Leia na Fonte: Novo Milênio
[09/04/04]  Urna eletrônica: você confia? - por Carlos Pimentel Mendes

Carlos Pimentel Mendes é jornalista, editor do jornal eletrônico Novo Milênio

No Brasil, o juiz eleitoral faz leis, executa-as e, se houver alguma dúvida, ele mesmo se julga...

O voto é secreto e inviolável. Está lá na Constituição. Entretanto, há anos o Tribunal Superior Eleitoral (TSE), numa afronta aos Três Poderes da República, legisla sobre os processos de votação, executa como quer essas normas (mesmo as que conflitem com a Lei Maior), e, se alguém contesta, o próprio TSE julga as pendências. Assim, é absolvido e ainda tripudia, deixando claro que a garantia do processo eleitoral brasileiro é a palavra do juiz. Não lembra certas republiquetas citadas nos filmes?

Pois é, a urna eletrônica é apresentada como uma conquista da tecnologia nacional. O que raros sabem - porque a sociedade brasileira pouco se organiza para cobrar direitos - é que existem duras críticas, por dar chance a que o voto seja conhecido e alterado. Quem lembra do escândalo Proconsult, no Rio de Janeiro, ou da violação do painel de votação do Senado, pode se preocupar: as urnas ditas seguras são na verdade altamente suspeitas.

E a luta para moralizar esse processo começou em Santos, embora hoje seja mais forte em sociedades avançadas, como a dos EUA. Onde urnas semelhantes às brasileiras (sem impressão do voto) já foram proibidas por lei em dez estados, e a empresa que produz as mais recentes versões da máquina usada no Brasil foi expulsa da Califórnia em abril/2004. Lá existem dezenas de organizações não-governamentais debatendo o voto eletrônico, que promoveram em 13/7/2004 a manifestação The Computer Ate My Vote ("o computador engoliu meu voto"). A grande imprensa dos EUA faz ampla cobertura dessa polêmica - ao contrário da brasileira, que geralmente só relata as posições do TSE.

Na Argentina, um juiz federal proibiu o uso oficial dessas máquinas, mas como o país já as negociava com o Brasil, ficaram à disposição do público para votação simulada. Também foram testadas no México e passarão por testes no Equador. Mesmo na Venezuela, em 2004, a urna era dos EUA e imprimia o voto. Só um país usou o sistema brasileiro: o Paraguai...
Questões – Em 15/10/1996, quando foi publicada a primeira denúncia das falhas da urna, duas questões não tinham resposta satisfatória do TSE. E continuam em aberto, oito anos depois. Na prática, a resposta é a mesma dada pelos contrabandistas internacionais: "la garantia soy io!"

A primeira é quanto ao sigilo do voto. Se o mesário identifica o eleitor num terminal ligado à urna, para liberar a votação, não há garantia de ser impossível ligar o voto ao eleitor e assim descobrir em quem ele votou. Mesmo os programas para embaralhar e criptografar dados podem ser anulados por quem tiver acesso à chamada "porta-dos-fundos" dos programas (método indireto de chegar ao código, usado pelo programador mas não revelado ao cliente).

O TSE alega ter de impedir que um eleitor vote duas vezes. Entretanto, há casos em que mesários liberam por engano a urna com outro número de título eleitoral e, quando o eleitor correto vai votar, é impedido: já votaram por ele. Como aconteceu com dois candidatos a vereador em Niterói. O TSE não faz esse controle, até por que isto revelaria as falhas do processo. Assim, não há desculpa válida para essa estranha identificação do eleitor, em vez do mesário usar uma senha qualquer...

A segunda questão básica é que não há segurança absoluta de que a informação eletrônica seja inalterável - como no famoso escândalo Proconsult, em que parte dos votos destinados a um candidato era desviada para seu adversário. Ora, para cumprir o preceito da inviolabilidade do voto, o único meio até hoje é fazer com que ele seja impresso e conferido pelo eleitor (num visor da máquina) no momento da votação, ficando depositado fisicamente na urna para eventual conferência.

