Segunda-feira, 25 de Junho de 2018
ISSN 1519-7670 - Ano 19 - nº992
Menu

E-NOTíCIAS > ELEIÇÃO ELETRÔNICA

Com ou sem auditoria?

Por Amilcar Brunazo Filho e Pedro Antonio Dourado de R em 04/07/2005 na edição 336

Aproxima-se o Referendo de 2005 no Brasil, sobre a venda de armas de fogo, quando serão utilizadas, mais uma vez, urnas eletrônicas que não permitem auditoria da apuração eletrônica dos votos. A lisura do resultado deste referendo pode não interessar a todos, mas levanta, novamente, a questão das garantias em processos eleitorais. A fiscalização de eleições governamentais processadas eletronicamente tem sido mundialmente debatida no meio acadêmico, no Brasil desde a adoção das urnas eletrônicas, em 1996, e mesmo antes, a partir do caso Pró-Consult, em 1982.

A questão central do debate gira em torno da auditabilidade desses processos. Mais precisamente, da pertinência ou da necessidade, ou não, da retenção material de cada voto no sistema, para fins de fiscalização através de recontagem manual. Nos EUA, onde a implementação do processo eleitoral é definida por Lei estadual, este debate teve início no final dos anos 80, ganhando impulso e manchetes na mídia depois do ‘Fiasco da Flórida’, em 2000. No Brasil, só ganhou atenção equivalente durante dois breves períodos: na estréia de computadores em processo apuratório, no Rio de Janeiro em 1982, e em 2001, em conseqüência do escândalo do painel do Senado.

Nos EUA e na Europa, diferentemente do Brasil, participam hoje do debate muitos técnicos em informática e em segurança na informática, além de alguns especialistas em ergonomia e acessibilidade, que, na sua maioria, são favoráveis à obrigatoriedade das máquinas eletrônicas de votação imprimirem cada voto, para conferência visual sem interferência manual do eleitor. O objetivo de tal medida não é apenas possibilitar eventuais recontagens da apuração eletrônica, mas principalmente, reter o lastro de convencimento da lisura de pleitos na experiência e participação individual do votante, espírito mesmo do processo democrático, quer na democracia grega, quer na moderna.

Também participam oficiais de justiça e empregados de cartórios eleitorais, responsáveis por processos eleitorais, que, por sua vez, em grande maioria são contra tal medida, devido ao trabalho extra que isso lhes causa. Mas certamente também, embora raramente admitido em público, pelo fato de eventuais discrepâncias entre a apuração eletrônica e auditorias manuais exporem, ao leque de suspeições de causa, eventual inépcia ou má fé no desempenho de suas funções.

O quebra-cabeças da segurança eleitoral

Muitos especialistas em Tecnologias da Informação, dentre eles ícones vivos da Ciência da Computação como Ronald Rivest (inventor do método RSA de assinatura digital), David Chaum (inventor do ‘dinheiro digital’) e Bruce Schneier (criptógrafo e autor dos maiores best-sellers sobre segurança computacional), defendem a retenção da materialidade do voto por sistemas eleitorais eletrônicos, devido aos recursos científicos e técnicos disponíveis, ou possíveis à segurança computacional, serem insuficientes para oferecer, em grau condizente com o espírito da democracia, confiabilidade do resultado de eleições com voto secreto processadas e apuradas apenas eletronicamente.

Todos esses eminentes cientistas já publicaram artigos seminais onde explicam porque é bem mais fácil, por exemplo, proteger transações financeiras contra fraudes eletrônicas, do que apurar votação secreta e puramente eletrônica com a mesma segurança. Segurança, aqui, entendida em seu implícito e legítimo

primeiro sentido, o da segurança de cidadãos
a) com direito a voto e à lisura do pleito,
b) contra eventuais manipulações indevidas do processo,
c) de quaisquer origens,
d) através de um sistema em que tais manipulações sejam detectáveis por fiscalização;

e não num ilegítimo

segundo sentido, o da segurança de responsáveis pelo processo
a) com direito de acesso ao sistema para controlá-lo e operá-lo,
b) contra eventuais detecções por fiscalização,
c) de quaisquer deslizes por inépcia ou má fé,
d) através dos quais se configure risco à lisura do pleito.

