecendo que os testes de segurançaseriam controlados por duas comissões 71 compostas exclusivamente por indicados da justiça eleitoral.

Todos os membros do CMTSE foram nomeados para essas comissões, mas não foi permitido aos partidos pleiteantes indicar ninguém, caracterizando intencional fuga ao contraditório.

Essa decisão radical e autoritária, mostra como era importante para o administrador eleitoral deter controle absoluto da comissão deliberativa como também não permitir, dentro dela, nenhuma voz independentesequer.

Com o controle absoluto sobre os testes, os membros do CMTSE optaram por um equivocado modelo bipolar de segurança (vide final do Anexo 5). Ignorando a possibilidade de colusão interna, não permitiram testes de ataque sobre o código-fonte dos programas, que pudessem revelar a fragilidade do sistema a ataques internos.

A exclusão dos partidos da função deliberativadurante os testes de segurança, por decisão unilateral da autoridade eleitoral,levou os partidos peticionários a confirmar o condicional que haviam comunicado em 2008. Considerando indeferido o pedido inicia, afastaram-se do processo de preparação e execução de um teste limitado de segurança envolvendo a urna eletrônica oficial.

Em suas considerações finais, onde defende soluções tecnológicas mesmo que não compreendidas pelo eleitor, o CMTSE mostra-se alinhado à postura ideológica do administrador eleitoral, ao desconsiderar que atributo essencial da eficácia do votosó se materializa quando o eleitor e os partidos podem "CONTROLAR de forma confiável para si os passos essenciais da ação de votar e de aferir os resultados."

Por certo, é mais fácil administrar eleições cujo resultado não possa ser auditado por potenciais interessados ou prejudicados, mas a soberania do eleitor deveria ser respeitada, para a resultados eleitorais mais confiáveis quando submetida à auditoria independente dos próprios administradores.

4.1.2. Concentração de Poderes no Processo Eleitoral Brasileiro

"Não haverá também liberdade se o poder de julgar não estiver separado do Poder Legislativo e do Executivo. Se estivesse ligado ao Poder Legislativo, o poder sobre a vida e a liberdade dos cidadãos seria arbitrário, pois o juiz seria legislador. Se estivesse ligado ao Poder Executivo, o juiz poderia ter a força de um opressor. Tudo estaria perdido se o mesmo homem ou o mesmo corpo dos principais, ou dos nobres, ou do povo, exercesse esses três poderes: o de fazer leis, o de executar as resoluções públicas e o de julgar os crimes ou as divergências dos indivíduos".

Montesquieu, "Do espírito das leis", capítulo VI, Livro IX

"La raison du plus fort est toujours la meilleure. Nous l'allons montrer tout à l'heure"

( A razão do mais forte é sempre a melhor. Vamos demonstrá-lo a seguir )

La Fontaine – fabula: O Lobo e o Cordeiro - 1668

O Relatório CCJC 2007 aborda a distribuição dos poderes no processo eleitoral brasileiro ao avaliar o Projeto de Lei nº 5.057/2005. Mesmo tendo argumentado contra aspectos formais do projeto, conclui o seguinte:

"Nada obsta, entretanto, que a Comissão de Constituição e Justiça e de Cidadania (CCJC) estude, oportunamente, o modelo brasileiro de distribuição de competências eleitorais sob o ângulo do direito comparado."

Muitas são as maneiras de se distribuir os poderes e as funções entre os atores do processo eleitoral. Em alguns países existe a Justiça Eleitoral especializada, em outros o contencioso eleitoral é decidido na Justiça Comum. administração do processo eleitoral pode ficar nas mãos do executivo municipal, do executivo estadual, do executivo federal ou ainda ser independente dos três Poderes tradicionais, como no Chile, por exemplo.

No Brasil, um único aparelho público, chamado Justiça Eleitoral, concentra faculdades características dos três poderes Estado que, na clássica tripartição de Montesquieu até hoje adotada nos Estados de Direito, são o Legislativo, o Executivo e o Judiciário, independentes e harmônicos entre si e com suas funções reciprocamente indelegáveis (Art. 2º da Constituição Federal).

Esses Poderes são imanentes e estruturantes do Estado em contraposição aos poderes administrativos, que são incidentais e instrumentais. A cada um deles corresponde uma função que lhe é atribuída com precipuidade.

Nessa linha, somente excepcionalmente é admitido pela Constituição que cada ente desempenhe funções e pratique atos que a rigor seriam de outro Poder.

Segundo a doutrina de Montesquieu, há necessidade de equilíbrio entre os poderes, do que resultou entre ingleses e norte-americanos o sistema de "checks and balances"e corresponde ao nosso método de freios e contrapesos, em que um Poder limita o outro.

O modelo brasileiro faz da Justiça Eleitoral uma fração especializada do Poder Judiciário, instituída pelo Código Eleitoral de 24 de fevereiro de 1932. A Constituição Federal de 1988, inclui no Capítulo III, relativo ao Poder Judiciário, disposições específicas quanto aos Tribunais e Juízes Eleitorais (na Seção VI, artigos 92,V e 118 a 121).

Porém, o Tribunal Superior Eleitoral é o único órgão integrante da Justiça Brasileira que detém funções administrativa e normativa que extrapolam seu âmbito jurisdicional. Pconter a palavra "tribunal" em seu nome, é comumente chamado de Justiça Eleitoral, mas exerce e é de fato o verdadeiro Administrador Eleitoral, assumindo toda administração executiva, operacional e boa parte da normatização do processo eleitoral.

A Justiça Eleitoral não conta com um quadro próprio de magistrados e, embora heterogênea, tem órgãos centralizados no próprio poder Judiciário, compostos seja por Ministros do Supremo Tribunal Federal e do Superior Tribunal de Justiça, seja por Desembargadores dos Tribunais de Justiça e Juízes Estaduais, além de Juízes Federais e Juristas, estes últimos escolhidos dentre advogados.

Segundo os juristas Roberto Amaral e Sérgio Sérvulo da Cunha 72, o que torna sui generis nossa justiça eleitoral é sua faculdade de realizar o seguinte:

  1. Expedir instruções para execução da lei eleitoral.

  2. Responder consultas sobre matéria eleitoral.

  3. Julgar ações judiciais contra atos que ela própria tenha praticado.

Acrescentam ainda o seguinte:

"Assim, a "justiça eleitoral" acumula a administração e o contencioso eleitoral ... Vê-se que o objeto do contencioso eleitoral - a solução de controvérsias pertinentes ao processo eleitoral - consiste em grande parte em atos praticados pelos órgãos ou agentes da justiça eleitoral, o que representa uma contradição em termos, e uma ameaça à objetividade e juridicidade do processo eleitoral em concreto. Esse é nódulo que reclama solução: trata-se de uma ampla área de atividades do governo - num dos setores mais sensíveis para a caracterização do Estado democrático de Direito - que se subtrai ao controle jurisdicional ."

Uma das decorrências malévolas da concentração das três funções de Estado num único órgão, é atribuir-se à Justiça Eleitoral o poder de regulamentar a fiscalização e ainda o controle de todos os recursos orçamentários oficiais em eleições. Toda a verba da União para as eleições, inclusive eventual verba para fiscalização desse processo, é destinada e controlada por essa super-entidade.

Formas semânticas dão respaldo legislativo a esse arcabouço, impondo unilateralmente suas ideias e decisões, como se vê com a junção do Art. 61. da Constituição com o Parágrafo Único, Art. 1º do Código Eleitoral, que permite a propositura de leis pelo TSE, regulamentadas ao seu livre alvitre, que devem ser obedecidas por todos os cidadãos.

Dessa legalidade advêm também comandos para validar o cerceamento do direito dos eleitores, dos candidatos e das aglomerações de partidos e coligações, tanto mais substancialmente quanto mais informatizado se torna o processo eleitoral.

Também daí, decorre talvez a maior e mais preocupante consequência da referida concentração de poderes, qual seja a imodificabilidade habitual das suas decisõesquando imbuída na função judicial.

Esse modelo leva a que os órgãos da Justiça Eleitoral estejam protegidos por membros dos demais órgãos judiciais, tanto nos TRE quanto no TSE. Em termos de recurso a outra corte e exercício normal do direito de produzir provas, o administrado se reencontrará com julgador que compôs, compõe ou comporá um daqueles Tribunais.

Trazendo à baila o processo eletrônico de votação, o administrado terá ainda como adversários os próprios idealizadores, desenvolvedores e operacionalizadores dos sistemas (pais do processo): os técnicos das Secretarias de TI dos referidos tribunais.

Cabe a esses profissionais de Tecnologia da Informação, além das funções acima, a de elaborar os pareceres técnicos em processos que requeiram perícias nas urnas ou no sistema todo, o que torna fácil entender seja a parcialidade jurisdicional, seja as dificuldades na produção de provas como os casos descritos, na Seção 3.1 desta Réplica, exemplificam.

É um caso clássico kafkiano onde o fiscalizado manda no fiscal.

Como em terreno adubado com o acúmulo de poderes, crescem sempre, como ervas daninhas, o autoritarismo, o corporativismo e a falta de transparência. Nosso processo eleitoral sofre desses males.

Juiz e Réu no mesmo Processo

Em processos jurídicos normais perante a Justiça Eleitoral, como em casos relativos a publicidade eleitoral, a pesquisas e a abusos de poder econômico, identificam-se com precisão três agentes: no polo ativo o denunciante, no polo passivo o denunciado e um juiz independente, perfazendo a clássica relação triangular.

Mas na grande maioria dos processos sobre irregularidades no sistema de voto eletrônico, detectadas pela fiscalização eleitoral, o polo passivo é o agente administrativo responsável pelo problema que se questiona, ou seja, é o próprio servidor da administração eleitoral, muitas vezes um juiz!

Não é raro que um juiz eleitoral julgue causa em que ele próprio é, por extensão de comando, o réu. Citem-se, como exemplos, os casos de Marília-SP 2004 e Itajaí-SC 2008 descritos nas Subseções 3.1.5 e 3.1.9 desta Réplica, respectivamente.

Mais um exemplo clássico da distorção provocada pelo acúmulo de poderes delegados à Justiça Eleitoral, é o episódio ocorrido em Araçoiaba da Serra 73, onde um erro no preenchimento da tabela de candidatos não foi devidamente corrigido a tempo de evitar danos, porque quem julgava era também o superior responsável administrativo pelo erro.

Na eleição municipal de 2000, oficiais do Cartório Eleitoral esqueceram de incluir o nome de alguns candidatos a vereador no arquivo de dados carregados nas urnas eletrônicas. No dia da eleição, os candidatos excluídos não puderam ser votados. A solução óbvia seria anular a eleição, porque viciada. Mas, para tanto, o juiz teria que reconhecer erro administrativo cometido sob seu próprio comando e responsabilidade.

Julgando onde era o réu, o juiz indeferiu todos os pedidos de anulação que lhe foram apresentados, inclusive pelo Ministério Público. instância estadual todos os recursos também foram negados. Somente na instância superior, 3 anos depois, a eleição foi anulada. Os novos vereadores regularmente eleitos tiveram menos de 12 meses de mandato.

