Este texto foi publicado no Jus no endereço https://jus.com.br/artigos/1539
Para ver outras publicações como esta, acesse https://jus.com.br

A segurança do voto na urna eletrônica brasileira

A segurança do voto na urna eletrônica brasileira

Publicado em .

O Brasil informatizou o voto em todas as etapas de uma eleição, mas isto não indica estamos na linha de frente no domínio desta tecnologia e sim que ultrapassamos esta linha de forma imprudente e precipitada. Neste artigo é feita uma análise da segurança do voto na urna eletrônica brasileira para demonstrar que esta não garante o direito do eleitor ao voto secreto e à apuração honesta. É uma questão tanto técnica quanto jurídica. Conclui-se que a implantação do voto eletrônico necessita de melhor debate no Brasil, como tem ocorrido no resto do mundo, e propõe-se que este assunto passe a ser melhor discutido dentro da universidade brasileira.


1. INTRODUÇÃO

Segundo Pinto Ferreira (Ferreira, 1991) datam de 1892, na cidade de Lockport, NY, USA, as primeiras experiências de mecanização do voto pela adoção de "voting machines", que eram máquinas que incrementavam contadores mecânicos de votos.

Mas também em eleições democráticas a eletrônica e a informática vêm ganhando terreno. O Brasil saiu na frente neste campo da informatização do voto e, em 1996, tornou-se o primeiro país a implantar o voto eletrônico em toda a sua extensão, isto é, desde a identificação do eleitor até a finalização da apuração e totalização dos votos, passando pelo próprio ato de votar.

Experiências com o voto eletrônico tem sido desenvolvidas em outros países, inclusive nos mais ricos e mais avançados tecnologicamente, mas até agora em nenhum deles foi implantado o voto eletrônico de forma completa como no Brasil.

Muitos entendem que este é um sinal da pujança e desenvolvimento da tecnologia de informação no Brasil e sinais de ufanismo são visíveis nos textos da imprensa em geral e do próprio Tribunal Superior Eleitoral (TSE) quando tratam da urna eletrônica.

Mas a prudência e o bom senso recomendam que se pense com mais cuidado e profundidade sobre este fato:

Por que outros países, reconhecidamente mais capacitados técnica e financeiramente, ainda não implantaram o voto eletrônico de forma total e completa?

Certamente não é por falta de domínio da tecnologia necessária.

Muitas empresas internacionais dedicam recursos e esforços para desenvolver sistemas e equipamentos para o voto eletrônico, inclusive as grandes como a IBM e a Bull.

Alguns movimentos civis pela adoção do voto eletrônico e até algumas ONGs onde se debate o conveniência e segurança do voto eletrônico tem sido criados em vários países, como:

  • VoteSite.com, the internet voting company nos EUA (http4).

  • New Zealand Electronic Electoral Trial, na Nova Zelândia (http2).

  • UK Citizens Online Democracy, na Inglaterra (http7)

  • International Institute for Democracy and Electoral Assistance, na Suécia (http6).

Se a tecnologia está disponível, se existem recursos financeiros, se existem entidades a favor, então por que, no resto do mundo, o voto eletrônico tem resistido à informatização completa? Só há uma resposta para este aparente paradoxo:

A questão da segurança do voto eletrônico ainda não foi resolvida de forma satisfatória!

Com este artigo propomos que o debate sobre a política de segurança do voto eletrônico seja trazido para dentro das universidades brasileiras .

Iniciamos este debate com a análise da segurança do voto na urna eletrônica1 apresentada a seguir, onde são mostradas as falhas que a tornam insegura para o eleitor, sugerindo que talvez o Brasil não esteja na linha-de-frente da tecnologia do voto eletrônico e sim que ultrapassou esta linha de forma imprudente. Ao final se tece considerações sobre o voto eletrônico em geral.


2. A RELEVÂNCIA DO PROBLEMA DA POLÍTICA DE SEGURANÇA DO VOTO

O voto eletrônico, não deve ser entendido como uma simples espécie de pesquisa de opinião onde pretende-se estimar a vontade da maioria. Devemos considerar que o conceito de eleição democrática é uma questão de profundo significado ontológico, inserido na milenar luta do homem pela construção de uma organização social mais justa, que defenda o homem comum contra o abuso dos poderosos econômica e politicamente.

Conceitos e ritos como o voto universal, o voto secreto, a liberdade de imprensa e a liberdade de oposição foram desenvolvidos ao longo de séculos e conquistados a duras penas para garantir ao cidadão moderno defesas contra a concentração de poder nas mãos de poucos.