A arriscada corrida pela modernidade

A dificuldade apontada por esses eminentes cientistas, relativa à segurança – no primeiro sentido acima – de processos eleitorais, tem origem na incongruência entre dois requisitos de sistemas puramente eletrônicos que operam sob as condições do mundo da vida. Os requisitos são o de sigilo e o de desmaterialização do voto, operando num contexto que encena pelo menos três interesses potencialmente conflitantes: os de pelo menos duas candidaturas, e os de eleitores que acreditam na democracia através de eleições limpas, ou que assim a desejam. Este último, tendo no autor um representante. A incongruência torna inseparáveis esses dois sentidos de segurança, donde o perigo, já que o primeiro, legítimo, só será eficaz se conjugar-se à negação do segundo, ilegítimo. Ou seja, a garantia de lisura do resultado só ocorrerá se o eleitor estiver também protegido contra a ocorrência de fraudes de origem interna, e portanto, se qualquer executor do processo porventura a favor da ocorrência de fraudes ao seu alcance estiver desprotegido.

Em processos com mais de dois interesses em jogo, como o eleitoral, conflitos de interesses representam risco de conluio. Conluio corresponde à ação de dois ou mais interesses, opostos ou ocultos, para induzir outro interesse a confundi-los, em benefício daqueles. A confusão serve inclusive para ocultar, com obscurantismo, motivos para a escolha das condições sob as quais esses dois sentidos de segurança, legítimo e ilegítimo, se cancelam mutuamente enquanto se tornam parecidos. Daí, ao prato cheio do conluio, é um pulo: a camuflagem do segundo, para se passar pelo primeiro. Por isso, a segurança dos interesses legítimos em jogo não pode, sob o risco de conluio, ser buscada em sigilo de mecanismos ou controle unilateral do processo. A proteção contra o risco de conluio, ao contrário, só é possível com adequado equilíbrio entre transparência do processo e distribuição de controles. Entre interesses legítimos e potencialmente conflitantes, através de medidas regulatórias que se harmonizem e se integrem para constituir um (sub)processo fiscalizatório eficaz.

Esse risco, conforme nos ensinam nossos livros de História, contaminava o processo eleitoral na República Velha. Na República Velha o conluio envolvia o organizador do processo e duas candidaturas, que ocultavam a combinação prévia do resultado a ser divulgado, e que a cada eleição alternava no poder os correspondentes Partidos Políticos, independentemente da votação. Chamava-se ‘política café-com-leite’. O povo brasileiro levou décadas para disso aquilatar conseqüências, mora que nos levou à Revolução de 30, pelo aperfeiçoamento democrático. Duas interrupções do regime depois, agora sob o fascínio das tecnologias da informação, vendidas como panacéia para mazelas humanas, as lições da República Velha parecem esquecidas. Essas tecnologias maravilhosas e seus sistemas desmaterizadores, capazes de capitalizar a desmaterialização do voto em agilidade na apuração, estão nos sendo vendidas, a preço caro, como irrefreável modernidade e moderna proteção contra antigas formas de fraude. Como se isso constituísse, por si só, um bem em si.

Duas faces de uma mesma moeda… que não gira

Constituem? Em eleições por voto secreto, nas quais o nome do autor não pode ser associado ao voto na votação ou na apuração, a eficácia do processo fiscalizatório se faz, por isso, sensível ao suporte que registra materialmente cada voto. Em conseqüência, se o processo de votação eletrônica desmaterializar o voto, registrando-o – ou suas somas parciais – apenas digitalmente, a eficácia de qualquer processo fiscalizatório será tolhida. Tolhida no sentido de que qualquer medida projetada para permitir a detecção de fraudes de origem interna (conluio entre executor e alguma candidatura) servirá, também, para proteger fraudadores externos, fiscais de candidatura empenhados em sabotar (anular uma eleição já perdida) ou subverter (inserir mecanismo de fraude) a fiscalização. Enquanto qualquer medida projetada para detectar fraudes na fiscalização protegerá, também, eventuais fraudadores de origem interna, com privilégios de acesso para configurar, controlar ou operar o sistema. É a folclórica luta entre espiões e contra-espiões, que liga sentidos de segurança legítimos e ilegítimos.

