http://www.pedro.jmrezende.com.br/sd.htm > Urna-e : na mídia

O Seu Voto Conta Mesmo?

para publicação no Observatório da Imprensa

Prof. Pedro Antonio Dourado de Rezende
Depto. de Ciência da Computação
Universidade de Brasília
Abril de 2014



Em janeiro deste ano o jornal O Globo publicou matéria opinativa de um advogado e ex-ministro da Cultura, Luiz Roberto Nascimento Silva, que questionava: "Nosso sistema de votação é seguro?", Isto provocou um debate público com réplica do Corregedor Regional Eleitoral do Rio de Janeiro e tréplica de um colunista da revista Veja. Mencionando pulga atrás da orelha e reiterando a questão original, a tréplica revisitava o que fora esquivado na réplica: por que só nós no mundo democrático votamos assim? Como fui citado nas tres ocasiões, cabe-me dirimir dúvidas e tentar esclarecer lacunas referentes a minha participação, inicialmente involuntária, nesse importante debate. Para isso, refraseio com menor ambiguidade, no título deste artigo, a pergunta que não quer calar, e nele cito extensamente a réplica do Corregedor, com amparo no inciso III do art. 46 da Lei 9.610/98, como roteiro necessário e adequado a este fim. E peço desculpas antecipadas ao leitor se as lacunas a preencher são muitas.

No início da réplica, lemos

"... O sistema eletrônico de votação foi implementado pela Lei 9.100/95, tendo observado todo o processo legislativo necessário para sua aprovação e posterior sanção presidencial. Já são quase 20 anos de sua vigência. Nesse período, a Justiça Eleitoral vem implementando uma série de mecanismos para assegurar a lisura do processo de votação, inclusive contemplando a participação de órgãos como o Ministério Público e a Ordem dos Advogados do Brasil, os quais têm acesso ao desenvolvimento dos programas utilizados no processo eleitoral, ocasião em que poderão suscitar dúvidas ou questionamentos técnicos junto ao Tribunal Superior Eleitoral (TSE)."
 
Nesses quase 20 anos de vigência, a Lei  9.100/95 sofreu várias alterações, com a aprovação e sanção de outras sobre matéria eleitoral, entre 1997 (com a Lei 9.504) e 2009 (Lei 12.034) até agora; como também sofreu o sistema de votação adminstrado pela Jusitça Eleitoral (o SIE), mas este com alterações que nem sempre observam leis vigentes. Cito como exemplo uma das mais flagrantes inobservâncias à útlima lei eleitoral, quando em 2009 um partido político peticionou sem sucesso para impugnar a licitação TSE 076/2009 destinada à compra de centenas de milhares de novas urnas eletrônicas, com base em quesito na especificação técnica do edital que violava frontalmente o §5º do Art. 5º da Lei 12.034/09. A petição foi negada e mais de 230 mil urnas com esse quesito foram adquiridas e entregues em dezembro de 2009: com o terminal para identificação do eleitor conectado diretamente à urna que recebe os votos, quando aquele dispositivo legal vigente exigia o terminal de identificação do eleitor desconectado da urna, como é exigido e observado em todos os demais sistemas de votação eletrônica em uso no mundo.

Nesse período, a Justiça Eleitoral melhor faria se implementasse os mecanismos de segurança que são mandatórios por lei, como o citado acima, do que inventar, com base em interesses e em normas próprias, estas infralegais mirabolâncias de efeito puramente teatral, de eficácia técnica nula para qualquer função ficalizatória externa ao sistema. Prática que começou já em 2000, quando uma portaria do TSE sonegou-nos o exame do software da urna, como denunciei no Jornal do Commercio. Sonegado justamente em seu componente de segurança, em flagrante violação ao dispositivo que havia trocado o direito do eleitor de recontar votos pelo de examinar tal software, o Art. 66 da Lei 9.504/97. Violação não só dessa Lei, mas também, em sua pueril justificativa, do mais antigo princípio de engenharia para segurança criptográfica, a chamada Lei de Kerckhoffs, como denunciei em entrevista à Folha de S, Paulo. Prática que foi se desenvolvendo em hábito, para além de exorbitância normativa que atropela a do poder legislativo, imiscuindo-se neste para induzir reversões em novas leis que tentassem resgatar o direito do eleitor fiscalizar motu proprio a votação, como denunciei em neologismo e em concurso internacional para eleger as mais tolas medidas "de segurança" [1, 2, 3

Fraude irrastreável

Prosseguindo na réplica, há uma frase que contempla a participação do Ministério Público e da Ordem dos Advogados do Brasil "por terem acesso ao desenvolvimento dos programas utilizados no processo eleitoral": a frase pode conotar que tais entidades coonestam ou certificam esse desenvolvimento ou status quo, mas há nuanças ali. Atenção ao verbo de ligação: "contemplar." Como membro do Comitê Multidisciplinar Independente (CMInd), grupo cuja missão é assessorar legisladores interessados em aprimorar o processo eleitoral e eleitores interessados em conhecer suas sutiliezas, reunindo juristas e advogados que militam na área, acadêmicos da computação que prezam a cidadania, e todos os técnicos de informática que já fiscalizaram esse desenvolvimento para algum partido político, esclareço: a OAB Federal até que tentou, e contemplou tal acesso em duas eleições, com o então presidente da sua Comissão de Informática. E sua conclusão, a mesma dos técnicos que também o contemplaram, é que as formas permitidas para tal acesso, e as praticadas nesse desenvolvimento, não levam nenhum fiscal a qualquer conhecimento dedutivo do que estará sendo utilizado no processo de votação. E por isso não mais o acessam, nem os demais que tampouco querem ser confundidos com artistas de circo, para não se verem contemplados em tal conotação. Já o MPF, até quando não sabemos.

Tal conclusão, da total ineficácia do acesso ali contemplado como mecanismo fiscalizatório, está registrada no 1º Relatório CMInd, com abundantes e documentadas razões. Resumindo as principais:

1) as versões dos programas que os fiscais tem acesso nem sempre são as mesmas que os desenvolvedores preparam para a cerimônia de assinatura e lacração de programas, no TSE, estas destinadas a animar urnas e computadores a serem usados na votação;

2) os programas que são assinados e lacrados nessas cerimốnias, não são necessariamente os que inseminarão as urnas e computadores preparados para a votação;

3) tal acesso é vedado em essência a programas críticos, em contínua violação, a nosso ver, do vigente Art. 66 da Lei 9.504/97: a fase de totalização, embora possa estar utlizando programas "de prateleira", fornecidos por terceiros como aplicações fechadas (tais como gerenciadores de banco de dados), tem se constituida em caixa-preta impenetrável na perspectiva de uma fiscalização externa que almeje eficácia; gerenciadores de banco de dados não operam sozinhos, necessitando aplicativos para distintos modos de acesso, mas como nunca se divulga oficialmente onde e como a totalização em si é ou será executada, não há como saber se todas as aplicações nela envolvidas são apresentadas em tais cerimônias.

4) todas as provas documentais desses fatos, que constituem problemas ou irregularidades pelo prisma fiscalizatório, quando apresentadas em pleito impugnatório (como indício de falha ou suspeita) tem sido desprezadas, à guisa de não demonstrarem prejuizo por inversão de resultado eleitoral.

Por fim, das demais dúvidas ou questionamentos técnicos já suscitados junto ao TSE, convém lembrar de um que nos ajuda a contextualizar estes esclarecimentos: o questionamento protocolado no TSE em 8 de maio de 2008. Diante de muitas dúvidas, recolhidas por este autor em memorial, foi solicitada, através da petição TSE 9.841/08, audiência para apresentação de justificativas à biometrização na identificação de eleitores, especialmente quanto a possíveis métricas de eficácia técnica, bem como esclarescimentos sobre eventuais estudos ou avaliações da relação custo/benefício dessa iniciativa, ante discrepâncias entre o alegado em propagandas e o desempenho em eleições, e ante a total obscuridade deste custo para os cofres públicos brasileiros.

Apesar de um parecer favorável da sua Secretaria de Informática, tal solicitação não suscitou nenhuma resposta do TSE nos quase seis anos já transcorridos. Enquanto a iniciativa vai se realizando a toque de caixa, agora com litígio em contratos licitados em execução, por recebimento de material inferior ao especificado, e com exorbitante coação -- sob ameaça de punição -- aos eleitores, em supressão do seu direito constitucional à privacidade, ambas sem base legal, denúncia esta ainda sub judice.