Por isto, no projeto de sistemas de voto eletrônico, é essencial considerar que existem enormes forças políticas e econômicas, nacionais e estrangeiras, interessadas em manipular e burlar o resultado de uma eleição. Subestimar a força de tais oponentes seria um grave erro na política de segurança da informatização do voto.

Assim, entendemos que a confiabilidade do processamento de informações do voto eletrônico é um caso que exige alta segurança e deve receber a maior prioridade possível sempre e onde o risco de fraude existir, inclusive impondo aumento de custos e restrições à praticidade do sistema quando necessário. Não é uma boa política de segurança se deixar abertas brechas nas defesas do sistema de voto eletrônico apenas a título de economia ou praticidade.

Segundo P. C. Camarão (Camarão, 1997), Secretário de Informática do TSE, na qualificação das urnas eletrônicas de 1996 testava-se o funcionamento de hardware e de software em amostras definidas segundo critérios estatísticos normalmente aceitos para a qualificação de equipamentos industriais. Mas, considerando que o software contido nas urnas pode ser alvo de ataque de um oponente interessado em fraudar eleições, fica levantada a dúvida se a validação estatística é um bom critério a ser utilizado neste caso. Não seria este um caso onde dever-se-ia testar o software em todas as urnas ?

É necessário considerar que o oponente do voto eletrônico é econômica e tecnologicamente capaz, o que, por sua vez, impõe que sejam criadas defesas fortes contra o acesso indevido e contra a adulteração dirigida de dados.

O caso da garantia da inviolabilidade do voto é especialmente complexo, pois pelos princípios constitucionais ideais e pela própria lei, o acesso ao conteúdo do voto de um eleitor não deve ser possível por qualquer categoria de operador, programador ou super-usuário do sistema , nem durante e nem depois da votação!

Este requisito remete ao problema de difícil solução que é a segurança do sistema contra ataques de agentes internos desonestos2.

O voto eletrônico exige que a segurança contra estes agentes seja redobrada e, também aqui, subestimar a possibilidade da fraude ser cometida por um grupo de projetistas e programadores mancomunados, constitui falha grave na política de segurança adotada.

Em 23 de setembro de 1998, às vésperas da eleição, o Secretário de Informática do TSE falando sobre este problema declarou em entrevista ao jornal Folha de São Paulo (Caderno Eleições, pg. 5):

"… isso não significa que não vá haver tentativas de fraudes. Mas quem for tentar terá de subornar pelo menos uns 30."

É bom considerar que esta possibilidade se fraudar a eleição em todo território nacional subornando-se apenas "uns 30", não existia com a urna tradicional onde com 30 elementos subornados daria para se fraudar a apuração de apenas algumas urnas.

Dentro desta filosofia de segurança máxima até mesmo contra seus projetistas e administradores, o voto eletrônico exige um esquema de segurança tão complexo que esta é a grande barreira que tem impedido a adoção do voto eletrônico integral nos demais países do mundo.

Este tema é amplo e intrincado. Tem sido discutido dentro da Internet, no Brasil, pelo Fórum de Debates do Voto Eletrônico (http1) e, no exterior, por várias listas de debates como a NZ Electronic Electoral Trial List (http3) da Nova Zelandia e a VoteSite.com Mailing List (http5) no estado da Califórnia, EUA.

Na Nova Zelândia está em desenvolvimento um teste público de um sistema de "e-voting" (http2), que ocorrerá em paralelo a uma eleição normal, patrocinado por agências governamentais e por universidades, para se avaliar se é possível se implantar um sistema seguro e satisfatório.

Na lista americana tem surgido assustadoras propostas de "e-voting" com a utilização de cédulas de voto virtuais a serem preenchidas e assinadas digitalmente pelo eleitor. Comparando com a votação tradicional, isto equivaleria a imprimir a identificação do eleitor na cédula eleitoral (voto impresso), a inviolabilidade do voto fica totalmente comprometida! Quanto aos custos para manter os centros de autenticação digital do eleitor funcionando e constantemente interligados (pois cada eleitor só pode votar uma vez) existe a sugestão de se cobrar do próprio eleitor uma taxa de manutenção do seu registro e assinatura digital. Em outras palavras, o eleitor teria que pagar para poder votar!

Mas também lá na Califórnia está se propondo que o sistema de voto eletrônico seja implantado em partes, inicialmente em paralelo ao sistema tradicional, para permitir sua avaliação antes da implantação definitiva.