Normatização Restritiva de Direitos

Tendo poder de emitir normas legais sobre o processo eleitoral eletrônico que administra, inclusive sobre a fiscalização de seus atos, o administrador eleitoral acaba esse poder para restringir a fiscalização, como percebido pelos fiscais da OAB (vide Subseção 3.2.1 desta Réplica), nas limitações que impõe nas verificações das assinaturas digitais (vide Anexo 4), na não entrega dos arquivos RDV (vide Anexo 7), ou forçando sua sofisticação a ponto de inviabilizá-las financeiramente (vide Subseções 3.2.3 e 4.1.3 desta Réplica).

Merece especial destaque a criação das normas relacionadas à auditoria do processo eleitoral. Por elas são disponibilizados aos fiscais, como ferramentas para fiscalização do processo eletrônico, os seguintes recursos tecnológicos:

  1. Arquivos LOG

  2. Programas de verificação de assinaturas digitais dos partidos, MP e OAB

  3. Tabelas de resumos digitais (hashs)

  4. Registros Digitais dos Votos – arquivos RDV

Mas a própria autoridade eleitoral, em cujas plataformas tecnológicas essas ferramentas devem operar, turva a função e quebra a possível eficácia desses instrumentos de auditoria, como se explica a seguir:

a) Os arquivos LOGeram apresentados como instrumento essencial para auditoria, como assegurava o coordenador do CMTSE em entrevista 74 em 6/09/2006 ao jornal eletrônico IDGNow, respondendo a uma pergunta sobre a possibilidade de fraudes nas urnas eletrônicas, quando afirmou o seguinte:

"... ainda assim, existe a possibilidade de se verificar que a fraude realmente foi implementada buscando os registros de todas as operações realizadas nos sistemas por meio de logs , que permitem que seja feita uma auditoria e detectada uma fraude."

Porém, logo que os arquivos LOGrevelaram problemas e falhas nas urnas eletrônicas no caso Alagoas 2006 (ver Subseção 3.1.7 desta Réplica), o coordenador do CMTSE mudou de posição e já na audiência pública na CCJC em maio de 2007, passou a desqualificar os arquivos LOG como instrumentos de auditoria com afirmações do seguinte tipo:

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

"o fato do LOG não registrar um evento não significa que o evento não ocorreu"

"deve-se usar apenas o RDV e não o LOG para contar os votos computados".

São afirmações falaciosas. Os arquivos de RDV, LOG e BU das urnas, por serem produzidos pelo próprio sistema, são mais confiáveis para detecção de falhas do que de fraudes, mas, com certeza, seus conteúdos deveriam ser internamente coerentes e sempre indicar os mesmos resultados.

b) Como descrito no Anexo 4 desta Réplica, a verificação das assinaturas digitais nos sistemas instalados pelos fiscais externos foi implementada de forma ineficaz, através da respectiva regulamentação feita pela autoridade eleitoral.

Essa regulamentação contraria recomendação de segurança apresentada na Seção 5.5 do chamado Relatório "Unicamp" 75 e ainda determina 76 que cópias dos programas verificadores dos fiscais fossem distribuídas para treinar os técnicos dos cartórios, dando ao fiscalizado a possibilidade de conhecer, antes do fiscal, o resultado das verificações, verdadeiras ou falsas, e de interferir conforme o seu propósito.

c) Tabelas de resumos digitais (hash) – que deveriam sempre ser produzidas na presença dos fiscais externos - têm sido recalculadas a portas fechadas, como ocorreu nas eleições de 2002 e de 2008 (vide Subseção 3.1.4 e Anexo 2).

d) Como descrito no Anexo 7, os arquivos RDV,no seu formato original,nunca foram disponibilizados aos fiscais externos desde que criados em 2004. Até 2006 os pedidos de acesso eram ignorados e em 2008 os arquivos eram fornecidos modificados, depois de "pré-processados"pela equipe do coordenador do CMTSE.

Julgamentos Contraditórios

É comum, para quem já participou de fiscalização em processo eleitoral, verificar a ocorrência de atitudes autoritárias dos administradores/juízes. Para ilustrar, apresenta-se apenas um exemplo peculiar desse autoritarismo, pelo inusitado, conforme se manifestou.

Em 2004, implantou-se o Registro Digital do Voto para atender à Lei 10.740/03. Mas como esta não estabelecia como dispor esses dados, decidiu-se criar um programa denominado "Sistema de Impressão do Boletim de Voto Digital" - SIBVD – para que cada Registro Digital do Voto pudesse ser impresso individualmente pela própria urna eletrônica.

Porém, o SIBVD abria possibilidade para a violação de votos em locais onde os mesários fossem cooptados para imprimir cada voto depois de confirmado pelo eleitor.

Em junho de 2006, através da PET TSE 1897/06, um partido preocupado com esse fato, requereu que o programa SIBVD fosse excluído das urnas, pelos riscos que propiciava.

Na prática o pedido foi atendido. Reconhecendo o risco do programa SIBVD, o administrador eleitoral o excluiu das urnas, como se comprovapela relação oficial 77 dos programas das urnas eletrônicas usadas em 2006, onde não se encontra relacionado o arquivo "sibvd.exe". Também, nas resoluções do TSE, que regulamentavam as práticas de fiscalização em 2006, não havia nenhuma previsão de impressão dos votos pelo SIBVD.

No entanto, com base em relatório produzido pelo coordenador do CMTSE, o administrador eleitoral negou os riscos denunciados e indeferiu formalmente a petição,por voto unânime dos ministros do TSE, mandando-se arquivá-la em 01/08/2006.

Em situação constrangedora, a autoridade atende de fato o pleiteante, mas nega formalmente o pedido para cultivar, na história oficial, uma imagem de infalibilidade.

4.1.3 Verba para Fiscalização

Segundo informa o portal do TSE 78, a informatização do processo eleitoral se iniciou em 1986 com o recadastramento eletrônico de aproximadamente setenta milhões de eleitores. Desde então, constata-se forte aumento nos custos do processo eleitoral.

Na reportagem "A despesa dos Poderes autônomos" 79, do Jornal Valor Econômico em 27/05/2009, é mostrado que no período que coincide exatamente com a informatização eleitoral entre 1985 e 2007, o custeio do TSE passou de 0,02% para 0,12% do PIB, com um crescimento de 705% segundo o jornalista Marcos Mendes 80.

Naturalmente, esse crescimento de custos afeta a fiscalização do processo eleitoral, agora eletrônico. Na forma como concebida, a "fiscalização eletrônica" tornou-se muito cara (vide Seção 3.2), de maneira que a incapacidade financeira dos agentes fiscais (Partidos, OAB e MP)a oportunidade de verificação da eficácia do voto.

Uma simples comparação das atividades necessárias para fiscalizar a preparação e o conteúdo das urnas comuns e das urnas eletrônicas evidencia a enorme diferença dos custos de fiscalização nesses dois casos.

A fiscalização do conteúdo das urnas comuns - de lona – antes da sua lacração demanda apenas que a entidade fiscalizadora mobilize, por um dia, fiscais capazes de verificar se as urnas de lona estão de fato vazias antes de receberem os lacres. É uma tarefa que não exige nenhum conhecimento especializado do fiscais e historicamente é feita em 100% das urnas comuns lacradas.

Já a fiscalização do conteúdo e da integridade do software nas urnas eletrônicas antes da sua lacração demanda às entidades fiscalizadoras a seguinte mobilização de pessoas especializadas, baseando-se na regulamentação proposta pela autoridade eleitoral:

  1. Montar e instalar em Brasília, por seis meses antes da eleição, uma equipe de pelo menos 6 analistas e programadores especializados nas diversas linguagens de programação usadas no sistema eleitoral, para avaliar o código-fonte dos programas e fiscalizar a compilação e lacração dos sistemas.

  2. Desenvolver programa próprio para assinatura digital de todos os sistemas.

  3. Acompanhar as Cerimônias de Geração das Mídias, nos 27 TRE ou em centenas de Polos de Carga, para verificar as assinaturas digitais dos sistemas instalados nos computadores.

  4. Acompanhar a inseminação das 400 mil urnas, em mais de 3500 zonas eleitorais, para verificar as assinaturas digitais do software nelas carregados.

  5. Acompanhar a Cerimônia de Votação Paralela nos 27 TRE.

  6. Solicitar cópias dos Arquivos Digitais de Auditoria (RDV, BU, LOG, etc.) disponibilizados, cada um, em locais diferentes e dispersos como no TSE, nos 27 TRE e nas milhares Zonas Eleitorais, antes, durante e depois da eleição.

  7. Montar equipe de analistas suficientemente competente e equipada para, em apenas 3 dias, recolher, processar, tabular, cruzar e analisar os dados desses milhares de arquivos de auditoria em busca de incoerências e provas.

A título ilustrativo, observa-se que, para uma tarefa similar apenas ao item (1) acima, de estudo e avaliação do software eleitoral para fins internos, o TSE contratou 81, em 2008, a fundação FACTI, vinculada ao Ministério da Ciência e Tecnologia, pelo valor de R$ 670 mil mais despesas de viagens, hospedagem e translados dos técnicos envolvidos.

As dificuldades técnicas e custos maiores da fiscalização eletrônica são reveladas na Tabela1.

Local

Item

Urnas Comuns

Urnas Eletrônicas

TSE

Capacitação especial e treinamento dos fiscais

Nenhum

Analistas e programadores habilitados ao menos nas linguagens: C++, Delphi, Assembly, Oracle

Tempo médio

Nenhum

Seis meses

Zona Eleitoral (ZE)

Capacitação especial e treinamento dos fiscais

Nenhum

Habilitados em informática, treinados para conferência de assinaturas digitais e testes de simulação

Tempo médio

Meio dia

Três dias por ZE

Porcentagem real de urnas conferidas com "zero votos"

100,00%

0,50 % (uma por ZE)

Tabela 1- tarefas de fiscalização: urna comum e urna eletrônica

O mesmo problema de custos proibitivos, vale para os outros agentes fiscais do voto eletrônico, como o Ministério Público e a OAB (vide Subseções 3.2.1 e 3.2.3 desta Réplica), que receberam a atribuição de fiscalização do voto eletrônico com a edição da Lei 10.740 de 1º de outubro de 2003, a qual deu nova redação ao § 1º do Art. 66. da Lei 9.504/97, mas sem definir de onde viria a verba para viabilizar essa nova tarefa cidadã.

A contratação e manutenção de tantos profissionais especializados quanto necessários para fiscalizar milhares de locais de carga e preparação das urnas espalhados pela Federação, tornou-se inviável e até impossível aos partidos, ao MP e à OAB, o que significa obstacularização econômica do direito de se fiscalizar as eleições.

Este fato indubitável é confirmado pela seguinte constatação em 2008, 13 anos após a adoção das urnas eletrônicas:

  • Nem o MP, nem a OAB e e nem 24 dos 27 Partidos indicaram representantes técnicos para acompanhar o desenvolvimento dos sistemas no TSE.