Prossegue a réplica:

... [O ex-ministro] discorre sobre EUA, Alemanha, França e Japão indagando sobre a razão pela qual esses países utilizam processos históricos de apuração, informando que, com relação aos EUA, "continuam a obedecer à sistemática do voto distrital concebido na formação política e a utilizar um sistema quase artesanal na apuração dos votos". Em primeiro lugar, é de se destacar que o desenvolvimento econômico de um país não está vinculado ao sistema de votação utilizado. Pensar dessa forma é reduzir sobremaneira a formação histórico-cultural das diversas sociedades. Ademais, no que toca à apuração da votação nos EUA, registre-se que aquele país simplesmente não possui uma forma de votação unificada, ...
 
Não entendo que o ex-ministro tenha vinculado, em seu artigo, o sistema de votação dos países citados com o desenvolvimento econômico dos mesmos; ao contrário: entendo que a vinculação pretendida foi justamente com a formação histórico-cultural de suas respectivas sociedades. Vínculo este que a réplica reconhece mas logo dele se desvia, para já apontar uma distinção crucial entre aqueles sistemas e o do TSE, para, ato contínuo, lembrar-nos de problemas com a apuração num daqueles, vindos à tona 14 anos atrás.

Recomendamos outra vez cautela, aqui, com ingênuas conotações. Um sistema ou processo que engargala e despreza o reconhecimento oficial de problemas com a apuração de votos virtualizados, não é a mesma coisa que um sistema livre de problemas com a apuração de votos sufragados. Um sistema eletrônico de votação como o do TSE, baseado em urna modelo DRE, modelo caracterizado por não permitir recontagem dos votos nela sufragados, potencializa ao máximo novos problemas decorrentes da informatização em si. Potencial que emana da dependência a software, dependência que é absoluta em sistemas baseados em urna DRE, e problemas que podem ser globalmente explorados para desvios se a forma de votação for unificada. 

Convenientemente omitido na réplica, é o que ocorreu nos 14 anos transcorridos desde então com os respectivos processos de votação, em nosso país e naqueles. Mas eis que convém aqui, para os objetivos deste artigo, expandi-lo com (in)formação histórico-cultural. Aos fatos.

Em 2000, enquanto os lances finais da apuração eleitoral dos EUA se arrastavam em público, o Brasil se preparava para sua primeira eleição com um sistema onde todo voto seria desmaterializado, apenas virtual, sem possibilidade de recontagem em nenhuma seção. Nossos legisladores haviam trocado, como já dito, nosso direito de fiscalizar a contagem de cada voto sufragado pelo direito de fiscalizar examinando software do sistema de votação. Direito que, como já esclarecemos, viria a ser esvaziado, até em véspera do tal exame, por feitos e medidas infralegais ditadas pela mesma entidade a ser fiscalizada, encarregada de operar tal sistema e também de julgar os resultados da sua operação. E que encarregou-se de gastar dinheiro público com propaganda massiva sobre as maravilhas de uma tal modernidade: apuração em tempo récorde, fim das fraudes, etc. O nosso eleitor médio, insensado pela propaganda oficial e diante daquele fiasco nos EUA, encheu-se de orgulho e, por uma vez que fosse, de um certo torpor ufanista. Mas um torpor ingênuo, nisso paralisante, e assim perigoso para a democracia, como se verá.

Ao abraçar essa forma de modernização, nossa sociedade trocou um sistema manual histórico, de características conhecidas do eleitor médio, por um sistema então moderno – hoje modernoso – que só era conhecido do eleitor pela propaganda oficial. Ou que continua sendo: você já viu os bits do seu voto eletrônico? O eleitor médio sabe que as formas históricas de fraude, num sistema manual, são feitas por manipulação de registros físicos e, portanto, são fraudes de varejo e visíveis. E que tais fraudes serão autocancelantes se houver equilíbrio no front fiscalizatório (com turmas equiparáveis de "fiscais" dispostos a fraudar e/ou a não deixar que o outro fraude). É o que se viu com as muitas impugnações locais levando aquela apuração, em 2000 nos EUA, a se arrastar pelo judiciário.

Mas nosso eleitor médio não deve saber, e enquanto entorpecido não irá querer saber, que a alternativa implementada no Brasil, por um sistema de votação puramente eletrônico, elimina aquelas formas históricas de fraude por substituição a novas formas, estas feitas através da manipulção de software, exploráveis por atacado e invisíveis. Ou que estas formas de fraude serão também irrastreáveis se houver competência no front dos bastidores (de quem possa costurar um pacto omertá com poucas e certas pessoas, ou vice-versa, ao melhor se incluir quem controle as formas permitidas de "fiscalizar"). O eleitor médio só deve saber que os fraudadores históricos teriam se aposentado do ramo.

Salto triplo

Aquele torpor ufanista, mantido com massiva propaganda oficial, levou a socieadade dos nossos compulsórios eleitores a deitar-se em berço esplêndido. No Brasil, dormitamos com as lições de 2001 no painel do senado enquanto vamos sendo adestrados a entender eleição como videogame, com um be-a-bá intensivo à distância ministrado há 14 anos por quem (ainda) tem a ganhar com isso. Enquanto a oposta estupefação, pela quase paralisia da apuração semimanual nos EUA em 2000, levava grupos multidisciplinares formados por pesquisadores globais, incluindo especialistas em segurança computacional, a logo se dedicarem a estudos e projetos independentes e abrangentes sobre a informatização de processos eleitorais. Em consequência, surgiram iniciativas frutíferas. Por exemplo, nos EUA, a do Centro Brennan para Justiça da New York University, que publicou em 2006 um amplo estudo conhecido como Brennan Report, e a da agência US-EAC (U.S. Election Assistance Commission), que publicou as diretrizes VVSG (Voluntary Voting System Guidelines) no ano seguinte. Tanto o VVSG quanto o Brennan Report, que descreve 128 possíveis formas de fraude em sistemas de votação eletrônica e as ordena por extensão de dano, graus de facilidade na execução e de dificuldade na detecção, recomendam a evolução dos sistemas puramente eletrônicos pela diretriz VVPAT.

A diretriz VVPAT (Voter-Verifiable Paper Audit Trail) busca dotar o sistema de uma trilha de auditoria com registro material de cada voto, verificável motu proprio pelo eleitor (sistemas puramente eletrônicos, como já dito, não permitem recontagem e dependem absolutamente de software). Tal registro servirá, primeiro, ou para entrada do correspondente voto eletrônico na urna, em cujo modo ele será escaneado, ou como saída externa do voto eletrônico correspondente, em cujo modo ele será impresso; e depois, para depósito à parte, seja manual ou automático, para possível auditoria manual desses registros. A VVPAT resolve o mais grave problema emanado da dependência absoluta ao software, que é o desequilíbrio nos riscos de fraude com o modelo DRE (podendo evoluir para acúmulos maximais), mas o resolve ao preço inicial de um novo problema, que é o aumento do risco de sabotagem, emanado da independência entre as trilhas virtual e material de custódias do voto. Então, entre 2000 e 2006, vários grupos se dedicaram a avaliar sistemas de votação comparando variantes simples dos dois modos VVPT, entre si e com sistemas legados, em relação a prós e contras nos distintos perfis de risco envolvidos. E por fim, entre 2006 e 2009, surgiam os primeiros sistemas evoluídos dos modos VVPAT por outro critério, o E2E (End-to-End auditability), que resolve os maiores problemas emanados daqueles.

O preço, por sua vez, para esta terceira etapa evolutiva na informatização dos processos eleitorais, ou seja, pelo critério E2E, é em criatividade técnica para proteção ao sigilo do elo entre a identificação do votante e o seu voto, comumente abreviado por "sigilo do voto". Criatividade para cobrir memes neurolinguísticos desta abreviação, especialmente os referentes a sistemas puramente eletrônicos, usados como um conveniente simplismo para conotações que são ingênuas por fora e marotas por dentro. Entretanto, as sociedades de formação histórico-cultural menos tutelada e mais participativa em suas democracias, como as que a reinventaram na versão representativa (EUA e França), foram desarmando esses memes e assimilando esta evolução. Dos países que já testaram ou usaram sistema baseado em urna DRE, começando pela Holanda em 1991 e a Índia em 1992, todos à exceção do Brasil já a abandonaram. Alemanha, Holanda, Irlanda, Inglaterra e Paraguai testaram e abandonaram-na. Bélgica, Russia, Índia (em 2014), EUA, Canadá, México, Venezuela, Peru, Equador, Argentina usaram e trocaram ou adaptaram seus sistemas para algum modo VVPAT. Por fim, EUA (em 2009), Israel, Equador (em 2014) e Argentina (desde 2006) em eleições locais ou regionais, já usaram ou usam sistema E2E, cujas trilhas virtual e material de contagem e de auditoria dos votos são interdependentes.