Já no Brasil a implantação do voto eletrônico não foi em paralelo para a avaliação da sociedade e sim em substituição direta do voto tradicional3. O TSE recorreu a entidades acadêmicas inicialmente para colher sugestões sobre a urna eletrônica e, posteriormente, para orientá-lo com relação as alguns aspectos ligados a segurança de dados, como a criptografia dos disquetes com os Boletins de Urna4 e o Bloqueio de Acesso ao Subsistema de Totalização. Porém, nunca houve um debate aberto, em nível acadêmico, sobre como se informatizar com segurança toda uma eleição.

Nem mesmo questões polêmicas do projeto, como a decisão de não se mostrar o voto impresso ao eleitor (eliminando a possibilidade de auditoria da apuração) e a decisão de se fazer a identificação do eleitor e a coleta do seu voto numa mesma máquina (tornando a inviolabilidade do voto dependente da honestidade dos programadores), foram debatidas dentro de universidades brasileiras.

Por exemplo, o projeto da Universidade Federal do Rio Grande do Sul (Price, 1995) oferecido ao TSE sugeria que a urna eletrônica imprimisse o voto e o mostrasse ao eleitor "como mecanismo de segurança da votação". Além disso, P. C. Camarão (Camarão, 1997, pg. 72, item IV b) informa que existia dentro do TSE uma orientação inicial para o projeto da urna eletrônica de 1996 que dizia:

"Deverá ser resguardado o direito a fiscalização da votação e da apuração, bem como garantir a conferência do resultado de cada Seção por meio da auditagem e da recontagem" ;

Mesmo assim o TSE decidiu eliminar o voto conferido pelo eleitor e, por conseqüência, a possibilidade de auditagem e conferência da apuração sem nenhuma explicação pública ou debate aberto que validasse esta decisão.

É por entendermos que algumas destas decisões tomada internamente pelo TSE sobre o nível de segurança oferecido pela urna eletrônica são no mínimo discutíveis que propomos que o debate sobre a política de segurança do voto eletrônico seja trazido para dentro das universidades brasileiras.


3. A LEGISLAÇÃO ELEITORAL

O tema do voto eletrônico tem um lado técnico em informática, quando se fala em segurança do sistema, mas envolve também um lado legal e ambos devem ser considerados. Assim, começamos a análise da urna eletrônica pela observação da estrutura legal que a regulamenta, a qual é composta por Leis e Resoluções.

3.1 As Leis Eleitorais

A legislação eleitoral brasileira está baseada na lei 4.737 de 1965 que é bastante ampla. Numa única lei se abrange todos os aspectos relativos ao processo eleitoral e, por isto, ela é também conhecida por Código Eleitoral Brasileiro, sobre o qual existem muitos livros como (Ferreira, 1991).

A amplitude desta lei é evidenciada pela sua estrutura interna que é composta por:

  • 5 partes

  • 16 títulos

  • 31 capítulos e 5 seções (sub-capítulos)

  • 383 artigos

A votação e a apuração, no Código Eleitoral, são tratadas na Parte Quarta e são cobertas por:

  • 5 títulos

  • 19 capítulos e 5 seções (sub-capítulos)

  • 152 artigos

Certamente o Código Eleitoral de 1965 não regulamenta nada sobre o voto eletrônico pois este nem sequer existia então. Apenas seu sucinto art. 152 prevê a utilização de "máquinas de votar mediante a regulamentação do TSE". O voto eletrônico propriamente dito, é regulamentado por outra lei, a lei 9.504 de 1997 (http10), mais especificamente, por apenas 6 dos seus 107 artigos.

Se nota grande discrepância entre a legislação do voto tradicional e do voto eletrônico no que diz respeito a apuração do voto e a sua fiscalização. Enquanto a apuração do voto tradicional é coberta por 37 artigos no Código Eleitoral e outros 11 na lei 9.504, impondo-se o direito à auditagem e à livre fiscalização, descendo-se a detalhes como a cor da caneta dos escrutinadores e a distância mínima entre estes e os fiscais; o voto eletrônico tem a apuração regulada por apenas 2 artigos na lei 9.504 (art. 61 e art. 66).

Este pouco detalhamento da legislação sobre o voto eletrônico é que permitiu que o TSE criasse uma urna eletrônica na qual foi eliminada a possibilidade de auditagem e conferência da apuração por fiscais dos partidos políticos!

Para diminuir este problema o Senador Roberto Requião, PMDB-PR, assessorado por participantes do Fórum do Voto Eletrônico (http1), apresentou em 31 de março de 1999 o Projeto de Lei do Senado - PLS 194/99 (Requião, 1999; http9) onde novos artigos impõem que seja permitida a conferência da apuração e impedem que a identificação do eleitor seja feita em máquina conectada à urna eletrônica5.

