Avaliação da segurança do eleitor com a urna eletrônica brasileira

Resumo

          O presente relatório foi elaborado atendendo a decisão da Reunião Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, realizada no dia 01 de Junho de 2000, no Plenário do Senado, onde ficou estabelecido que duas equipes de técnicos em informática, uma formada pelos técnicos do TSE e a outra sob a orientação do Senador Roberto Requião formada pelo Eng. Amílcar Brunazo Filho, autor deste relatório, e pelo Eng. Márcio Coelho Teixeira, se reuniriam para procurar encontrar um consenso sobre as propostas de alteração na Urna Eletrônica sugeridas pelo Projeto de Lei PLS 194/99.

As alterações propostas por este Projeto de Lei são basicamente duas: 1) que se desvincule a identificação do eleitor da máquina de votação; e 2) que seja permitida a conferência da apuração por meio da impressão do voto que será usado em conferência estatística.

Após os encontros entre as duas equipes ocorridos durante o mês de Junho de 2000, apresenta-se este relatório cuja conclusão, justificada ao longo do seu corpo, diz que o processo de fiscalização externa da produção da Urna Eletrônica é bastante falho de forma que as garantias de segurança de tal equipamento não são satisfatórias.

Desta forma, o autor, após conhecer e avaliar o processo de desenvolvimento, produção e, principalmente, da fiscalização da produção da Urna Eletrônica Brasileira, e levando em conta o argumento de natureza jurídica de que eleitor brasileiro tem o direito de compreender, por si mesmo, o processo que garante a integridade a confiabilidade do seu voto, mantêm sua posição favorável ao projeto PLS 194/99 e as suas duas propostas de alteração da urna eletrônica atual, mas sugere-se, no entanto, pequenas alterações no seu texto com a finalidade de atenuar possíveis ambigüidades na sua interpretação.

---

Sumário: 1. Introdução. 1.1 Documentação e Bibliografia. 1.2 Nomenclatura e Abreviaturas. 1.3 Histórico e Objetivo. 1.4 As Reuniões entre os Técnicos. 2. Análise dos argumentos do TSE. 2.1 Sobre a desvinculação da identificação do eleitor. 2.1.1 Argumentação básica. 2.1,2 Argumentos corretos. 2.1.3 Argumentos falhos. 2.1.4 Comparação de Riscos e Benefícios. 2.2 Sobre a auditoria da apuração eletrônica. 2.2.1 Contradições. 2.2.2 Argumentação básica. 2.3.3 Argumentos corretos. 2.4.4 Argumentos falhos. 2.4.5 Comparação de Riscos e Benefícios. 2.4.6 Um contra-argumento jurídico. 2.3 A norma ISO 15.508. 2.4 A fiscalização dos Partidos. 3. Conclusão

---

1. Introdução

1.1 Documentação e Bibliografia

O presente relatório foi elaborado baseado nos dados e informações constantes nos seguintes documentos:

1. Projeto de Lei do Senado PLS 194/99 (anexo 1).
2. Livro " O Voto Informatizado: Legitimidade Democrática", de Paulo César Bhering Camarão, Ed. Empresa das Artes, 1997.
3. Ata da 22ª Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, do dia 01 de Junho de 2000 (anexo 3).
4. Anotações do autor durante a apresentação no Auditório do TSE(1), no dia 15 de Junho de 2000.
5. Fitas de Áudio do Debate Público promovido pela Comissão de Constituição e Justiça da Assembléia Estadual de Minas Gerais(2), do dia 30 de Junho de 2000.
6. Ofício n.º 2.400/00 da Diretoria Geral do TSE, de 29 de Junho de 2000, em resposta à Petição do anexo 5 (anexo 6).
7. Ofício n.º 547/AssEL-98 do Comandante da Polícia Fazendária – RS, ao Juiz da 33ª Zona Eleitoral do Rio Grande do Sul, de 09 de outubro de 98 (anexo 7).
8. Carta do Exmo. Sr. Procurador da República, Dr. Celso Antônio Três, dirigida ao Sen. Roberto Requião, em junho de 2000 (anexo 8).
9. Lei 4.737-65 - Código Eleitoral Brasileiro
10. Lei 9.504-97 – Normas para o Voto Eletrônico
11. Resolução 20.506 de 11/1999 do TSE – Calendário Eleitoral – Eleições de 2000
12. Resolução 20.563 de 03/2000 do TSE – Garantias Eleitorais
13. Resolução 20.565 de 03/2000 do TSE – Apuração e Totalização de votos
14. Norma Técnica Internacional ISO/IEC 15.408 de 12/1999 – Critérios de Avaliação da Segurança de Sistemas Informatizados

          1.2 Nomenclatura e Abreviaturas

Como este relatório não se destina à leitura exclusiva por técnicos em informática e especialistas de segurança de dados e sistemas, apresenta-se a seguir uma sucinta explicação de termos e abreviaturas utilizados:

          Apuração dos Votos – É o processo de contagem dos votos de cada urna. No caso da urna eletrônica a apuração é feita na própria Seção Eleitoral onde se deu a votação. No caso de urnas tradicionais, a apuração se dá nas Zonas de Apuração.

          Totalização dos Votos – É o processo de contagem dos votos de todas as urnas de todas as seções eleitorais. É feita por programas contidos na Rede de Totalização do TSE, a qual tem terminais de acesso em todos os TRE estaduais e nas sedes das Zonas Eleitorais municipais.

          Boletim de Urna (BU) – É o documento que contém o resultado da apuração de cada urna eletrônica. Por lei, deve ser impresso, publicado na própria seção eleitoral e distribuído aos partidos políticos. Uma versão digitalizada do BU é gravada num disquete magnético para servir de transporte do BU para os terminais de entrada da Rede de Totalização.

          Lista de Votação – É aquela lista impressa com os nomes e números dos eleitores, que há em todas as seções eleitorais. Nela o eleitor coloca sua assinatura e dela é destacado o comprovante de voto.

          CPU ou UCP – Unidade Central de Processamento. É o componente do computador responsável pelo controle dos fluxos de dados entre todas os demais componentes. Todos os dados que trafegam de um componente do computador para outro passam, normalmente, pelo controle da CPU, com poucas exceções.

          Periféricos – São todos os demais componentes ou equipamentos que constituem o computador, fora a CPU. Exemplos de equipamentos periféricos são: o teclado, o monitor de vídeo, as memórias temporárias (RAM) ou permanentes (Disquetes e Flash-Cards), a impressora.

          Programa Básico – Trata-se do conjunto autônomo de programas da urna eletrônica posto para funcionar logo que este é ligado. É destinado a servir de base de apoio para outros programas comuns, chamados de Programas Aplicativos, os quais serão iniciados posteriormente. O Programa Básico é composto por: Sistema Básico de Entrada e Saída (BIOS), Sistemas Operacional (VirtuOS) e Gerenciadores de Dispositivos (Device Drivers). O Programa Básico é o responsável pelo acesso aos equipamentos periféricos, transferindo dados entes estes e os Programas Aplicativos.

          Programa Aplicativo – Trata-se de programa de computador, não autônomo (precisa que um Sistema Operacional esteja instalado e funcionando), que é o responsável pela recepção e ordenação dos dados originados ou destinados aos equipamentos periféricos. Por exemplo, o Aplicativo recebe do Sistema Operacional os dados digitados no teclado pelo eleitor, ordena-os para comporem uma tela e os remete de volta para o Sistema Operacional escrevê-los no vídeo propriamente dito.

          BIOS - Sistema Básico de Entrada e Saída. Programa componente do Programa Básico, normalmente gravado em memória permanente fixa (EPROM) e, por isto, é as vezes chamado de "Firmware". É o primeiro programa a ser executado quando se liga o computador e é o encarregado de preparar o Sistema Operacional para carga.

          Sistema Operacional (OS) – é o componente principal do Programa Básico, e as vezes é confundido com este. Detêm o controle geral de todos os processos (programas e sub-programas) e é o responsável por coordenar toda a troca de dados entre tais processos.

          Gerenciadores de Dispositivos (Device Drivers) – São os componentes do Programa Básico destinados exclusivamente a estabelecer o contato do Sistema Operacional com um equipamento periférico. Normalmente são produzidos pelos fabricantes dos próprios periféricos.

          Criptografia – São técnicas matemáticas de se embaralhar (cifrar) um conjunto de dados ou textos, com a finalidade de esconder ou tornar incompreensível as informações ali contidas, ou seja, a Criptografia normalmente é utilizada para defender a confidencialidade dos dados. As técnicas de criptografia normalmente utilizam dois elementos no seu processo: 1) a fórmula ou algoritmo de ciframento; 2) uma seqüência de números, chamados "chave". Para se reconstruir o texto ou dados originais necessita-se conhecer a chave inversa (ou de "deciframento") mais a fórmula ou algoritmo inverso (ou de "deciframento") ao utilizado no ciframento.

          Assinatura Digital – São técnicas matemáticas utilizadas para que se possa saber quem ou que equipamento gerou certo documento e se tal documento não foi adulterado, ou seja, a Assinatura Digital é utilizada para se garantir a integridade dos dados. Estas técnicas normalmente utilizam algumas fórmulas peculiares de criptografia, chamadas de "assimétricas" ou de "Chaves Públicas", onde tanto a fórmula de ciframento, quanto a chave e a fórmula de deciframento são divulgadas para conhecimento público. Apenas a chave usada para ciframento é mantida secreta por aquele que vai fazer a assinatura digital. Assim, qualquer pessoa que conheça os dados públicos pode verificar que tal documento, assinado digitalmente, proveio de determinada pessoa ou equipamento.

          Sistemas Fechados – Diz-se de um sistema criptográfico onde tanto as chaves quanto as fórmulas de criptografia e de deciframento são mantidas em segredo. Um ataque externo à um sistema fechado é dificultado pois não se conhece a fórmula de deciframento. Porém sistemas fechados tem pouca resistência ao ataque de elementos internos (que tiveram acesso à suas fórmulas). Outro problema é que sistemas fechados não podem ser provados como matematicamente seguros. Utilizar um Sistema Fechado de Criptografia implica diretamente em confiar cegamente no fornecedor.

          Sistemas Abertos – Diz-se de um sistema criptográfico onde as fórmulas de criptografia e de deciframento são divulgadas publicamente e apenas as chaves são mantidas em segredo. A vantagem de Sistemas Abertos é que se pode calcular e provar qual o tempo médio que um atacante, que não conheça a chave secreta, terá que gastar para reconstruir o texto original por tentativa e erro. Se este tempo médio for maior (bem maior) que o tempo em que a informação deve permanecer protegida, considera-se o sistema seguro. Um sistema de Assinatura Digital é sempre um Sistema Aberto, por sua própria concepção.