No Brasil, houve duas iniciativas para se adaptar o sistema do TSE (urnas DRE) para o modo VVPAT de impressão automática: ambas sancionadas em lei, mas revertidas antes que vigissem. Ambas revertidas sob ingerência de pretensos donos de caixas-cinza, sob efeito local do torpor ufanista que patrocinam. Uma, com a Lei 10.408/02, ainda sob ecos do painel do senado, cuja reversão no ano seguinte, com a Lei 10.740/03, teve tramitação inusitada no Congresso. Uma reforma eleitoral aprovada sem nenhuma audiência pública permitida, apesar de muitos pedidos, inclusive em um abaixo-assinado com mais de tres mil assinaturas de acadêmicos, professores, profissionais da informática e afins, dirigido ao presidente da Comissão de Constituição e Justiça (CCJ) do Senado. Na Câmara, enquanto aguardava decisão sobre pedido de audiência na Comissão de Ciência e Tecnologia, os autos do projeto de lei levitaram dali até uma votação urgentíssima no plenário, onde foi aprovada e enviada pelo presidente que a sancionou uma hora depois. Na ocasião, o relator da matéria era Eduardo Azeredo, o presidente da CCJ Demóstenes Torres, e o presidente da Câmara João Paulo Cunha. Outra, com a Lei 12.740/09, que teve seu dispositivo VVPAT revogado em 2013 pelo Supremo Tribunal Federal, em ação (ADI 4543) onde o Colégio de Presidentes de TREs instrui a procuradoria, até com um vídeo fantasioso, a executar um salto triplo carpado hermenêutico-eleitoral com meme "sigilo do voto", para aprovação unânime de medida cautelar.

Gênese do absurdo

Minhas contribuições à pesquisa multidisciplinar independente sobre informatização dos processos eleitorais até aqui foram três. Como técnica para balanceamento de riscos, propus em 2008, com o capítulo Electronic Voting: A balancing Act da obra coletiva Lecture Notes on Computer Science, 6000: The Best of  WOTE, um modelo para correlacionamento de ameaças e riscos entre interesses conflitantes num processo de votação secreta, com estudo de caso. Como antídoto neurolinguístico ao torpor adolescente – 14 anos! – que nos prende coletivamente onde até hoje estamos com respeito a votação, propus em 2010, numa audiência pública no TSE, uma classificação dos sistemas de votação eletrônica em gerações: 1ª geração, os baseados em urna DRE; 2ª geração, em VVPT;  3ª geração, em E2E. E como reflexão sociopolítica sobre essa constelação de fenômenos (de formação histórico-cultural) que este artigo visita, propus em 2012, no seminário internacional Implementación del Voto Electrónico en Perspectiva Comparada realizado em Lima, no Peru, um referencial hermenêutico para classificar os possíveis reais objetivos e caminhos na informatização de processos eleitorais, que seriam:
Quando em 2012 no Peru propus este referencial hermenêutico, ainda não conhecia uma inspirada reflexão precípua registrada, há quase 200 anos, por um dos fundadores da democracia moderna em nosso continente, com a qual me deparei enquanto preparava este artigo. Tentei evitar até aqui caber-me na acusação – que busquei rebater como sofisma da réplica – de que incursões na formação histórico-cultural de sociedades democráticas seria uma forma sobremaneira reduzida de pensá-las se houver mera alusão, mesmo que indireta ou associativa, ao seu desenvolvimento econômico. Mas agora aqui, será preciso arriscar.

Thomas Jefferson era ferrenho defensor da descentralização do poder. Ao deparar-me com uma coletânea comentada de seus alertas sobre os perigos do que ele chamava de "tirania judicial", não pude fugir de pensar nos caminhos percorridos pelo nosso país e o dele. Enquanto ele os escrevia, o nosso país era o único império que já se instituiu como tal no continente. Foi o último no mundo a abolir a escravatura física, e sua tardia (compara aos demais no continente) democracia republicana sofreu dois apagões recentes; enquanto o dele bate récorde de contínua longevidade entre todas as democracias modernas, e de poder militar e econômico. Antes de voltar à réplica, penso em a quem caberia ensinar a quem sobre caminhos sadios e acidentados para a democracia.
..., pergunta o [ex-ministro] se "há algum backup disponível para a consulta pública de zonas eleitorais?". Sim, há várias formas de se verificar o resultado das eleições, não só nas zonas eleitorais, mas também na rede mundial de computadores. O Boletim de Urna, que é o documento que demonstra quantos votos cada candidato teve em uma urna eletrônica, está disponível para consulta de todos nas zonas eleitorais. Esse documento é assinado, no dia da eleição, pelos mesários e pelos próprios fiscais dos partidos políticos presentes na seção eleitoral. Há, ainda, outros instrumentos de verificação, como log da urna eletrônica e assinatura digital de todos os softwares utilizados. Assim, fica claro que não existe qualquer "caixa-preta" no processo de apuração dos votos. Aliás, a urna eletrônica trouxe justamente uma segurança até então não conhecida na história do voto no Brasil, haja vista lembrarmos das fraudes do "bico de pena", do mapismo e a chamada "corrente eleitoral".
 
Mais omissões convenientes, mais conotações ingênuas (ou não). O que significa "verificar o resultado das eleições?" Qual o critério de prova? Pelo contexto, deduz-se que seja o critério do fantasioso mundo emanado dos feitos e sentenças prolatadas por donos de caixas-cinza. Critério cuja irracionalidade fica clara ao exame de seus desdobramentos. Primeiro, qualquer das formas de verificação sugeridas, quando eficaz, deduz apenas informação parcial, e portanto inconclusiva, sobre a higidez da cadeia de custódia de cada voto sufragado. Exemplo: o boletim de urna impresso, quando assinado pelo mesário na presença de um fiscal que ali o receba. Fora do tal critério, não é documento que "demonstra quantos votos cada candidato teve" (naquela urna), e sim que demonstra que um programa, que nela rodava quando o documento foi impresso, disse quantos votos cada candidato teve. Para concluir a citada "demonstração" truncada, falta ao fiscal saber: esse programa é o que deveria estar então rodando? Fazendo o que se supõe que deveria fazer? Os outros que rodaram antes na mesma urna, também? Inclusive o que valida a assinatura digital destes? Quem pode executar este programa validador, como e quando? Quem pode conhecer todos esses programas, e como foram instalados, e quando? Leia os esclarecimentos: truncar assim é fazer teatro com a cor de caixas de votar, no enredo da segurança de quem almeja eleições limpas.

O exemplo acima nos desfila uma série de perguntas que, ou nos levam a respostas parcias para a verificação almejada, ou cuja falta de resposta aferível trunca a verificação da correspondente cadeia de custódia. Sobre outros possíveis exemplos: nos mais de 70 artigos e entrevistas em que pesquisei e publiquei, desde 2000, sobre segurança com o sistema de votação do TSE (SIE), nunca encontrei uma tal cadeia que não fora truncada por ingerências, feitos e sentenças prolatadas por donos de caixas-cinza. Vale a pena, pelo valor didático, fazer um teste racional de equilíbrio com tal critério de prova: avaliando as demais "formas de se verificar" citadas, pelo viés com que o mesmo critério tem sido empregado na posição oposta, ou seja, em tentativas de se demonstrar – com os mecanismos de fiscalização permitidos – que teria havido prejuízo na apuração dos votos em um pleito.

Aos fatos. Boletim de urna consultado na zona eleitoral? Nada prova sem as devidas assinaturas. Nada sem a de um fiscal do prejudicado, por exemplo, ou com ela refutada. Tal boletim pode, ou não, ter tido origem em urna clonada. Eis que entre o fantasioso mundo desse critério de prova, e a nossa crua realidade eleitoral, ocorrem coisas desagradáveis. Houve uma evolução desse tipo de golpe, que em 2009 chamei de "mesários-relâmpago", onde, na maioria das seções do pleito, nem sequer o mesário assina qualquer documento.
 