  • Nem o MP, nem a OAB e nenhum Partido sequer, nem mesmo os 3 acima, esboçou a montagem de um esquema nacional para fiscalização técnicada geração de mídias e das cargas e lacração das urnas eletrônicas.

Essa situação ocorre porque a autoridade eleitoral, que ainda detém o poder de regulamentar a fiscalização, não admite a possibilidade de conjugar os benefícios da tecnologia com a adoção de métodos simples, descomplicados e baratos de fiscalização.

O Relatório CCJC 2007 procurou enfrentar essa realidade com duas propostas em Projetos de Lei:

  1. Uma pequena alteração na Lei 9.096/95 (Lei Orgânica dos Partidos Políticos) a fim de exortar os partidos a investir parte do fundo partidário que recebem na capacitação técnica de seus fiscais.

  2. Uma alteração na Lei 9.504/97 (Lei das Normas Eleitorais) para criar uma auditoria automática da apuração por recontagem do voto materializado conferível pelo eleitor (VICE).

Não cremos que a proposta (1) surta efeito.

As verbas do fundo partidário estão longe de sustentar a economia partidária nos seus níveis nacional, estadual e municipal, o que leva à realidade constatada: nenhum Partido tem recurso financeiro para a custosa capacitação para uma fiscalização tecnológica plena do sistema eletrônico de votação.

A proposta (1) tampouco soluciona o problema da falta de verba para fiscalização do voto eletrônico pela OAB e pelo MP.

Já a proposta (2) tem efetivo potencial de viabilizar financeiramente a fiscalização pelos Partidos, MP e OAB, e coincide com as propostas de Auditoria Independente do Software contida no Relatório Brennan, nas Diretrizes VVSG e no Art. 5. da Lei 12.034/2009.

A Auditoria Independente do Software não exige treinamento especializado dos fiscais e é possível de ser realizada por todo e qualquer cidadão comum, com nível de conhecimento técnico elementar e independente de seu grau de instrução, posto que consiste em simples recontagem dos votos impressos (VICE).

Na Tabela 2 comparam-se as tarefas necessárias para auditoria do resultado eleitoral entre urnas eletrônicas com e sem VICE.

Local

Item

Urna-E com VICE

Urna-E sem VICE

Método de Auditoria

Independente do Software, por recontagem dos VICE

Validação e certificação do software instalado nas urnas

TSE

Capacitação especial e treinamento dos fiscais

Nenhum

Analistas habilitados ao menos nas linguagens: C++, Delphi, Assembly, Oracle

Tempo médio

Nenhum

Seis meses

Zona Eleitoral (ZE)

Capacitação especial e treinamento dos fiscais

Nenhum

Habilitados em informática, treinados para conferência de assinaturas digitais e testes de simulação

Tempo médio

Meio dia para assistir a recontagem dos votos em 2% das seções

Três dias acompanhar a carga de todas as urnas e depois verificar assinaturas digitais e testar até 3% das urnas

Tabela 2 - tarefas de fiscalização: urna eletrônica com e sem VICE

Assim como os partidos conseguem enviar fiscais sem especialização tecnológica para mais de 300 mil seções eleitorais, conseguiriam, com mais facilidade, enviar fiscais a pouco mais de 3 mil Cartórios Eleitorais, para acompanhar a recontagem dos votos impressos de apenas 2% das urnas eletrônicas.

Esse método de auditoria independente do software significa um barateamento imenso do processo de fiscalização, o qual tem o condão de demonstrar aos agentes políticos, ativos e passivos, que o voto completou seu ciclo jungido pelos requisitos de eficácia, sinceridade e autenticidade, em respeito a vontade soberana dos eleitores, candidatos e partidos políticos.

No Relatório CMTSE, a questão da incapacidade fiscalizatória dos Partidos, do MP e da OAB foi simplesmente ignorada embora conste no Relatório CCJC 2007 como objeto de um Projeto de Lei e, indubitavelmente, o tema coubesse no estudo das salvaguardas do sistema eleitoral brasileiro, uma vez que, impõe o bom senso, a eficiência da fiscalização deveria ser a principal das salvaguardas de qualquer sistema eleitoral.

O princípio de segurança por transparência, onde tudo que não seja sigiloso por princípio absoluto é aberto à fiscalização pela sociedade civil, é o modelo de confiança indicado para processos, como o eleitoral, onde os interesses em jogo potencialmente conflitantes são multipolares, entre mais de dois grupos de agentes.

Porém, há forte tendência dentro da autoridade eleitoral, por sua natureza concentradora de poderes, para a adoção do princípio de segurança por obscurantismo (vide Anexo 1 desta Réplica), onde se alega que o sigilo sobre o sistema protegeria o eleitor contra fraudes por terceiros, ignorando a possibilidade de fraudes de origem interna ou por colusão envolvendo agentes internos, que sempre acabam blindadas pela barreira de sigilo (vide final do Anexo 5 desta Réplica).

Assim, a exclusão, pelo CMTSE, do tema da incapacidade econômica dos agentes fiscais não ocorre isoladamente. Ela coincide com a estratégia do administrador eleitoral de tentar criar confiança popular no sistema baseado no centralismo, no autoritarismo e no princípio da segurança por obscurantismo.

Porém, como efeito colateral, resulta numa imprópria garantia ao administrador-normatizador de que não haverá agentes capacitados a investigar a verdade eleitoral, restando todos impossibilitados de aferir a eficácia do trabalho por eles prestados.

4.1.4. Voto em Trânsito

O voto em trânsito foi eliminado do processo eleitoral brasileiro em 1996, quando da adoção das urnas eletrônicas, sob o argumento de dificuldades tecnológicas apresentado pelo administrador eleitoral.

O argumento técnico não é muito claro, vinculando o voto em trânsito à necessidade de interligar "online" as urnas eletrônicas.

Em audiência pública no Senado, em 12 de agosto de 2009, para tratar da minirreforma eleitoral vinda da Câmara, o coordenador do CMTSE reiterou a desaprovação da Justiça Eleitoral ao "voto em trânsito eletrônico", alegando que seriam proibitivos os recursos tecnológicos para criar defesas contra a fraude de um eleitor votar em duas circunscrições diferentes.

No Relatório CCJC 2007 se propôs a reintrodução do voto em trânsito, justificando-se da seguinte forma:

"No tocante ao voto em trânsito, entendemos que o direito constitucional do eleitor manifestar, de modo secreto, sua vontade não pode sofrer restrições graves em decorrência da tecnologia empregada . Atualmente, milhões de eleitores, a cada certame, apenas justificam o descumprimento do direito-dever de votar.

Neste tópico, é compreensível que as limitações tecnológicas tenham obrigado a este caminho, mas já há alternativas que permitem ao eleitor escolher seus candidatos, observada a circunscrição eleitoral"

O voto em trânsito também está posto no. 6. da Lei 12.034/2009, recém sancionada, revelando existir uma forte vontade do legislador que vinha sendo subjugada por um argumento tecnológico pouco claro do administrador eleitoral.

Nesse argumento, é ignorada uma técnica muito simples e eficiente, adotada em muitos países onde este tipo de fraude viceja, que é a pintura do dedo do eleitor, que já votou, com tinta indelével.

Esse recurso, de baixa tecnologia mas suficiente para enfrentar os empecilhos alegados ao voto em trânsito (um eleitor votar mais de uma vez) tem excelente relação custo-benefício para garantir a regra "um eleitor, um voto". Foi citado no Relatório CCJC 2008 da seguinte forma:

"... como solução para o problema do eleitor que vota mais de uma vez, … a adoção de tinta indelével para pintar um dedo do eleitor que já votou , é solução largamente empregada em todo o mundo devido à sua insuperável relação custo/eficácia (qualquer eleitor pode fiscalizá-la e certificar votantes)."

As fotos abaixo, tiradas nas últimas eleições do Chile, do Paraguai e da Venezuela, mostram como este recurso é usado sem restrições ou constrangimentos. Pelo contrário, se vê a ex-presidente Michele Bachelet do Chile e a candidata presidencial Blanca Ovelar do Paraguai exibindo o dedo pintado com orgulho do dever cívico cumprido.

Já o CMTSE, em mais uma demonstração da superficialidade de sua análise, em seu relatório se omitiu do debate sobre esse tema proposto pelo legislador, mas que não conta com a aprovação da autoridade eleitoral representada por seu coordenador.

4.1.5. A Experiência com o Voto Impresso em 2002

No Relatório CCJC 2007 são citados os problemas ocorridos durante a experiência, em 2002, com o voto impresso conferível pelo eleitor (VICE) em 5% das urnas eletrônicas. Denuncia-se ter havido"sabotagem" ao voto impresso durante essa experiência.

É uma denúncia de grave teor que, certamente, demandaria uma avaliação cuidadosa quanto a sua procedência.

Porém, no Relatório CMTSE tal avaliação resumiu-se a breves observações na Seção 3.2 e no item 5 da Subseção 3.2.1, onde é citada a ocorrência de problemas com o voto impresso em 2002 mas, como explicação, apenas se reproduz o relato oficial 82, apresentando os problemas ocorridos como se fossem consequências inevitáveis do voto impresso em si.

Nada é dito ou avaliado sobre uma eventual sabotagem, evidenciando que a procedência da grave denuncia contida no relatório dos deputados federais não chegou a ser averiguada.

Apresenta-se, a seguir, alguns dados documentados para essa averiguação.

Na eleição de 2002 não havia obrigação legal para a impressão do voto.

A experiência com o voto impresso em 2002 ocorreu por iniciativa exclusiva da autoridade eleitoral com o objetivo de "testar esse mecanismo de fiscalização", o qual, declaradamente, não contava com sua aprovação prévia.

Naquela ocasião, os procedimentos de preparação e votação nas urnas com VICE incluíam algumas diferenças relativas às urnas eletrônicas sem VICE. Três desses procedimentos eram significativos:

  1. Para preparar a urna para votação na seção eleitoral, o mesário deveria retirar os lacres do módulo impressor externo (MIE) e da urna plástica descartável (UPD) antes de acoplá-los.

  2. O eleitor teria que digitar a tecla CONFIRMA uma vez a mais para aprovar o voto impresso 83;

  3. Ao eleitor só era permitido digitar a tecla CANCELA uma única vez, sob pena de ser levado a votar com voto manual (escrito).

Nas instruções e treinamento do eleitor por meio de vídeo divulgados nos canais de TV abertos, que normalmente o administrador eleitoral apresenta a cada eleição, o TSE não incluiu esclarecimentos sobre as diferenças de votar em máquinas com VICE.

Assim, não existiu vídeo de treinamento nem respectivo plano de mídia em 2002 para explicar ao eleitor como votar em urnas com o voto impresso.

Vejam-se, por exemplo, as instruções oficiais divulgadas no sítio do TSE, quatro dias antes 84 e na véspera 85 da eleição de 2002 onde se diz, "verbis":

"- Como funciona a votação eletrônica?

