A Justiça Eleitoral fiscaliza violações
internas?
E quanto às gerações?
Para matéria no Portal UOL
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
14 de Agosto de 2014
Bruna Borges: 1. Em sua opinião, a urna brasileira é segura?
Pedro Rezende: A urna eletrônica é segura mas não no sentido simplista e ingênuo que a propaganda oficial insinua e o leigo tende a entender. A urna do TSE é um tipo de computador, que portanto seguramente se comporta conforme é programada: se entra software honesto, sai votação limpa; se entra software desonesto, sai votação fraudada na sessão eleitoral correspondente.
Ainda, é ingênuo e perigoso pensar em segurança da urna como a mesma coisa que segurança do processo eleitoral do ponto de vista de quem acredita em democracia, porque a honestidade do software que entra na urna é condição necessária mas não suficiente para a lisura de uma votação informatizada. Votações continuam podendo ser fraudadas em qualquer de suas tres etapas mesmo depois de informatizadas, na primeira e na terceira etapas, mesmo com software honesto na urna. Na primeira etapa, quando eleitores habilitados numa sessão são identificados e liberados a votar, e na terceira, quando os boletins de urna oriundos das sessões eleitorais são somados para o resultado dos respectivos pleitos da eleição.
BB: 2.A urna
eletrônica está vulnerável a ataques externos?
E quanto a ataques efetuados por pessoas que trabalham nas
eleições, a Justiça Eleitoral consegue evitar
ou fiscalizar violações de seus funcionários
ou mesários?
PR: Não há sistema informatizado
invulnerável, e fica cada vez mais ridículo insinuar ou
pretender o contrário na medida em que recrudesce a
ciberguerra, cujas ações estão cada vez mais
escancaradas com os desdobramentos das revelações de
Snowden. Qualquer interessado em fraudar um complexo sistema
informatizado buscará o caminho que lhe ofereça melhor
relação entre o esforço ou dificuldade de
execução, e o risco de ter o efeito da fraude desvelado
e anulado ou a sua autoria rastreada e punida. A nossa democracia tem
um perfil determinante para esse caminho, que conjuga um sistema de
votação concentrador de riscos, um modelo de
desenvolvimento para esse sistema que despreza riscos de origem
interna, como revela a análise
vencedora do último teste externo, e um regime eleitoral
que repete um vício outrora fatal para a Republica Velha, o de
concentrar os tres poderes da esfera eleitoral numa única
instituição. A Revolução de 1930 deslocou
esse vício do legislativo para o judiciário, numa
reação política pendular que na ocasião
parecia apta a neutralizar o conluio conhecido como política
café-com-leite.
Até onde sei, dentre as democracias atuais, só no Brasil
as votações oficiais são regulamentadas,
executadas e julgadas por uma mesma instituição. Mais
precisamente, por um ramo atípico do judiciário cuja
cúpula congrega metade dos juízes da corte suprema, os
quais não se constrangem em alardear, até em
sentenças, a falaciosa suposta invulnerabilidade do sistema de
votação que eles controlam. Nesse contexto, o caminho
para qualquer ataque que se preze incluirá tanto operadores
externos quanto internos, que cada vez mais se confundem conforme a
justiça eleitoral expande a terceirização das
tarefas relativas à operação do seu sistema de
votação, notadamente as de fiscalização de
efeitos internos. Sobre a da votação paralela, por
exemplo, analisei o caso da eleição de 2014 em artigo
publicado também no Observatório da Imprensa onde
respondo ao corregedor eleitoral do Rio de Janeiro que me havia
citado; e sobre a da segurança de sua rede corporativa de
dados, em entrevista
ao portal IG por ocasião da denúncia de fraude via
rede na eleição municipal de Saquarema em 2012.
Então eu diria que não só a urna, mas o sistema
de votação como um todo, estão mais
vulneráveis a ataques mistos, que envolvem interesses externos
e operadores internos, enquanto os internos ou semi-internos ficam por
isso sujeitos a pressões para se envolverem em conluios, que se
tornam atrativos na medida em que o mito da inviolabilidade do sistema
de votação do TSE se enraiza em nossa cultura
cívica. Para adubar o arraigamento desse mito, duas
ações direcionadas podem ser úteis: por um lado,
a propaganda oficial, se confundir no leigo o conceito de
segurança dos donos do sistema contra eficácia na
fiscalização externa, com o de segurança dos
cidadãos que acreditam em democracia contra fraude eleitoral
envolvendo operadores internos ou semi-internos; e por outro lado, a
regulamentação do processo eleitoral, se tornar a
fiscalização externa inócua, sem parecer estar
suprimindo direitos de quem ainda queira fiscalizar.