Log da urna eletrônica? Nada prova quanto a resultado da votação, pois não registra votos sufragados. Quanto a discrepâncias entre eventos de votação registrados no log da urna, e dados noutros documentos públicos sobre tal votação? Só admissíveis se as discrepâncias forem em proporção bastante para suscitar possível prejuízo por inversão em resultado da votação. Se for esta sua suspeita, tente obter logs em quantidade suficiente de seções do pleito para destacar tais discrepâncias o bastante. Ou, se este não for ainda seu caso, faça antes um teste: consulte a jurisprudência e arquivos judiciais em busca de impugnações que tenham assim solicitado (logs, por exemplo, de todas as seções do pleito) e assim obtido. Cito de memória o caso mais famoso desse gênero, em que um então rico candidato impugnou e solicitou logs de todas as seções do seu pleito a governador de Alagoas, em 2006: só recebeu cerca de 20% deles, mesmo recorrendo ao TSE. E como a perícia nos recebidos não logrou levantar discrepâncias em proporção bastante para suscitar prejuízo, perdeu não só a eleição e a ação impugnatória, mas também parte do patrimônio para pagar custas do adversário e multa por "litigar em má fé". E está hoje à beira da falência pois os bancos não mais financiam o capital de giro de suas empresas, que estão passando para a mão de estorsivos agiotas. Então, desça da fantasia e tente.

Assinatura digital de todos os programas utilizados? Nada prova se o processo de validação das assinaturas for ineficaz. E se for eficaz, ele só prova que cada programa validado segue inalterado desde quando assinado, o que, à luz dos esclarecimentos anteriores, nada prova quanto à correta ou incorreta soma de votos sufragados na urna (onde tais programas foram validados). No sistema do TSE (SIE) o processo é ineficaz: o programa que valida deve rodar na mesma urna, ou seja, no ambiente dos programas a validar. Assim, na cadeia de custódia dos programas a preparar, a quem tiver interesse em contaminar programas assinados (tendo cobertura com as truncagens na correspondente cadeia de fiscalização), basta contaminar também o programa que valida, para que salte a validação dos que bolirão no resultado.

"Todos" são todos, mas, na crua realidade não é bem assim. E se isso não bastasse para a ineficácia desta "forma de verificar o resultado", no regulamento para o sistema SIE o controle para rodar tais validações é restrito a quem estaria sendo fiscalizado por elas: fica assim garantida a truncagem da cadeia de fiscalização. Mas, justiça seja feita: a gênesis desse absurdo não é bem a norma do TSE que assim determina: se a validação rodasse em ambiente do fiscal, isso truncaria a cadeia de custódia dos programas a preparar, expondo-os à sabotagem por fiscais desonestos. Temos aí um impasse.

Em quem acreditar

Na questão da assinatura digital em sistemas de votação, por trás do simplismo de refrões para cantigas de ninar em berço esplêndido, se manifesta uma instabilidade estrutural na dinâmica de riscos, à qual interesses conflitantes serão expostos, quando o sistema for puramente eletrônico (1ª geração). Isso explico, e exemplifico com um estudo anterior de caso – o nosso –, em contribuição à pesquisa multidisciplinar independente impulsionada por aquele fiasco nos EUA. No nosso, a instabilidade atinge o tal critério de prova, que vem funcionando assim: para verificação positiva de resultados, vale cantigas de propaganda; para a verificação  negativa, o vale-tudo do rigor jurisprudencial sobre prova documental.

Ron Rivest, um dos autores da técnica pioneira para assinatura digital (RSA, usada pelo TSE no SIE), enquanto liderava o grupo que iria editar as diretrizes VVSG também percebeu que o mecanismo inventado por ele é impróprio para fundar a estabilização de riscos em sistemas eletrônicos de votação, e cunhou o critério da dependência de software para classificá-los. A partir daí, seu grupo propos a VVPAT como diretriz de projeto para essa estabilidade (2ª geração). Mas estabilidade não é tudo. Rivest então adaptou o princípio E2E para a auditabilidade de sistemas VVPAT, e com outro grupo inventou um sistema (Scantegrity) que desentranha impasses com truncagens em cadeias de custódia (3ª geração).

Sistemas de 3ª geração podem, sim, usar assinatura digital, mas como peça integrada à do registro material do voto (por exemplo, em redes criprográficas mix & mesh, base dos sistemas Scantegrity e Wombat), sendo a última que funda a estabilização de riscos nesse estágio de evolução dos sistemas de votação. Adiante examinaremos "formas de se verificar o resultado na Internet", mas antes, sobre formação histórico-cultural (da nossa): ainda que donos de caixas-cinza e seus asseclas exorcizem com desinformação a classificação histórica desta evolução em gerações, ainda que se façam de surdos ou sonsos (senão de mais sabidos) ao testemunho prático do inventor da peça, sobre o perigo de se usá-la como sacramento ou amuleto triunfal em cantigas mágicas, o encanto sacramental adolescente um dia se quebra. Em cada candidato que sente uma mordida DRE, quando tenta enfrentá-la nas tribunas dos santuários da denominação eleitoral da seita do santo byte, e a rude zoeira ali bramida lhe desperta do feitiço. Em cada eleitor que se escandaliza com o atrevimento de políticos, quando percebe que são eleitos através de um sistema onde invisível + irrastreável é confundido com = extinto, se pergunta onde pode estar oculta a mãe de todas as fraudes e a ficha cai: que feitiço seria este? A palavra abracadabra é: "segurança da urna" (ou "do voto"). A mágica é fazer conotar a) onde significa b):
Antes de voltarmos à réplica, fica a pergunta: Será que o seu voto conta mesmo?

Diz o [ex-ministro], ainda, que "na estrutura atual de votação, todos os votos das diversas zonas eleitorais são transferidos para o Tribunal Regional Eleitoral". Trata-se de uma afirmativa equivocada, pois, na verdade, os votos, antes de serem totalizados pelos Tribunais Regionais nas eleições gerais e pelas zonas eleitorais nas eleições municipais, são validados pelo Tribunal Superior Eleitoral, em Brasília, que verifica eventual tentativa de violação da urna eletrônica. A seguir, discorre sobre a hipótese de ... [fraude de cadastro] ... Por fim, ignora o [ex-ministro] o fato de que o TSE está promovendo em todo o país o recadastramento biométrico dos eleitores, havendo a previsão de que nas eleições deste ano mais de 22 milhões de eleitores já sejam identificados pelas digitais.

Alguns fatos sobre equívocos. Primeiro, a única forma possível do TSE verificar, a partir de votos recebidos, se houve violação na urna, é por validação da assinatura digital desta urna no BU lido da mídia de resultados (pendrive específico) que teria saido dela; mas como a chave de verificação é a mesma para todas as urnas de um mesmo estado (apesar das recomendações externas em contrário), e a chave de assinatura fica às claras no binário do software, seria tolice tentar forjar BUs com urna ou software preparados em outro estado. Ainda, a réplica omite o ponto de entrada no trajeto, em zonas eleitorais ou polos de informática, onde fraudes na transmissão podem ser preparadas: há notícia de cerimônia de geração de mídias (preparação das urnas) onde o log respectivo indicava o computador que gera as mídias sendo ligado de madrugada, horas antes da marcada em edital para início da cerimônia, abrindo uma porta para a fraude que chamo das "urnas pré-clonadas". Como não é lançado em log, nem consta em ata, o número de mídias de resultados (ao contrário dos outros tipos) preparadas na cerimônia, uma gaveta no cartório que amanheça cheia de pendrives "extras", se pré-gravados com BUs forjados e devidamente cifrados e assinados, pode virar ponto de baldeação para os pendrives que chegarão no final da votação para leitura e transmissão. Se a gaveta for operada por quem se encarrega de abrir tais pendrives e transmitir seu conteúdo naquele dia (via Sistema Transportador), a falta de rubrica do mesário no envoltório de plástico não deve chamar atenção nesse furtivo e curto trajeto físico. Então, não faria sentido os votos passarem antes no TSE pelo motivo alegado.