Quem, como cidadão, não se importa com o perigo da legítima segurança ser, sob qualquer pretexto, cavalgada pela ilegítima, não conhece democracia ou, no fundo, não a aceita. E quem, como cientista, quiser estudar seus mecanismos, deve separar tal conhecimento e crença dos problemas e limites inerentes aos mecanismos. Foi assim que o estudo científico desses limites atingiu um marco importante, com a tese de doutorado em Ciência da Computação de Rebecca Mercury, defendida na Universidade da Pensilvânia em 2000. Ela demonstra que a inviolabilidade do sigilo do voto e a garantia de correta apuração – a negação daquele segundo sentido de segurança – são propriedades excludentes em sistemas puramente eletrônicos. Ou seja, não há como proteger, em eleições processadas e apuradas apenas eletronicamente, o sigilo do voto e a corretude da apuração, pois, nelas, tais proteções são como faces opostas duma mesma moeda. Moeda que corresponde ao sistema eletrônico puro, cujo valor corresponde ao do processo eleitoral que o sistema executa, mas moeda que não se pode ‘girar’ durante uma eleição, para se ver seus dois lados, pois o processo é executado sem possibilidade de auditoria.

O peso desses argumentos científicos passou a se refletir, sob pressão de movimentos civis, na legislação eleitoral norte-americana. Entre março de 2004 e maio de 2005, 14 estados federados aprovaram leis que obrigam máquinas eletrônicas de votação a emitirem voto impresso conferível pelo eleitor, para manter ou recuperar a auditabilidade que o processo eleitoral tinha antes dos computadores. ‘Moeda’, afinal, precisa ter ‘lastro’. Hoje, 19 estados já têm leis assim aprovadas, três as têm aguardando sanção, 17 têm projetos em tramitação, e apenas 12 ainda não vêem problemas com as máquinas que o Brasil hoje utiliza. Já no Congresso Nacional, tramitam hoje quase uma dezena de projetos exigindo o Voto Impresso Conferível pelo Eleitor como princípio federativo de organização democrática nos EUA. A idéia não é a de pretender, ingenuamente, acabar com fraudes, mas a de tornar suas possíveis formas difíceis, onerosas e arriscadas em igual medida, expondo-as ao risco de serem comprovadas em tempo hábil e por eleitores comuns, mesmo os que não têm título de PhD em Ciência da Computação registrado no CNPq.

O caminho do voto eletrônico no Brasil

No Brasil, a implantação do voto eletrônico tem seguido outros caminhos. A transparência do processo eleitoral, a de sua organização, a do processo de formação de suas leis e regulamentos, e a participação da sociedade civil nos mesmos, têm deixado a desejar. Em boa parte devido à nossa peculiar organização jurídica, ao que se sabe única no mundo das democracias republicanas, que acumula funções de regulamentação, execução e judicação, cujos poderes uma república deveria separar, do processo eleitoral numa só instituição – a Justiça Eleitoral –, encabeçada pelo TSE.

A Lei 9.100 de 1995, que permitiu o uso do voto eletrônico, e a Lei 10.740 de 2003, que acabou com o Voto Impresso Conferível pelo Eleitor, foram elaboradas dentro do TSE. Ademais, foram aprovadas pelo Congresso Nacional, sempre sob pressão de algum de seus ministros, com participação significativa de parlamentares enredados em litígios na Justiça Eleitoral e sancionadas em menos de 6 meses, sem que fossem permitidas uma única audiência pública ou emenda. Na elaboração, aprovação e sanção destas leis, toda contribuição ao debate oferecido pela comunidade acadêmica foi desprezada, inclusive:

** Manifesto de Professores Universitários (hoje com mais de 1.700 assinaturas) alertando parlamentares e a sociedade para os riscos de sistemas eleitorais eletrônicos que não permitem auditoria no processo de apuração, e solicitando que os debates para legalizá-los incluam audiências públicas;

** Relatórios da Sociedade Brasileira de Computação (SBC) e da Fundação COPPETEC da UFRJ, com avaliações bastante críticas do sistema em uso, um deles – o da SBC – recomendando a impressão de cada voto para conferência visual sem interferência manual do eleitor, para tornar auditável o processo de apuração;

** Perícia Técnica de Santo Estevão, Bahia, constante do processo TRE-BA 405/2000.

Reducionismo

Este último documento, exarado em processo de impugnação eleitoral no qual litigavam dois partidos de direita, é de extrema importância pois relata a única perícia até hoje executada por técnico independente, sobre uma urna eletrônica usada em eleições oficiais no Brasil. A perícia de Santo Estêvão revelou, dentre outros fatos, a absoluta ineficácia – no primeiro sentido de segurança acima – do sistema de lacres físicos então utilizado na urna, conjugada à sua absoluta eficácia no segundo sentido.