          Ataque – Ação de algum agente, interno ou externo à corporação, com o objetivo de deturpar o funcionamento esperado de um equipamento, programa ou sistema.

          Ataque Destrutivo – Um ataque cujo objetivo é paralisar ou atrasar o funcionamento regular do sistema-alvo, visando reduzir sua disponibilidade para uso (availability) sem, no entanto, construir algum resultado falso.

          Ataque Dirigido ou Construtivo – Um ataque que visa construir, de forma escamoteada, um resultado falso durante o funcionamento do sistema atacado, tentando fazer o resultado falso ser aceito como verdadeiro.

          Ataque de Força Bruta – É o ataque a um sistema de criptografia ou de bloqueio de acesso no qual que tenta descobrir a senha ou a chave por tentativa e erro de todas as combinações possíveis. Quando se fala que existe "prova matemática" que um dado sistema informatizado resiste a um ataque por tanto tempo, normalmente está se referindo a Ataque de Força Bruta. Assim, esta "prova matemática" não garante a inviolabilidade do sistema pois outras formas de ataque, que se valham de características particulares dos sistemas ou do vazamento de informações podem, eventualmente, obter sucesso em tempo menor.

          Vício em programa – refere-se a modificações espúrias introduzidas em programas de computador com a finalidade de provocar um funcionamento diferente do objetivo do projeto.

          Potencial de dano – Numa análise da segurança de um sistema deve-se atribuir um valor ao "potencial de dano" de cada risco de falha ou fraude que existir. Este valor deve refletir a grandeza e a importância dos danos provocados se tal fraude ocorrer. Por ex., uma fraude que possa eleger um governador, como ocorrido no Rio de Janeiro em 1982, que ficou conhecida como "Caso Proconsult" (anexo 10), deve ter um valor de "Potencial de Dano" bem maior que uma fraude que só possa eleger um vereador, como a compra de votos de alguns eleitores.

          Valor do Risco – O Valor do Risco de uma fraude é calculado como o produto do seu Potencial de Dano versus sua Probabilidade de Ocorrência. É um valor que os auditores de segurança procuram obter para que seja possível comparar sistemas e riscos diferentes entre si.

          Sistemas de Alto Risco – Diz-se de sistemas informatizados cujo Potencial de Dano é muito elevado e a Probabilidade de Ocorrência não é desprezível. Normalmente, sistemas que envolvam risco de vida ou de grandes danos ambientais, como um sistema de controle de aeronaves ou usinas nucleares, são classificados como de alto risco. O Processo Eleitoral Informatizado tem as características de Sistema de Alto Risco pois a Probabilidade de Ocorrência de Fraudes é grande e o Potencial de Dano, que é entregar o poder político a um eleito ilegítimo, é incomensurável.

          Validação – refere-se ao processo de análise de um projeto de equipamento ou de um programa de computador, com a finalidade de se determinar se atende ao objetivo desejado. A validação se dá antes da produção final do equipamento ou programa.

          Certificação – refere-se ao processo de acompanhamento da produção de um equipamento ou da carga de um programa em computador de forma a se verificar se o produto final corresponde ao projeto ou programa que foi validado anteriormente. A certificação se dá ao final do processo de implantação ou fabricação do sistema e antes da sua operação.

1.3 Histórico e Objetivo

Em 31 de Março de 1999, o Senador Roberto Requião apresentou ao Senado o Projeto de Lei PLS 194/99 (anexo 1) a fim de ampliar a segurança e a fiscalização do voto eletrônico. Este projeto altera a Lei n.º 9.504, de 30 de setembro de 1997, a qual estabelece normas para as eleições.

As alterações na Urna Eletrônica propostas pelo PLS 194/99 são essencialmente duas:

1. que se desvincule a identificação do eleitor da máquina de votação, para impossibilitar a identificação do voto, o que dá uma solução 100% segura para a inviolabilidade do voto;
2. que se proceda a conferência da apuração eletrônica em 3% das urnas eletrônicas, escolhidas a posteriori, por meio da recontagem dos votos impressos, os quais deverão ser conferidos pelo eleitor antes de serem depositados numa urna convencional. No caso de divergência entre a contagem eletrônica e a recontagem dos votos impressos, outras urnas seriam conferidas dentro de um processo judicial aberto para determinar a origem da diferença.

Este Projeto de Lei foi aprovado pela Comissão de Constituição, Justiça e Cidadania do Senado Federal em 15 de setembro de 1999, e foi colocado na pauta de votação do Plenário do Senado do dia 03 de Maio de 2000. Desde então a votação do PLS 194/99 foi adiada e remarcada três vezes atendendo a pedidos partidos pelo Exmo. Sr. Presidente do TSE, Ministro José Néri da Silveira, dirigidos ao Exmo. Sen. Roberto Requião e encaminhados ao Presidente do Senado, Exmo. Sen. Antônio Carlos Magalhães.

No dia 01 de Junho de 2000, data da última votação adiada, o Ministro do TSE, Exmo. Sr. Nelson Jobim, apresentou as críticas oficiais do TSE sobre o PLS 194/99, durante uma Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, especialmente convocada para este fim. O autor do presente relatório esteve presente a esta apresentação, a convite da Mesa do Senado, na qualidade de Assessor Técnico, como se vê no Resultado CCJ: 01/02/2000 (anexo 2) e na própria ata da reunião (anexo 3)

Conforme consta na ata desta da 22ª reunião extraordinária da CCJ do Senado (anexo 3) o Sen. Roberto Requião apresentou uma série de perguntas sobre a segurança da Urna Eletrônica, que não foram respondidas pelo Min. Jobim, tendo este alegado:

          "Quero dizer mais: vim preparado para debater o Projeto n.º 194, e não examinar com detalhes a questão relativa ao sistema informatizado. Só responderia a algumas das questões feitas por V. Exª, visto que, quanto às demais, não me encontro habilitado para tanto."

E, mais adiante, respondendo a pergunta se os partidos políticos tinham tido acesso para análise ao Programa Básico da urna, sugeriu:

          "Quero confessar a V. Exª que não tenho condições de informar-lhe melhor… V. Exª terá que se fazer acompanhar de um técnico que conheça o assunto."

O Sen. Requião em resposta propôs:

"…quero propor aos técnicos que acompanham o Ministro Nelson Jobim e os Ministros do Tribunal que, posteriormente ao encerramento desta reunião da CCJ, tenhamos uma conversa com os técnicos que me assessoram, o Amílcar Brunazo e o Márcio Teixeira."

Esta proposta foi aceita pelos presentes e o Exmo. Sr. Presidente da CCJ, Sen. José Agripino, marcou a primeira reunião entre os técnicos imediatamente, nas próprias dependências da CCJ:

          "…E ofereço o espaço físico da Comissão de Constituição, Justiça e Cidadania, a fim de que os técnicos sob a orientação do Senador Roberto Requião e os técnicos do Tribunal Superior Eleitoral se reunam e encontrem uma forma consensual de encaminhamento da questão. As dependências da Comissão estão, desde já, à disposição dos técnicos para que aquilo que já julgo ser possível seja efetivado: o consenso e o encaminhamento de uma proposta que conste do interesse nacional."

Desta forma, a votação do PLS 194/99 está suspensa, aguardando o parecer dos técnicos, a resultar das reuniões entre eles.

Assim, é com o objetivo de subsidiar os Srs. Senadores de informações e esclarecimentos que os auxiliem na votação do PLS 194/99 que o presente relatório, resultante destas reuniões técnicas, foi elaborado.

          1.4 As Reuniões entre os Técnicos

A primeira reunião entre os técnicos representantes do Senado, sob coordenação do Sen. Requião, e os técnicos do TSE ocorreu no próprio dia 01 de Junho de 2000, e serviu apenas para que os envolvidos apresentassem suas qualificações e intenções. Nesta oportunidade, o Dr. Paulo César Bhering Camarão, Secretário de Informática do TSE, apresentou também o Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE, como "exemplo de a ser seguido pelos fiscais técnicos dos demais Partidos". Foi marcada uma nova reunião de trabalho para o dia 15 de Junho nas dependências do TSE. Não foi elaborada ata desta primeira reunião.

A segunda reunião ocorreu no Auditório do TSE, em Brasília, no dia 15 de Junho de 2000. Sua duração foi de 6 horas, das 14:30 h até as 20:30 h, tendo o TSE gravado em vídeo e tomado notas taquigráficas do evento.

Compareceram a esta reunião, por parte do TSE, seu corpo técnico, dos quais destacam-se os Dr. Paulo César Bhering Camarão, Secretário de Informática do TSE, e mais os Srs. Eng. Paulo Seiji Nakaya, Eng. Guizeppe Janino, Eng. Antonio Ézio Marcondes Salgado e Eng. Oswaldo Catsumi Imamura, que apresentaram palestras ilustradas com recursos audiovisuais.

Compareceram a esta reunião, por parte do Senado, o Eng. Amílcar Brunazo Filho, o Eng. Márcio Coelho Teixeira e o Sr. Christiano de Oliveira Emery, Assessor Administrativo do Sen. Requião.

Ainda compareceram a esta segunda reunião em torno de 20 convidados do TSE, porém nem todos se apresentaram, mas destacamos a presença do Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE, Sr. Fernando Nery, Presidente do Conselho da Módulo, fornecedora de programa (SIS) de controle de acesso da rede do TSE, Sr. Marcos Lallo, Gerente da Procomp, fabricante das urnas e dos programas aplicativos desta, e de um representante do CEPESC, órgão governamental fornecedor do programa denominado "biblioteca de criptografia" utilizada na proteção dos dados contidos no disquete de transmissão dos Boletins de Urna.

A reunião iniciou-se com uma apresentação de 4 (quatro) horas de duração, por parte dos Técnicos do TSE acima citados, onde foram descritas as características de projeto, produção e distribuição da Urna Eletrônica e da Rede de Computadores do TSE, a qual é utilizada no momento da Totalização dos Votos. Após esta apresentação, a maior parte dos convidados do TSE se retiraram, mas destaque-se que o Sr. Marcos Lallo e o representante do CEPESC continuaram presentes à fase de perguntas e respostas que se seguiu.

Nesta segunda fase da reunião, que durou em torno de duas horas, foram elaboradas perguntas pelos representantes do Senado, as quais foram respondidas, todas, pelos Técnicos do TSE.