Segundo, se por "estrutura atual" entendermos incluídas as duas últimas votações oficiais, então a correção feita ao ex-ministro contradiz em princípio um email do TSE, enviado em resposta a quem também quis saber o mesmo e perguntou diretamente: as totalizações seriam feitas no TRE (e não nas zonas) em eleições municipais, e, pelo contexto, quiçá no TSE (e não nos TRE) nas demais. É importante mencionar que os normas e documentos publicados pelo TSE não esclarecem onde e como se deve realizar a totalização. Tecnicamente, um totalizador deve ser a instância primária de um banco de dados, ou seja, aquela que controla persistência e consistência de seus registros (no caso, oriundos de BUs), entre si e com outras instâncias (cópias deste banco); e a totalização per se, o controle para atualização (gravação) desses registros naquela instância. O totalizador tem sede física em algum computador de alta capacidade de armazenamento e processamento, e a totalização per se tem sede virtual na posse da senha de administrador deste banco de dados e nos computadores configurados para permitirem acesso através dela. Pode-se também considerar a totalização em sentido latu, que é o acesso a esse banco de dados apenas para leitura e somas em tabelas, a qual terá sede virtual na posse de uma senha de usuário comum desse banco de dados e nos computadores que permitem acessá-lo através delas.

Assim, tal contradição pode então ser apenas aparente, se a réplica estiver se referindo à totalização latu sensu, enquanto o e-mail do TSE, à totalizção per se. Em todo caso, o público continua às escuras com respeito às sedes do totalizador e da totalzação per se, em ambas situações (votação municipal e geral). Enquanto nesta lacuna, na percepção de quem não se entorpece com o chá do santo byte que é servido em propagandas, cabem impressões de que os reais controladores da eleição se dão a prerrogativa abusiva de: ou improvisar; ou fazer coisas que não querem que sejam vistas por fiscais in loco; ou tratar fiscais como idiotas ou suspeitos, durante a totalização per se (fase da votação onde qualquer desvio será definitivo, a menos de impugnação bem sucedida, algo inédito com esse sistema de 1ª geração).

Terceiro, dos dois pontos anteriores se destaca a pergunta de fundo: em quem acreditar quando a autoridade eleitoral fala ou se cala? A maioria desses "equívocos", sobre totalização especialmente, podem ser atribuídos a dois fatores: f 1)- cerceamento da fiscalização externa por interpretação excessivamente restritiva ou violação contumaz do Art. 66 da Lei 9.504/97 e outros direitos de candidato ou eleitor, por parte de autoridades eleitorais; f 2)- informação truncada ou despistante (desinformação?), sobre totalização principalmente, oriunda de autoridade eleitoral.

Violação escancarada

Sobre f1): Algum representante da OAB ou do MPF já acompanhou alguma totalização in loco, ao lado do terminal onde um juiz responsável ou administrador do banco de dados controla a totalização per se? De onde se libera as parcelas em BUs eletrônicos que chegam via Internet para serem gravadas no totalizador, e onde se pode interceptar os acessos de usuários comuns do respectivo banco de dados para consutas que efetuam as somas que serão periodicamente divulgadas ao público como resultados parciais ? Ao lado desse juiz ou administrador cuja senha pode controlar tudo isso, e cuja possível interferência em consultas para somas pode causar "acidentes", como o que atropelou o primeiro turno em 2002 com uma parcial de 40 mil votos negativos, solenemente ignorado pela mídia corporativa que deita em verba publicitária? Alguém explica por que são necessárias 72 horas para se divulgar as parcelas (BUs na web) de uma soma (votação final de cada candidato) já oficialmente proclamada, com uma explicação que não presuma idiotice de quem pergunta? Não vejo outra possível razão prática além da de ganhar tempo para contas de chegar com parcelas, para distribuir desvios inseridos em resultados parciais e finais por interceptação de consultas durante a totalização. Tempo para tais contas de chegar constitui grave risco de fraude em situações onde a cadeia de custódia das parcelas é truncada para a fiscalização, por exemplo no início da cadeia, com bloqueio seletivo à coleta in loco do BU impresso e assinado pelo mesário.

Tal documento é essencial para a fiscalização e deveria estar disponível para cada fiscal de partido interessado, em cada seção eleitoral. Fora do mundo fantasioso desenhado nas Resoluções, em situações reais onde tenham sido sonegados ou não coletados em proporção suficiente, uma demora na publicação dos BUs na web, após a divulgação do resultado oficial, dá tempo para rastrear quais seções eleitorais podem ter parcelas alteradas em contas de chegar, que fechem o batimento com um resultado final manipulado. A saber, todas aquelas seções onde a vítima não coletou o documento eficaz. Nesse diapasão, com relação à última eleição (municipal de 2012), causa espécie a linguagem dos Art. 99º e 100º da Resolução TSE 23.372/11. Tais disposições normativas podem funcionar como cobertura infralegal para armadilhas que visem a truncar a cadeia de custódia da fiscalização em sua origem. Para que serviriam "comitês interpartidários" naquela eleição, senão para intermediação desnecessária mas com capacidade para sabotar a eficácia na fiscalização de qualquer partido que se tome por alvo? Na dúvida, se algum candidato teria desta forma sido vitimado naquela eleição, mencionaremos adiante o caso apresentado à Polícia Federal no Rio de Janeiro no inquérito n. 238/2012, envolvendo o município de Saquarema, com denúncia de interceptação de transmissão de BUs, via canal lateral do provedor de conexão à Internet (side channel attack), durante a totalização (caso Saquarema 2012).

Sobre f2): Antes que alguém pense em dano moral pela insinuação de que a Justiça Eleitoral possa estar desinformando, remeto à experiência pessoal, devidamente documentada, em que o alvo da desinformação estava no meu próprio trabalho de pesquisa. Se a Justiça Eleitoral desinforma ou não, esta é uma questão que já foi esclarecida alhures; a questão aqui e agora é se ela está ou não desinformando com respeito à totalização. Diante do exposto até aqui sobre o tema, seria melhor – para a segurança a) – que algum fiscal geral, como da OAB ou do MPF por exemplo, acampanhasse in loco as operações de totalização per se no dia da eleição. Caso alguma dessas instituições, por decisão de seus dirigentes, decida exercer plenamente sua respectiva vocação ou função constitucional de fiscalizar o Poder Judiciário, o primeiro desafio é saber onde fica, em cada eleição, a sede virtual da totalização per se. Para que o seu designado fiscal possa estar atento ao lado daquele certo administrador com aquela certa senha, naquele certo computador da Justiça Eleitoral, durante a totalização. Para estes dirigentes, a recomendação é a mesma oferecida aos que acham que arquivos de log obtíveis são úteis à fiscalização: desçam do marasmo entorpecido, e tentem. Mas aqui vou além, devido à responsabilidade social das respectivas instituições: tentem, e nos mantenham informados do progresso.
 
Para uma idéia da dificuldade abstrata (desequilíbrio de riscos) de se fiscalizar a totalização com sistema de 1ª geração, e impossibilidade concreta no nosso caso (com o SIE do TSE), chegamos ao caso Saquarema 2012. Em 10/12/2012, num seminário organizado pelo Instituto Republicano e pela Fundação Alberto Pasqualini, um jovem apresentou-se para confirmar de público o que admitira nos autos do supracitado inquérito. Que teria invadido a rede interna do TRE do Rio de Janeiro para, com ajuda e participação de elementos de uma empresa prestadora de serviços (de conexão à Internet) ao TRE-RJ, leiloar lotes de votos desviados de candidatos vítimas, durante a totalização, interceptando na origem (antes da criptografia atuar) a rede de transmissão de dados utilizada pela Justiça Eleitoral para executar centralizadamente (?) a totalização. Seis horas após ser divulgado o áudio desse depoimento, a página do site do TSE com os BUs web tinha dado pane. E zero na mídia corporativa. Avisado o TSE no dia seguinte, a pane continuou, pelo menos até o fim de maio de 2013, quando começaram a aparecer apenas os de novas eleições (suplementares). Até onde sei, tal inquérito continua parado, como se as denúncias de Snowden sobre o poder de interceptação e manipulação das grandes empresas de TI a serviço de certos interesses fosse mera fantasia. Enquanto a cantilena mágica do "basta verificar os BUs na web" continua iludindo a massa entorpecida, incluindo alunos que escrevem (sob orientação) programas para executar tal verificação, mas nunca conseguem no site do TSE acesso atualizado ou completo aos dados necessários.

