[Página original]

Afinal de contas, a urna eletrônica é ou não um meio seguro para votação? Essa é uma questão delicada, que se tornou alvo de uma polêmica entre partidos e a justiça eleitoral.

Um dos principais polos do debate é o Fórum do Voto Eletrônico, moderado pelo engenheiro Amílcar Brunazo Filho, assessor técnico do senador Roberto Requião (PMDB-PR) - autor de um projeto para instituir uma confirmação impressa do voto após sua digitação -, e também assistente técnico dos delegados do PDT junto ao Tribunal Superior Eleitoral. O partido teve indeferido pelo TSE, há duas semanas, um pedido de impugnação dos programas instalados nas urnas eletrônicas. O pedido argumentava que os programas não teriam sido apresentados integralmente aos partidos políticos e o software de criptografia (desenvolvido por orgão ligado ao Poder Executivo) caracterizaria uma interferência na Justiça Eleitoral. Segundo Brunazo, será tentado um recurso contra a decisão via mandado de segurança.

- "Em primeiro lugar quero dizer que não sou contra a urna eletrônica. Reconheço seus méritos. Apenas queremos mostrar que ela é passível de fraude - afirma. - Antes de mais nada, é preciso entender que o programa da urna é dividido em Sistema Operacional e Sistemas Aplicativos. O TSE só apresentou os códigos dos aplicativos, mas não o código-fonte so Sistema Operacional, que é o VirtuOS da Microbase. O argumento deles é que, como o sistema é comprado no mercado, não se teria como mostrar o código-fonte, já que ele é proprietário, fechado, e a empresa teria direito ao sigilo por lei. Ora, mas o que vale mais neste momento, a Lei de Direito Autoral ou a Lei Eleitoral? Além disso, o TSE escolheu um sistema fechado por que quis. Por que não usar um Linux, por exemplo, que tem o código aberto? e também é mais barato."

O Secretário de Informática do TSE, Paulo César Camarão, confirma que o código-fonte do VirtuOS não foi mosatrado, mas repudia as críticas:

- "Todos os programas foram abertos aos partidos, menos o Sistema Operacional que é proprietário e não pode ser aberto - diz.- Entretanto, a Justiça Eleitoral é extremamente preocupada com o sigilo do voto, e esses questionamentos são feitos por pessoas que não conhecem o sistema eleitoral"

Disquete para inseminação motiva controvérsia

Brunazo aponta ainda outras falhas no procedimento, como a falta de conferência pelos fiscais partidários, do conteúdo do disco (o chamado "flash-de-carga") que "insemina" a urna:

- "Só se pode assistir à inseminação, mas não verificar o conteúdo do disquete - protesta. - Como se pode ter certeza de que o programa correto foi carregado, então?"

O juiz auxiliar da presidência do Tribunal Regional Eleitoral do Rio (TRE-RJ), Artur Narciso, responsável pela área de informática no estado, rebate tais acusações com veemência.

- "As urnas, uma vez inseminadas, admitem uma auditoria - esclarece. - Os partidos políticos têm direito a escolher 3% das urnas que foram inseminadas e fazer um teste nelas. Esse teste é, na prática, a simulação da votação real com aquela urna. Então se introduz um disquete, para única e exclusivamente desbloquear o mecanismo de tempo que garante que a urna só funcione no dia da eleição. E assim acontece. Tanto que ela só funciona com a digitação dos números dos títulos dos eleitores daquela seção. Essa auditoria detectaria algum defeito ou desvio de votos. O que se alega, e que na minha opinião é um desvario, é que este disquete teria a capacidade de eliminar um possível desvio de votos que tivesse sido implantado na urna. Acho isso um absurdo. Uma elocubração fantasiosa. O disquete é igual, único, para todo o país, e o programa contido nele está, sim, disponível para exame dos partidos. Eles sabem qual é o conteúdo do disquete. Se alguém tem dúvida quanto ao conteúdo, que vá examiná-lo. E a inseminação nada tem de descuidada. É um ato público, solene, oficial, que conta com a participação do juiz eleitoral, do promotor eleitoral, dos fiscais dos partidos... A urna é lacrada e, depois disso, qualquer tio de violação impede a sua utilização posterior. O lacre tem justamente este fim. E a urna eletrônica também tem sensores. Se alguém a pegar e tentar introduzir qualquer tipo de programa, ter acesso a qualquer dos seus componentes, ela vai parar de funcionar. E estará sob a guarda da justiça eleitoral. Ninguém poderá mexer nela."

Digitação do número do título violaria anonimato

Uma outra questão diz respeito à digitação do número do título do eleitor pelo presidente da mesa no microterminal, liberando a urna para seu voto. Segundo Ricardo Sovat, doutorando em Ciência da Computação do Instituto de Ciências Matemáticas e Computação da USP, isto poderia violar o anonimato do indivíduo, ao vincular o voto ao respectivo votante.

- "A digitação do número do título é feita praticamente na própria urna. Isto é, num microterminal ligado à máquina. Trata-se de um ponto vulnerável para manipulação" - afirma.

O Secretário de Informática do TSE considera a possibilidade fora de questão.

- "Essa alegação de que a digitação do título pelo presidente de mesa o vincula a seu voto não procede. Ela apenas verifica se o eleitor pertence àquela seção e se já votou ou não" - diz Paulo Camarão.

Código-fonte fechado torna difícil a análise do sistema com exatidão

Segundo Marcos Tadeu von Lutzow Vidal, professor do Departamento de Engenharia de Telecomunicações da UFF e especialista em redes de computadores que trabalha também com segurança, o cerne de toda a questão está mesmo no código-fonte fechado de um software proprietário.

- "O problema não é só o fato de o código-fonte do sistema operacional da urna não ser mostrado. A questão é a falta de acesso ao código que gera o programa executável (o compilador e as bibliotecas) - diz. - Nessa geração, é possível tecnicamente criar um código que não seja exatamente a compilação do código-fonte, ou seja, pode-se, teoricamente, incluir outras coisas nesse processo se você tem acesso ao programa compilador e se ele é fechado. Asseguram tratar-se de um sistema comercial, sem possibilidade de ‘‘traquinagem’’. Mas a possibilidade técnica existe. E pior do que isso é a pergunta: quem garante que o código que está sendo compilado é o mesmo que está sendo mostrado?
O TSE assegura: é o mesmo.
Mas o código que está compilando isso é conhecido, é aberto?
As bibliotecas podem ser auditadas?
Num programa de código fechado, não há como comprovar isso. Em outras palavras, você tem de confiar na idoneidade do código fechado."

Para ele, a vinculação do voto seria uma situação plausível, uma vez que o microterminal está ligado à urna e faz parte do hardware. Desse modo, como os títulos são carregados na própria urna, admitir-se-ia a possibilidade de inserção de um código secundário que ligasse título a voto.

- "Garante-se que não há nada no programa que faça essa relação, e nem que faça um ‘‘log’’ dizendo a ordem dos votantes e a ordem dos votos - observa. - Mas, com um código fechado, novamente você não pode assegurar isso. Caímos no problema da geração que descrevi anteriormente."

Já o juiz Arthur Narciso considera que a digitação do título no microterminal é em si um mecanismo de segurança:

- "Se desvincularmos o microterminal da urna nesse aspecto, impedindo que a digitação do título seja o código de liberação dela, não teremos mais controle. A digitação é um mecanismo de defesa."

Outro ponto delicado da discussão diz respeito à confirmação impressa do voto para o eleitor, que não existe na urna atual. O projeto do senador Requião prevê a implementação desse sistema, mas a Justiça eleitoral aponta o custo como seu principal inconveniente:

- "Nas eleições de 96, as urnas eletrônicas imprimiam o voto, que era depositado pela própria urna eletrônica numa urna plástica a ela acoplada - lembra Narciso. - Mas esse processo causou defeitos e interrupções de operação nas urnas eletrônicas. Assim, ele foi mudado, inclusive em função da chegada de tecnologias mais adequadas para o armazenamento de informações, como o flash card. Agora, se o projeto da confirmação impressa for aprovado, vai gerar a necessidade de adaptação de mais de 350 mil urnas, o que é oneroso. Eu pergunto: vale a pena? Afinal, o grande objetivo dessa modificação é implantar um mecanismo de defesa contra um possível desvio de votos por parte do programa. Só que o sistema atual tem seus mecanismos de defesa, como já disse."

Os que criticam o sistema não estão tão certos. Ricardo Sovat é um deles:

- "Não é possível para o eleitor certificar-se de que a máquina atribuiu o voto de acordo com seu desejo. Se fosse acoplada uma impressão do voto, sem contato manual pelo eleitor, apenas para verificação visual, seria possível uma auditoria posterior em caso de dúvida."

Críticas atingem também o disquete criptografado que serve de ponte entre a urna e a junta eleitoral onde se dará a totalização. Desenvolvida pelo Cepesc (Centro de Pesquisas em Segurança das Comunicações), ligado à Abin (Agência Brasileira de Informações), a criptografia não teria sido aberta pelo TSE, segundo Brunazo. O Secretário de Informática do Tribunal nega isso, dizendo que ela esteve à disposição dos partidos, e que a encriptação se dá após a emissão dos boletins de urna (entregues aos fiscais dos partidos), não afetando a votação.

- "A criptografia funciona apenas como um carro-forte para transporte dos dados" - diz Camarão.

Para Vidal, um processo eleitoral automatizado teria de ser auditado por pelo menos um mês (a lei prevê cerca de uma semana). E envolveria também a análise de todo o hardware, circuito a circuito:

- "A auditoria começaria com tudo aberto: software e hardware, com a verificação dos circuitos, inclusive em nível de BIOS do hardware. Seria examinado também o sistema operacional como um todo. Existem dispositivos que se pode espetar nos circuitos para auto-autenticá-los, como se faz com o software. Então, você autenticaria ponto a ponto, diante da comunidade, uma máquina-mestra e, a partir dela, geraria uma assinatura digital que serviria para testar e autenticar qualquer outra máquina, o que seria muito difícil de fraudar. A mesma coisa seria feita com todos os programas: BIOS, SO, aplicativos, programas do TSE. Dessa forma, teríamos um processo totalmente transparente."