Como ainda restavam dúvidas e perguntas em aberto, os técnicos do TSE ofereceram-se para esclarecê-las por outras vias, como o contato por telefone ou por mensagens eletrônicas na Internet. Porém esta forma alternativa de contato não prosperou. No dia 20 de Junho de 2000, foi enviada uma consulta por mensagem eletrônica (anexo 9) ao corpo técnico do TSE. Esta consulta não foi respondida até o momento da elaboração deste relatório, por nenhum dos membros consultados, embora no encontro pessoal que ocorreu no dia 30 de Junho seguinte, o recebimento da mensagem foi reconhecido, sendo argumentado que a resposta ainda estava sendo elaborada.

Houve um terceiro encontro entre os dois grupos técnicos, do Senado e do TSE, no Debate Público promovido pela Comissão de Constituição e Justiça da Assembléia Estadual de Minas Gerais, ocorrido no dia 30 de Junho de 2000, no Plenário da Assembléia, coordenado pelo Exmo. Sr. Deputado Rogério Correia (anexo 4).

Compareceram a este debate o Eng. Amílcar Brunazo Filho e Eng. Márcio Coelho Teixeira, assessores do Sen. Requião e, por parte do TSE/TRE-MG, o Dr. Paulo César Bhering Camarão, o Eng. Paulo Seiji Nakaya, o Eng. Antonio Ézio Marcondes Salgado, o Eng. Oswaldo Catsumi Imamura e a Dra. Elizabeth Rezende, Diretora Geral do TRE/MG.

Apresentaram-se também neste debate o Dr. Evandro Luiz de Oliveira, Assessor de Assuntos de Segurança de Informática da Presidência da Empresa de Informática e Informação do Município de Belo Horizonte – PRODABEL, Dra. Maria Luiza de Oliveira, Presidente da Companhia de Processamento de Dados do Estado de Minas Gerais – PRODEMGE e o Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE. Na platéia estiveram presentes o Sr. Frederico Gregório, Diretor da Microbase, e também o Sr. Marcos Lallo, Gerente da Procomp. Ambas empresas são as fornecedoras dos programas denominados Programa Básico e Aplicativo da urna eletrônica.

Este Debate Público durou em torno de 3 (três) horas e foi transmitido ao vivo pela TV Assembléia de Minas Gerais. Constou de apresentações e réplicas de todos os convidados seguido de manifestações de alguns presentes na platéia e de perguntas da platéia e de telespectadores dirigidas aos apresentadores.

---

2. Análise dos argumentos do TSE

2.1 Sobre a desvinculação da identificação do eleitor

          2.1.1 Argumentação básica

A proposta do PLS 194/99 de impedir que a identificação eletrônica do eleitor seja feita na mesma máquina que recebe os votos, para garantir o princípio de Inviolabilidade do Voto, foi muito pouco abordada pelos representantes do TSE durante os encontros e reuniões.

O Ministro Nelson Jobim, falando pelo TSE durante sua apresentação no Senado, no dia 01 de Junho, declarou que "vim preparado para debater o Projeto n.º 194" mas, em nenhum momento, se referiu à proposta de desvinculação da identificação do eleitor, de forma que nenhum argumento contra esta proposta foi levantado.

Os técnicos do TSE, na apresentação que durou seis horas, no Auditório do TSE, no dia 15 de Junho, pouco se manifestaram espontaneamente sobre esta proposta e só a abordaram mais especificamente quando argüidos diretamente sobre ela, já no final da reunião. Esta questão foi tratada durante poucos minutos, dos quais parte foi tomado por nossas descrição de soluções alternativas.

No Debate no Plenário da Assembléia de Minas Gerais, no dia 30 de Junho, novamente os representantes do TSE pouco se manifestaram sobre esta proposta. O Eng. Paulo Seiji Nakaya, em seu pronunciamento, não manifestou oposição explicita à proposta de desvincular a identificação da urna, mas explicou que o programa da urna não está projetado para violar o voto, tendo dito:

          "Do jeito que foi montado o programa da urna não existe nenhuma associação entre o voto e quem vota, existe o contador... Mesmo que eu queira descobrir quem votou em quem, não sei… Existe a contador total, não dá para associar eleitor com candidato."

Apenas o Sr. Moacir Casagrande, fiscal técnico do PT junto ao TSE, manifestou-se explicitamente contrário à proposta do PLS 194/99 e dedicou parte de sua apresentação para este problema.

Os argumentos básicos apresentados para rejeitar a proposta do PLS 194/99 de desvinculação do processo de identificação do eleitor com a máquina que recebe os votos são de que a identificação do eleitor vinculada à urna:

1. dificulta que mesários votem por eleitores faltosos;
2. impede que o eleitor vote por duas ou mais vezes;
3. permite que se crie automaticamente uma relação de eleitores faltosos para atualizar o cadastro dos TREs;
4. não violará o voto, pois o Programa Aplicativo da Urna não reserva espaço na memória para esta finalidade;
5. não violará o voto, pois o Programa Aplicativo da Urna descarta (apaga da memória) o número eleitor e o próprio conteúdo do voto, após incrementar os contadores do candidato votado;
6. não violará o voto, como os fiscais dos partidos poderão conferir, conhecendo os programas da Urna.

          2.1.2 Argumentos corretos

Nenhum dos argumentos apresentados acima, a favor identificação do eleitor vinculada à urna, podem ser considerados integralmente corretos. Possuem erros lógicos ou imprecisões, como analisamos a seguir.

          2.1.3 Argumentos falhos

          Argumento 1 – a identificação do eleitor na urna dificulta que mesários votem por eleitores faltosos;

Apesar de que a urna eletrônica realmente dificulta este tipo de fraude, este argumento está logicamente incorreto pois o motivo alegado (identificação do eleitor) não é a causa real de tal qualidade da urna (dificulta a inserção de votos), constitui-se assim uma incorreção.

Nas eleições tradicionais, um único mesário desonesto que contasse com a omissão ou falha dos fiscais dos partidos e com a distração dos demais colegas mesários conseguiria mais facilmente introduzir votos na urna, pois esta ficava ao seu lado da mesa receptora. Com a urna eletrônica, tal mesário desonesto teria que liberar a urna no microterminal, que está na sua mesa, e ir depositar o voto na urna eletrônica, que fica afastada da mesa e emite sinais sonoros ao ser utilizada. A falha na fiscalização e a distração ou complacência dos outros mesários teria que ser maior para permitir esta fraude.

A liberação da urna, para receber o próximo voto, tem sido feita pela digitação do número do título do eleitor, mas fosse qualquer outra a senha de liberação da urna, ainda assim as dificuldades do mesário fraudar a votação continuariam presentes.

Assim, é por estar afastada da mesa e por emitir sinais sonoros enquanto recebe um voto que a urna eletrônica dificulta que um mesário desonesto deposite votos por um eleitor ausente, e não por que a identificação do eleitor está conectada à urna como sugere o argumento acima.

Também é importante ficar claro que a urna eletrônica atual dificulta mas não impede tal tipo de fraude, ao contrário do que alegou o Sr. Moacir Casagrande do PT, na Assembléia de Minas Gerais, ao falar sobre a possibilidade do mesário colocar votos na urna por eleitores que ainda não compareceram:

          "Com a identificação do eleitor, o mesário não pode fazer isso por que ele não sabe se o eleitor vai vir votar"

Se houver falha na fiscalização, mesários mancomunados poderão liberar a urna digitando números de eleitores que ainda não tiverem comparecido e votar por estes na urna eletrônica. Caso o eleitor compareça mais tarde para votar basta liberar a urna com o número de outro eleitor que ainda não tiver comparecido.

Além disso, a Lista de Votação impressa não é mais utilizada na obtenção ou conferência da relação de eleitores faltosos, conforme será mostrado na análise no argumento 3 a seguir. Se alguma discrepância houver entre a relação de eleitores faltosos gravada na urna eletrônica e a contida na Lista de Votação, esta discrepância não será descoberta pois não é conferida. Desta forma, eventuais "erros" cometidos por mesários desonestos ao manipularem a Lista de Votação, não serão descobertos e a fraude terá sucesso.

O Ofício n.º 547/AssEL-98 do Comandante da Polícia Fazendária – RS, ao Juiz da 33ª Zona Eleitoral do Rio Grande do Sul, de 09 de outubro de 98, anexo 7, mostra um acontecido que sugere ter ocorrido este tipo de fraude. É relatado um caso de um eleitor, Sargento da Brigada Militar, que :

          "… foi impedido de votar pois constava na Urna Eletrônica que o referido sargento já havia votado, porém foi conferido a relação da seção e lá constava o nome do Sargento Paulo Roberto Pimentel, inclusive sem sua assinatura e sem estar destacado o seu comprovante do voto."

Como o cadastro de eleitores que é utilizado para gerar a Folha de Votação impressa é o mesmo que gera a Tabela de Eleitores gravada na Urna Eletrônica, este tipo de problema só pode ter sido causado por que algum mesário leu o número do Sargento Pimentel na Folha de Votação e o usou para liberar a urna para que alguém votasse no lugar do próprio eleitor.

          Argumento 2 – a identificação do eleitor na urna impede que o eleitor vote por duas ou mais vezes;

Este argumento é falso por estar baseado em premissa errada. O eleitor não pode votar repetidas vezes por que a urna trava quando o eleitor completa o seu voto. A liberação da urna para receber mais um voto deve ser feita, como tem sido feita, pelos mesários. Mas nada neste processo impõe que a senha de liberação da urna seja o número do próximo eleitor a votar. Poderia ser qualquer outra senha, fixa ou aleatória.

Assim, da mesma forma que já ocorria no caso do voto tradicional, para votar mais de uma vez na urna eletrônica o eleitor precisa contar com a conivência do mesário. Caso algum mesário estiver disposto a permitir que algum eleitor vote mais de uma vez basta proceder como descrito na seção anterior, liberando a urna com o número de outro eleitor que ainda não tiver comparecido.

          Argumento 3 - a identificação do eleitor na urna permite que se crie automaticamente uma relação de eleitores faltosos para atualizar o cadastro dos TREs;

Este argumento, apresentado pelo Eng. Oswaldo Catsumi Imamura, do TSE inclui uma premissa (a identificação estar CONECTADA à urna) desnecessária à conclusão (a identificação eletrônica permite criar o cadastro) de forma a induzir o ouvinte a erro. Constitui-se assim o que pode-se classificar como uma falácia.

Para gerar tal relação de eleitores faltosos não é necessário que identificação eletrônica do eleitor seja feita CONECTADA à urna. Uma identificação em equipamento desvinculado da urna, como é permitida pelo PLS 194/99, também poderia gerar a desejada relação sem por em risco a inviolabilidade do voto.

Além disso, a tal relação de eleitores faltosos poderia facilmente ser gerada por leitura ótica da Folha de Votação, pelos funcionários dos vários Cartórios Eleitorais, também sem colocar em risco a inviolabilidade do voto.