3.2 As Resoluções do TSE

Para regulamentar o voto eletrônico com mais detalhes, o TSE emitiu várias Resoluções (http10), entre elas as de número: 20.103, 20.105, 20.132, 20.195, 20.213 e 20.230, todas de 1998, acrescentando mais 25 artigos sobre o tema.

Assim, a maior parte da regulamentação do voto eletrônico é feita por estas Resoluções do TSE, cuja existência revela uma questão jurídica relevante:

Durante as eleições de 1998, o voto eletrônico foi regulamentado, desenvolvido, implantado e controlado pelo próprio TSE que, a este respeito, assumiu as funções legislativas, executivas e judiciárias em evidente afronta ao princípio da tripartição dos poderes! 6

Do ponto de vista técnico estas Resoluções sobre o voto eletrônico, também carecem de melhorias. É nelas que se encontram regulamentadas as duas defesas legais que pretendem dar segurança ao voto eletrônico contra o software desonesto.

A Resolução 20.103/98 fala da apresentação dos programas para análise por auditores indicados pelos partidos políticos e a Resolução 20.105/98 regula os testes de certificação das urnas preparadas para funcionamento. Mas, nas eleições de 1998, ambas defesas legais foram burladas por interpretações "liberais" destas regulamentações.

A Resolução 20.105/98 é muito vaga ao dizer que os fiscais dos partidos poderão fiscalizar a "carga das urnas eletrônicas e conferir por amostragem até 3% das máquinas". Além de não se explicar o porquê deste número mágico de 3%, ao implementar na prática esta conferência, a urna eletrônica escolhida pelos fiscais era alterada com a carga de um programa específico para o teste! Após o teste, a urna voltava a ser carregada com o programa real de votação. Claramente, nas eleições de 1998, devido a uma interpretação bastante liberal da lei, o programa real de votação contido na urna eletrônica jamais foi testado por nenhum fiscal de partido político para verificar se desviava votos ou não!

Já a Resolução 20.103/98 afirma que os partidos políticos terão "garantido o conhecimento dos programas de computador a serem utilizados (na apuração e na totalização dos resultados)", mas não explica se são os programas-fonte ou programas compilados. Também é confuso o uso das expressões "Sistema de Totalização de Votos", "Sistema de Apuração" e "Sistema de Totalização de Resultados", e isto tudo resultou que, na prática, nenhum auditor externo ao TSE analisou ou conheceu, na integra, os programas reais contidos na urna eletrônica!


4. GARANTIA DE UM SOFTWARE HONESTO

Vimos que as regras legais para validação e certificação, por auditores externos ao TSE, do software carregado na urna eletrônica, que davam aos fiscais dos partidos o acesso aos programas e ao teste de 3% das urnas, não foram postas em prática de forma correta.

Poder-se-ia pensar que bastaria colocar estas defesas legais em prática de forma correta e teríamos uma urna segura, mas esta conclusão também deve ser melhor ponderada. São estas defesas legais suficientes?

Uma vez que não foi permitida a conferência da apuração (via recontagem dos votos impressos previamente conferidos pelo eleitor), para validar o programa contido nas urnas não basta que os fiscais dos partidos tenham conhecimento apenas do programa-fonte do aplicativo de apuração. Eles têm que se certificar que os programas carregados nas urnas foram gerados pela compilação dos mesmos programas-fonte que foram aprovados, pois um vício de programação pode ser inserido:

  • no programa-fonte antes da compilação,

  • durante a compilação,

  • durante a ligação com bibliotecas externas,

  • depois de compilado.

E, como já vimos que este é um caso em que não seria recomendada a validação estatística, os fiscais autorizados pelos partidos e os auditores externos ao TSE teriam ao menos que:

  • conhecer o programa-fonte de todas as bibliotecas de funções, gerenciadores de dispositivos e TSRs utilizados,

  • conhecer o fonte do próprio compilador (e do compilador do compilador…) e acompanhar todas as compilações,

  • conhecer todo o conteúdo da máquina onde for feita a compilação e que esta seja lacrada quando fora de uso,

  • ser técnicos altamente qualificados e dispor de tempo para analisar todo este material,

  • lacrar o programa-fonte analisado e todos milhares de disquetes de carga com o programa compilado e as tabelas de dados,

  • acompanhar a carga de todas as urnas (em torno de 250.000 no ano 2000),

  • lacrar também as urnas eletrônicas assim que fossem carregadas,

  • proteger as urnas lacradas contra acesso físico depois de lacradas.