Quarto, sobre acusação de ignorância, por abordar o risco de fraude de cadastro sem relacioná-lo à iniciativa de recadastramento biométrico. Declaro inocência, se puder inverter o sentido da relação. Venho tentando preencher sobremaneira várias lacunas no imaginário coletivo sobre essa relação, porém, pela direção oposta: partindo de uma análise esclarescedora da iniciativa em si, e não da sua suposta justificativa, pois o respectivo risco é universal em sistemas de votação. Mesmo que assim perca inocência: não quanto à ignorância da relação, mas quanto à sua componente causal. Começando pela eficácia: a primeira descoberta foi de que, conduzida a iniciativa como foi e vem sendo, o único efeito mensurável que pudemos observar a partir de dados do TSE, refentes à primeira eleição com amostragem significativa (2010), foi ao contrário do esperado. Ou melhor, ao contrário do conotado como líquido e certo pela propaganda oficial massiva. Por ser um mecanismo probabilístico de identificação, seu uso em eleição obrigatória requer mecanismo de contingência para cuidar de (alegados) falsos negativos, que acabou sendo o mesmo de antes (liberação por senha), e o efeito que conseguimos medir foi apenas o de camuflagem ao risco (muitos falsos negativos alegados, com menos fiscalização), como descrevo em memorial e em audiência na Comissão de Ciência, Tecnologia e Informática do Senado. Será que na próxima eleição veremos muitos falsos positivos, cujo efeito técnico é o de baixar os falsos negativos? Seria mais uma camada de camuflagem ao risco que se alega combater.

Depois, sobre a obrigatoriedade da entrega de dados biométricos. Atropelada numa colisão de interesses, na ADI 4543. Talvez um acidente durante repetição do salto triplo carpado sobre a prerrogativa dos outros Poderes demandarem mudanças em direção à VVPAT (o primeiro salto foi na medida cautelar). O bebê da obrigatoriedade (autorização para tal, no § 5º do Art. 5º da Lei 12.034/09) foi jogado pela janela com a água do banho: a cláusula VVPAT (caput do Art. 5º) e a de desconexão entre terminal-que-identifica e urna-onde-vota (condicional no § 5º). A votação da ADI foi agendada um dia após a audiência na CCTI, e realizada em tres semanas. Outro acidente próximo envolveu o helicóptero do senador que presidia a CCTI, dois meses depois: abalroado por um grande carregamento de pó branco, que penetrou sob as horas de folga do piloto, num cruzamento com a Polícia Federal. Só no Brasil as autoridades competentes se desentendem sobre como adaptar VVPAT a um sistema baseado em DRE sem quebrar garantias de sigilo do voto (países que tentaram, alegam sucesso). Ou então tais garantias sempre estiveram quebradas pela inimitável e resistente conexão terminal-urna, e a mudança balança o barco. Em 2009 essa conexão aguentou firme o choque da milionária licitação 76/2009 contra a recém sancionada Lei 12.034/09, quando poderia ter caído. O meme "sigilo do voto" é poderoso, e requer cautela no manejo.

Por fim, a busca de um motivo real para a biometrização obrigatória. Um mais plausível que o alardeado na propaganda porém falseado em nossa análise de eficácia em 2010. Outra novela. Com o provimento pelo STF da medida cautelar que suspendeu o Art. 5º da Lei 12.034/09 in toto em 2011, e a consequente repristinação da Lei 7.444/85, os membros mais ativos do CMind se organizaram para viabilizar demandas à Justiça Eleitoral, por respeito ao direito à privacidade de eleitores incomodados com as inconsistências, lacunas e irregularidades em tal iniciativa, agora sem base legal para seu caráter coercitivo (que era, conforme a Resolução TSE 23.335/11, o Art. 5º posteriormente revogado em novembro de 2013). Organizaram então o Movimento de Obediência Civil, lançado em julho de 2013, e o seminário "Ética, Privacidade e uso indiscriminado de Biometria em tempos de Drones", junto ao Departamento de Ciência da Computação da UnB. Uma pesquisa em preparação para o seminário encontrou documentos que revelavam a existência de vários convênios entre o TSE e empresas ou outros órgãos para compartilhamento de dados, em que o TSE entrega ou faz escambo com o cadastro eleitoral, em flagrante violação do Art. 9º da Lei 7.444/85. O jornal Estadão se interessou pelo escambo com a empresa Serasa, a notícia repercutiu, a ponto do TSE criar uma comissão para estudá-los. 

"Fora do escopo"

Prosseguindo na réplica, lemos:

É importante ainda mencionar que é possível fiscalizar todas as fases de preparação das eleições, sendo inclusive realizada auditoria, no dia das eleições, nas urnas eletrônicas, por meio da chamada "votação paralela", acompanhada de fiscais dos partidos políticos e representantes do Ministério Público Eleitoral e da OAB. O [ex-ministro] pode se informar a respeito lendo as resoluções do TSE que tratam do assunto. Dessa forma, como o próprio articulista diz, "até o momento a população não tem restrições às mudanças, nem se constatou nenhum desvio grave. Entretanto, institutos de pesquisas fizeram alguns prognósticos que depois não se confirmaram nas urnas". Digo mais: não se constatou desvio de votos, pois a vontade do eleitor é respeitada pela Justiça Eleitoral. ...

Na citação anterior a esta acima, reticências indicam um trecho suprimido. Nele o replicante maneja, com destreza aritmética, seu douto domínio de estatíticas eleitorais ao comentar sobre a hipótese da fraude de cadastro (veja na réplica). Lá são exploradas, com raciocínio cristalino, lacunas no correspondente domínio do ex-ministro, que apresentara um exemplo hipotético de fraude de cadastro. Com destreza, o exemplo apresentado é desqualificado, mas sem entrar propriamente na questão de fundo: se o SIE atenua ou amplifica o risco de abuso de poder dos mesários, e como. E logo passa ao tema da biometrização da identificação do eleitor (que mereceu eslarecimentos acima), conotando a iniciativa como medida definitiva contra esse tipo de fraude, único visível em sistemas de 1ª geração e inevitável em todas.

Pela destreza numérica demonstrada na desqualificação daquele exemplo hipotético, podemos supor boa aptidão para acompanhar raciocínio semelhante. É importante então mencionar fatos mais relevantes do que a inconsistência de um exemplo hipotético em meio a chavões de propaganda enganosa repetidos ad nauseum como hipnose para entorpecidos. Abaixo, deduzo a total ineficácia da chamada votação paralela como mecanismo fiscalizatório externo, qualificação que na ocasião nomeei como candidata ao título mundial de mais tola medida "de segurança."

No início de 2003, o então presidente do TSE, Nelson Jobim, foi ao Congresso Nacional apresentar proposta de reforma eleitoral que incluia um mecanismo denominado "teste de votação paralela". A alegada função desse mecanismo seria a de comprovar a correta contagem de votos pelas urnas DRE numa eleição oficial. O mesmo estava previsto para ser implementado em 2004, como também o mecanismo de auditagem por recontagem dos votos impressos numa amostra de seções eleitorais (modo impresso da VVPAT, que ainda não havia sido promovida a diretriz VVSG), por força da Lei 10.408/02. Esta lei, que nascera da indignação popular com as revelações do escândalo do painel do senado, tivera sua tramitação no Congresso protelada por ingerências de donos de caixas-cinza, a pretexto de estarem preparando propostas de emenda ao projeto. O teste de votação paralela havia sido sugerido por um fiscal de partido, e fora incluído no Projeto de Lei para superar a resistência desse partido à sua aprovação, que só ocorreu em janeiro de 2002, menos de um ano para a eleição seguinte. Depois de sancionada em Lei, a 10.408/02, o chefe dos proteladores, agora na função concomitante de julgador-mor no domínio eleitoral, mudou de idéia sobre a validade, para a eleição de 2012 (menos de 1 ano), dos dispositivos que mandam implementar os dois mecanismos, mas ofereceu-se para "testa-los", a título de "experiência".