Lembramos, ainda, que gerar a relação de eleitores faltosos a partir do conteúdo da memória da urna é uma impropriedade técnica, pois pode haver divergências entre esta e a Folha de Votação impressa, como prova o Ofício n.º 547/AssEL-98 (anexo 7). A assinatura do eleitor, que é o comprovante legal da sua presença e comparecimento, está colocada na Folha de Votação, enquanto que a Relação de Eleitores na Urna foi preenchida exclusivamente pelos mesários sem interferência de próprio punho do eleitor e pode conter erros Assim, é a Folha de Votação, que tem valor legal e é mais confiável, que deveria ser usada na geração da relação de eleitores faltosos.

O caso citado no anexo 7 ilustra este problema. Algum eleitor compareceu e votou normalmente, mas o número de identificação, que foi digitado pelo mesário para liberar a urna, foi o de outro eleitor, o do Sargento Pimentel. Aquele primeiro eleitor compareceu, votou e deixou sua assinatura na Folha de Votação mas na memória da urna constou como faltoso. Como é a memória da urna que está sendo erroneamente utilizada para gerar o Relatório de Eleitores Faltosos, tal eleitor foi relacionado como ausente, apesar de ter votado e assinado o comprovante.

          Argumento 4 - a identificação do eleitor na urna não violará o voto, pois o Programa Aplicativo da Urna não reserva espaço na memória para este recurso;

Este argumento, foi apresentado no Debate na Assembléia de Minas pelo Sr. Moacir Casagrande, fiscal do PT junto ao TSE:

          "…pode verificar que não existe nenhuma identificação entre a Tabela de Candidatos e a Tabela de Eleitores para que eu pudesse fazer a identificação de quem o eleitor votou. Eu precisaria ter na Tabela de Eleitores mais 2 campos, seria o número do candidato a prefeito e para vereador. Aí sim, permitiria a identificação do eleitor no microterminal. Como vocês podem observar, não existe esta ligação…"

Trata-se de um raciocínio construído com redundância. Parte-se da hipótese que todos os programas da urna são honestos e não contem vícios, como reservar espaços na memória para a guardar os dados fraudulentos, e conclui que assim a fraude não ocorrerá.

Para se guardar a relação entre voto e eleitor, basta arquivar de forma compactada a posição do candidato escolhido na tabela de candidatos, para cada eleitor. Esta relação ocupa pequeno espaço da memória fixa e poderia ficar guardada, por exemplo, nos muitos espaços ociosos do disquete de transferência de dados.

          Argumento 5 - a identificação do eleitor na urna não violará o voto, pois o Programa Aplicativo da Urna descarta (apaga) o número eleitor e o próprio conteúdo do voto, após incrementar os contadores do candidato votado;

Este argumento, apresentado pelo o Eng. Paulo Seiji Nakaya, do TSE, no Auditório do TSE e na Assembléia de Minas, está errado pelo mesmo motivo que o anterior. É um argumento redundante. Parte da hipótese que todos os programas da urna são honestos e que o voto de cada eleitor é apagado da memória após ser acumulado na Tabela de Candidatos, e conclui que assim a fraude de identificação do voto não poderá ocorrer.

          Argumento 6 - a identificação do eleitor na urna não violará o voto, como os fiscais dos partidos poderão conferir, conhecendo os programas da Urna.

Este argumento, apresentado pelo o Dr. Paulo César Camarão, do TSE, em todos seus pronunciamentos, é negado pela prática. A questão da conferência dos programas da urna pelos fiscais dos Partidos será abordada com mais detalhes no item 2.4 deste relatório, mais adiante, onde será esclarecido que, nas eleições de 96 e de 98, os Partidos não validaram nem certificaram todos os programas das urnas de forma correta, nem tais práticas estão previstas para este ano de 2000.

          2.1.4 Comparação de Riscos e Benefícios

O benefício alegado para o uso da identificação do eleitor em equipamento conectado à urna, tal como diminuir o risco da fraude do mesário inserir votos na urna, deve ser comparado com os outros riscos que tal fato gera.

A identificação vinculada à urna abre brecha para que vícios de programas sejam introduzidos, permitindo a violação sistemática do voto. Esta outra fraude, da violação sistemática dos votos é, então, o novo risco que se corre ao adotar a identificação ligada à urna.

O Potencial de Dano destes dois riscos são bastante diferentes. A possibilidade de violação sistemática do voto compromete totalmente a credibilidade de uma eleição e até do sistema democrático adotado no País. Já o dano à credibilidade do sistema eleitoral causado por alguns mesários desonestos, em seções sem fiscalização, é muito menor.

As Probabilidade de Ocorrência destas duas fraudes distintas é um problema complexo de se avaliar. Os estudos para o cálculo do Valor dos Riscos (ou Mapas de Riscos) envolvidos devem ser feitos pelos projetistas do sistema sob análise e conferidos pelos auditores do mesmo.

Em nossos contatos com os técnicos do TSE e com os fiscais técnicos dos Partidos Políticos, nenhum documento com dados de avaliação dos riscos nos foram apresentados, nem mesmo foram citados existirem. Tudo leva a crer que nunca foram feitos e que a decisão de vincular a identificação do eleitor à urna, sob risco de se permitir a violação sistemática do voto, foi tomada sem avaliação quantitativa, e auditada, do problema.

Convém salientar que em nenhum outro país do mundo existe uma urna, similar à brasileira, onde a identificação do eleitor é feita na mesma máquina que onde este declarará o seu voto.

          2.2 Sobre a auditoria da apuração eletrônica

          2.2.1 Contradições

Ao longo de todos os encontros com os representantes do TSE, com seus contratados ou com Fiscais Técnicos de Partidos Políticos ouviu-se argumentos contraditórios em defesa da urna atual e da não necessidade de auditoria da apuração por meio do voto impresso. Estas contradições confundem a análise e reforçam as dúvidas sobre a real segurança com a urna eletrônica que hoje temos.

          1ª Contradição – Liberação do Programa Básico (Sistema Operacional) para análise

O Ministro Nelson Jobim, em seu discurso no Senado, quando argüido pelo Sen Requião sobre a apresentação dos programas do Programa Básico da urna eletrônica para os fiscais dos partidos políticos, afirmou:

          "…o fato é que a auditagem é posta nos 60 dias anteriores à eleição e os sistemas estão submetidos à apreciação dos partidos…. Todos eles. Tanto o programa fonte como todos os outros. Todos eles estão submetidos a auditagem pelos partidos. Não há dúvida. E se não estivessem, estariam a partir deste momento, mas estão."

Já no Ofício n.º 2.400/00 da Diretoria Geral do TSE (anexo 6), de 29 de Junho de 2000, em resposta à questão 7 da petição apresentada no anexo 5, contradizendo o afirmado pelo Ministro, diz:

          "O Software Básico utilizado nas eleições de 1998 foi instalado na urna eletrônica para apresentação aos partidos políticos, que puderam analisá-lo em funcionamento.

Conforme consta na CONSULTA formulada pelo Sr. Amílcar Brunazo Filho, dirigida à presidência do TSE em 22/05/2000, [‘códigos-compilados’, ou ‘linguagem de máquina’, difíceis de ser analisados mas que são efetivamente colocados nos computadores], ou seja, código-objeto’ é compreendido somente pelo computador, assim não há razão em expô-lo, deve-se apenas garantir sua funcionalidade e segurança.

O código fonte é de propriedade da Empresa Microbase, que possui registro de direitos autorais, garantindo sua funcionalidade e segurança. Cabe lembrar que quando qualquer cidadão adquire um sistema operacional (por exemplo, Windows 95, NT, HP-UX, SUN_OS, etc.) adquire-se o código objeto executável, pois nenhuma empresa fornece o código fonte, que constitui patrimônio e segurança da empresa."

O Sr. Frederico Gregório, diretor e sócio-proprietário da Microbase Informática, fornecedora do VirtuOS, o Sistema Operacional da urna eletrônica, principal componente do Programa Básico, declarou, em intervenção espontânea no Debate na Assembléia de Minas Gerais, algo que confirma a necessidade de auditoria completa:

          "A Microbase teve a oportunidade, no passado, de participar de um projeto grande, junto com o Departamento de Defesa americano, que usa o sistema operacional VirtuOS em 700 unidades – são três mil cópias desse sistema. Nessa oportunidade o governo submeteu o nosso sistema e a uma certificação de segurança de padrão C-2… Nesses procedimentos fica claro que todos os componentes, inclusive a propriedade intelectual de terceiros, são auditados, devem ser auditados. A única consideração que se faz: que o processo de auditoria ele passa pela assinatura de contratos de não divulgação da informação intelectuais…"

O Art. 66 da Lei 9.504 diz:

"Art. 66. Os partidos e coligações poderão fiscalizar todas as fases do processo de votação e apuração das eleições, inclusive o preenchimento dos boletins de urna e o processamento eletrônico da totalização dos resultados, sendo-lhes garantido o conhecimento antecipado dos programas de computador a serem usados."

A contradição entre os argumentos é evidente. O Ministro do TSE entende, como manda o art. 66 da Lei 9.504 e como manda o bom senso, que TODOS os programas da urna sejam mostrados aos fiscais dos partidos. O Diretor da empresa fornecedora do Sistema Operacional da urna declara que mesmo os programas comprados de terceiros devem ser auditados e que o Governo Americano, para comprar apenas 3.000 cópias do seu sistema, exigiu conhecê-lo e auditá-lo internamente.

Já o TSE para comprar mais de 350.000 cópias do mesmo sistema, a serem aplicadas num processo que exige segurança máxima, como é o caso das eleições gerais inclusive para Presidência da República, abre mão desta auditoria. O mais grave é que esta resposta revela que os técnicos do TSE tratam como se fossem iguais, segundo suas próprias palavras, o risco de um ataque fraudulento ao sistema eleitoral e o risco que corre um consumidor qualquer ao comprar um programa para uso pessoal em balcão de loja.

Além disso, ao declarar que não apresenta o Sistema Operacional aos fiscais dos partidos por que "não há razão para expô-lo", o TSE está desprezando uma razão, acima de qualquer argumento de conveniência, que é a Lei.

O fato é que o código do Programa Básico nunca foi apresentado aos fiscais dos Partidos Políticos como nos foi confirmado pelo Sr. Moacir Casagrande, o fiscal-exemplo segundo o Secretário de Informática do TSE.