Tais documentos indicam graves falhas de segurança (no primeiro sentido) que, posteriormente, puderam ser comprovadas quando uma parte do software utilizado em urnas na eleição de 2000 vazou na internet, e foi, então, analisada por um dos autores, sendo depois identificada com o software analisado pela perícia de Santo Estêvão. A análise e identificação desta, justamente a parte que controla a segurança lógica da urna (setup), revelou quão ridículo era o processo fiscalizatório, sem, contudo, despertar interesse na opinião pública. Tal comprovação só foi possível com uma quebra momentânea do obscurantismo que cerca o sistema eleitoral brasileiro. Ainda que muitos confundam esse obscurantismo com segurança, e essa quebra com violação, ele na verdade serve apenas para camuflar o segundo sentido de segurança com uma máscara do primeiro, tecida de ufanismo, ignorância e prepotência (ignorância da ignorância) reducionista.

Alguns se fazem vítima desse reducionismo ao confundirem processo eleitoral com sistema eletrônico, ou ao não distinguirem sigilo no voto de sigilo no processo de coleta, soma e divulgação de resultados. Outros, ao crerem em palpites de que a transparência atual já é suficiente, até por não saberem para que mais transparência ou o que fazer com ela. Já outros, em palpites de que mais transparência prejudicaria a segurança, esta nalgum sentido vago e indefinido, quando não maniqueísta (os hackers da internet!). Para agravar, há especialistas, de cátedra e de carona, com ambições turvas e escrúpulos ralos, empenhados em explorar esse reducionismo, como se urna eleitoral fosse caixinha de mágico. Daí, a necessidade da quebra desse obscurantismo para se revelar como esses dois sentidos de segurança – legítimo e ilegítimo – não só se tornam inseparáveis e mutuamente cancelativos, mas pior, podem se tornar perigosamente indistinguíveis em sistemas puramente eletrônicos de votação secreta.

A salvação, segundo a seita do Santo Byte

Sistemas que, se na Renascença existissem, teriam maravilhado Maquiavel, principalmente pela pujança da seita do santo byte. O novo credo que, ao transformar em dogma palpites circulantes sobre o que seja transparência suficiente em sistemas eletrônicos, revela outra e rósea realidade. Revela como esse reducionismo, consagrado pelos plenos Poderes da Justiça Eleitoral, pode ‘salvar’ nossa democracia das mazelas humanas, através da fé na inseparabilidade daqueles dois sentidos de segurança, alcançada pela ubiqüidade eletrônica que permite eliminar de vez o maligno papel (que tão bem nos serviu por milênios), fé que protege do pecado de conluio aqueles que, no exercício desse Poder, programam, controlam e operam um sistema eletrônico puro (livre da danação do papel). Ou mesmo, em sua vertente farisaica, fé que trata esses dois sentidos como um só, sob a sofística de argumentos de autoridade.

Dentre os sinais desta revelação mística, podemos citar:

** Contaminação dogmática de estudos da segurança do sistema, pagos e dirigidos pelo TSE (ex: o caríssimo estudo ‘da Unicamp’), à luz da análise do setup);

** O veto à participação de Rebecca Mercury em evento científico sobre eleições eletrônicas, realizado em 2003 na UFSC sob patrocínio do TSE;

** A recusa sistemática do TSE em permitir que representantes dos Partidos Políticos executem testes livres ou de penetração, conforme receituário de normas técnicas nacionais e internacionais para homologação da segurança de sistemas eletrônicos.