Esse direcionamento é facilitado, e quase legitimado, pelo mito
da tecnologia como panacéia triunfal, uma característica
marcante da cultura contemporânea. Eis que nessas
ações conjugadas ele vem sendo observado, e denunciado
por especialistas em segurança digital que prezam a democracia
e acompanham de perto a informatização do nosso processo
eleitoral, no meu caso há mais de doze anos. Esclarecido o
contexto subentendido na pergunta, se a justiça eleitoral
consegue fiscalizar violações de seus
funcionários ou mesários, só posso responder em
tese. Acredito que conseguiria efetivamente apenas em parte, pois toda
medida de controle introduzida em sistemas informatizados induz
coleteralmente novas formas de ataque, que contornam suas
intrínsecas fronteiras de eficácia, fronteiras tanto
mais esquivas quanto mais complexo for o sistema.
Doutra feita, em outro sentido da pergunta, se a justiça
eleitoral investiga ou não por conta própria, e se pune
ou não incautos eventualmente pegos em ilicitudes, não
temos como saber, pois nada vem a público acerca de tais
ações além de vagas alegações de
que elas existem. Se e como elas ocorrem, nada transparece dos atos
públicos dos corregedores eleitorais. E agora, nem mesmo
advogados externos tem como saber, pois com a mudança para o
prédio novo do TSE eles tiveram o acesso bloqueado à
rede interna, onde os feitos administrativos são registrados.
Quanto aos casos de demanda externa para investigação de
ilícitos, visando ação pública para
impugnação de pleito por exemplo, a resposta é
efetivamente não. Nesses casos um efeito nefasto da citada
concentração de poderes tem sempre prevalecido. Ou provocam
ameaças de retaliação contra candidatos
questionadores, ou perda de objeto da ação judicial por
decurso de prazo em mora, ou negam perícia independente ou
denegam em setença sob o argumento de que os indícios
arrolados não comprovam ter havido desvio no resultado da
eleição.
Esta é uma situação kafkiana porque as provas que
o acusador busca estão sob controle de juízes que ao
mesmo tempo devem ser réus, ao menos por negligência em
vista da propaganda que levam a sério. Qual julgador entregaria
provas em circunstâncias e profusão adequadas aos
critérios de admissibilidade e suficiência, que ele mesmo
consideraria, para condenar-se a si mesmo? Algum acesso é
sempre negado, sob pretexto da segurança "do sistema". A prova
de que tal situação é kafkiana fica evidente na
propaganda oficial, quando a justiça eleitoral alardeia esse
sofisma, que nunca ninguém comprovou -- em juízo -- que
o sistema foi fraudado, como "prova" de que o sistema dela é
inviolável. Essa situação materializa uma
doutrina esquizofrênica sobre prova eleitoral, onde, para
verificação positiva de resultados, vale cantigas de
propaganda; e para a verificação negativa, o vale-tudo
do rigor jurisprudencial sobre prova documental. Sistema incestuoso de
poderes concentrados, este, pode até ser inviolável, mas
apenas até a próxima reforma ou golpe de estado;
enquanto o de votação, nunca o será.
BB: 3. É verdade que a urna brasileira é de 1ª geração e já foram criadas as de 2ª e 3ª gerações? O que diferencia cada uma delas? Quais seus problemas e vantagens?
Sim.
Esta classificação dos sistemas de votação
em gerações foi inicialmente
apresentada em audiência pública no TSE em 2010, e
reapresentada
a convite num seminário internacional sobre
votação eletrônica em 2012. Ela se refere, em
termos leigos, aos modelos tecnológicos de urnas
eletrônicas usadas pelos respectivos sistema de
votação. A idéia de gerações se
justifica pelo fato dos respectivos modelos de urna eletrônica
terem surgido na literatura científica nessa ordem
cronológica e com o objetivo de resolverem problemas
práticos tidos como cruciais e inerentes ao modelo anterior. E
como expliquei na resposta anterior, ao custo colateral de novas
formas de ataque inerentes às alterações ou
novidades introduzidas, que precisam então ser integralmente
reavaliadas em contextos reais de uso. Podemos resumir o que as
diferenciam assim.
1- As urnas modelo DRE (Direct
Record Electronic) são as que registram e contam votos
de forma puramente eletrônica, e por isso não permitem
verificação ou recontagem independente de software. As
urnas DRE são usadas em sistemas de 1ª
geração desde 1991, na Holanda, e atualmente apenas no
Brasil. O modelo anterior que as urnas DRE buscam aprimorar é o
da urna física, que apenas coleta cédulas com registro
material do voto. O modelo DRE busca impedir as fraudes de varejo
praticáveis na aupração por
manipulação de cédulas e planilhas de papel
(mapas), ao custo colateral de tornar a lisura do resultado
completamente dependente da honestidade do software que roda na urna
no momento da votação.