          2ª Contradição – Separação entre os programadores da urna

O Eng. Paulo Seiji Nakaya do TSE declarou, tanto no Auditório do TSE quanto na Assembléia de Minas Gerais, algo próximo a:

          "O programadores do Sistema Operacional não teriam como preparar o desvio de votos por não terem conhecimento interno do Software Aplicativo (que é responsável pela organização interna dos dados). "

Já o Sr. Frederico Gregório, diretor e sócio-proprietário da Microbase Informática, declarou na sua intervenção espontânea no Debate na Assembléia de Minas Gerais:

          "A Microbase tem contribuído para o projeto das urnas eletrônicas, por duas vezes, como fornecedora de soluções brasileiras especificamente para o sistema operacional das urnas, conhecida pelo nome operacional VirtuOS, e também como parceira da Procomp na confecção dos programas da urna."

Nova contradição evidente. O Técnico do TSE afirma que a segurança contra fraude no Sistema Operacional baseia-se na separação e isolamento entre os programadores deste e do Programa Aplicativo, enquanto o proprietário da empresa fornecedora afirma que sua equipe tem acesso a ambos programas, derrubando todo argumento de que a separação entre programadores garante a segurança da urna.

          3ª Contradição – Conhecimento do Esquema de Segurança pelo Secretário de Informática do TSE

O Dr. Paulo César Camarão é Secretário de Informática do TSE desde 1995 quando se iniciou o desenvolvimento das urnas eletrônicas brasileiras, menos por um pequeno interregno entre setembro de 1996 e meados de 1997 em que esteve afastado. Em entrevista ao Jornal Folha de São Paulo (Caderno Eleições, pg. 5), no dia 23 de setembro de 1998 às vésperas da eleição daquele ano, falando sobre a possibilidade de fraude, declarou o seguinte:

          "… isso não significa que não vá haver tentativas de fraudes. Mas quem for tentar terá de subornar pelo menos uns 30."

Trata-se de uma afirmação grave pois afirma que subornando algumas pessoas poder-se-ia fraudar uma eleição com a urna eletrônica. Na apresentação no Auditório do TSE, no dia 15 de junho de 2000, o Dr. Paulo Camarão espontaneamente ofereceu uma explicação para esta declaração polêmica dizendo(3) que:

          "Na ocasião (out/98) ainda não tinha compreensão correta (ou completa) do esquema de segurança na produção da urna eletrônica e, por isto, tinha dado aquela declaração, que estava errada".

São, sem dúvida, duas declarações contraditórias, mas o mais grave é que não importa qual seja a declaração considerada, ambas revelam fraquezas na segurança da urna eletrônica. Se for aceita a primeira declaração, fica evidente que o sistema é fraudável. Se for aceito o desmentido posterior, ressalta-se que, depois de liderar o desenvolvimento da urna eletrônica por 3 anos, o principal responsável técnico pelo projeto não tinha compreensão clara do seu esquema de segurança.

          2.2.2 Argumentação básica

A proposta do PLS 194/99 de impor a auditoria da apuração eletrônica por meio da impressão do voto, apresentação deste ao eleitor e conferência estatística da apuração, centrou todas as atenções dos representantes do TSE durante os encontros e reuniões que ocorreram.

O Ministro Nelson Jobim, falando pelo TSE durante sua apresentação no Senado, no dia 01 de Junho, utilizou em torno da metade do seu tempo de discurso para demonstrar os problemas advindos da proposta do Sen. Requião.

Os técnicos do TSE, na apresentação no Auditório do TSE, no dia 15 de Junho, e na Assembléia de Minas Gerais, no dia 30 de Junho, dirigiram seus argumentos todos no sentido de criticarem a proposta de impressão do voto.

Os argumentos básicos apresentados para rejeitar a proposta do PLS 194/99 de impor a auditoria da apuração por meio do voto impresso foram de que a impressão do voto:

1. introduz um risco de fraude adicional ao sistema atual, por troca dos votos impressos
2. encarece a urna;
3. provoca aumento no número de urnas com mau funcionamento;
4. é um retrocesso tecnológico;
5. não permite nenhuma técnica de verificação sem que se viole o voto;
6. permite a volta de outras fraudes antigas como o "voto-de-cabresto";
7. permite a ataque destrutivo por quem queira bloquear a votação;
8. fraudar o voto impresso acarretaria a anulação de toda urna;
9. não é necessária, tanto que não houve recursos para recontagem do voto em 96 quando o voto era impresso;
10. não é necessária pois os programadores da urna não tem conhecimento dos números dos candidatos no momento da programação e, assim, não poderiam programar o desvio de votos;
11. não é necessária pois os Partidos Políticos terão conhecimento de todos os programas da urna para avaliá-los e validá-los;
12. não é necessária pois os Partidos Políticos poderão testar as urnas no dia da lacração.
13. não é necessária pois a Norma ISO 15.408 estabelece critérios técnicos para a validação e certificação dos programas da urna.

          2.2.3 Argumentos corretos

Alguns dos argumentos apresentados acima, contrários a impressão do voto como propõe o PLS 194/99, são corretos mas não têm o valor absoluto que se tenta apregoar, como:

          Argumento 1 – a impressão dos votos introduz um risco de fraude adicional ao sistema atual, por troca dos votos impressos;

Ao se adicionar mais um procedimento aos já existentes, como é o caso de acrescer a impressão do voto e o transporte da urna com votos impressos, cria-se mais um ponto de ataque para os fraudadores.

Mas a simples troca dos votos impressos, não permite a construção de um resultado falso que altere a verdade Eleitoral, pois tal ataque só seria eficaz se houvesse fraude idêntica no processo eletrônico de apuração, o que é dificultado por serem técnicas, momentos e lugares totalmente dispares de ataque. Assim, a impressão do voto cria dificuldades adicionais ao atacante, que teria que fraudar dois sistemas bem diferentes entre si, para obter sucesso. Sem a impressão do voto o atacante tem apenas que fraudar o sistema eletrônico.

Caso haja troca dos votos em papel de uma que atenda ao PLS 194/99 sem a correspondente troca dos votos "eletrônicos", apenas se tal urna for escolhida entre as 3% que serão auditadas, é que a fraude poderá se manifestar. Mas, ao ser constatada a diferença entre a apuração eletrônica e a apuração do voto impresso, seria aberto um inquérito e mais outras dez urnas seriam auditadas. Com base no resultado desta nova auditoria o juiz teria mais dados para decidir se considera o resultado da apuração eletrônica ou o da apuração dos votos impressos como o resultado válido. Se for encontrado diferença apenas naquela urna que teve os votos trocados o Juiz eleitoral pode simplesmente desconsiderar os votos impressos e validar o resultado eletrônico.

Assim, o Potencial de Dano deste alegado ataque deve ser estimado na sua devida proporção, pois a situação agora é diferente do caso do sistema tradicional de voto onde se o atacante obtivesse sucesso em trocar os votos de uma urna teria conseguido um ataque dirigido construtivo completo, pois teria desviado com sucesso os votos de aproximadamente 400 a 500 eleitores.

No caso da urna eletrônica com o voto impresso, se o atacante tiver sucesso em trocar os votos em papel de uma urna vinculada a uma urna eletrônica, teria conseguido apenas um ataque destrutivo detectável, que daria trabalho aos auditores, mas cujo efeito de alterar a Verdade Eleitoral seria anulado.

Assim, o Potencial de Danos da troca de votos impressos na urna eletrônica é muito menor e a fraude associada é ineficaz. Ainda que seja correto afirmar que a impressão do voto abre oportunidade de um ataque, é incorreto dizer este tipo de fraude nos leva de volta a mesma situação do passado.

          Argumento 2 - a impressão dos votos encarece a urna;

As urnas eletrônicas atuais já possuem impressoras, mas estas teriam que ser modificadas para se adaptarem à proposta do PLS 194/99. Desta forma novos custos seriam criados.

Mas convém lembrar que seriam custos que visam tornar a apuração mais segura e confiável para o eleitor comum. Já se gastou mais de R$ 600 milhões (em valores corrigidos) para se construir a urna atual que não permite conferência da apuração. Cabe a pergunta: quanto vale torná-la segura?

          Argumento 3 - a impressão dos votos provoca aumento no número de urnas com mau funcionamento;

Mecanismos eletro-mecânicos, como os que seriam introduzidos na nova urna eletrônica compatível com o PLS 194/99, são sujeitos a falhas. Ao acrescer mais um mecanismo na urna temos mais um equipamento para apresentar falhas.

Mas este tipo de problema pode ser contornado por melhoria da qualidade do equipamento e por um plano de contingência adequado que supra equipamentos bons onde alguns falharem. Deve-se lembrar que equipamentos semelhantes funcionam diariamente, 24 horas por dia, nos caixas eletrônicos. A Urna eletrônica deve funcionar apenas 9 horas a cada dois anos.

Como exemplo de que um plano de uso e de contingências adequado pode ajudar a resolver tais problemas de impressoras que "engripam" lembramos que, como foi informado pelo Sr. Paulo César Camarão, uma grande parte das falhas que houveram com as impressoras em 1996 se deveu ao fato da bobina de papel ter sido colocada na máquina muitos dias antes do dia da votação, permitindo que absorvesse umidade e alterasse suas dimensões e flexibilidade. Este problema poderia ser em muito atenuado, colocando-se a bobina de papel na urna durante a sua inicialização no dia de votação.

          2.2.4 Argumentos falhos

Os demais argumentos apresentados acima, contrários a impressão do voto como propõe o PLS 194/99, podem ser contraditados por estarem errados, como:

          Argumento 4 - a impressão dos votos é um retrocesso tecnológico;

Este argumento foi apresentado pelo Ministro Nelson Jobim, em seu discurso no Senado, quando disse:

          "Quero dizer a V. Exªs, em nome do Tribunal Superior Eleitoral, que a experiência do Tribunal demonstra claramente que a introdução desse sistema paralelo viabiliza a retomada de uma velha experiência, de uma longa experiência do processo eleitoral brasileiro.

O que precisamos é exatamente otimizar o sistema eleitoral para o informatizado. Se há problemas, vamos discuti-los. Agora não vamos pretender ser regressistas para trazermos de volta a viabilidade de uma longa experiência de fraudes no sistema eleitoral brasileiro."

Também foi dito pelo Eng. Oswaldo Catsumi Imamura, do TSE, que "usar papel para auditoria era voltar a técnicas de auditoria de 80 anos atrás" e que "hoje existem normas técnicas internacionais, como a ISO 15.408, para validação e certificação de softwares que dispensam o uso de papel na auditoria".

Este conjunto de argumentos parecem evidentes mas contem apenas conclusões subjetivas sem fundamentação técnica.

O uso de comprovante impressos está presente em inúmeros processos informatizados em todo o mundo, como nos comprovantes bancários, nas notas fiscais impressas que a Receita Federal exige, e até no próprio processo eleitoral brasileiro através do Boletim de Urna.