O teclado da urna eletrônica é igual ao teclado de um telefone, com mais três teclas coloridas logo abaixo. Primeiro o eleitor digita os quatro números do seu candidato a deputado federal. Confere na tela da urna a foto dele, o número e o partido. Se os dados estiverem corretos, o eleitor deve apertar a tecla verde, para confirmar o voto. Se não, aperta a tecla laranja e recomeça a votar. Depois, é a vez de votar, na seqência, para deputado estadual ou distrital (no DF) - cinco números -, dois senadores, o que ocorrerá em um único painel, ocupando cada voto a metade da tela da urna eletrônica - três números -, governador - dois números - e Presidente da República - dois números. Quando o eleitor acabar, vai aparecer na tela a palavra Fim .

- E se o eleitor digitar errado o número de seu candidato na hora de votar?

É só cancelar toda a operação, apertando a tecla laranja, e começar o processo novamente .

- Quem não conseguir usar a urna eletrônica vai poder usar a cédula tradicional?

Não. A votação será manual apenas se houver algum defeito na urna eletrônica. "

Ou seja, o TSE não informou ao eleitor que nas máquinas com VICE:

  • Teria que conferir e confirmar o voto impresso.

  • Só poderia digitar a tecla CANCELA uma vez apenas.

  • Seria levado ao voto manual caso cancelasse o voto impresso uma segunda vez.

Ademais, a Resolução TSE 21.129/02 – que dispunha sobre a utilização das urnas eletrônicas com o MIE em 2002 - estabelecia no seu Art. 5º que tanto o MIE (inciso II) quanto a UPD (inciso III) deveriam receber lacres antes de serem enviados à seção eleitoral, como destacados em negrito no texto da resolução do TSE, verbis:

"Art. 5° Na preparação das urnas eletrônicas das seções eleitorais que utilizarem o sistema eletrônico de votação com módulo impressor externo – MIE , além do que prescreve o art. 23. da Res./TSE n° 20.997, deverão ser adotados os seguintes procedimentos :

II – verificar se foi feita a identificação dos MIE com os dados da zona eleitoral, município e seção a que se destinam ou se se trata de um MIE de contingência, e se foram lacrados os compartimentos da bobina de papel presentes nos MIE , tendo os lacres sido previamente assinados pelo juiz eleitoral, pelo representante do Ministério Público e pelos fiscais ou delegados dos partidos políticos ou coligações presentes;

III – verificar se as urnas plásticas descartáveis , que serão utilizadas para coleta dos espelhos dos votos impressos, estão completamente vazias e, em seguida, identificar com os dados da zona eleitoral, município e seção a que se destinam e vedá-las com os lacres , previamente assinados pelo juiz eleitoral, pelo representante do Ministério Público e pelos fiscais ou delegados dos partidos políticos ou coligações presentes;

No entanto, o Art. 8º da mesma resolução do TSE, determinava que o mesário que deveria retirar apenas o lacre da UPD para acoplá-la ao MIE, "verbis":

Art. 8° Estando em ordem o material de votação, o presidente da mesa romperá o lacre da urna plástica descartável - UPD, instalando-a em seguida no módulo impressor externo - MIE , à vista dos fiscais ou delegados dos partidos políticos ou coligações presentes."

O mesários que seguiram estritamente essas regras e orientações oficiais, não retiravam o lacre que vedava a saída da impressora (MIE), provocando inevitável atolamento do papel.

Naturalmente, desinformados o eleitor e o mesário, problemas surgiram durante a votação, como relatado no sítio do TSE, de onde se destaca os seguintes comentários:

"- o desconhecimento do novo mecanismo , por parte de eleitores e de mesários, trouxe dificuldade aos trabalhos ;

- o eleitor agiu como se não existisse o voto impresso;

- a demora na votação foi maior que nas seções onde não havia voto impresso (com tempo médio de votação de aproximadamente 10 minutos por eleitor);

- ao corrigir o voto duas vezes, muitos eleitores se negaram a votar em cédula de papel, retirando-se da seção eleitoral;

- o número de panes foi expressivo nas impressoras, por atolamento de papel;"

Todos estes problemas apontados pelo administrador eleitoral são diretamente decorrentes da falta de treinamento mínimo adequado dos eleitores e dos mesários por omissão ou erro do próprio administrador eleitoral.

Para se avaliar possível sabotagem ao voto impresso, como citado no Relatório CCJC 2007, resta determinar por qual motivo o administrador eleitoral, sempre tão zeloso no treinamento de eleitores e mesários, deixou de informar e treinar aqueles que se haveriam com o voto impresso em 2002 quando, espontaneamente, se propôs "testar esse mecanismo de fiscalização" que não contava com sua aprovação.

Como informação relevante sobre a impressão do voto para conferência pelo eleitor, lembre-se que em outros países tem-se usado máquinas DRE com VICE sem maiores problemas.

Na Venezuela, por exemplo, desde 2004 está em prática a auditoria independente do software por meio da recontagem do voto impresso e, devidamente treinados eleitores e mesários, a eleição com voto impresso acontece sem empecilhos.

No seu relatório, o CMTSE apenas reproduz o relato oficial acima, sem constatar que a desinformação dos eleitores e dos mesários que provocou o insucesso da experiência, foi consequência direta de atos e omissões da própria autoridade eleitoral.

Em mais um exemplo de sua parcialidade e incapacidade de criticar seu contratante, o CMTSE omitiu-se totalmente de avaliar a denúncia de sabotagem contida no Relatório CCJC 2007, sobre a responsabilidade do administrador eleitoral por não ter dado o necessário treinamento aos mesários e eleitores durante a experiência com o voto impresso em 2002.

4.2. Salvaguardas do Sistema Eletrônico de Votação Brasileiro

Inicia-se, nesta seção, a análise dos argumentos técnicos presentes no Relatório CMTSE.

No Capítulo 2 do Relatório CMTSE é apresentada uma descrição das salvaguardas de segurança atuais e previstas para Sistema Eletrônico de Votação.

A descrição do CMTSE consiste numa reprodução fiel dos argumentos apresentados anteriormente por seu coordenador, Sr. Guiseppe Dutra Janino, nas audiências públicas na Comissão de Constituição e Justiça e de Cidadania (CCJC) da Câmara dos Deputados.

Essa descrição oficial e teórica das salvaguardas também estava apresentada no Sumário: do Voto Eletrônico 86 , disponibilizado na Internet antes da eleição de 2008, de onde se extrai a seguinte lista de salvaguardas:

1. Processo de desenvolvimento dos softwares da urna que inclui a apresentação dos códigos-fonte aos partidos.

2. Assinatura digital e lacração (do software), que inclui: a geração de resumos digitais dos programas; assinatura digital pelo TSE e pelos Partidos, OAB e MP (com programa próprio); gravação e lacração dos sistemas em mídia não regravável.

3. Processo de distribuição do software que inclui: geração de mídias; carga das urnas; (auto-)verificação da assinatura digital; comparação do resumo digital; teste de votação; e lacração física das urnas.

4. Votação paralela – auditoria.

5. Processo de contabilização dos votos (apuração) – emissão de zerésima; arquivos de auditoria (LOG, RDV, BU e outros).

6. Auditoria da Totalização e processamento do BU incluindo: criptografia e decriptografia; tratamento de pendência usando a Tabela de Correspondências; publicação dos BUs na Internet.

Essa lista teórica das salvaguardas é repetida, de modo quase que literalmente idêntico, nas Seções 2.1 e 2.2 do Relatório CMTSE, mostrando que otrabalho do CMTSE teve mais natureza descritiva da versão oficial do que analítica sobre ela.

Trata-se, enfim, de uma visão interna e eminentemente teórica do processo eleitoral uma vez que os seus autores não estiveram presentes e nem acompanharam em campo o desenvolvimento dos procedimentos descritos e, além do mais, optaram por não ouvir a opinião dos agentes externos credenciados, representantes dos partidos, da OAB e do MP que fizeram esse acompanhamento, assistindo na prática como se operavam tais procedimentos de segurança nas eleições passadas.

O caso real é muito diferente da explicação abstrata do CMTSE e revela que muitos pontos das salvaguardas descritas perdem, por vício de implementação ou de forma, totalmente a efetividade, como se exemplifica nos capítulos seguintes.

4.2.1. Processo de desenvolvimento dos softwares da urna eletrônica

A Subseção 2.1.1 do Relatório CMTSE aborda a apresentação do software dos sistemas aos partidos, mas restringe-se a dois parágrafos. Apenas diz que a lei prevê a apresentação dos sistemas durante 180 dias aos representantes externos e que não seria possível modificar ou executar qualquer trecho de código naquele ambiente onde os sistemas são apresentados.

Os membros do CMTSE, à exceção do seu coordenador e mentor, não estiveram presentes na apresentação dos sistemas aos partidos nem na cerimônia de compilação e lacração dos sistemas de 2008. Não presenciaram as dificuldades e até impropriedades que ali ocorreram, o que os levou a essa descrição tão sucinta e superficial do processo.

O tema do desenvolvimento seguro de sistemas computacionais é denso e complexo dentro da disciplina de Engenharia de Software.

Como já dito na Seção 3.2, ler o código-fonte de um sistema não é, por si só, uma auditoria. Para se validar um código-fonte corretamente é necessário ser possível testar, simular e inserir alterações para verificar as consequências de situações imprevistas.

Nessa área, uma análise de profundidade sobre o desenvolvimento do software eleitoral brasileiro foi desenvolvida em 2002 por quatro professores da Fundação COPPETEC da UFRJ, especialistas em Engenharia de Software, os quais, autorizados pelo TSE, assistiram "in loco" os procedimentos e cerimônias oficiais.

Essa avaliação de fôlego foi apresentada num relatório 87 de 116 páginas – sendo 13 páginas do relatório e mais 103 páginas com tabelas geradas durante o estudo - que apresentava conclusões opostas às do CMTSE relativas à eficácia da apresentação dos sistemas aos partidos. Extrai-se do Relatório COPPE de 2002, "verbis":

-"Trata-se de uma metodologia incompleta e em alguns aspectos ultrapassada e incoerente .

- A metodologia não tem procedimentos claramente estabelecidos para garantia da qualidade do produto [o software das urnas].

- A documentação não indicou o uso de um processo adequado de desenvolvimento e garantia da qualidade .

- Não há registros sobre os testes realizados , nem sobre os índices de confiabilidade.

- O que se pode deduzir da documentação colocada para exame, não garante que este tenha a qualidade esperada e necessária . Foi utilizado um processo de software bastante ad-hoc e IMATURO, o que em geral conduz a produtos de qualidade imprevisível.

- Vários documentos fazem referência a datas de término da codificação.. (que) mostram que a codificação ultrapassou a data de avaliação dos partidos. "

- Com base no exame da documentação disponibilizada não se pode fazer afirmativas sobre a confiabilidade do produto .

- A organização interna das aplicações demonstra que não ocorreu preocupação com o projeto do software , e, a fase de projeto do software parece não ter sido realizada .

- Há alguns absurdos na documentação..."

A qualidade e a importância desse trabalho do COPPE foram reconhecidas pelo próprio TSE ao contratar seus autores em 2004 para colaborar no projeto do novo software.