2- As urnas modelo VVPT (Voter-Verifiable
Paper Audit Trail) são as que atendem ao
critério de verificabildade independente de software, incluido
nas diretrizes VVSG (Voluntary
Voting Systems Guidelines) pelo EAC (US
Electoral Assistance Commission), grupo de pesquisa formado
nos EUA após o fiasco da eleição de 2000 para
estudar os problemas com votação informatizada e propor
soluções. Urnas VVPT são usadas em sistemas de
2ª geração desde 2000, nos EUA. O critério
VVPT exige um registro material do voto digital para instrumentar uma
trilha de auditoria independente do software. Nesse modelo, alguns
tipos de urna (também rotuladas de IVVR) requerem o registro
material na entrada da coleta eletrônica, onde uma cédula
é escaneada, enquanto outros geram o registro material como
saída, imprimindo uma cédula correspondente ao voto
digital coletado, alguns com manipulação direta do
eleitor e outros sem. Esse modelo se expõe a novas formas de
sabotagem, úteis a candidatos sem chance, por
manipulação indevida de uma das trilhas: se houver
discrepância entre a contagem eletrônica,
automática, e a física, manual, a auditoria não
pode descobrir qual delas foi violada porque as duas trilhas de
custódia dos votos são independentes.
3- As urnas modelo E2E (End-to-End
auditability) são as que atendem ao critério de
auditabilidade ponta-a-ponta, implementável por trinhas
interdependentes de custódia material e digital do voto. Os
próprios criptógrafos que encabeçaram o grupo de
pesquisa EAC perceberam a vulnerabilidade colateral das urnas VVPT, e
propuseram o novo critério E2E para saná-la. Urnas E2E
são usadas em sistemas de 3ª geração desde
2006, na Argentina, lá com um tipo de urna que lê e grava
registros integrados tipo "RFID-em-cédula", desenvolvidas de
forma independente do critério E2E mas que o atende. Os
especialistas que propuseram esse critério,
caraterístico dos sistemas de 3a. geração,
inauguraram em eleição oficial o sistema que
desenvolveram, com um tipo de urna eletrônica que emprega redes
criptográficas "mix-and-match",
no município de Tacoma, nos EUA, em 2009. Nesses sistemas,
discrepâncias entre as contagens automática e manual
podem ter a origem rastreada em auditoria, devido à
interpependência das trilhas. Colateralmente, esse modelo se
expõe a novas ordens de complexidade no software ou na
tecnologia de registro do voto, cujo único desdobramento com
potencial de vulnerabilidade até agora detectado é a
necessidade de um cuidado maior na operação do sistema
para proteção ao sigilo do voto.
As vantagens e desvantagens no uso de cada modelo de urna são
relativas, pois na prática dependerão de vários
fatores além dos potencializados por critérios
técnicos. Fatores tais como detalhes do sistema de
votação onde a urna se integra, posturas de quem
administra ou opera o sistema no sentido de franquearem acesso aos
recursos de fiscalização e auditoria externa, e atitude
do eleitorado em relação à importância do
cumprimento da sua função de fiscalização
externa. Como os sistemas de votação operam em contextos
cuja distribuição de riscos é multipolar,
qualquer deles, de qualquer geração, será
inapelavelmente frágil e vulnerável a fraudes em
situações onde não houver massa crítica de
eleitores conscientes da importância da sua função
fiscalizatória e dispostos a exercê-la. Inobstante isto,
o condão dessa classificação evolutiva, em que as
diferenças entre modelos se relacionam tecnicamente pela
linhagem, é no sentido de que quanto mais antiga a
geração, mais a eficácia da
fiscalização externa estará susceptivel a
arbítrios na operação ou
administração do sistema. Num contexto de uso em que
eleitores são adestrados a entender eleição como
videogame, por exemplo, um sistema de 1a. geração pode
ser facilmente blindado, como se camuflado, contra a eficácia
da fiscalização externa, a qual aí se torna
semelhante a um mero teatro.
BB: 4. É verdade que o modelo utilizado no Brasil foi deixado de ser usado em outros países? Quais? Por quais motivos? O senhor apontaria países que tem modelos mais confiáveis que a urna brasileira?