O Boletim de Urna impresso, exigido por Lei, é a principal defesa do eleitor contra fraudes informatizadas na Totalização dos Votos, como ficou inequivocamente demonstrado no famoso Caso Proconsult em 1982, relatado em artigo pelo jornalista Procópio Mineiro (anexo 10) que foi o responsável direto pela descoberta daquela fraude. Apenas e tão somente por que existiam os Boletins de Urna impressos, que viabilizavam a conferência externa, foi possível se detectar a fraude que estava em andamento dentro do processo eletrônico.

Já, a citada norma técnica ISO 15.408, que será abordada mais profundamente no item 2.3 adiante, é uma norma que estabelece critérios de avaliação da segurança em sistemas informatizados. Ela nada fala sobre o uso de papel ou não em auditoria, apenas estabelece como se deve proceder a avaliação de sistemas, com ou sem material impresso de controle, para que se possa compará-los em termos de segurança. Um sistema que utilize controles impressos pode, perfeitamente, obter melhor classificação de segurança que um sistema como a urna atual.

Por isto este argumento 4 é inválido, visto utilizar juízos de valor estritamente subjetivos e nada técnicos.

          Argumento 5 - a impressão dos votos não permite nenhuma técnica de verificação, sem que se viole o voto;

Este argumento foi apresentado pelo Ministro Nelson Jobim, em sua peroração no Senado:

          "Todavia, Senador, há uma diferença fundamental entre a contabilidade dos cartões de crédito e as eleições, de natureza absolutamente confidencial: o sigilo do voto é absoluto; o do cartão de crédito não.

          Pode V. Exª, podemos todos abrir e discutir: "Está aqui o meu cartão de crédito, com essa atualização". Quanto ao voto, no momento em que se fizer isso, nós o anulamos. Ou seja: o voto não permite nenhuma técnica de verificação."

Para construir este raciocínio o Ministro atribuiu valores diferentes para comparar situações idênticas. O eleitor tem todo o direito e poder de conferir o próprio voto e é exatamente o que faz ao digitar a tecla "confirma" na urna eletrônica atual. Se o TSE aceita que o eleitor funcione como fiscal do próprio voto para validar o conteúdo da tela da urna por que argumenta que ato idêntico não possa ser feito como o voto impresso?

          Argumento 6 - a impressão dos votos permite a volta de outras fraudes antigas como o "voto-de-cabresto";

Este argumento foi apresentado pelo Ministro Nelson Jobim, no debate no Senado:

          "…no momento em que se introduzir uma votação paralela de urnas convencionais, no sentido de se pretender que essa urna convencional possa checar os resultados da urna eletrônica, haverá a possibilidade de, pela via transversa da urna convencional, introduzirmos para dentro do sistema da urna eletrônica o sistema de "carreirinha", de "carretilha", de "voto-marmita", de todos aqueles mecanismos que conhecemos."

Este argumento ficou comprometido por ter partido de premissa discutível.

O Ministro interpretou que o texto do PLS 194/99 impunha que o voto impresso seria entregue na mão do eleitor, o que abriria oportunidade para várias fraudes praticadas com o voto tradicional. Mas tal imposição não está expressa no projeto de Lei e o Sen. Requião deu outra interpretação a seu próprio texto, dizendo:

          "A cédula que propomos não é acessível pelo eleitor. É uma cédula que leva a assinatura do Presidente da Mesa. Com essas cédulas assinadas, o Presidente da Mesa carrega a máquina. A partir disso, ele não põe a mão na cédula, nem o eleitor. Ela apenas é visível para o eleitor. Ele então confere o voto na tela do computador com o voto impresso na cédula. Quando há necessidade de cancelamento, não é o Presidente da Mesa quem cancela; é o eleitor quem cancela ou confirma o seu voto, no caso de a cédula estar correta. Então, não existe o problema da manipulação nem pela Mesa nem pelo eleitor, o que já inviabiliza a tese do voto de carreira."

Ao final do debate o Sen. Requião concordou que o texto do PLS 194/99 poderia ser retificado em Plenário durante a votação, para impedir a interpretação dada pelo Ministro Jobim, mas que continuasse a impressão do voto como forma de se auditar a apuração.

          Argumento 7 - a impressão dos votos permite a ataque destrutivo por quem queira bloquear a votação;

Este argumento, de que o eleitor poderia interromper a votação bastando alegar repetidas vezes que o voto impresso não corresponde ao votado, foi apresentado pelo Min. Jobim, no Senado e pelo Sr. Paulo César Camarão na Assembléia de Minas Gerais.

Sua conclusão esta errada, pois o problema alegado não é criado pela impressão do voto.

Este tipo de ataque pode ocorrer em qualquer sistema de votação como na urna eletrônica atual (sem impressão do voto), onde o eleitor pode alegar que na tela da urna aparece um candidato diferente do escolhido, e até com o sistema tradicional de voto, com o eleitor pedindo novas cédulas para votar alegando erro no preenchimento, direito do eleitor assegurado pelo Inciso XIII, Art. 146 do Código Eleitoral. É um ataque raro (baixa Probalidade de Ocorrência) e pouco eficaz (baixo Potencial de Dano) que sempre foi resolvido pelos mesários durante a votação. Não há motivo para acreditar que será diferente com a urna eletrônica que imprime o voto e não é argumento válido que justifique o impedimento de conferir a apuração.

          Argumento 8 – fraudar o voto impresso acarretaria a anulação de toda urna;

Este argumento foi apresentado pelo Min. Jobim, no Senado:

          "E mais: se eu, membro de um partido anarquista, resolver implodir um processo eleitoral, o que faço? Fraudo a urna convencional, porque a fraude na urna convencional invalidará a urna eletrônica, e aí haverá a invalidação do processo eleitoral."

Este argumento está incorreto, resultado de um entendimento errado do processo de checagem proposto no PLS 194/99.

Como foi dito no item 2.2.3, ao ser constatada a diferença entre a apuração eletrônica e a apuração do voto impresso, mais outras dez urnas seriam auditadas. Com base no resultado desta nova auditoria o juiz teria dados para decidir se considera o resultado da apuração eletrônica ou o da apuração dos votos impressos como o resultado válido. Se for encontrado diferença apenas naquela urna que teve os votos trocados o Juiz eleitoral pode simplesmente desconsiderar os votos impressos e validar o resultado eletrônico.

Assim, este é um ataque que sempre será detectado e corrigido, cujo efeito de alterar a Verdade Eleitoral será nulo.

          Argumento 9 - a impressão dos votos não é necessária, tanto que não houve recursos para recontagem do voto em 96 quando o voto era impresso;

Este argumento foi apresentado pelo Sr. Camarão, no TSE e em Minas, e pelo Min. Jobim no Senado:

          "… a Lei n.º 9.100, que foi relatada na Câmara dos Deputados e no Senado, previa a impressão do voto. A experiência das eleições municipais realizadas em 1996, quando o sistema foi utilizado, demonstrou a sua absoluta inutilidade."

É um raciocínio onde as premissas foram distorcidas induzindo uma conclusão falsa.

Não é verdadeira a premissa de que em 1996 a impressão dos votos servia para a conferência da apuração. Como deixou claro o Eng. Nakaya no TSE e na Assembléia de Minas Gerais, ao descrever as alterações na urna de 96, e como se lê no livro "O Voto Informatizado: Legitimidade Democrática" ([2], Camarão, 1997, pg. 81, item 4):

          "A Comprovação Física do Voto acrescenta custos à solução, porém é considerada como uma forma de garantir a continuidade do processo de votação em caso de pane que torne o hardware inoperante, assegurando inclusive a contabilização dos votos registrados antes da paralisação do hardware…"

Assim, em 1996 o voto do eleitor na urna eletrônica era impresso com a finalidade de impedir a perda dos votos no caso de pane na urna. Mas este voto impresso não era mostrado para a conferência do eleitor, de forma que não tinha nenhum valor como documento técnico para auditoria por falta de confiabilidade.

Além disso, a legislação da época não previa nenhum caso no qual candidatos ou partidos pudessem pedir a recontagem da apuração eletrônica para efeito de conferência do resultado eletrônico, ou seja, aquele voto impresso também não tinha valor legal como documento de auditoria.

Não havendo condições legais e não havendo documentos técnicos adequados para auditoria é de se esperar que não houvessem recursos neste sentido. A proposta do PLS 194/99 justamente cria o voto impresso como um documento tecnicamente válido para a auditoria e estabelece as condições legais em que este documento poderá servir na conferência da apuração eletrônica.

          Argumento 10 - A conferência da apuração pelo voto impresso não é necessária pois os programadores da urna não tem conhecimento dos números dos candidatos no momento da programação e, assim, não poderiam programar o desvio de votos;

Este argumento foi repetido diversas vezes pelo Eng. Paulo Seiji Nakaya, no TSE e na Assembléia de Minas Gerais, tendo dito:

          "Nesta hora (da geração do Flash de Carga alguns dias antes da eleição) associamos o aplicativo da eleição com tabelas de candidatos. Até este momento nós não sabemos quem são os candidatos, quantos são os candidatos. O TSE não sabe quem são os candidatos.

Quem faz o programa, existe uma estrutura naquele instante, é associado programas com candidatos. Não adianta quem fez o programa tentar colocar alguma coisa estranha no meio do caminho por que ele não sabe para quem direcionar o voto.

Não tem cabimento afirmar que poderá estar armado um "Cavalo de Tróia" no sistema operacional ou qualquer outra parte. Que para mim armar alguma coisa é preciso saber para quem. Eu não sei quem! Não dá para fazer isto"

Esta é simplesmente uma informação incorreta.

Os programas das urnas são apresentados aos partidos políticos 60 dias antes do dia de votação e são carregados nas urnas em torno de uma semana antes da votação. Os números dos candidatos são definidos 90 dias antes da votação e mesmo antes disso são conhecidos pelo público os números dos partidos e dos principais candidatos majoritários. De forma que há tempo disponível para que um fraudador dos programas possa prepará-los para desviar votos de forma dirigida.

Mesmo para eleições proporcionais seria possível se preparar fraudes nos programas aplicativos, baseando-se nos números dos partidos, que são de conhecimento prévio por todos, ou reservando-se certos números para levarem vantagem na apuração.

          Argumento 11 - A conferência da apuração pelo voto impresso não é necessária pois os Partidos Políticos terão conhecimento de todos os programas da urna para avaliá-los e validá-los;

Este é o argumento mais utilizado por aqueles que não querem que se faça a conferência da apuração eletrônica pelo voto impresso. Foi citado em todas as oportunidades por todos os representantes do TSE. Também aparece em todos os comunicados públicos proveniente do TSE e dos TRE, quando se fala sobre a segurança da urna eletrônica.