Porém em 2008, apesar da adoção de software de código-fonte aberto nas urnas, os procedimentos de projeto seguro de software foram abandonados voltando-se ao um sistema imaturo de desenvolvimento envolto com improvisações, ausência de especificações prévias, planos de testes incompletos, etc.

Apenas três agentes externos (partidos) enviaram representantes técnicos para acompanhar a apresentação dos sistemas em 2008.

Todos esses representantes foram convidados a contribuir com o CMind e são coautores da presente réplica. Testemunham que quase todos os problemas apontados pelo COPPE em 2002 continuavam presentes em 2008, tais como:

  • Não existia documentação prévia detalhando o projeto do software. Essa documentação foi sendo escrita durante o próprio desenvolvimento e só terminou muito dias depois de lacrados os sistemas. Por exemplo, a especificação dos arquivos LOG das urnas, solicitada para consulta em maio de 2008, só foi escrita e apresentada no final de setembro, 10 dias depois de encerrado o período de análise previsto em lei.

  • Documentos relativos a testes e análise de segurança do sistema, desenvolvidos sob o Contrato TSE 032/2008, e que resultaram em muitas alterações no projeto de software, foram mantidos secretos por decisão do coordenador do CMTSE(vide Anexo 1 desta Réplica), impedindo-se os fiscais externos de identificar quais modificações foram implantadas.

  • Constatou-se, no último dia do prazo de 180 dias para análise dos sistemas, que havia diferenças entre o código-fonte apresentado aos representantes externos e o que era efetivamente compilado (vide Subseção 3.1.10 desta Réplica), esvaziando complemente a possível eficácia dessa "salvaguarda" e, pior, acobertando uma via oculta de preparação do processo eleitoral.

  • Apesar de ser dito na Subseção 2.1.1 do Relatório CMTSE que "não é possível modificar ou executar qualquer trecho de código neste ambiente de acompanhamento externo", ao contrário, alguns roteiros de compilação (scripts) foram alterados de última hora naquele ambiente para corrigir erros que impediam a compilação plena.

  • A inexistência de um plano de testes exaustivos, preconizado no Relatório COPPE, impediu a detecção de uma grave incompatibilidade do software das urnas com um lote de 90 mil cartões flash-cards de marca Hitachi, resultando no travamento de milhares de urnas eletrônicas no dia da eleição (ver detalhes deste caso na Subseção 3.1.11 desta Réplica).

Tais fatos, graves, reais e testemunhados, desvirtuam totalmente a função da Apresentação dos Sistemas como salvaguarda, a tornam inócua como garantia, mas não foram considerados pela análise do CMTSE que apenas replicou o discurso oficial.

Comparando-se o conteúdo e conclusões nas 116 páginas do Relatório COPPE com os dois sucintos parágrafos que o Relatório CMTSE gastou para avaliar o mesmo processo, desnuda-se a inaceitável superficialidade deste.

4.2.2. Lacração dos sistemas de software da urna

Na Subseção 2.1.2 do Relatório CMTSE é dito que:

"Do ponto de vista técnico, os procedimentos que garantem essa lacração [como salvaguarda] são:

- Geração de resumos digitais de cada arquivo lacrado

- Assinatura digital de representantes do TSE

- Lacre físico de mídia não regravável"

No entanto, o CMTSE deixou de informar que, quebrando a referida salvaguarda, nem todos os resumos digitais dos arquivos oficiais foram calculados na cerimônia oficial de lacração no dia 15 de setembro de 2008, como se comprova no Anexo 2.2, onde é apresentado o fac-simile da tabela de resumos digitais que foram calculados apenas no dia 25 de setembro, 10 dias depois do encerramento da cerimônia oficial de lacração.

O motivo que levou ao cálculo dos novos resumos digitais no dia 25 de setembro foi que, dois dias antes, a adv. Maria Cortiz, coautora desta Réplica, detectou a presença de 16 arquivos não assinados nas urnas eletrônicas do município de Timon, MA, como consta na ata da cerimônia de carga e lacração das urnas daquela Zona Eleitoral (vide Subseção 3.1.4, onde também é relatado caso similar ocorrido em 2002).

Para contornar essa impropriedade, a Secretaria de Tecnologia da Informação do TSE decidiu calcular o valor dos resumos digitais desses arquivos "sobrantes" a portas fechadas, longe dos olhos dos fiscais dos partidos, do MP e da OAB, e publicar outra tabela de resumos digitais em seu portal, em frontal desrespeito ao que exige o § 4º do Art. 66. da Lei 9.504/97 como salvaguarda de segurança. Novamente, tal fato esvazia complemente a possível eficácia de mais uma "salvaguarda" e, pior, a omissão do CMTSE acoberta vias ocultas no desenvolvimento do sistema eleitoral.

Adicionalmente, o CMTSE foi ambíguo ao afirmar, na Subseção 2.1.2, o seguinte:

"Com o objetivo de aumentar a transparência do processo eleitoral, o uso de softwares de assinatura digital de terceiros foi permitido, por Resolução do TSE. Isso possibilitou aos partidos políticos, Conselho Federal da Ordem dos Advogados do Brasil e Ministério Público Eleitoral, o desenvolvimento de seus próprios programas de assinatura digital e verificação"

De imediato, o CMTSE ignora que tal uso de "softwares de assinatura digital de terceiros" NÃO FOI SOLICITADO pelos agentes fiscalizadores e sim a eles imposto pela regulamentação da autoridade eleitoral (vide Subseção 3.2.3 desta Réplica).

Na realidade, durante a cerimônia de lacração dos sistemas em 2008, os partidos presentes abriram mão de usar programas de verificação de assinaturas pelos motivos expostos no Anexo 4 desta Réplica e o MP e a OAB também nada desenvolveram, apenas receberam, pro-forma, programa desenvolvido pelo próprio TSE.

O CMTSE também esconde, com a redação ambígua do seu texto, que devido as dificuldades e custos que o procedimento impõe nenhum dos agentes por ele citado (partidos, OAB e MP) desenvolveram, de fato, plano para fazer a tal verificação com programas próprios, ou qualquer outra forma de verificação de assinaturas digitais, em nível nacional e de forma sistemática.

Além do alto custo dos procedimentos comentado na Subseção 4.1.3 desta Réplica e da insegurança nos procedimentos de verificação das assinaturas relatado no Anexo 4, a recusa dos partidos em desenvolver programas próprios se deu porque o programa é distribuído, com antecedência, aos TRE e cartórios eleitorais de todo o Brasil para fins de "treinamento de seus técnicos", conforme previa o artigo 28 da Resolução TSE nº 22.714/2008, verbis:

Art. 28. Os programas de verificação de assinatura digital dos partidos políticos, da Ordem dos Advogados do Brasil e do Ministério Público,incluindo a respectiva chave pública e assinaturas geradas, poderão ser utilizados pela Justiça Eleitoral para fins de treinamento de seus técnicos.

Como se vê, o instrumento de auditoria permitido pelo TSE aos fiscais, é conhecido e disponível por todos os fiscalizados antes do momento da fiscalização e, essa prerrogativa é legalmente garantida pela regulamentação do próprio fiscalizado.

Em resumo, ao contrário do que leva a entender o CMTSE, em 2008 nenhuma entidade citada desenvolveu programa próprio e, simplesmente, não aconteceu nenhuma verificação sistemática de assinaturas digitais por esses agentes.

Tudo isto clareia pontos significativos para a confiabilidade do sistema eleitoral:

  1. A lacração dos sistemas como salvaguarda não funcionou de forma correta, já que, por erro do administrador eleitoral (e também assessores do CMTSE), nem todos os resumos digitais foram calculados na presença dos fiscais.

  2. Para contornar o seu erro, o administrador eleitoral desrespeitou artigo de lei referente justamente às salvaguardas jurídicas do processo de desenvolvimento do sistema eleitoral.

  3. Nenhuma consequência recaiu sobre a instituição responsável pelo desrespeito à lei porque essa instituição também é a responsável pelo julgamento de processos eleitorais em que ela ou seus membros são réus;

  4. A detecção de 16 arquivos sem resumos digitais nas urnas já inseminadas e prontas, não implicou no refazimento da carga das urnas e nem impediu que fossem usadas na eleição;

  5. As ferramentas de verificação de integridade dos sistemas, além de ineficazes (vide Anexo 4), ficaram disponíveis para uso pelo fiscalizado antes do momento da fiscalização.

  6. Os agentes autorizados a desenvolver verificações das assinaturas digitais, nada fizeram por causa do custo proibitivo e da insegurança técnica dos procedimentos permitidos.

Todavia, nada disso foi revelado no Relatório CMTSE , mais uma vez evidenciando omissão, superficialidade e incapacidade de se opor ao discurso do seu coordenador.

4.2.3. Processo de distribuição e carga do software nas urnas eletrônicas

Na Subseção 2.1.3 do Relatório CMTSE novamente é apresentado apenas um resumo sucinto e teórico do que ocorre nas Cerimônias de Carga e Lacração das Urnas.

Um conjunto complexo de procedimentos de fiscalização, muito pouco entendido pelos presentes, fiscais inclusive, é descrito como se eficazes fossem.

Não é o que ocorre na prática. Nas cerimônias de carga de urnas nos cartórios eleitorais é comum ocorrer casos de quebras de segurança e, nesses casos, os fiscais, por despreparo próprio ou por autoritarismo do administrador-juiz, não alcançam sucesso nas suas tarefas de fiscalização.

Apenas como pequena amostra de um grande elenco de problemas já presenciados pelos membros da CMind, citam-se os seguintes:

  • Nunca é permitida a verificação independente das assinaturas digitais dos programas instalados. Toda verificação permitida é auto-verificação feita a partir do próprio software da urna (ver detalhes no Anexo 4 desta Réplica).

  • Simulação dos testes obrigatórios por lei (ver Caso de Itajaí-2008 na Subseção 3.1.9 desta Réplica).

  • Embora algumas irregularidades na carga das urnas só possam ser identificadas por análise dos Arquivos LOG, que só são disponibilizados depois das eleições, eventuais impugnações só são aceitas se feitas na hora (ver também no Caso de Itajaí-2008 na Subseção 3.1.9 desta Réplica).

  • Cerimônias de carga feitas na surdina, com posterior publicação retroativa do edital de convocação (ver Caso Diadema-2000 na Subseção 3.1.3 desta Réplica).

  • Divergências nos resumos digitais em arquivos gravados nas urnas (vide Anexo 2, a Subseção 3.1.4 e o Caso Timon-2008 na Subseção 4.2.2 desta Réplica), sem causar nenhuma consequência na prática.

  • Autoritarismo de alguns juízes-administradores que impedem o sorteio livre das urnas a serem testadas.

  • Cerimônias conjuntas de carga das urnas durando até 7 dias, quebrando a atenção, a disponibilidade e a eficiência da fiscalização.

Sendo que basta o primeiro desses problemas – a impossibilidade de verificação independente das assinaturas digitais dos arquivos carregados nas urnas - detalhada no Anexo 4 desta Réplica - para derrubar a eficácia da "salvaguarda" de segurança idealizadas para o processo de carga e lacração das urnas eletrônicas.