Sim, conforme documentado no portal do forum do voto seguro, por motivos que suponho justificados ou explicados no final da resposta anterior. Sistemas de votação informatizados apresentam potenciais de confiabilidade que são distintos não só entre os sistemas propriamente ditos, notadamente pelos critérios técnicos para custódia dos votos que distinguem as tres gerações, mas também distintos para um mesmo sistema, conforme critérios ou métricas possíveis para se aferir confiabilidade. Existem critérios de todo tipo sendo usados em tais aferições, que vão desde argumentos de autoridade, como os implícitos em propaganda institucional e sentenças judiciais que os arremedam, aos mais analíticos e universais, como aqueles propostos nas diretrizes VVSG pelo grupo de pesquisa EAC a partir de 2005.Assim, não pode haver critério objetivo de
comparação entre sistemas de votação fora
de um acordo sobre como se medir confiabilidade neles.
Para escolher um critério de aferição de
confiabilidade baseado em como entendo esse conceito aplicável
a processos eleitorais, optaria pelo nível de
conscientização e participação do
eleitorado na imprescindível função
fiscalizatória externa. Quando esse nível é alto
o suficiente, fraudes de varejo eventualmente praticadas por
eleitores, notadamente na primeira etapa da votação,
tendem a manter-se em níveis reduzidos, ou a se cancelarem
mutuamente em eleições que mais precisam de
fiscalização, as equilibradas. E se houver fraude por
atacado ou em extensão bastante para influir no resultado, o
eleitorado estará coletivamente mais propenso a se convencer da
ilegitimidade desse resultado. Por esse critério, as
gerações de sistemas de votação mais
recentes oferecem mais confiabilidade para o mesmo nível geral
de envolvimento do eleitorado, por crescentes dificuldades para os
meios internos de sabotagem à eficácia da
fiscalização externa.
BB: 5. É mais fácil ou mais difícil identificar fraudes com o sistema eletrônico de votação?
Aqui também precisaríamos de um critério comum.
Se adotarmos o critério do potencial de dano per capita
combinado ao da periculosidade, o qual foi incluído nas
diretrizes VVSG, observamos o seguinte: Em sistemas de primeira
geração, as mais perniciosas formas de fraude são
praticáveis por atacado e invisíveis; nos de segunda
geração, as piores são praticáveis por
atacado e parcialmente auditáveis. E nos de terceira
geração, estas são praticáveis por varejo
e auditáveis, como nos sistema de geração zero
(os puramente manuais). Ainda, quanto à relação
entre visibilidade e auditabilidade, a eficácia da
fiscalização externa é mais facilmente bloqueavel
por manobras administrativas de quem opera um sistema de primeira
geração do que de qualquer outra, incluindo a
geração zero. Entretanto, mesmo fixando esse
critério para tentar responder à sua pergunta, a
resposta correta ainda é: depende. Para quem quer
eleição limpa sob critérios universais de
verificabildade, a resposta é oposta à de quem queira
fraudar, poder intermediar fraudes impunemente ou ter a última
palavra quanto a essa possibilidade, como se jungidos fossem com
oniciência divina e pureza moral dos anjos do bem, consagrados
que foram por se acharem donos ou experts
do sistema.
BB: 6. Por que o TSE não permite mais testes abertos ao público sobre a confiabilidade das urnas eletrônicas?
A resposta deve ser buscada no TSE, mas se aqui couber ao invés um palpite, diria que os possíveis motivos estariam relacionados ao fato desses testes, que deveriam ser abertos, quando permitidos não foram propriamente abertos. Tiveram participação externa, mas não foram abertos, já que os dois permitidos -- em 2009 e 2012 -- foram cuidadosamente coreografados. Com detalhes que, a pretexto de excluriem o que estaria "fora de escopo do teste", suprimiam a eficácia investigatória o bastante para permitir-nos inferir que a coreografia almejava direcionar os resultados para validação da propaganda oficial.
Como no primeiro desses testes a participação externa
acabou se desviando
ligeiramente dessa direção, o teste seguinte
só ocorreu tres anos depois, com uma coreografia mais
elaborada, no sentido de tornar a supressão na permitida
eficácia investigatória menos evidente, com um controle
mais rígido do acesso pela imprensa aos "testadores".
Nesse segundo teste, em 2012, ocorreu então que a
participação externa desviou-se
ainda mais do resultado almejado pelo script
coreográfico. Sou assim induzido ao palpite de que o
próximo script
demorará no mínimo mais um ano para ficar pronto, se
ficar.
BB: 7. O uso da biometria melhora a confiabilidade das urnas?