Como os programas das urnas são carregados uma parte no fabricante (software básico) e outra parte nos Cartórios Eleitorais de cada cidade (software aplicativo e tabelas), os fiscais dos partidos teriam que correr todo o território nacional para acompanhar a carga, teste e lacração das urnas.

Não temos o número exato por que o TSE não publicou, mas pode-se estimar com boa segurança que em 1998, os fiscais dos partidos não acompanharam a carga nem de 0,1% das quase 170.000 urnas eletrônicas e que em 100% das urnas esta carga foi feita com disquetes não auditados nem lacrados pela fiscalização.

Enfim, o processo de auditagem e certificação do conteúdo real de em torno de 250.000 urnas começa a ficar tão grande, caro e complexo que acaba se tornando impraticável.

Os partidos políticos não dispõem de verba para bancar uma auditoria desta proporção e certamente os cinco dias que a lei dispõe aos partidos para avaliarem "os programas de apuração e totalização" não são suficientes. Assim, devido às dificuldades práticas durante as eleições de 1998 o conteúdo das urna eletrônicas não foi certificado por nenhum auditor externo ao TSE , o que indica que a certificação do software nas urnas como defesa contra o software desonesto não foi suficiente para garantir ao eleitor seus direitos à inviolabilidade e justa apuração dos votos. Outras defesas lógicas além da certificação contra programas desonestos na urna eletrônica devem ser implementadas.


5. AS ETAPAS DE UMA VOTAÇÃO

A partir do momento que o eleitor se apresenta para votar, o processo de uma eleição pode ser dividido nas seguintes etapas:

  1. Identificação do Eleitor

  2. Votação Secreta

  3. Apuração de cada urna

  4. Totalização7 dos votos

Cada uma destas etapas tem seus próprios ritos de segurança e brechas para fraude.

5.1 A Eleição Tradicional

A figura 1 apresenta estas etapas e o fluxograma dos dados numa eleição tradicional, evidenciando os pontos de controle do processo, isto é, os pontos onde agentes independentes e externos ao TSE têm acesso a dados para auditarem cada etapa.

Na etapa de identificação do eleitor existem fraudes como a falsificação de documentos e de registros eleitorais. Por outro lado, como o eleitor recebe a cédula vazia, pode verificar que o conteúdo do seu voto não poderá ser violado 8.

Na etapa de votação vários tipos de fraudes eram possíveis como o voto-de-cabresto, a indução do voto pelos mesários ou a votação destes por eleitores que faltaram. O controle externo aqui era exercido pelos fiscais sobre os mesários e pelo próprio eleitor ao preencher a célula pois ele automaticamente constatava que o documento público que passava a informação desta para a próxima etapa (a cédula preenchida) assinalava o seu candidato e não continha a sua identificação.

Na etapa de apuração deve-se proceder a soma dos votos de cada urna para preencher os Boletins de Urnas (BU), que são os documentos públicos de passagem de informação para a etapa seguinte. Também aqui vários tipos de fraude ocorriam como a troca de votos dentro da urna, o preenchimento ou adulteração de votos pelos escrutinadores ou a adulteração dos BU antes da sua publicação.

A área hachurada da figura 1 evidencia a região mais sujeita a fraudes no voto tradicional. As defesas do eleitor contra estas fraudes eram sempre a garantidas por lei: o direito de fiscalizar a votação e a apuração e o direito de se pedir a recontagem de votos quando houvesse dúvidas fundamentadas.

Na etapa da totalização dos votos o TSE deve somar os votos indicados nos BU e publicar o resultado da eleição. Esta foi a primeira etapa a ser informatizada no Brasil mesmo no sistema de voto tradicional. Nesta etapa se possui um método de controle bastante eficaz contra a fraude na totalização. Por força de lei, os partidos políticos recebem uma cópia impressa dos BU e podem, se quiserem, fazer a conferência da totalização por conta própria somando o conteúdos de todas as BU e comparando com o resultado publicado pelo TSE.

É tão forte esta defesa contra fraudes 9 que no presente artigo não analisamos os demais aspectos da segurança na totalização por considerarmos que nesta etapa a segurança está estruturalmente bem cuidada pela lei.

5.2 A Eleição Informatizada Brasileira

Em 1994 o Ministro Carlos Velloso assumiu a Presidência do TSE e estabeleceu como uma das suas metas implantar o voto eletrônico por completo no Brasil. No seu discurso de posse disse:

"…essas fraudes serão banidas do processo eleitoral brasileiro no momento em que eliminarmos as cédulas, as urnas e os mapas de urna, informatizando o voto."