Mas também é uma afirmação incorreta.

Como já foi abordado no item 2.2.1 - 1ª Contradição, e como se vê na resposta à questão 7 do Ofício n.º 2.400/00 da Diretoria Geral do TSE (anexo 6), em 96 e em 98 o Sistema Operacional (VirtuOS) não foi apresentado para a análise dos fiscais dos partidos. Apenas foi demonstrado em funcionamento.

Também há uma outra parte do programa da urna que não é apresentada pelo TSE para análise dos fiscais dos partidos políticos que é chamada "Biblioteca de Segurança". Esta Biblioteca, que é trocada a cada eleição, é produzida pelo CEPESC, que é uma Secretaria da Presidência da República especializada em Segurança de Informações. O Min. Jobim assim justificou a não apresentação desta parte dos programas:

          "A questão do sigilo, portanto, redunda naquilo que tem que ser sigiloso, salvo se V. Exª estiver propondo que não haja o sistema de criptografia para garantir o sigilo das informações"

Estes programas que, contrariando o Art. 66 da Lei 9.504, não são apresentados para análise dos partidos políticos, poderiam conter vícios que levem a fraudes eleitorais. A mesma situação está prevista ocorrer em 2000. Além disso, nenhum fiscal de partido certificou se os discos de carga das urnas continham o mesmo programa que foi analisado.

          Argumento 12 - a impressão dos votos não é necessária pois os Partidos Políticos poderão testar as urnas no dia da lacração.

A construção lógica deste argumento está correta mas ele falha por que o teste que é feito no dia da carga e lacração das urnas contêm vício técnico intrínseco que o torna inválido.

Em 96 e em 98 cada urna escolhida pelos fiscais dos partidos para ser testada era recarregada, antes do teste, com um programa especial para o teste. Depois do teste, o programa de votação era, então, recolocado na urna. Desta forma, em nenhum momento o programa aplicativo de eleição foi testado efetivamente. A mesma situação está prevista ocorrer em 2000.

No anexo A1 do pré-edital de concorrência da Urna Eletrônica de 2000, divulgado pelo TSE, fica claro a existência de um programa aplicativo específico para a simulação (teste), além dos aplicativos para eleição propriamente dito.

          Argumento 13 - A conferência da apuração pelo voto impresso não é necessária pois a Norma ISO 15.408 estabelece critérios técnicos para a validação e certificação dos programas da urna.

Este argumento foi apresentado pelo Eng. Oswaldo Catsumi Imamura, na sua palestra no TSE. Parece-se mais como eu tentativa de desviar a atenção do foco da discussão, de uma tergiversação.

A Norma ISO/IEC 15.408, que será analisada com mais detalhes na seção 2.3 adiante, foi emitida em Dezembro de 1999, sua antecessora era uma versão experimental de Outubro de 1997. Ela define critérios para a avaliação da segurança de sistemas informatizados. É uma norma complexa de ser aplicada e não basta ser utilizada pelos produtores do sistema, o TSE no caso. Como ela mesmo indica, teria que ser aplicada, necessariamente, pelos auditores do sistema, os fiscais dos partidos políticos. O Sr. Moacir Casagrande, assessor técnico do PT, que acompanhou e fiscalizou o desenvolvimento das urnas eletrônicas desde 1996, revela que nunca foi solicitado a avaliar as urnas segundo tal norma.

Além disso, a Norma 15.408 não estabelece em nenhum momento que sistemas informatizados com auditoria por documentos impressos sejam melhores ou piores que sistemas puramente digitais. O procedimento que a norma propõe é que tais alternativas sejam descritas e avaliadas segundo critérios bastante completos e abrangentes de forma a permitir uma comparação do nível de segurança oferecido por cada alternativa. Nenhum estudo deste tipo foi nos oferecido para análise ou para a análise aos fiscais dos partidos.

          2.2.5 Comparação de Riscos e Benefícios

Os argumentos usados por aqueles que são contra a impressão do voto para efeito de conferência da apuração eletrônica que não estão totalmente errados defendem que esta impressão cria uma série de riscos, todos de baixo Potencial de Dano. Normalmente são riscos ou ataques destrutivos localizados com baixo poder de alterar a Verdade Eleitoral como: a quebra de impressoras; o atraso na votação em alguma seção ou aumento do trabalho de conferência.

Já a conferência da apuração eletrônica pela impressão do voto, como propõe o PLS 194/99, visa diminuir a Probabilidade de Ocorrência de um risco de altíssimo Potencial de Dano, que é se viciar os programas das urnas para adulterar a Verdade eleitoral até de votações majoritárias.

Assim, não é adequado dizer que a possibilidade de ocorrência de fraudes de pequeno efeito justifiquem a eliminação da defesa contra uma fraude de enorme proporção sem se apresentar estudos bastantes convincentes para isto.

          2.2.6 Um contra-argumento jurídico

Além de todo argumento técnico que foi até agora abordado, a respeito da necessidade da conferência da apuração pela impressão do voto, o Procurador da República Dr. Celso Antônio Três escreveu uma carta, que pode ser vista no anexo 8, onde analisa sob estrito ângulo legal, esta mesma questão, de forma que confiabilidade do sistema possa ser compreendida por um cidadão comum mediano, que não possua conhecimentos especializados.

Resumidamente, a interpretação do procurador é que:

          "A essência do debate não localiza-se na segurança do engenho informático. Mesmo que a ciência pudesse asseverar a absoluta invulnerabilidade - sabidamente não pode -, a cidadania não estaria plenamente contemplada.

A transparência da soberania popular exercida pelo cidadão no Estado Democrático de Direito perfectibiliza-se tão somente quando o eleitor, de per si, por mero uso de suas faculdades, possa fiscalizar a fiel observância do seu voto. A Justiça Eleitoral, Ministério Público, Partidos Políticos, demais candidatos, etc., são apenas co-interessados nessa lisura. Porém, o cidadão - porque titular exclusivo de um direito constitucional público subjetivo - é que deve estar apto a sindicar o processo eleitoral. Para isso, faça-se o que necessário for, a exemplo da impressão material (não apenas virtual) das cédulas.

É o cidadão titular de um direito inalienável e pessoal de defesa. Assim os termos processuais devem ser consignados de forma a permitir-lhe o mais absoluto controle, segundo as faculdades rotineiras do "homo medium".

Portanto, de todo distorcida a dialética que restringe à confiabilidade técnica da apuração."

          2.3 A norma ISO 15.508

A Norma Técnica Internacional ISO/IEC 15.408 [14], de Dezembro de 1999, estabelece Critérios de Avaliação da Segurança no âmbito da Tecnologia de Informação. Esta norma vem sendo desenvolvida desde 1990 e sua primeira versão experimental, oficial da ISO, data de abril de 1996. Uma segunda versão experimental foi publicada em outubro de 1997.

Pelo Item 3.2, Part. 1 desta norma, seu objetivo é fornecer aos projetistas, aos auditores e, principalmente, aos usuários de sistemas informatizados condições de poder comparar a segurança de sistemas diferentes para se poder escolher o que mais atende as necessidades.

É uma norma bastante complexa que envolve, na sua aplicação, não apenas uma empresa e seus engenheiros, mas sim toda uma comunidade econômica, pois a avaliação de cada sistema parte de padrões gerais, chamados de Perfil de Proteção, que devem vir definidos de fora do âmbito das empresas envolvidas no fornecimento de dado produto. Normalmente devem provir de entidades governamentais ou comunitárias.

Também após o término da avaliação de um produto ou sistema, feita de acordo com a ISO 15.408, este ainda deverá receber sua certificação por entidades, externas ao conjunto de fornecedores e usuários, criadas e preparadas para tal finalidade, pois a ISO 15.408 (Part. 1, Scope, Item D) declara textualmente que não é uma norma de certificação, é apenas de avaliação.

Assim, a aplicação desta norma é tanto precedida quanto seguida de atividades feitas por entidades comunitárias especializadas, de forma que não é só o TSE, por exemplo, que deve se preparar para aplicar a Norma ISO 15.408 à urna eletrônica. Também os Partidos Políticos teriam que contratar engenheiros especializados para acompanhar desde o projeto até a implantação, passando pela construção de todos os componentes da urna eletrônica pois, antes de um sistema ser avaliado, todos os seus componentes devem também ser avaliados e certificados, resultando numa "cascada" de certificações.

Sistemas de Alto Risco, como deveria ser classificada a urna eletrônica se houvesse, no Brasil, algum órgão ou entidade técnica já habilitada a fazer esta classificação, tem seus sistemas avaliados com muito rigor e para se adequar a avaliação da urna eletrônica brasileira à norma ISO 15.408 demoraria anos. A França demorou quase 10 anos para validar e certificar um sistema informatizado de controle de reatores nucleares, considerado Sistema de Alto Risco, seguindo critérios rigorosos semelhantes aos que são descritos na Norma ISO 15.408.

Mas, o mais importante que se obtém de uma análise da norma com relação a seu uso na avaliação da urna eletrônica, são dois procedimentos sugeridos:

1. Um produto ou sistema deve ter sua segurança avaliada segundo os critérios da norma e receber uma certificação segundo critérios prévios estabelecidos por entidades comunitárias ou governamentais, ANTES de ser preparado, comprado e posto para operar.
2. A norma nada diz contra ou a favor do uso de documentação impressa pelo sistema sob avaliação. Apenas sugere que sistemas diferentes sejam avaliados sob os mesmos critérios propostos pela norma e, depois de avaliados formalmente, sejam julgados por suas qualidades e defeitos apontados.

Nenhuma destas duas recomendações foram seguidas durante a construção e operação das urnas brasileiras de 1996, 1998 e de 2000.

A definição do uso e a fabricação das urnas foi contratada antes de se apresentar os seus projetos e programas para avaliação e aprovação pelos fiscais dos partidos políticos. Estes só terão conhecimento de parte dos programas-fonte utilizados na urna 60 dias antes da eleição, quando todo o processo de implantação e operacionalização da eleição informatizada já está em pleno andamento e comprometido de forma irreversível. Não será mais possível se suspender o fornecimento das urnas ou o seu uso durante as próximas eleições, caso algum item de projeto for rejeitado, sem provocar grande confusão e perdas de verbas já gastas.

Não é assim que se procede, por exemplo, nos estados americanos que aceitam o uso de urnas eletrônicas. As legislações dos Estados Americanos da Virgínia (§ 24.2-629, linha D) e Massachusetts (Chapter 54, Section 32), deixam claro que primeiro os equipamentos de votação eletrônica devem ser aprovados por comissões de órgãos dos governos estaduais, a quais não têm prazo para apresentar seus relatórios, e somente depois desta aprovação é que poderão ser encomendados e comprados por órgãos municipais para serem utilizados em eleições.