A função de uma urna de votação é coletar votos. Mas no sistema de votação do TSE, urnas de primeira geração não só coletam e somam votos sem possibilidade de recontagem, mas também -- inédito em qualquer sistema conhecido -- registram a identificação de eleitores. No sentido de que a biometria nesse sistema acrescenta dados a essa identificação e registro, tal biometria não melhora a confiabilidade dessas urnas, pelo contrário. Pois urnas eletrônicas para votação secreta, de qualquer geração, não deveriam ser usadas para subsidiariamente identificar eleitores. O cúmulo da ironia aqui -- até ousável em vista da teoria esquizofrênica da prova eleitoral -- seria se os defensores desse sistema criticassem os sistemas de terceira geração pelo colateral cuidado adicional neles necessários para se proteger o sigilo do voto.Desconsiderando esse desvio de função no
desenvolvimento do sistema do TSE, desvio que havia sido abolido com
ilegal pelo artigo 5 da Lei 12.704/09, mas que foi relegalizado com a
anulação desse artigo pelo STF em novembro de 2013,
ainda que sob um estapafúrdio argumento de
insconstitucionalidade, tal biometria tampouco melhora a
confiabilidade da votação no sentido insinuado pela
propaganda institucional, que seria o de evitar fraudes na primeira
etapa de votação. Antes, ao contrário, conforme
acabo de explicar em entrevista
à Agencia Brasil de Notícias.
BB: 8. Quais recomendações o senhor propõe para aumentar a confiabilidade e a segurança dos dados nas eleições?
A confiabilidade e a segurança em eleições para
eleitores que acreditam em democracia, é uma coisa. A
segurança dos dados em eleições para quem
controla o sistema, é outra coisa. Essas duas coisas, por serem
distintas, podem ter metas ou ḿétricas conflitantes. Quando
isso ocorre, será em detrimento da primeira, pois quem controla
o sistema é o sujeito da segunda. Tanto mais quanto ambas
coisas são confundidas pelo sujeito da primeira, o eleitor.
Para a primeira delas, minha recomendação é que
uma reforma política comece por dissipar a já citada
concentração de poderes referentes ao processo
eleitoral. Desmembrando-se, por exemplo, as atuais
funções da secretaria de informática do TSE, que
na prática exerce o poder executivo no processo de
votação. Para a segunda, prefiro não opinar, pois
uma resposta direta presumiria indevida inferência ou
juízo de valor sobre as metas e métricas que de fato
contam para quem detém poder sobre o sistema. Limito-me a
mencionar uma outra contribuição acadêmica aos
estudos de sistemas informatizados de votação, que
apresentei a convite em seminário internacional, a
título de mais uma resposta "depende".
Trata-se de um referencial hermenêutico para classificar os
possíveis reais objetivos e caminhos na
informatização de processos eleitorais, que seriam:
1- Tecnologia eleitoral como fim em si mesmo
(Tecnologia-fim):
Administrador do processo
eleitoral dirige reforma normativa cujos efeitos lhe concentram mais
poderes.
2- Tecnologia eleitoral como meio para um fim
(Tecnologia-meio):
Legislador exerce autonomia
para reforma normativa cujos efeitos afetam poderes no regime
democrático.
3- Tecnologia eleitoral como cavalo-de-batalha
(Tecnologia-eixo):
Poderes em regime
tripartite disputam hegemonia para dirigir reforma normativa do
processo eleitoral.
Devo revelar que quando propus este
referencial hermenêutico, ainda não conhecia uma
inspirada reflexão precípua registrada, há quase
200 anos, por um dos fundadores da democracia moderna em nosso
continente. Thomas Jefferson era ferrenho defensor da
descentralização do poder. Ao deparar-me depois com uma
coletânea comentada de seus alertas sobre os perigos do que ele
chamava de "tirania
judicial", não pude evitar de pensar nos caminhos
percorridos pelo nosso país e o dele desde então. Minha
recomendação técnica para essa segunda coisa da
segurança dependeria, portanto, de qual
desses tres caminhos de modernização para nossa
democracia nossa nação decide seguir.
BB: 8. O senhor pode citar casos suspeitos de fraudes nas últimas eleições?
Os casos menos recentes, conhecidos pelo Comitê Multidisciplinar Independente, estão bem documentados no forum do voto seguro. Dos mais recentes, cito como exemplo didático para o viés das minhas respostas anteriores um memorial do caso Saquarema em 2012.
Editor e entrevistado
Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Computação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da California em Berkeley. Membro do Conselho do Instituto Brasileiro de Política e Direito de Informática, ex-membro do Conselho da Fundação Software Livre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.pedro.jmrezende.com.br/sd.php
Direitos do Autor