A visão do Ministro Velloso é a de um excelente jurista mas que tem uma percepção imprecisa da informática. Se eliminarmos "a cédula, as urnas e os mapas eleitorais (BU)" não sobra muito para se fazer uma apuração e menos ainda para se auditá-la. Aparentemente ele não tinha noção que as fraudes são potencialmente mais danosas em sistemas informatizados, como afirmou o seu próprio Secretário de Informática (Camarão, 1997, pg. 160):

"A introdução da informática nos sistemas eleitorais exige cuidados complementares, sobretudo se considerarmos que o volume da fraude, se utilizarmos um sistema sem controles, pode ser exponencialmente maior."

Tentando eliminar todos os focos de fraude identificados pelo Ministro Velloso o TSE decidiu juntar as três primeiras etapas de uma eleição - a identificação, a votação e a apuração - num único local e equipamento: a urna eletrônica brasileira10 e a figura 2 apresenta o fluxograma de dados e controles da sua implementação.

A urna eletrônica brasileira agrupa as três primeiras etapas de uma eleição num só processo, eliminando os documentos públicos intermediários entre elas visto que eram entendidos como fontes de fraudes. Não tem mais cédula, não tem mais urna e apenas o BU não pode ser eliminado.

Como resultado da eliminação destes documentos se eliminou também os controles que se fazia através deles. Uma vez que a certificação de um software honesto na urna não foi obtida:

  • O eleitor perdeu a garantia de que seu voto não seria identificado e não tem como saber se seu voto foi para candidato escolhido.

  • Os partidos não têm como conferir a apuração e não podem mais pedir a recontagem dos votos!

Na etapa de identificação do eleitor, as mesmas fraudes que existiam no voto tradicional, como a falsificação de documentos e de registros eleitorais, continuaram existindo com o voto eletrônico, mas a elas foi acrescida a grave possibilidade de violação sistemática do voto por um programa desonesto, que antes não existia.

Na etapa de votação diminuiu-se bastante a fraude conhecida como voto-de-cabresto, mas manteve-se a possibilidade de indução do voto e de mesários votarem por eleitores ausentes 11. Por outro lado eliminou-se o voto em separado e impediu-se a existência de mais de uma urna por seção, fazendo que eleitores lentos prendessem os demais em fila 12.

Na etapa de apuração, foram eliminadas as fraudes de troca e adulteração de votos e se acelerou consideravelmente o processo. Mas é aqui que foram introduzidas as três maiores falhas de segurança do voto com a urna eletrônica:

  1. O eleitor não tem como conferir se seu voto foi apurado corretamente ou se foi desviado

  2. Não existe forma de se auditar a apuração.

  3. As falhas são potencialmente mais danosas.


6. AS FALHAS APONTADAS

Resumindo o que foi mostrado nas seções precedentes, listamos as falhas de segurança no projeto e implantação da urna eletrônica brasileira:

  1. A legislação sobre o voto eletrônico é pouco detalhada, permitindo interpretações "liberais" que desvirtuam a segurança.

  2. O conhecimento apenas dos programas-fonte pelos técnicos dos partidos não valida o software real carregado na urna.

  3. A ausência de fiscalização externa ao TSE na compilação e carga dos programas.

  4. O teste de certificação das urnas é invalidado pela alteração do conteúdo da urna antes e depois do teste.

  5. É impossível se proceder a fiscalização ou recontagem da apuração de uma urna.

  6. O eleitor não tem como conferir se o seu voto foi dado ao candidato escolhido.

  7. O conteúdo do voto e a identificação do eleitor estão disponíveis simultaneamente na mesma memória de computador

  8. O TSE não permitiu que fossem feitos nem auditoria nem testes com o programa real da urna em funcionamento normal.


7. AS SOLUÇÕES PROPOSTAS

Para resolver estas falhas propomos o esquema da figura 3, que foi desenvolvida depois de debates no Fórum do Voto Eletrônico (http1).

Numa urna convencional sem que o eleitor a manipule (para evitar o voto-de-cabresto). Estas urnas convencionais serão apuradas na sua totalidade ou apenas em parte dentro de uma programação de auditoria do software real da urna.

Desta forma se unem as vantagens do voto tradicional (impossibilidade de violação do voto e possibilidade de auditoria da apuração) com as vantagens do voto eletrônico (rapidez na apuração, inibição do voto-de-cabresto e das fraudes na apuração). Também são eliminados alguns defeitos da urna eletrônica como a necessidade de preparação diferente para seções diferentes e a impossibilidade de múltiplas urnas por seção.