Na proposta de reforma apresentada, logo após a eleição de 2002, pode-se ver o que acontece quando uma entidade pública testa mecanismos pelos quais ela mesma será fiscalizada. A justificativa apresentada para se manter a inclusão do mecanismo de votação paralela em reforma legislativa foi o "alto grau de excelência" com que o teste "validou o processo [de votação] em 2002", e, para se excluir o de auditoria por recontagem manual, foi o alto grau de execração que ela recebeu onde o voto foi impresso naquela eleição. O controle aboluto que os donos de caixas-cinza de 1ª geração exercem, tanto sobre o software de votação quanto sobre as condições de execução dos mecanismos fiscalizatórios, permitiu-lhes um meticuloso planejamento e preparo. Tanto para o teste de votação paralela, a cujo respeito o leitor pode se informar lendo as resoluções do TSE que tratam do assunto (como recomenda a réplica), quanto para o da impressão do voto para auditoria por recontagem, a cujo respeito a propaganda oficial registra apenas aquela execração (e nada sobre os preparos para o "teste"). O rito em ambos experimentos foi meticulosamente planejado para calibrar o tempo no ato de votar: na votação paralela, aumentando o tempo mínimo para cada voto em pelo menos tres vezes, e com a impressão, o tempo médio o bastante para irritar eleitores com longas filas e autoridades com muitas contingências.

O rito imposto ao mecanismo de votação paralela, prescrito nas mencionadas resoluções do TSE, permite ao software na urna (sorteada para teste) detectar, pelo longo tempo mínimo entre os votos e pelo índice exorbitante de abstinência (em torno de 67%), que aquela urna está funcionando em teste, permitindo ao software abster-se de fraudar naquela situação, caso esteja contaminado para desviar votos. Enquanto o rito imposto ao mecanismo de auditoria por recontagem, implementado no Distrito Federal na eleição de 2002 com todas as urnas DRE adaptadas para imprimir voto (visível atrás de um vidro antes da confirmação, que causava ejeção da papeleta do voto para uma sacola lacrada sem o eleitor tocá-la), impediu um candidato a governador que suspeitou de fraude de obter recontagem para impugnar a eleição (o pedido foi negado por unanimidade no TRE-DF).

Então, em que sentido o primeiro mecanismo sozinho teria validado aquela eleição, como afirmou Jobim no Congresso? No sentido da teoria da prova praticada por donos de caixas-cinza: para prova positiva, vale a propaganda oficial; para negativa, o vale-tudo da jurisprudência, inclusive, como no caso do Distrito Federal, o "direito" do réu – que aqui é antes juiz – de não se obrigar a produzir provas contra si – si que aqui é antes um ente público, cujos atos se regem por princípios republicanos e constitucionais de transparência, etc.

Para quem isto seria absurdo, que essa teoria explique certas práticas da autoridade eleitoral, que vem sustentando uma longeva imagem de inviolabilidade do sistema que ela mesma administra, cabe escolher outra teoria que as explique melhor. A candidata implícita da propaganda oficial é a teoria de que, com tal sistema, os fraudadores históricos desistiram e teriam se aposentado. Será? Para que o leitor possa escolher bem sua teoria favorita, cabe-me oferecer mais detalhes do exemplo que trouxe à baila esta questão, sustentando-o melhor como bom indício para minha escolha. Posso antecipar-me ao leitor e, sobre um detalhe crucial perguntar:  como saber que esse teste de votação paralela tem índice de abstinência bem acima do normal? Como sabe o autor que fica em torno de 67%, quando o normal seria entre e 15 e 20%? Sei que foi assim em 2002. Naquele teste, o do "alto grau de excelência", porque alguns eleitores atentos e dedicados, desconfiados de tanto entusiasmo oficial só por aquela idéia de um fiscal de partido, e do rito estabelecido para a estréia entulhado de burocracia inútil, se organizaram antes nas listas do forum do voto eletrônico para acompanhar do início ao fim coletando dados. A média entre os estados observados ficou em menos de 140 votos simulados por urna testada, enquanto a eleição tinha média de 430 eleitores por urna, com índices de abstenção como os de hoje.

Mas como saber se a abstenção na votação paralela exorbitou também em eleições seguintes? Hoje só podemos saber indiretamente, ou seja, inferindo. Hoje podemos aprender com um Corregedor Eleitoral que a média de eleitores por urna está em torno de 550, com abstenção de 17,5% em média. E podemos nos informar sobre a carga de burocracia inútil no rito do teste lendo as respectivas resoluções do TSE, como sugere o Corregedor, e comparando a de 2002 com as seguintes para concluir que tais cargas tem sido equiparáveis, e que portanto aquela exorbitância teria então até crescido. Mas se o leitor tem dúvida e quiser saber diretamente, sou eu agora a sugerir: que tente.

Durante a fase de consultas aos projetos de Resolução anterior à promulgação, através de assessoria a partidos políticos interessados, membros do CMInd tem tentado, sem nenhum sucesso, que o TSE pelo menos se comprometa a divulgá-los. Relativa à eleição de 2008 pelo PDT por exemplo, foi sugerido que a resolução correspondente incluísse a determinação de que os dados referidos acima fossem incluídos no relatório do teste de votação paralela realizado em cada TRE, e que esses relatórios sejam entregues a partidos que os solicitarem, mas a sugestão foi negada (assim como os relatórios) sob o argumento de as solicitações "estarem fora do escopo" do contrato com a empresa terceirizada para executar os tais testes.     

Efeitos suspensos

A tentativa de convencer o TSE a permitir alguma eficácia técnica em fiscalização externa, nos mecanismos que controla e alardeia como de plena auditoria pública, atingiu níveis surreais este ano. Com a prévia negativa de se incluir, em relatórios do teste de votação paralela, dados que permitam concluir se o mecanismo é eficaz – ou não – como teste de integridade do software na urna, restou ao interessado solicitar apenas a cópia do relatório, instrumento mínimo necessário ao ente público para administrar a terceirização do seu serviço. Mas nem isso. A justificativa em ata: "a exposição de dados não oriundos deste Tribunal Superior, em seu site, poderá ensejar interpretações equivocadas e prejudiciais à Justiça Eleitoral." Com um pouco menos de empáfia onde não cabe, seria possível ter dito "interpretações divergentes". Mas ela parece não ter limites. Na úlitma negativa referente às resoluções que visam 2014, esta para a Sociedade Brasileira de Computação (SBC), sobre o momento adequado para fiscais verificarem os autenticadores de programas: "por questão de segurança e integridade dos dados", negado, "pois o momento para essa verifiação é aquele anterior ao dia do carregamento das mídias." Profissionais de forênsica computacional associados à SBC, que aprendam: Na denominação eleitoral da seita do santo byte, segurança a) = segurança b) é dogma absoluto.

Alguma dúvida sobre por que nunca se constatou desvio grave de votos? (ou seja, nunca a Justiça Eleitoral constatou-o em juízo?) Haja vista que tanta divergência costuma alimentar teorias conspiratórias, convém não lembarmos que o partido do fiscal que propos esse teste vem conquistado a Presidência da República desde a eleição de estréia em 2002, e o primeiro dele a se eleger diz que elege até poste. E que o maior instituto de pesquisa de opinião do mundo (Gallup) faz pesquisa eleitoral pelo mundo, faz pesquisa no Brasil mas não faz pesquisa eleitoral no Brasil. Se a vontade do eleitor é respeitada pela Justiça Eleitoral, resta saber qual eleitor: tenho dúvidas quanto aos que queiram fiscalizar "pra valer" o processo de votação, ou discutir modelos de votação ou de distribuição de poder eleitoral. Mas o meu teste definitivo pode estar no julgamento do recurso administrativo que interpus em 23/03/2013 para o Tribunal Regional Eleitoral do Distrito Federal. Conto ao menos com a palavra de um Corregedor Eleitoral.

Prossegue o articulista transcrevendo a fala do professor doutor Pedro Antônio Dourado de Rezende, professor de Ciência da Computação da Universidade de Brasília (UnB), .... Respeito, como não poderia deixar de ser, a opinião do ilustre professor doutor. Entretanto, como o referido professor diz, "no caso da urna, se entra software honesto sai eleição limpa. Se entra software desonesto sai eleição fraudada". Aí cabe não só a ambos mas a toda sociedade brasileira confiar na Justiça Eleitoral, que já deu ao longo desses anos a prova do seu trabalho em prol da democracia e do processo eleitoral. Além disso, como já mencionado, é possível a vários setores de nossa sociedade, como à OAB, verificar a instalação e o desenvolvimento desses softwares, certificando sua confiabilidade.