No entanto, o CMTSE, em vez de denunciar a ineficácia dos procedimentos relativos a assinatura digital adotados, cita esses procedimentos de segurança quebrada como salvaguarda do sistema eletrônico de votação, sem dar nenhuma explicação do porquê renegam a posição do próprio inventor da técnica de assinatura digital quando este denuncia incontornável a "complexidade e dificuldade de testar a integridade de software de sistemas de votação", como pode ser visto no Anexo 5, na Seção 3.3 e na Seção 4.3 desta Réplica.

4.2.4. Histórico de apuração de alegações de fraudes

Na Seção 2.4 do Relatório CMTSE é dito que "não existem fraudes comprovadas no sistema eletrônico de votação brasileiro" e se explicam as crescentes reclamações e denúncias de fraudes como causadas pela "falta de conhecimento do processo eletrônico de votação" pelo público em geral ou por "estelionatários que se aproveitam dessa característica [de falta de conhecimento] para aplicar um golpe configurado como um estelionato eleitoral".

Dada a concentração de poderes da autoridade eleitoral, já aqui exposta, tal argumento constitui uma petitio principii 88 por demais elementar num trabalho que, pela titulação de autores, se arvora de cunho acadêmico. Como se conseguiria "comprovar fraudes", se a produção de provas está sob controle absoluto dos fiscalizados ou até acusados inicialmente de omissão ou inépcia?

No Anexo I daquele relatório (também referido como Anexo A) são apresentados esclarecimentos para 3 casos denunciados como fraudes: 1) Caxias, MA, 2008; 2) Guarulhos, SP, 2004; e 3) Rondônia, 2008.

No Anexo 6 desta Réplica, refuta-se a explicação do CMTSE dada ao Caso Caxias, na parte relativa à entrevista dada por membro deste CMind.

Mesmo assim, apenas três casos explicados estão muito longe de atender a mais de centena de denúncias 89 registradas apenas em 2008 e, por simples lógica, não servem como prova, por indução, da invulnerabilidade do sistema.

Em audiência pública no Senado, no dia 12 de agosto de 2009, o adv. Fernando Neves 90, que atuou como Ministro do TSE entre 1997 e 2004, apesar de sua total confiança na Justiça Eleitoral e no sistema eletrônico de votação que ajudou a regulamentar, declarou que: "a Secretaria de Tecnologia de Informação do TSE não vinha conseguindo apresentar explicações convincentes para as crescentes denúncias de problemas e fraudes nas urnas eletrônicas".

Na Seção 3.1 desta Réplica foram descritos alguns casos documentados de problemas e impedimentos à livre fiscalização que nunca receberam, por parte do administrador eleitoral, explicações que pudessem eliminar as dúvidas e os sentimentos de insegurança gerados.

Esses casos são exemplos de possível sentido para ilocuções do gênero "não existirem fraudes comprovadas no sistema eletrônico de votação brasileiro", como lavrada no Relatório CMTSE.

São casos de impropriedades evidentes, todas devidamente documentadas, e em nenhum deles foi permitido auditoria independente ou perícia dos sistemas envolvidos (urnas e computadores de totalização). Sem perícia, não se gera prova nesses casos.

Além de exemplos de que o TSE "não foi suficientemente responsivo às demandas por maior transparência", como reconhecido pelo CMTSE, os casos aqui descritos revelam táticas que dificultam e até impedem a geração provas, como as seguintes:

  • Autoritarismo para criar obstáculos à fiscalização.

  • Protelação do processo, chegando até a causar perda do objeto.

  • Arquivamento sem julgamento.

  • Indeferimento baseado em argumentos esdrúxulos e contraditórios.

  • Cobrança de custos proibitivos ao requerente da perícia.

  • Ocultação ou bloqueio do acesso a provas documentais sob sua guarda.

  • Distorcer fatos em relatórios produzidos internamente.

  • Aceitação como prova judicial irrefutável ou perícia técnica imparcial, relatórios elaborados por seus próprios técnicos, funcionários públicos vinculados ao processo, em desrespeito ao artigo 138 do Código do Processo Civil.

Por escolher a própria autoridade eleitoral como fonte exclusiva de sua informação, o Relatório CMTSE não captou nenhum desses fatores que limitam e impedem a revelação e produção de provas e apenas fez repetir o discurso oficial de que "não existem fraudes comprovadas no sistema eletrônico de votação brasileiro".

Em vista dessas táticas, há, também, que se ponderar a quem deve ser debitada a responsabilidade por, após 13 anos de uso das urnas eletrônicas, ainda grassar entre os eleitores a "falta de conhecimento do processo eletrônico de votação que abre espaço para ação de estelionatários", como alegado pelo CMTSE.

Seria culpa exclusiva dos agentes ativos e passivos (eleitores e partidos), desatentos e indolentes, que não procuram compreender a sofisticada engrenagem de segurança do sistema eleitoral depois de 13 anos de uso?

Ou, como bem colocaram os membros da Corte Constitucional Alemã (vide Subseção 4.1.1 desta Réplica), seria a complexidade do sistema que impede a compreensão desse mecanismo pelo cidadão comum, desrespeitando o Princípio da Publicidade no processo eleitoral?

Tal percepção, de natureza eminentemente jurídica, escapou ao CMTSE, composto exclusivamente por membros da área da Tecnologia da Informação, e que só conseguiu ver responsabilidade do próprio eleitor por sua "falta de conhecimento do processo eletrônico de votação".

Omitir citação à inerente complexidade do sistema escolhido - complexidade esta que parece ter se tornado um fim em si mesmo - e a óbvia responsabilidade do administrador eleitoral pelas escolhas que levam à falta de compreensão dos eleitores comuns e dos candidatos, é mais um ponto que desnuda a parcialidade do CMTSE.

4.3. Identificação do Eleitor

No Relatório CCJC 2008 se propõe a separação física entre as máquinas de votar e as máquinas de identificar o eleitor, argumentando-se o seguinte:

"um programa malicioso, que porventura seja inserido em urnas eletrônicas durante o processo de preparação das mesmas, possa identificar sistematicamente o voto de cada eleitor.. ."

Na Seção 3.1 do Relatório CMTSE esse argumento é enfrentado em dois sucintos parágrafos nos quais se afirma que, dentro das urnas eletrônicas, o processo de identificação do eleitor é independente do processo de votação e que eventual comunicação entre os processos poderia ser evitada, como no seguinte texto:

"Ainda que se possa argumentar que esses processos possam ser modificados, de forma que haja comunicação entre eles, isso pode ser evitado por meio da auditoria de código e da garantia de que os softwares que rodam na urna são íntegros"

Ora, auditoria de código complexo e garantia de integridade do software eleitoral não é tarefa trivial.

Como descrito no Anexo 5 desta Réplica, é marcante a posição da grande maioria dos profissionais de renome na área de segurança de dados, que também estudam o voto eletrônico, de que construir sistemas eleitorais comprovadamente confiáveis em muito suplanta a capacidade técnica e econômica disponíveis.

São vozes quase solitárias que se alinham com o CMTSE para, de forma simplória e superficial, afirmar que basta "auditar o código e garantir a integridade do software eleitoral", como se tarefa simples fosse.

Na Subseção 2.1.2 do seu relatório, o CMTSE afirma que se obtém tal garantia de integridade do software eleitoral pelo uso das técnicas de assinatura digital.

Esta proposta pode ser refutada, recorrendo-se à avaliação do próprio inventor da técnica de assinatura digital, Ronald Rivest, no seu artigo 91 que apresenta o conceito de Independência do Software em Sistemas Eleitorais (vide Seção 3.3 desta Réplica) justamente para enfrentar o problema da "complexidade e dificuldade de testar a integridade de software de sistemas de votação", onde ele diz o seguinte:

"2 – Problema: A Complexidade do Software de Sistemas Eleitorais

Sistemas eletrônicos de votação são complexos e estão ficando cada vez mais, conforme se tornam mais complexas as eleições e a interface com o eleitor. Os requisitos para um sistema eleitoral também são exigentes: precisão da apuração final, inviolabilidade do voto e segurança contra ataques e mantêm graves conflitos entre si ...

Encontrar todos os erros em sistemas amplos beira o impossível ou é muitíssimo caro . Nossa habilidade de desenvolver software complexo de longe excede nossa habilidade de provar sua exatidão ou de testá-lo satisfatoriamente a custos razoáveis. " (tradução do CMind)

Na Subseção 4.1.3 e no Anexo 4 desta Réplica elencam-se, respectivamente, as limitações financeiras e as dificuldades técnicas dos fiscais externos para confirmar a integridade do software de mais de 400 mil urnas eletrônicas por meio da verificação das assinaturas digitais.

Enfim, longe de ser tarefa simples, é impossível na prática a proposta do CMTSE para garantir a inviolabilidade do voto pela auditoria do código e verificação de sua integridade com assinatura digital, como corrobora a experiência de todos os representantes das entidades fiscalizadoras externas que acompanham a produção dos sistemas do TSE desde 2004, e que também são todos membros do CMind.

Ademais, em sua análise sucinta e simplória do tema, o CMTSE deixou de considerar e avaliar o efeito psicológico negativo da vinculação da identificação do eleitor com a máquina de votar sobre a possibilidade de coação dos eleitores em larga escala, independente da integridade do software instalado.

Na Subseção 3.1.1 desta Réplica foram apresentados os casos documentados de coação de eleitores em larga escala, na modalidade denominada Voto-de-Cabresto-em-Massa, ocorridos em Porto Alegre (1998) e no Rio de Janeiro (2008).

Éuma fraude eleitoral, de natureza psicológica, que sobrevive e cresce a cada eleição, explorando a equivocada forma de identificar os eleitores na mesma máquina de votar que a autoridade eleitoral decidiu adotar, e as urnas biométricas, que já têm sido o objeto de larga campanha publicitária do TSE, vão realimentar as condições psicossociais que tornam viável essa modalidade de fraude.

Desta forma, independente de estar integro ou não o seu software, máquinas de identificar o eleitor acopladas a máquinas de votar facilitam e até estimulam o Voto-de-Cabresto-em-Massa, problema este que, para ser enfrentado, tem gerado desgaste ao administrador eleitoral e custos adicionais crescentes de publicidade em larga escala, sem que se saiba até onde, e como, a propaganda resolveria o problema.

O CMTSE praticamente se omitiu em relação a este problema, não apresentou nenhum argumento consistente a respeito, desconheceu a experiência real da fiscalização eleitoral externa no Brasil, ignorou o que é discutido e proposto no meio acadêmico internacional sobre as dificuldades de validar e certificar software eleitoral e propôs solução impossível na prática.

Enfim, deu tratamento leviano à proposta do legislador de separar as máquinas de votar e de identificar o eleitor.

4.4. Impressão do Voto

O principal argumento apresentado pelo CMTSE para justificar sua defesa do uso de máquinas DRE sem VICE foi apresentado na Seção 3.2 do seu relatório, onde está especificamente dito:

"relevantes estudos 1 advogam a tese de que todos os sistemas eletrônicos de votação em uso têm deficiências, mas que cada sistema é passível de medidas de mitigação dos riscos em cada caso. Desta forma, escolhida uma das tecnologias, há que se atentar para as salvaguardas como custo necessário da opção feita. Isso se aplica no caso brasileiro também, cujo sistema é do tipo conhecido como DRE (Direct Recording Electronic), sem impressão do voto.