O terceiro sinal, a recusa de testes homologatórios independentes, legitimados por padrões técnico-científicos, de fato impressiona. Pretende-se justificado pelo argumento, auto-referente e escapista, de que a regulamentação do sistema eleitoral brasileiro, elaborada pelos próprios fiscalizados, não os prevê. Os únicos testes permitidos são aqueles que a sapiência insuperável e incorruptível dos próprios define, e que se limitam à participação dos fiscais na mera observação de urnas emitindo relatórios de auto-indulgência. O valor da nossa moeda eleitoral estaria, assim, lastreada unicamente na palavra de quem, investido da capacidade legalista daquele Poder, exerce concomitante sacerdócio naquela seita. Por vezes a palavra do mesmo que declara, após ter chefiado a Justiça Eleitoral, ter também contrabandeado dispositivos para o texto final da Constituição Federal, enquanto legislador constituinte. E que responde azar ‘dos que assinaram embaixo’ a quem se indigne.

Tais percalços, peripécias ou heresias que sejam, não despertam o ‘interesse jornalístico’ da grande mídia, já ocupada em proteger a população contra o risco da ‘falta de confiança’ no sistema, e em arrebatá-la em tosco ufanismo recitando o mantra oficial do santo byte: ‘nossa urna pioneira é segura!’. Ou então o mantra dos fundamentalistas da seita: ‘a urna é 100% segura, pois se não fosse, provas de fraude haveriam!’. Ou então porque está ocupada com as peripécias e heresias de publicitários, arapongas e políticos, e em identificar com cuidado quais delas lhe despertam. Enquanto o debate sobre segurança eleitoral, sobre as novas formas de fraude que, com potência mais concentrada e devastadora que as antigas, nascem na permuta da eficácia fiscalizatória pela agilidade apuratória e ali se ocultam, segue sendo farisaicamente silenciado, com a bênção do quarto poder. Mesmo assim, legalidade não sendo a mesma coisa que legitimidade, as lições da República Velha, avaliadas na Revolução de 30 e com nota em bandeira – a da Paraíba –, não estão esquecidas de todos.

Lições de história

Alguns ainda se preocupam com a história, para não repetir erros históricos. E esses, ao voltarem os olhos para o continente, vêem postura ambígua a respeito até mesmo na Organização dos Estados Americanos (OEA). Do único país do mundo a já ter adotado urnas eletrônicas com voto impresso conferível pelo eleitor em todas seções eleitorais, a OEA exigiu, na última eleição lá realizada, que o resultado fosse auditado por recontagem manual dos votos impressos de 1,5% das seções eleitorais. Tratava-se do referendo que poderia derrubar o governo Chávez na Venezuela, em agosto de 2004. Para os demais países latino-americanos, a OEA estimula, e em alguns casos até intermedeia, o uso do sistema eletrônico brasileiro, que não permite recontagem para auditoria do processo.

Para a pergunta que intitula este artigo, podemos então arriscar uma resposta. Tomando por base não só os discursos oficiais e da grande mídia, com seus dois pesos e duas medidas para as maravilhas tecnológicas no processo democrático, mas também a origem dos componentes, softwares e contratos utilizados no Brasil, eleição eletrônica seria:

com auditoria da apuração, a melhor alternativa para o povo dos EUA, fundador da democracia moderna, e para países da América Latina, fundada no colonialismo hodierno, cujas democracias o governo norte-americano esteja explicitamente interessado em tutelar; e sem auditoria da apuração, a alternativa para países onde convenha que a tutela não seja explícita.

Como acreditam (talvez sem a tutela) hoje as massas de manobra no Brasil, as carnes do boi-de-piranha da modernidade eleitoral, a dar gosto de sangue na boca de abutres, vendilhões e seus tutores. Restarão os ossos duros de roer.

******

O primeiro, engenheiro, representante técnico do PSB e do PDT no TSE, coordenador do Fórum do Voto Eletrônico na Internet; o segundo, matemático, professor de Ciência da Computação na Universidade de Brasília, coordenador do Programa de Extensão em Criptografia e Segurança Computacional da UnB, representante da sociedade civil no Comitê Gestor da Infra-estrutura de Chaves Públicas brasileira

Todos os comentários

x

Indique a um amigo

Este é um espaço para você indicar conteúdo do site aos seus amigos.

O Campos com * são obrigatórios.

Seus dados

Dados do amigo (1)

Dados do amigo (2)

Mensagem