Impugnação – Em todas as últimas eleições brasileiras, os partidos políticos mais atentos tentam impugnar os métodos usados. Como explica o engenheiro de segurança em computação e consultor do Congresso Nacional, Amílcar Brunazo Filho, sistematicamente o TSE posterga ou nega esses pedidos, mas nas eleições seguintes tenta discretamente corrigir os problemas denunciados, o que contribui para melhorar aos poucos o sistema eleitoral eletrônico.

Em 2000, o protesto era por não ser mostrado aos fiscais o programa de criptografia: agora é apresentado. Em 2002, não era permitida a conferência adequada dos programas carregados na urna: em 2004, os partidos podem usar seu próprio programa de verificação. O absurdo da história é que os políticos não se interessam muito em fiscalizar as eleições: só o PT e o PDT se habilitaram para essa verificação.

Em 2004, o PDT apresentou pedido de impugnação com quatro itens, bem significativos da gravidade dos problemas existentes, e o PT estudava também apresentar seu protesto.

O primeiro ponto do protesto pedetista é porque em 2003 foi criado o registro digital do voto, para tentar substituir o voto impresso e conferido pelo eleitor. Assim, o voto é gravado no computador e poderia ser impresso para auditoria posterior. Mas, como o eleitor não conferiu o voto, se houver alguma adulteração no programa a impressão dos votos apenas repetirá o resultado eletrônico. Na forma como foi aprovada, a lei até facilitaria o "voto de cabresto pós-moderno": o eleitor poderia votar para prefeito e em seguida digitar um número para vereador inexistente. Esse número (pré-combinado) ficaria registrado e poderia ser depois conferido por quem quisesse: assim, o eleitor sinalizaria ao "coronel" em quem votou para prefeito.

Percebido o problema, o TSE alterou a lei, pela resolução 21.744, de maio/2004, decidindo que no caso de voto nulo será gravado um código padrão em vez do número digitado. E também decidiu que o arquivo digital não será entregue aos partidos e outras entidades para suas análises estatísticas. Então, o TSE reconhece o risco de divulgar tais informações, apesar do que alegou para convencer os políticos a aprovarem a lei de 2003.

Surgem várias implicações: a primeira é que não existe mais a desculpa da auditoria posterior, para manter na urna um programa que permite imprimir esse arquivo: a lei não prevê auditoria, então por quê o arquivo? Ele é gravado na memória da urna, no decurso da votação, em posições diferentes para não ligar o voto ao eleitor, segundo se afirma. Mas, por ser digital, é fácil de ser copiado. Só na urna está em dois lugares: um cartão de memória flash interno e um externo, de acesso simples (quem quer a informação vai se preocupar com um mero lacre?). Uma cópia criptografada é gravada no disquete que transfere os dados para o sistema totalizador. Este, por sua vez, copia o arquivo do disquete. E o programa recuperador de dados, usado para a manutenção do sistema em caso de pane, também faz mais uma cópia. Que garantia há de que esses arquivos continuem em segurança, principalmente após as eleições?

Algo muito grave, a resolução do TSE mostra que nem sempre é registrado no arquivo digital o que o eleitor digitou. Além disso, pelo Código Eleitoral em vigor, só um juiz pode decidir sobre nulidade do voto, mas o que vemos é a urna decidir se o voto é nulo e como será gravado. Tudo isso ocorre por causa do registro digital do voto - que Amílcar chama de "lei do voto virtual às cegas", já que fica gravado na urna algo que o eleitor não sabe o que seja.