1 Brennan ; Voluntary Voting System Guidelines Recommendations to the Election Assistance Commission AUGUST 31, 2007)." (sic)

Como detalhado na Subseção 2.3.2 desta Réplica, essa referência bibliográfica (1), acima transcrita, é ambígua e aponta para dois estudos diferentes, ambos relevantes: o Relatório Brennan e as Diretrizes VVSG.

No sumário executivo 92 do Relatório Brennan se encontram as seguintes colocações:

" DESCOBERTAS PRINCIPAIS

- As vulnerabilidades mais preocupantes de cada sistema podem ser substancialmente eliminadas se contra-medidas APROPRIADAS forem implementadas no nível estadual e municipal.

VULNERABILIDADES DOS SISTEMAS DE VOTAÇÃO

Depois de uma revisão de mais de 120 ameaças a sistemas de votação, a Força-Tarefa chegou às conclusões cruciais a seguir:

- Quando o objetivo é mudar o resultado de uma eleição apertada, ataques que envolvem a inserção de programas de computador maliciosos ou outros softwares corrompidos é o que há de mais fácil .

Máquinas DRE sem VICE não contam com uma poderosa medida para impedir ataques de software: as rotinas de auditoria automáticas pós-eleição que comparem os registros em papel com os registros eletrônicos.

RECOMENDAÇÕES DE SEGURANÇA

1.Efetuar Auditorias Automáticas de rotina comparando os Votos Impressos Conferíveis pelo Eleitor com os Registros Eletrônicos após cada eleição. O Voto Impresso Conferível pelo Eleitor acompanhado de uma sólida Auditoria Automática pode ser um bom caminho para tornar os ataques mais simples, bem mais difíceis. "

De fato, o Relatório Brennan diz que cada sistema deve ter suas vulnerabilidades mitigadas por contra-medidas apropriadas, porém, ao contrário do citado pelo CMTSE, literalmente declara que a principal contra-medida apropriada para máquinas DRE é o uso do Votos Impressos Conferíveis pelo Eleitorem auditorias de rotina sobre a apuração.

A sua primeira e principal recomendação de segurança para sistemas eleitorais é justamente "efetuar Auditoria Automática de rotina comparando os Votos Impressos Conferíveis pelo Eleitor com os RDV" o que não é possível em máquinas DRE sem voto impresso.

Portanto, o conteúdo do Relatório Brennan NÃO CORROBORA O ARGUMENTO DO CMTSE que o citou.

Também nas Diretrizes VVSG, máquinas DRE sem voto impresso são explicitamente rejeitadas.

Na seção de introdução do VVSG já é colocada sua posição:

"Intro: 2.4 Software Independence

All voting systems must be software independent in order to conform to the VVSG...

One example of a software dependent voting system is the DRE, which is now non-conformant to this version of the VVSG ."

Que traduzimos para:

"Intro: 2.4 Independência do Software

Todo sistema [eletrônico] de votação precisa ter independência do software para estar conforme com estas diretrizes...

Um exemplo de um sistema que é dependente do software é o modelo DRE [das urnas brasileiras] , que não está conforme com estas diretrizes ."

Também está evidente que, AO CONTRÁRIO DO CITADO PELO CMTSE, as Diretrizes VVSG explicitamente descredenciam o uso de máquinas DRE sem VICE.

Em resumo, os dois relevantes estudos apontados pela referência ambígua do CMTSE afirmam o oposto ao citado. Ou seja, dizem literalmente o contrário daquilo que os autores do CMTSE lhes imputam pelo contexto da referência.

Os membros do CMTSE houveram por bem apresentar a citação de forma imprecisa, sem indicar os capítulos ou itens que confirmassem a tese alegada, encobrindo, assim, o fato de que tais itens corroborantes à sua posição simplesmente inexistem nas obras citadas.

Por óbvio que inexistem! O que há nos trabalhos citados mostra o oposto, já que são trabalhos sérios e seus autores são profissionais de grande projeção com eméritas reputações a zelar.

Indicar obra de grande renome como referência bibliográfica, mas sob forma mal especificada e cujo conteúdo é literalmente oposto ao citado, para emprestar crédito a ponto de vista polêmico que se pretende defender, é vício que retira toda credibilidade do Relatório do Comitê "Multidisciplinar" TSE e do seus autores.

Tão grave atitude tem o potencial de vir até macular a imagem da Justiça Eleitoral, pois esse relatório, com tais inveracidades, foi formalmente entregue 93 aos Deputados da CCJC como sendo a palavra oficial do TSE, e também poder vir macular as imagens das demais instituições as quais seus autores estão profissionalmente vinculados, a saber: o Ministério de Ciência e Tecnologia, a UnB e a UNICAMP.

4.4.1. Votação manual e vulnerabilidades da impressão do voto

N a Subseção 3.2.1 do seu relatório, o CMTSE lista as vulnerabilidades da impressão do voto para fundamentar o argumento de que "a impressão não elimina a possibilidade de fraudes no processo, mas introduz uma série de outros riscos".

Porém é muito diferente o rigor sob o qual o CMTSE analisa o voto impresso daquele sob o qual avalia o voto eletrônico. Por exemplo, pode-se utilizar em ambos - voto virtual ou voto impresso - as técnicas de assinatura digital para garantia de autenticidade e de originalidade dos dados. Quando aplicadas ao voto eletrônico, o CMTSE denomina-as de salvaguardas, sem nenhuma restrição. Mas quando aplicadas ao voto impresso, o CMTSE assume posição fortemente crítica e afirma no item 3 da Subseção 3.2.1:

"3. A adição de evidências criptográficas, que têm sido proposta como um método para evitar a inserção de votos [impressos] não autorizados, não é efetiva pois o eleitor nunca vai saber se o seu verdadeiro voto continha as evidências corretas, quando foi criado . Neste caso, os votos poderão não ser apurados durante a recontagem"

É evidente o desequilíbrio de tratamento. Essa mesma observação acima poderia ser aplicada ao voto eletrônico, já que neste o eleitor não tem como saber se as "evidências criptográficas" (assinatura digital) colocadas nos Registros Digitais do Voto (o voto eletrônico) garantem que estes contenham "as evidências corretas" do seu voto.

O CMTSE não explica porque rejeita para o registro impresso do voto a mesma técnica de segurança que declara como salvaguarda do registro digital do voto.

A ideia de acrescentar a assinatura digital da própria urna eletrônica ao voto impresso tem por função garantir a autenticidade da origem, ou seja, que o voto foi impresso em determinada urna, detentora única de uma chave privada de assinatura digital, e que possa ser conferida contra a chave pública correspondente em plataforma neutra.

A verificação dessa assinatura digital, em voto impresso de origem duvidosa, pode ser feita em qualquer plataforma computacional, sem prejuízo das outras salvaguardas protegidas pela autoridade eleitoral. E quem irá, conferir as "evidências criptográficas com as evidências do voto impresso", será quem estiver na posição de auditor após a eleição e não o eleitor ao votar, exatamente como ocorre com o RDV.

O CMTSE volta a dar trato desequilibrado ao voto impresso quando descreve, no item 7 da Subseção 3.2.1, possível fraude ao voto impresso em máquinas DRE.

Essa modalidade de fraude em urnas eletrônicas mesmo com o voto impresso é uma daquelas 128 descritas no Relatório Brennan. Consiste no seguinte procedimento:

  1. em máquinas DRE com VICE, o software de votação e apuração poderia ser adulterado para imprimir o voto errado numa primeira tentativa de desviar o voto de um candidato para outro;

  2. Se o eleitor, desavisado, não conferir o voto impresso e o confirmar, o software desonesto completa a fraude, criando um RDV igualmente falso. A fraude está consumada;

  3. Se o eleitor, atento, rejeitar o voto impresso adulterado, cancelando-o, o software desonesto disfarça a tentativa de fraude, imprimindo um novo voto, agora correto, para confirmação do eleitor. Nesse caso, o RDV também será gravado com o voto correto para não deixar rastros e gerar suspeitas.

Primeiro, destaque-se o fato do CMTSE ter apresentado essa fraude como viável, pois, nesse momento, passou a aceitar implicitamente que o software de máquinas DRE são passíveis de adulterações fraudulentas para desviar votos.

E, se o software de Máquinas DRE com VICE podem ser adulterados para tentar desviar votos, certamente também podem o de Máquinas DRE sem VICE.

Assim, numa avaliação imparcial, essa possibilidade deve ser analisada em ambos os casos, ou seja, em Máquinas DRE com e sem VICE.

No caso do voto impresso, vimos acima, o eleitor atento consegue se defender da fraude. No caso de Máquinas DRE sem VICE a fraude fica assim:

  1. o software de votação e apuração poderia ser adulterado para criar um Registro Digital do Voto errado diferente do visto e confirmado pelo eleitor;

  2. O eleitor, qualquer que seja sua atenção, não tem como conferir se o gravado no RDV é mesmo o seu voto. A fraude está consumada;

É evidente que o Voto Impresso Conferível pelo Eleitor criou para o eleitor a alternativa de se defender da fraude de adulteração do software. Essa alternativa não existe em Máquinas DRE sem VICE.

E para defender o eleitor desavisado - aquele que, sem treinamento, não confere o voto impresso - deve-se fazer uma campanha instrutiva e motivadora, ensinando o eleitor a votar corretamente em máquinas com VICE.

Porém, o CMTSE sofisma para se alinhar com o pensamento do seu coordenador. Contaminando-se de parcialidade, distorce o caso e descreve essa defesa contra a adulteração do software das urnas eletrônicas como se fosse vulnerabilidade do voto impresso, enquanto omite que nenhuma defesa é possível ao eleitor nas mesmas urnas sem voto impresso.

Também é importante lembrar que a efetividade dessa defesa em máquinas DRE com VICE não exige que TODOS os votos impressos sejam conferidos de fato. Para que funcione, basta que, em ordem aleatória, alguns eleitores confiram o voto impresso ao votar.

Essa consideração também derruba outro sofisma argumentado no item 10 da Subseção 3.2.1 do relatório CMTSE, de que eleitores portadores de deficiências e analfabetos "seriam prejudicados" por não conseguirem conferir o voto impresso.

Sem o voto impresso, esses eleitores, e mais todos os que enxergam e leem, já estão completamente prejudicados em seu direito a conferir o destino do voto.

Doutra feita, uma eventual repetição de impressão errada do voto, para eleitores que veem e leem, serve como forte indício ou suspeita de disfunção ou desvio, tornando esse tipo de fraude arriscado, enquanto sem o VICE a fraude seguirá invisível para todos.

É falacioso, portanto, o raciocínio do CMTSE. Desde que cegos e analfabetos votem em ordem aleatória, misturados com outros eleitores habilitados a conferir o voto impresso, TODOS ESTARÃO PROTEGIDOS pelo Voto Impresso Conferível pelo Eleitor contra a fraude de adulteração do software em máquinas DRE. Mesmo cegos e analfabetos resultam beneficiados por esta defesa com o voto impresso.