Todas estas características aqui propostas foram incorporadas ao Projeto de Lei do Senado, PLS 194/99 (Requião, 1999), pelo Senador Roberto Requião, que optou pela conferência parcial com a recontagem dos votos impressos de 3% das urnas (a serem escolhidas pelos fiscais dos partidos políticos) para efeito de auditoria.


8. CONSIDERAÇÕES SOBRE O VOTO ELETRÔNICO

A análise aqui feita sobre a urna eletrônica brasileira pode ser estendida para o voto eletrônico em geral, inclusive para o voto pela Internet.

O problema da identificação do eleitor no mesmo equipamento que recebe o seu voto é importante e é praticamente impossível se garantir que a violação do voto nunca irá ocorrer, seja por meio de invasores externos ou por agentes internos desonestos que programem a violação.

O problema da ausência de um comprovante impresso do voto também é grave. Esta ausência elimina a possibilidade de auditoria da apuração. Algumas soluções já foram propostas como:

  • validar e certificar o programa utilizado,

  • gravar o voto "virtual" com a assinatura eletrônica do eleitor,

  • publicar o voto junto com uma senha de conhecimento apenas do eleitor;

mas são sugestões que acabam falhando em garantir a honestidade da apuração ou falham em garantir a inviolabilidade do voto.

Isto levanta a idéia de se manter o voto virtual e o voto impresso em paralelo mas, mantendo-se estes dois métodos de apuração simultâneos, surge a dúvida sobre o que fazer quando houver divergência entre eles.

Outras questões de natureza técnica como o uso de assinatura eletrônica14 e como se garantir que cada eleitor vote apenas uma vez15 são facetas ainda não completamente resolvidas do problema geral do voto eletrônico.

Também continuam abertas as questões econômicas como:

  • o financiamento do projeto deve ser feito com ou sem aumento da dívida externa do país,

  • quem banca o custo de cartórios eleitorais virtuais e dos sistemas de assinaturas eletrônicas,

  • quem paga a auditoria externa;

e as jurídicas como:

  • a acumulação de poderes pelo TSE,

  • quem pode representar o eleitor numa auditoria,

  • a quem cabe o ônus da prova da segurança da urna16.


9. CONCLUSÃO

Todas estas questões não resolvidas sobre o voto eletrônico, que ainda estão em debate fora do Brasil, levam à conclusão de que o Brasil não está na linha de frente da tecnologia de informatização do voto e sim que ultrapassou esta linha de forma imprudente e precipitada.

Depois da implantação parcial da urna eletrônica em 1996 e 1998, o TSE já vem dando andamento a terceira fase da implantação do voto eletrônico no Brasil, que prevê a utilização da urna eletrônica em todas as seções eleitorais do Brasil na eleição do ano 2000. Em Maio de 1999 o TSE publicou o "Pré-edital de Especificação da Urna Eletrônica 2000" (http11) onde todas as falhas aqui apontadas continuam presentes pois o TSE tem ignorado por completo o projeto de lei PLS 194/99 e as sugestões do Fórum do Voto Eletrônico.

É chegada a hora da comunidade acadêmica brasileira assumir a responsabilidade de discutir a política de segurança na implantação do voto eletrônico sob pena de deixarmos para os nossos filhos um Brasil com um arremedo de democracia onde o eleitor não tem como saber em quem votou e a oposição é impedida de conferir a apuração dos votos, como hoje já está ocorrendo.


AGRADECIMENTOS

O autor agradece a colaboração dos colegas Dr. Daniel Kao Sun Ting (IPEN-USP) e Eng. José Claudio Barmak (TD Tecnologia Digital) pela discussão e revisão deste trabalho, ao Prof. Dr. José Sidnei Colombo Martini (PCS-EPUSP), pela ajuda para trazer este tema para dentro da universidade brasileira, a todos os assinantes do Fórum do Voto Eletrônico na Internet que nos últimos dois anos e meio contribuíram com as opiniões e sugestões que enriqueceram a tese ora apresentada e à amiga e companheira Ingrid Fernandes Zamboni pelo estímulo e paciência ao longo deste tempo.


NOTAS

1. A análise feita neste artigo se refere especificamente à Urna Eletrônica utilizada nas eleições de 1996 e 1998 e não a todo o processo de informatização do voto, o qual inclui a rede de totalização de resultados que não foi incluída nesta análise.

2. Devido ao seu caráter pessoal e psicológico, a abordagem à questão do agente interno desonesto junto aos próprios projetistas do sistema é sempre delicada. Muitas vezes as partes exacerbam as reações emocionais (de desconfiança ou indignação), o que acaba por retirar a objetividade do debate.