Já quanto ao comprovante impresso do voto conferido pelo eleitor que existiam nas propostas de urnas originais do TRE/RS-UFRS, do TRE/MG-IBM, do TRE/MT-IBM e que, segundo Camarão [2, pg. 72 e 77], constava do Anteprojeto de Lei proposto pela Comissão de Informatização de 1996 do TSE ao Congresso Nacional, foi eliminado sem nenhum estudo comparativo de avaliação que tenha sido apresentado à sociedade ou aos Partidos Políticos.

          2.4 A fiscalização dos Partidos

Uma série bem grande de falhas na segurança da eleitor com o programa da urna eletrônica provêm de despreparo ou omissões dos partidos políticos que têm, segundo o Código Eleitoral, o direito e o dever de fiscalizar todo o processo eleitoral.

Segundo o Ministro Jobim (anexo 3) o TSE não pode ser responsabilizado pela falta de preparo ou de interesse dos partidos em fiscalizarem o processo eleitoral. Assim se os programas das urnas não foram validados e certificados com correção, se os fiscais dos partidos não estão habilitados a usarem as normas técnicas adequadas, o problema não seria de responsabilidade do TSE.

Como o Sr. Paulo César Camarão afirmou na Assembléia de Minas Gerais e em seu livro [2], o TSE decidiu em 1994 desenvolver a urna eletrônica com o principal objetivo de acabar com as fraudes que ocorriam no sistema tradicional de votos. As fraudes que foram eliminadas ou dificultadas com a urna eletrônica são, todas elas, advindas de falhas na fiscalização.

Se os fiscais dos partidos falhassem no acompanhamento :

• dos mesários – estes poderiam induzir o eleitor ou votar por eleitores faltosos;
• do transporte da urna – fraudadores poderiam trocar os votos das urnas;
• dos escrutinadores – estes poderiam adulterar os votos;
• do preenchimento dos BU – este poderia ser adulterado.

Assim se vê que o TSE tomou uma posição ativa para resolver problemas resultantes do despreparo ou desatenção dos fiscais dos partidos. Mas a solução adotada apenas transferiu a esfera de fiscalização para outro nível muito mais sofisticado.

No sistema tradicional, os fiscais deveriam ter capacidade de acompanhar mesários, o transporte das urnas e os escrutinadores, que são atividades bastante simples bastando pouco preparo para se ter um fiscal apto. E, ainda assim, falhavam. O Caso Proconsult (anexo 10) é um bom exemplo, pois a conferência da totalização foi feita por uma pequena equipe de estagiários de jornalismo usando calculadoras que acabaram detectando uma fraude que estava passando por baixo dos olhos dos fiscais dos partidos.

Com a urna eletrônica, os fiscais devem ser especialistas em informática e em segurança de dados. Mesmo os fiscais "de campo", que deveriam conferir se as cargas das urnas estão sendo feitas com discos não adulterados, deveriam receber treinamento técnico em informática. O conhecimento adequado da norma ISO 15.408, por exemplo, demanda cursos específicos. O trabalho de fiscalização é muito técnico, difícil e até arriscado pois pequenos erros na fiscalização podem levar a fraudes gigantescas que distorçam até o resultado da eleição para Presidente da República.

Desta forma, a urna eletrônica complicou e aumentou bastante as dificuldades de fiscalização pelos partidos e não é correto se afirmar que o TSE não pode ser responsabilizado por este problema, pois foi o TSE que iniciou o processo de sofisticar a fiscalização sem prever uma preparação ou treinamento para os partidos e seus fiscais

---

3. Conclusão

Da análise dos procedimentos que foram praticados durante o projeto, fabricação, operação e fiscalização externa das urnas eletrônicas brasileiras, nos anos de 1996, 1998 e 2000, fica evidente que houver grandes falhas na segurança do sistema eleitoral informatizado contra ataques dirigidos, que objetivem viciá-lo.

Principalmente a parte relativa a fiscalização externa está eivada de falhas e omissões que acabam por reduzir a confiabilidade do sistema eleitoral informatizado brasileiro à confiança das pessoas envolvidas na sua produção.

Não se efetuaram validação, certificação e testes de forma adequada e confiável. A validação foi incompleta pois parte dos programas das urnas não são conhecidos pelo TSE e não são apresentados aos fiscais dos partidos. A certificação de que os discos de carga continham o programa validado, simplesmente não foi feita por nenhum partido político, além do que certificar 350.000 urnas, ainda que seja de forma estatística, é uma tarefa de proporção incompatível para a capacidade de fiscalização dos partidos. Já os teste públicos são irregulares pois se altera o conteúdo da máquina sob teste antes e depois.

          O projeto do sistema, que não permite que se faça conferência da apuração eletrônica, não foi aprovado segundo critérios técnicos estabelecidos A norma ISO/IEC 15.408, seja versões as suas versões experimentais ou a atual versão definitiva, nunca foi utilizada para a avaliação do sistema, especialmente pelos fiscais dos partidos, que simplesmente a ignoram. Nenhum estudo dos riscos envolvidos com a eliminação da possibilidade de conferência da apuração foi apresentado ou previamente debatido em público ou no meio acadêmico, ao menos.

Todas estas condições, aliadas ao argumento de natureza jurídica de que eleitor brasileiro tem o direito de compreender, por si mesmo, o processo que garante a integridade a confiabilidade do seu voto, citado no item 2.2.6, levam a conclusão deste trabalho no sentido que:

          Se deve corrigir o projeto da urna eletrônica brasileira para garantir a inviolabilidade do voto e para tornar possível a conferência e auditoria da apuração.

Tornando-se impossível a violação do voto e possível a conferência da apuração tornar-se-ão muito menos rigorosas as exigências de validação e certificação prévias a serem feitas pelos fiscais dos partidos, aumentando a tolerância do sistema contra falhas na fiscalização.

Para a implementação destes dois pontos recomenda-se:

1. Garantir a inviolabilidade do voto pelo impedimento de que a identificação do eleitor seja feita na mesma máquina que o eleitor deposita o seu voto.
2. Tornar possível a auditoria e conferência da apuração por meio da impressão do voto, o qual deverá ser mostrado ao eleitor para ser aprovado antes de ser depositado automaticamente, sem manipulação pelo eleitor, numa urna convencional, das quais uma parte será usada numa conferência estatística da apuração.

O PLS 194/99 atende de forma adequada a recomendação 1, acima.

A recomendação 2 também é atendida pelo PLS 194/99 mas a sua atual redação permitiu interpretações ambíguas, de forma que sugere-se que os §4, §5 e §8 do Artigo 59 da lei 9.504, criados pelo PLS 194/99, ganhem a seguinte redação:

          Art. 59. .........................................................

§ 4º A urna eletrônica imprimirá o voto em papel que será apresentado para conferência visual do eleitor, que o confirmará como voto válido para ser depositado automaticamente em urna convencional, se não reclamar de qualquer divergência de dados entre a tela da urna e o voto impresso.

§ 5º Se ao conferir o seu voto impresso, o eleitor não concordar com os dados, poderá cancelar o seu voto e repetir a votação. Caso persista a divergência entre os dados da tela da urna eletrônica e o voto impresso, a urna será submetida a teste por, pelo menos, dois fiscais de diferentes partidos ou coligações concorrentes, os quais, se verificarem a existência do problema, solicitarão ao Presidente da Mesa que comunique imediatamente ao juiz eleitoral da respectiva zona para tomar as medidas cabíveis à continuação da votação e providenciar a abertura do competente inquérito criminal para apurar o fato e punir os infratores.

§ 6º …

§ 7º …

§ 8º A ocorrência de diferença entre a contagem eletrônica dos votos e a recontagem dos votos impressos será resolvida pelo juiz eleitoral da respectiva zona. Para cada urna recontada que for constatada discrepância com o resultado da contagem eletrônica outras dez terão os seus votos impressos recontados manualmente, observada a escolha das urnas do parágrafo anterior. Com o resultado desta nova recontagem, o juiz eleitoral decidirá qual do resultados divergentes, o eletrônico ou o manual, deverá ser considerado válido e qual será anulado.

---

          Notas

1. ^{Apesar desta apresentação ter sido filmada em vídeo e taquigrafada, os esforços do Assessor Administrativo do Sen. Requião, Sr. Christiano de Oliveira Emery, em obter cópia destes documentos junto ao TSE, não obteve êxito, de forma que o autor recorreu às próprias anotações.}
2. ^{As notas taquigráficas do Debate Público na Assembléia de Minas ainda não estavam disponíveis no momento da elaboração do presente relatório.}
3. ^{Como já foi dito, apesar dos esforços em obter uma cópia das fitas gravadas durante esta apresentação no TSE, o autor não teve sucesso e a citação apresentada foi retirada das anotações pessoais.}

---

          Anexos

Os anexos referidos a seguir podem ser obtidos em um arquivo em formato ZIP, disponível no seguinte endereço: http://www.votoseguro.org/arquivos/avaliacao.zip

Anexo 1 – Projeto de Lei do Senado PLS 194/99
          Anexo 2 – Programa da 22ª Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, do dia 01 de Junho de 2000
          Anexo 3 – Ata da 22ª Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, do dia 01 de Junho de 2000
          Anexo 4 – Programa do Debate Público promovido pela Comissão de Constituição e Justiça da Assembléia Estadual de Minas Gerais, do dia 30 de Junho de 2000
          Anexo 5 – Petição de Amílcar Brunazo Filho ao Exmo. Sr. Presidente do TSE, Ministro José Néri da Silveira, em 22 de Maio de 2000
          Anexo 6 – Ofício n.º 2.400/00 da Diretoria Geral do TSE em resposta à Petição do anexo 5, de 29 de Junho de 2000
          Anexo 7 – Ofício n.º 547/AssEL-98 do Comandante da Polícia Fazendária – RS, ao Juiz da 33ª Zona Eleitoral do Rio Grande do Sul, de 09 de outubro de 98
          Anexo 8 – Carta do Exmo. Sr. Procurador da República, Dr. Celso Antônio Três, dirigida ao Sen. Roberto Requião, em junho de 2000
          Anexo 9 – Consulta por correio eletrônico feita ao corpo técnico do TSE em 20 de Junho de 2000
          Anexo 10 – Artigo "Proconsult – Um Caso Exemplar", de Procópio Mineiro, publicado na revista Cadernos do Terceiro Mundo, Ed. Terceiro Milênio, Abril/Maio/2000.