O segundo motivo para a impugnação pelo PDT, em 2004, é que, embora os partidos políticos já possam usar um programa próprio para a conferência dos programas de assinatura digital, tal verificação só pode ser feita na própria urna: o certo seria conferir os dados num computador externo, e não o fiscalizado decidir como quer ser fiscalizado.
Complexo demais - O terceiro item impugnado critica a complexidade do sistema eleitoral eletrônico. Em 2000, quando ele era composto por 10 mil arquivos, a Unicamp apresentou relatório recomendando que fosse simplificado para permitir uma auditoria eficiente. Ao invés, em 2002 o sistema veio com 30 mil arquivos. A Sociedade Brasileira de Computação (SBC) também criticou que, com tal complexidade, toda a confiança no sistema era baseada nos funcionários do TSE e não no processo em si. Agora, em 2004, já são mais de 60 mil arquivos. Para auditá-los, os partidos têm só 3 dias (dos cinco dias previstos, o primeiro é perdido com a instalação dos programas e o último com a compilação dos mesmos). Não há meio de conferir mais do que 1% do código-fonte usado no sistema.

O quarto item decorre daí: a complexidade surge por que o TSE usa a cada eleição mais um sistema operacional: em 1998 e 2000 era o sistema VirtuOS, em 2002 as urnas tinham Windows CE 4.0 e as de 2004 usarão Windows CE 4.2. Para cada sistema - todos rodando ao mesmo tempo, em diferentes lugares do País - há novos programas proprietários, que não podem ser auditados. Daí a luta para que se use um programa de código aberto e padronizado.

Mas, surgiu um detalhe: por quê em 2004 o TSE não comprou licenças adicionais de uso do Windows CE 4.0, em vez das de uma nova versão? Ficou patente a pressão da Microsoft para que o sistema seja atualizado, com todos os custos decorrentes. Obsolecência Planejada. Questionado a respeito, o TSE demonstrou desconhecer os termos das licenças de uso dos sistemas Windows, que até permitem à Microsoft mudar unilateralmente os termos do contrato - aberração legal notada pelo professor Pedro Resende, da Universidade de Brasília. Impugna-se assim que o TSE não conheça os termos do contrato de licença da Microsoft.

Amílcar completa: "Só existe essa preocupação toda por não haver voto impresso para ser auditado, que seja conferido pelo eleitor - mesmo que num visor da urna - um momento antes de ser guardado. Assim, é preciso ficar conferindo o código-fonte, em busca de inconsistências e brechas para violação do sigilo e alteração nos votos. A Microsoft já reconheceu existirem pelo menos 16 portas-dos-fundos no Windows".

Pressão – Apesar do TSE se ufanar de que o Brasil está na frente em tecnologia eleitoral, os fabricantes da urna são americanos: a Unisys em 2002 e a Diebold em 2000 e 2004. A Diebold - que comprou a brasileira Procomp - forneceu também os programas específicos, como a adaptação para o Windows 4.2. Na Califórnia, essa empresa foi proibida de operar, por ter tentado encobrir uma falha no sistema de totalização nos votos. Que foi parecida com a que em 2002 atribuiu 41 mil votos negativos ao então futuro presidente Lula: os técnicos paralisaram o sistema totalizador, corrigiram o código-fonte e reinstalaram o sistema, tudo isso sem a presença dos fiscais, e não declararam o que tinham feito. Em 2000, aliás, já tinha acontecido algo parecido. A diferença é que na Califórnia a fiscalização é independente, não é feita sob controle dos próprios fiscalizados...

A lei 10.740 de 2003 foi aprovada pelo rolo compressor do TSE: na ata de votação, um senador cita que o ministro Sepúlveda Pertence, presidente do TSE, lhe disse que era para aprovar a lei assim mesmo, depois o TSE faria as correções que julgasse necessárias. O mesmo ministro esteve na Câmara Federal, em reunião com as lideranças partidárias, declarando que tinha pressa em que a lei criadora do registro digital do voto (objetivando acabar com o voto impresso) fosse aprovada logo e sem alterações. Foi aprovada no mesmo dia, em sua presença.

Então, como os deputados e senadores são muitas vezes réus em processos pendentes de julgamento no TSE, basta o juiz pedir ao réu - o legislador - que abra mão de sua função de legislar, passando tal prerrogativa ao juiz. Às favas a independência entre os Poderes da República.

Nem falamos de hackers, Abin, interesses externos. Mas, quem quiser saber mais pode participar, na Internet, dos debates do Fórum do Voto-E.