3. Onde o novo sistema foi implantado o antigo foi eliminado e não se deixou outra alternativa ao eleitor (como a Declaração de Renda que o contribuinte pode optar entre o método tradicional e o informatizado).

4. Os Boletins de Urna são as tabelas públicas impressas que contêm o resultado da apuração de cada urna.

5. Este projeto de lei está, no momento (jun/99), sob análise da Comissão de Constituição e Justiça do Senado.

6. Quem, como este autor, quisesse contestar juridicamente algum aspecto na implantação do voto eletrônico teria que recorrer aos juizes do TSE pedindo que eles julgassem seus próprios atos!

7. Não se deve confundir a apuração (contagem dos votos de uma urna) com a totalização (soma dos votos de todas as urnas). São processos diferentes que ocorrem em momentos e locais diferentes.

8. Ou seja, na cédula que o eleitor recebe não está escrito nada que permita a sua identificação.

9. Foi desta maneira que, no Rio de Janeiro em 1994, se descobriu e evitou o erro na totalização que ficou conhecido como Caso Procunsult.

10. Precisa ser destacado que esta unificação das três etapas é característica da urna brasileira. No resto do mundo democrático onde se informatizou a votação, não ocorre esta tripla integração! Em especial, em nenhum lugar do mundo deixou de existir o voto impresso, nem a identificação e a votação são feitas no mesmo equipamento.

11. Apesar de aumentar os custos do sistema, o TSE adotou da identificação eletrônica para eliminar este tipo de fraude (Camarão, 1997, pg. 81, item 1) mas o problema não foi resolvido e os custos aumentaram inutilmente.

12 No 1º turno de 1998, onde se votava para cinco cargos diferentes, formaram-se filas de espera de mais de 3 horas e em algumas seções o horário de votação teve que ser prorrogado até as 20 h. Este problema se deve à existência de apenas uma urna por seção, imposta pela identificação conectada a urna, e não ao despreparo dos eleitores como chegou a ser alegado.

13. Lista impressa, enviada a cada Seção Eleitoral, com os dados dos eleitores e com os seus comprovantes de comparecimento, utilizada para a identificação do eleitor e controle de quem já votou.

14. Como impedir o roubo ou mau uso da assinatura digital por terceiros.

15. Se for permitido que o eleitor possa votar de qualquer lugar, como manter segura e atualizada uma rede nacional de identificação on-line do eleitor.

16. É o TSE que tem que provar tecnicamente que a urna é segura ou um eleitor que a conteste em juízo é que deve provar sua insegurança?


REFERÊNCIAS BIBLIOGRÁFICAS

CAMARÃO, Paulo César Bhering. O Voto Informatizado: Legitimidade Democrática. São Paulo: Empresa das Artes, 1997.

FERREIRA, Pinto. Código Eleitoral Comentado. São Paulo, Saraiva, 1991.

PRICE, Roberto Tom. Votação Informatizada: Projeto UFRGS. Porto Alegre: Instituto de Informática da Universidade Federal do Rio Grande do Sul, 1995.

REQUIÃO, Roberto. PLS 194/99 – Projeto de Lei do Senado. Brasília: Senado do Brasil, 1999.


REFERÊNCIAS NA INTERNET

(http1) Fórum do Debates do Voto Eletrônico. https://listas.iron.com.br/voto-eletronico

(http2) E-democracy in New Zealand elections. https://www.polemic.net/nzeet.html

(http3) NZ Electronic Electoral Trial List https://NZvotingtrial.listbot.com

(http4) VoteSite.com--the internet voting company. https://www.votesite.com/

(http5) VoteSite.com mailing list https://votesite.com.listbot.com

(http6) International Institute for Democracy and Electoral Assistance. https://http.int-idea.se/

(http7) UK Citizens Online Democracy. https://www.democracy.org.uk

(http8) Urna 2000 – O Voto Seguro. https://www.votoseguro.org

(http9) Projeto de Lei do Senado – PLS 194/99. https://www.senado.gov.br/web/senador/requiao/pls99.htm

(http10) Lei 9.504/97 e Resoluções do TSE https://www.tse.gov.br/ele/Legisl.html

(http11) Pré-edital de Especificação da UE2000 https://www.jus.com.br/pesquisa/editaltse.zip


Autor


Informações sobre o texto

Artigo submetido ao SSI’99 Simpósio sobre Segurança na Informática (ITA, SP)

Como citar este texto (NBR 6023:2018 ABNT)

BRUNAZO FILHO, Amilcar. A segurança do voto na urna eletrônica brasileira. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 4, n. -1370, 1 out. 1999. Disponível em: https://jus.com.br/artigos/1539. Acesso em: 29 mar. 2024.