Primeiro, declino a indevida tiulação de doutor. Segundo, sobre confiança, julgo oportuno, como sinal de que o verdadeiro respeito pode ser mútuo, citar uma homenagem que prestei em 2001 à autoria da Decisão do Pedido de Liminar Mandado de Segurança nº 2.914/00–DF. Decisão que negou, sob argumento tecnicamente insubstanciado, provimento ao pedido de suspensão de um dispositivo em portaria publicada pela TSE que afrontava o § 1º do art. 66 da Lei 9.504/97 (ainda vigente e ainda afrontado). Afronta que acabou por inaugurar a prática de mirabolâncias normativas exorbitantes à competência constitucional daquela Corte, mencionada no início deste artigo. O que é confiança? (em "A Lanterna de Diógenes"). Terceiro, tendo até aqui esclarecido os sentidos realistas acima conotáveis da expressão "verificar a instalação e o desenvolvimento desses softwares", agora exorbitada em suposta decorrência para o tempo gerúndio da expressão seguinte ("certificando sua confiabilidade"), resta-nos então observar as omissões. Curioso que, antes na réplica, os setores contemplados com tais possibilidades incluiam explicitamente o Ministério Público, e aqui não mais. Estaria o MP desinteressado da confiabilidade desses softwares? Se a palavra "software" for aportuguesada, como na réplica onde é alternada com "programa", agora por outro sinônimo -- "código" -- veremos que não.

Outra norma infralegal -- ainda código no sentido jurídico -- publicada pelo TSE em exorbitância à sua competência constitucional seria a Resolução TSE 23.396/13. Assinada por seus ministros em 17 de dezembro de 2013, trata de crimes eleitorais nas eleições de 2014 (outubro e novembro). Este código interessa ao MP. Em mais uma Ação Direta de Inconstitucionalidade envolvendo norma eleitoral, agora com o TSE no polo passivo, a PGR impetrou em março de 2014 a ADI 5104, com pedido de cautelar, impugnando onze dos seus artigos (do 3º ao 13º). Segundo o Procurador Geral da República, em notícia divulgada no site do MPF em 30 de março de 2014, a resolução limitou indevidamente a atuação do MP e invadiu competência do Congresso Nacional para regular o processo penal. Citando da mesma notícia: 

...[T]odos os dispositivos impugnados são formalmente inconstitucionais por significarem usurpação da competência do Congresso Nacional para regular o processo penal, instituída no art. 22, I, da Constituição. De acordo com [o Procurador Geral], o âmbito de atuação normativa do TSE é de caráter regulamentar, no plano inferior às leis. A Resolução 23.396/2013, contudo, exorbitou vastamente desse universo e transmudou aquela Corte em poder legislativo, derrogando preceitos constitucionais e legais. ... [A]s inconstitucionalidades mais graves da resolução residem no art. 8º, que estabelece exclusividade de instauração de inquéritos eleitorais mediante requisição judicial. "A norma viola, a um só tempo, o princípio acusatório, o dever de imparcialidade do órgão jurisdicional, o princípio da inércia da jurisdição e a titularidade da persecução penal, que a Constituição atribuiu ao Ministério Público. ... A resolução ofende também o art. 5º, II, do Código de Processo Penal, o art. 24, VII, do Código Eleitoral, e, principalmente, o art. 129, I, VI e VIII, da Constituição da República. Este último inciso dispõe ser função institucional do Ministério Público "requisitar diligências investigatórias e a instauração de inquérito policial, indicados os fundamentos jurídicos de suas manifestações processuais".

O Procurador Geral pede a concessão de medida cautelar para suspender a eficácia da resolução pois, se mantidos até a eleição, os artigos impugnados poderão "elevar a impunidade dos crimes eleitorais, desequilibrar o processo eleitoral e macular a legitimidade do próprio regime democrático", regime o qual também compete ao Ministério Público defender, conforme o art. 127, caput, da Constituição Federal de 1988. Até o momento em que escrevo o Supremo Tribunal Federal, onde todos os ministros acumularam, acumulam ou acumularão função judicativa no TSE, ainda não havia se manfiestado sobre tal medida cautelar. Mas há um fio de esperança, em vista de o TSE ter divulgado um relato sobre os trabalhos da comissão interna criada para analisar acordos e convênios envolvendo o cadastro eleitoral. Divulgado seis meses depois do prazo estabelecido em portaria (TSE 376/13) para conclusão dos trabalhos, mas admitindo, mesmo que enviesadamente, exorbitância na resolução que embasou infralegalmente a celebração dos acordos (RES TSE 21.538/03), e autuado no Processo Administrativo do TSE nº 859-56.2013.6.00.0000/DF (distribuído a Exma. Sra. Ministra Luciana Lóssio), para ações definitivas. Por enquanto estão suspensos seus efeitos, como por exemplo o da oferta pela Internet de números de título de eleitor de defuntos a R$ 29,00 cada, por entidades funerárias.

Prazo irrevogável

Avaliar o trabalho em prol da democracia e do processo eleitoral na única democracia, até onde sei, cuja crua realidade concentra as tres funções de poder democrático – executiva, normativa e judicativa – da esfera eleitoral numa só instituição monolítica, dita Justiça Eleitoral, me parece uma questão delicada. Avaliar a instituição com quais critérios? Se a concentração é boa porque "simplifica", como ouvimos de uma autoridade máxima durante entrega do 1º Relatório CMInd, então melhor seria eleger pela imprensa; as pesquisas de opinião bastariam.

O trabalho dessa instituição ao longo desses anos "prova" o quê? Declamar cantilena mágica da propaganda oficial massiva à guisa de resposta, seria um ato de fé incondicional. De uma fé que contraria as evidências aqui expostas, sob qualquer perspectiva tecnocientífica que minha formação permite considerar seriamente. E que contraria as evidências empíricas – peço perdão se reduzidas sobremaneira – sob a perspectiva político-filosófica que um dos fundadores da democracia moderna e tido por pai da mais longeva e profícua delas, considerou, na citada coletânea de seus alertas.

Cabe à História julgar as instituições. A mim, só me cabe confiar incondicionalmente em meu Senhor Jesus Cristo, e no Deus vivo com quem é uno. Deus que é o Senhor da História, e que sobre essa questão nos orientou, através do profeta Jeremias.

"Maldito é o homem que confia nos homens, que faz da humanidade mortal a sua força, mas cujo coração se afasta do Senhor" [Je 17:5 (NVI)]

E por fim, a réplica encerra:

Finaliza o [ex-ministro] questionando se "nosso passado político, nossa prática de coronelismo, enxada e voto, mesmo com todos os avanços inegáveis ocorridos no país, não nos sugeriram um maior cuidado?" Sim. E esse cuidado vem justamente ao encontro do sistema eletrônico de votação. Aos eleitores cabe fiscalizar o que vem sendo feito pelos seus representantes eleitos para coibir práticas de corrupção como as mencionadas pelo articulista. Na verdade, se realmente neste país se desvia merenda escolar e se rouba remédio popular, o que o articulista, como ministro da Cultura e advogado, fez de concreto contra práticas dessa natureza? Fica a pergunta."

Sim, os tempos mudam, e o maior cuidado sugerido pelo que expus vem também ao encontro do SIE. Especificamente: não confundir invisível + irrastreável com = extinta. Adiantaria fiscalizar representantes eleitos sem antes fiscalizar como são eleitos? Eis a questão de frente, encobrindo a questão de fundo, sobre a qualidade possível ao regime de governo. O que pode um ministro da Cultura fazer de concreto contra as práticas citadas? Menos, creio, do que um magistrado apto a julgar causas sobre direito dos governados fiscalizarem o fluxo vital do processo de governo em nossa nação. Menos ainda do que aqueles que, ao julgá-las, se expõem a conflitos entre supremas e concomitantes funções judicativas, constitucional e eleitoral.

A questão de frente pode ser esquivada à vontade, por entorpecidos ou esclarecidos, mas a questão de fundo tem prazo irrevogável para uma resposta definitiva: em Apocalipse 11:15,18, quando a trombeta do sétimo anjo anunciar o retorno do Senhor Jesus Cristo para julgar mortos e vivos, reinos e nações.





Autor


Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da Cali­fornia em Berkeley. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.­pedro.jmrezende.com.br/sd.php


Direitos do Autor

Pedro A D Rezende, 2014:  Este artigo será publicado no portal do autor, após publicação da edição do Observatório da Imprensa, sob a licença disponível em http://creativecommons.org/licenses/by-nd/2.5/br/