É por isso que todos, incluindo as Diretrizes VVSG que normatizam o voto eletrônico nos EUA, dizem voto impresso CONFERÍVEL pelo eleitor e não CONFERIDO. Para sua eficácia, não é necessário que todos o confiram, mas que possam conferi-lo.

A parcialidade com que o CMTSE avalia o voto impresso chega ao extremo, beirando a húbris, no item 8 da Subseção 3.2.1, onde afirma:

"8. A impressão do voto requer um re-exame do significado dos termos "voto" e "voto oficial". Isto não é um exercício meramente semântico, mas uma grande questão legal e de significância constitucional. Pode um pedaço de papel ser considerado voto se ele não é nem marcado ou mesmo tocado pelo eleitor? Neste caso, mudanças legais significativas deverão ser feitas...."

Neste momento é importante demarcar uma diferença crucial entre o voto impresso e o voto virtual:

  • o voto impresso é gravado no papel ANTES de ser visto e confirmado pelo eleitor;

  • o voto virtual é gravado no arquivo RDV DEPOIS de confirmado pelo eleitor.

Assim, o voto impresso é conferível pelo eleitor enquanto o RDV não tem como ser conferido. Lembre-se que o CMTSE reconheceu implicitamente, ao criticar o voto impresso, que o software de máquinas DRE pode ser viciado para adulterar o RDV.

O administrador eleitoral sempre considerou válido o RDV como expressão do voto, mas ao colocar este item 8, o CMTSE questiona se um pedaço de papel impresso que o eleitor viu mas não tocou pode, semântica e juridicamente, ser considerado seu voto!

É indubitável que o VICE , visível e conferível, reúne qualidades semânticas e ontológicas muito superiores às do invisível RDV para representar o voto do eleitor.

Esse tipo de sofisma, colocado pelo CMTSE no item 8 acima transcrito, só faria sentido sob a tácita presunção de que quem manipula o software gerador do RDV são sempre incorruptíveis anjos-do-bem.

A pérola final dos argumentos equivocados e absurdos do CMTSE contra o voto impresso está no item 9 da Subseção 3.2.1 e que também foi apresentado pelo Sr. Amândio Ferreira Balcão Filho, membro do CMTSE, em audiência pública na Assembleia Legislativa de São Paulo no dia 01 de junho de 2009.

Afirma que um dos problemas de existir o voto impresso é que havendo uma forma alternativa de conferir e recontar os votos eletrônicos, "todos" os candidatos vão querer se valer desta possibilidade e vão querer conferir a apuração eletrônica.

É uma posição obscurantista, que coloca a vontade do candidato de conferir a apuração do voto como se fosse algo condenável e não um direito soberano e objetivo nascido da conjunção do direito constitucional de ser votado com o Princípio da Publicidade no processo eleitoral, como insculpido em lei e discutido na Subseção 4.1.1 desta Réplica.

Essa surpreendente colocação em público do Sr. Amândio Filho causou indignação na plateia na Assembleia paulista, provocando apupos e tornando necessária a intervenção do presidente da mesa para pedir ordem para prosseguimento da audiência.

É mais um exemplo de como o acúmulo de poderes da autoridade eleitoral brasileira tem-na levado a relegar direitos dos eleitores e dos partidos, e que, também neste caso, foi postura encapada pelos membros do CMTSE.

4.5. Sobre as Conclusões e Recomendações do CMTSE

Nas conclusões do CMTSE, apresentadas na Seção 4.1, de início, há completa omissão sobre os aspectos jurídicos levantados pelos deputados da CCJC, tais como as consequências do acúmulo de poderes no processo eleitoral brasileiro e os diretos dos eleitores comuns e candidados a um sistema eleitoral que lhes permita acompanhar o destino do voto sem recorrer a conhecimentos especiais e diferenciados.

No item 3 das suas conclusões, o CMTSE volta a repetir citação imprecisa e ambígua ao Relatório Brennan e às Diretrizes VVSG, novamente invertendo o mérito do citado para tentar justificar seu discutível argumento, como já descrito na Seção 4.4 desta Réplica.

No item 4 das conclusões, o CMTSE faz interessante observação, em rebuscada linguagem, dizendo:

"...é o caso do Processo Eleitoral Brasileiro, que peculiarmente possui um complexo processo organizacional, com modos precisos de verificação e auditoria, impondo altos custos/benefícios na exploração de possíveis vulnerabilidades identificadas."

No entanto, em nenhum local do mesmo Relatório CMTSE é apresentado algum estudo ou esboço de estudo sobre a citada relação custo/benefício de eventuais fraudes, que justifique ou embase essa conclusão.

Uma proposta 94 de elaboração desse tipo de estudo foi apresentada em 2000 durante o Simpósio de Segurança em Informática SSI'2000, no ITA. A proposta chegou ao conhecimento da secretaria de informática do TSE por meio de seus assessores técnicos convidados para assistir a apresentação pelo organizador do evento, o prof. Clovis Torres Fernandes, membro do CMind.

A proposta nunca foi aceita pelo corpo técnico do TSE e surpreende que o coordenador do CMTSE assine essa conclusão apontando para uma direção de estudo que sempre desconsiderou.

O Relatório Brennan, de 2006, contém um extensivo e bem elaborado - único conhecido - estudo de riscos e custos sobre fraudes em sistemas eleitorais e argumenta contra máquinas DRE sem VICE:

"Depois de uma revisão de mais de 120 ameaças a sistemas de votação , a Força-Tarefa chegou às conclusões cruciais a seguir:

Quando o objetivo é mudar o resultado de uma eleição apertada, ataques que envolvem a inserção de programas de computador maliciosos ou outros softwares corrompidos é o que há de mais fácil .

Máquinas DRE sem VICE não contam com uma poderosa medida para impedir ataques de software: as rotinas de auditoria automáticas pós-eleição que comparem os registros em papel com os registros eletrônicos."

Essas conclusões sobre riscos e custos de mais de 120 modalidades de fraudes no voto eletrônico, contidas no Relatório Brennan, estão fundamentadas em regras de avaliação explicitadas e em dados e tabulações apresentados, às claras, ao longo de suas quase 200 páginas.

Totalmente diferente da conclusão oposta que o CMTSE apresenta num sucinto parágrafo desassociado de qualquer estudo que a fundamente, sem mostrar dados, sem definir regras e métricas de avaliação e valendo-se aqui e ali de referências falsas.

Ainda, no item 5 das suas conclusões, o CMTSE coloca que "o sistema vem funcionando sem comprovações concretas de fraude até o momento".

Mais uma vez, é uma conclusão fruto de análise superficial e incompleta, onde deixou-se de ouvir aqueles que denunciam as dificuldades de produzir provas num processo sob total concentração de poderes como relatado nas Seções 3.1, 4.1.2, 4.2.3 e 4.2.4 desta Réplica.

Por fim, as quatro recomendações do CMTSE, presentes na Seção 4.2, refletem a superficialidade da análise desenvolvida. Resumidamente, são as seguintes:

  1. Criar uma comissão pública para propor melhorias ao TSE.

  2. Melhorar a comunicação do TSE com o público.

  3. Criar um portal na Internet para atender o item 2.

  4. Estabelecer cronograma para apresentação dos programas das urnas eletrônicas.

São recomendações diversionistas, que não focam os problemas apontados nos relatórios da CCJC

Por vazias que são, não causaram nenhuma reação ou aceitação pelo destinatário, o TSE. Passados 9 meses do seu enunciado, nada mudou.

Não se vislumbra como essas recomendações vazias possam atender a revindicação por formas mais simples de fiscalização que viabilizem técnica e financeiramente a auditoria do resultado eleitoral eletrônico pela sociedade.

Assuntos relacionados
Sobre os autores
Sérgio Sérvulo da Cunha

Advogado, autor de várias obras jurídicas, foi Procurador do Estado de SP, chefe de gabinete do Ministério da Justiça, vice-prefeito do Município de Santos e Professor de Direito

Jorge Stolfi

Professor Titular do Instituto de Computação da UNICAMP. Membro do Comitê Multidisciplinar Independente - CMind. Graduado em Engenharia Eletrônica pela Universidade de São Paulo. Mestre em Matemática Aplicada (Computação) pela Universidade de São Paulo. Doutor em Ciência da Computação pela Universidade Stanford. Seus interesses de pesquisa cobrem várias áreas da computação e matemática aplicada, especialmente processamento de imagens, computação gráfica, aproximação de funções, computação auto-validada, geometria computacional, otimização e reconhecimento de padrões. Também atua nas áreas de teoria da computação, estrutura de dados, análise de algoritmos, teoria dos grafos, e processamento de linguagens naturais.

Clovis Torres Fernandes

Licenciatura em Matemática pela Faculdade de Filosofia Ciências e Letras Prof Carlos Pasquale - SP , graduação em Tecnologia de Computação pelo Instituto Tecnológico de Aeronáutica - ITA, mestrado em Computação Aplicada pelo Instituto Nacional de Pesquisas Espaciais e doutorado em Informática pela Pontifícia Universidade Católica do Rio de Janeiro - PUC/Rio. Atualmente é Professor Associado II no ITA. Tem experiência na área de Ciência da Computação, com ênfase em Engenharia de Software, atuando principalmente nos seguintes temas: Informática na Educação, Orientação a Objetos, Sistemas Hipermídia, Sistemas Colaborativos e Testes de Software.

Frank Varela de Moura

analista de sistemas.Delegado Nacional do PT e representante técnico do partido para acompanhamento do desenvolvimento dos sistemas eleitorais desde 2004

Marco Antônio Machado de Carvalho

analista de sistemas e programador, de computadores, representante técnico do PR para acompanhamento do desenvolvimento dos sistemas eleitorais em 2008, co-autor do primeiro relatório de analise dos dados eleitorais de Alagoas em 2006.

Marcio Coelho Teixeira

engenheiro especialista em segurança e desenvolvimento de software básico

Augusto Tavares Rosa Marcacini

vice-presidente da Comissão Especial de Informática Jurídica da OAB-SP

Pedro Antônio Dourado de Rezende

professor de Ciência da Computação da Universidade de Brasília (UnB), coordenador do programa de Extensão Universitária em Criptografia e Segurança Computacional da UnB, ATC PhD em Matemática Aplicada pela Universidade de Berkeley (EUA), ex-representante da sociedade civil no Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)

Amilcar Brunazo Filho

Engenheiro em Santos (SP), programador de computadores especializado em segurança de dados, moderador do Fórum do Voto Eletrônico, membro do Comitê Multidisciplinar Independente - CMind.

Como citar este texto (NBR 6023:2018 ABNT)

CORTIZ, Maria Aparecida Silva Rocha ; CUNHA, Sérgio Sérvulo et al. Relatório sobre sistema de votação eletrônica sugere auditoria independente do software e da Justiça Eleitoral. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 15, n. 2641, 24 set. 2010. Disponível em: https://jus.com.br/artigos/17406. Acesso em: 22 dez. 2024.

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos