Secretário de TI do TSE comenta segurança de urnas eletrônicas [entrevista]
Giusepper Dutra Janino, Secretário de TI do TSE (Fonte da imagem: Reproudção/Elton Bomfim/Conexão Tocantins)
Em abril deste ano, o Instituto de Ciências Matemáticas e Computação da Universidade de São Paulo, no campus em São Carlos, abrigou o 1º Fórum Nacional de Segurança em Urnas Eletrônicas, que contou com a presença de engenheiros e outros profissionais que abordaram pontos fundamentais do processo eleitoral, questionando a contemplação desses itens pelas urnas.
Muitos desses pontos foram cobertos no artigo “O sistema de votação com urnas eletrônicas do Brasil é seguro?”. E, para contrapor as críticas levantadas, o Tecmundo entrou em contato com o Secretário de Tecnologia da Informação do Tribunal Superior Eleitoral, Giuseppe Dutra Janino, que comentou alguns dos itens abordados pelo vídeo das apresentações do Fórum, divulgado no YouTube. Portanto, indicamos a leitura desse artigo antes de prosseguir com a leitura das perguntas.
Para começar, Giuseppe fez questão de reforçar que “uma das premissas do sistema eleitoral brasileiro é o voto secreto. O propósito do sigilo do voto é não permitir pressões sobre a vontade do eleitor ou compra de votos e, consequentemente, garantir sua liberdade de escolha. Para que não haja risco de quebra do sigilo do voto, não pode haver qualquer identificação que individualize ou diferencie o registro do voto. Tal registro deve conter somente a indicação da opção escolhida, além da identificação da seção eleitoral”.
Como garantir à sociedade civil que cada eleitor possa conferir, de maneira independente, o registro do próprio voto antes de deixar a seção eleitoral? Essa é uma preocupação do TSE para um futuro próximo?
O conceito de sigilo do voto citado acima é antagônico à verificação do voto pelo eleitor. Na medida em que não pode haver qualquer marca no registro do voto além da escolha do eleitor (além do número de Município, Zona e Seção), não é possível garantir que o que o eleitor vê impresso é o que será auditado. Este mesmo problema havia nas eleições manuais, nas quais, caso as cédulas fossem trocadas, não haveria como provar quais foram trocadas ou adulteradas e se houve troca. Uma solução para isso seria entregar um recibo ao eleitor, mas isso também permitiria a coação e compra de votos.
Desta forma, pode-se afirmar que ou há o sigilo do voto ou há a verificabilidade por parte do eleitor de seu voto. Como o sigilo do voto é cláusula pétrea da Constituição Brasileira, a confiabilidade do sistema eleitoral deve ser feita por auditoria da urna eletrônica e seus sistemas.
As eleições de 2014 no Brasil contariam com urnas de segunda geração, mas a Lei 12.034/09, que previa, por exemplo, a impressão dos votos para conferência, acabou sendo suspensa pelo TSE.
Críticos do sistema de votação eletrônica do Brasil acusam o TSE de ter interpretado erroneamente (PDF) a implementação do voto impresso e citam o uso eficaz desse recurso de conferência em muitos outros países, como Argentina, Venezuela e México. Há a possibilidade de essa decisão ser revista? O julgamento do mérito deve acontecer antes das próximas eleições?
Antes de responder, cabe apenas uma pequena correção na pergunta. A impressão do voto impresso foi suspensa pelo STF, a pedido do Ministério Público Eleitoral, sob o fundamento de violar garantia constitucional do sigilo do voto.
Como o sigilo do voto depende da probabilidade de um eleitor ser coagido a votar em outro candidato, não há como comparar o contexto brasileiro com os de outros países. Em países onde há pouca coação, aceita-se, por exemplo, votação por correspondência ou mesmo por internet. Nesse sentido, resta prejudicada a comparação com sistemas de outros países.
Também em sentido semelhante, a classificação em gerações de urnas não é válida. Países como os EUA adquirem seus sistemas de votação como produtos de prateleira. O TSE especifica o equipamento com requisitos bem definidos e adequados à realidade brasileira e desenvolve todos os softwares envolvidos na votação, apuração e totalização, resultando em mais de 90 sistemas eleitorais. O equipamento brasileiro já sofreu várias evoluções desde a primeira urna em 1996. Hoje, as urnas mais recentes contam com dispositivo de segurança criptográfica em hardware, que permite que somente o sistema operacional do TSE seja executado. Desta forma, dada a grande maturidade adquirida em mais de 17 anos de votação eletrônica, podemos afirmar que, em termos de segurança, a urna e o sistema eleitoral brasileiro constituem, provavelmente, a solução eleitoral mais evoluída mundialmente.
Quanto à questão jurídica do processo, a matéria é de competência do Supremo Tribunal Federal.
As urnas que serão usadas nas eleições de 2014 passaram por alguma atualização? O sistema foi ou será aperfeiçoado de alguma forma?
Serão utilizadas as urnas modelos 2004, 2006, 2008, 2009, 2010, 2011 e 2013. Desde a fabricação de cada um desses modelos, somente as urnas modelo 2004, 2006 e 2008 sofreram atualização tecnológica para troca de cartão de memória e substituição do antigo drive de disquete por um tipo de pendrive.
Quanto ao aspecto evolutivo dos requisitos do equipamento, 70% do parque de urnas contemplam dispositivo de criptografia em hardware que agrega mais segurança ainda ao sistema de captação de votos.
(Fonte da imagem: Reprodução/Wikipedia)
As urnas brasileiras possuem conexão com a máquina de identificação do eleitor, o que levanta a desconfiança da possibilidade de identificação dos votos. Como o TSE trabalha com essa possibilidade? Urna e máquina de identificação continuarão conectadas nas eleições de 2014?
A urna brasileira possui essa conexão para garantir que haja somente um voto para cada eleitor habilitado, ou seja, uma relação biunívoca de 1 eleitor = 1 voto. A biometria reforça essa garantia na medida em que é mais uma camada de segurança para evitar que um eleitor vote no lugar de outro.
Mesmo com a conexão, há uma garantia, implementada do software de votação, de que não há como associar o eleitor ao voto. Quando o voto é computado, ele é gravado em uma posição aleatória em uma espécie de tabela denominada Registro Digital do Voto. Em outra tabela, completamente apartada, há a marcação de que determinado eleitor votou.
Nos últimos testes de segurança realizados pelo TSE, a equipe vencedora conseguiu o sequenciamento dos votos, mas, com a separação citada, não conseguiu associar determinado eleitor ao respectivo voto. A partir destes testes, o sistema embaralhador que permitiu o sequenciamento foi prontamente refeito e tal ataque também não seria mais possível.
É importante ressaltar que a separação não agrega segurança alguma, embora possa parecer uma boa ideia à primeira vista. A hipótese geralmente levantada é que o software da Justiça Eleitoral poderia ser fraudado e, consequentemente, poderia haver a associação do eleitor ao voto. Entretanto, supondo que tal hipótese fosse verdadeira, também poderia haver a adulteração do software tanto da “máquina de identificar” quanto da “máquina de votar”. Nesse sentido, poderia haver o simples sequenciamento de ambos os softwares, o que permitiria a associação entre o eleitor e seu voto. Nesse exemplo, também poderia haver mais votos que eleitores habilitados, ou seja, seria aberta uma grande possibilidade de fraude. Portanto, a única forma de garantir a igualdade dos votos (para cada eleitor há um voto) e o sigilo é auditar o sistema e a conexão entre o Terminal do Mesário e o Terminal do Eleitor.
Quais são as rotinas adotadas pelo TSE para garantir a integridade e validação do software das urnas eletrônicas brasileiras? Existem laudos de órgãos independentes que validem essa integridade?
Todos os sistemas são desenvolvidos pelo TSE e têm seus códigos-fonte disponibilizados aos partidos políticos em ambiente específico na sede do TSE. Finalizado o desenvolvimento, há a uma cerimônia de lacração, na qual é gerada a versão única dos diversos sistemas utilizados nas eleições. Nesta cerimônia, é facultado aos partidos políticos, Ministério Público Eleitoral e OAB assinarem digitalmente essa versão única, o que possibilita verificar posteriormente a autenticidade de tais sistemas em qualquer lugar do país. Além desse encadeamento, os principais meios de auditoria e confiabilidade são: a Votação Paralela, a publicação do resultado de todas as urnas do país na página da Internet do TSE (a fim de comparar com a cópia do Boletim de Urna impresso na seção eleitoral e de posse dos fiscais de partido) e a entrega dos arquivos de Registro Digital do Voto – RDV de 100% das seções eleitorais (permite a totalização paralela).
Além de garantir uma identificação mais apurada do eleitor, a biometria pode garantir uma eleição mais segura?
O objetivo da biometria é tanto realizar a verificação biométrica (garantir que o eleitor cadastrado é o que se apresenta para votar) quanto possibilitar a identificação biométrica (verificar se há duplicidades no cadastro por meio do cruzamento das impressões digitais). Considerando que uma eleição deve pressupor a igualdade dos votos, ou seja, uma mesma pessoa não pode inserir mais de um voto para cada cargo, a biometria garante uma eleição mais segura, já que permite ao sistema eleitoral representar fielmente a vontade coletiva.
Por que a fotografia do rosto do eleitor, capturada durante o recadastramento biométrico, não é utilizada no título? Isso não eliminaria a necessidade de apresentar outro documento para votar?
A foto é impressa na Folha de Votação ao lado dos registros do eleitor em cada seção eleitoral que possui biometria. Desta forma, a um custo bem mais reduzido, o mesário tem mais uma informação para verificar a identidade do eleitor que se apresenta.