Printer Friendly

Legal, political and technical considerations on electronic voting systems and the brazilian voting machine/Aspectos juridicos, politicos e tecnicos sobre sistemas eletronicos de votacao e a urna eletronica brasileira.

Sumario: Introducao. 1--Informatica e eleicoes. 2--Duas importantes caracteristicas de uma eleicao democratica. 3--Breve historico do emprego de meios eletronicos no sistema eleitoral brasileiro. 4--Criticas ao uso de maquinas de votacao exclusivamente eletronicas, no Brasil e no mundo. 5--Algumas experiencias internacionais. 6--A pouca auditabilidade das urnas eletronicas brasileiras e seus riscos para a democracia. 6.1--Metodos de auditoria empregados no Brasil. 6.2 --Votacao paralela. 6.3--Auditoria do codigo de programacao. 6.4--Testes publicos de seguranca. Conclusoes.

Introducao

O Brasil comecou a usar dispositivos eletronicos de votacao em 1996, inicialmente apenas nas maiores cidades, e, apos somente mais uma experiencia parcial nas eleicoes de 1998, desde a eleicao de 2000 o voto do eleitor brasileiro e coletado exclusivamente por meio digital. No entanto, e de se notar a pouca quantidade de estudos e publicacoes nacionais de maior densidade a respeito do uso das modernas tecnologias de informacao em eleicoes politicas, em comparacao com o que se observa nos meios internacionais.

E certo que nenhuma tecnologia causou tanto impacto nas sociedades humanas como a informatica. O emprego de computadores se tornou um fato praticamente unissono em quase todos os ramos de atividade, desde os de cunho produtivo, como tambem os de lazer. Computadores dominam a cena nos ambientes de trabalho e domestico. Nesse contexto, e relevante considerar o uso do computador para intermediar relacoes humanas, de modo que sua aplicacao pratica ou os meandros de seu funcionamento deixem de frequentar apenas o curriculo tecnologico, fazendo-o adentrar tambem o das ciencias humanas e, entre elas, o Direito.

O estudo acerca da aplicacao e impacto da informatica sobre as relacoes juridicas e sociais e essencialmente um estudo multidisciplinar. Nao e possivel compreender o Direito sem compreender o fato sobre o qual ele se aplica. Se esse fato e de alguma maneira intermediado por sistemas informaticos, o que podemos chamar de fato informatico, para bem aplicar o Direito a tais situacoes deve-se ter alguma nocao a respeito do funcionamento dos computadores. Em especial, quando a questao se relaciona com a confiabilidade das informacoes representadas em formato digital, ao estudioso se faz necessario um entendimento minimo sobre aspectos relacionados a seguranca da informacao. Nesse sentido, temas como o estudo das provas informaticas e o da votacao eletronica guardam elementos em comum, pois em ambos os cenarios a compreensao do fato pressupoe um conhecimento minimo acerca da seguranca da informacao e de como o dado digital e produzido, armazenado, transmitido, ou tambem alterado, de modo que se possa fazer um juizo valorativo mais preciso acerca da credibilidade de tais informacoes.

E talvez nenhum uso de computadores seja tao dependente de uma ampla visao holistica de todos os aspectos envolvidos quanto o uso de computadores nas eleicoes politicas. Tal aplicacao nao e uma questao meramente tecnico-informatica, como nao e exclusivamente juridica, nem apenas afeta a ciencia politica, mas, sim, uma questao que exige a mais perfeita compreensao e sinergia do conhecimento abrangido por pelo menos essas tres areas do conhecimento.

Visoes tecnologicas por demais estreitas, sem a compreensao do significado politico de uma eleicao, ou dos principios juridicos que a regem, tendem a uma simplificacao grosseira das dificuldades de se informatizar a colheita do voto, comparando-a com outras muitas tarefas que sao razoavelmente bem realizadas pelo computador ou pela Internet, como, por exemplo, os servicos de internet banking ou a informatizacao dos processos judiciais. De outro lado, a visao estritamente juridica tende a abordar o tema sob a otica da normatizacao que o regulamenta e das decisoes judiciais proferidas a seu respeito, descuidando-se da compreensao mais profunda acerca do funcionamento de sistemas informaticos, suas peculiaridades e seus limites, isto e, do fato informatico.

E esta segunda visao que tende a dominar a literatura em Direito Eleitoral produzida no pais, em que raramente a votacao eletronica brasileira e referida ou tratada com alguma profundidade; ou, quando algumas linhas sao escritas sobre o tema, estas se resumem a repetir formalmente e de modo acritico as leis e regulamentos que orientam as eleicoes, ou os julgamentos proferidos pela Justica Eleitoral nas eventuais impugnacoes apresentadas por candidatos ou partidos, em questoes que envolvam a tecnologia empregada. A experiencia estrangeira tambem e muito pouco mencionada nesses estudos. Ainda enquanto estas linhas sao escritas, o sitio informatico do Tribunal Superior Eleitoral assevera que "o sistema eletronico de votacao adotado no Brasil e referencia mundial" (3) mas, tal afirmacao, nao parece se confirmar em pesquisas feitas na literatura internacional sobre e-voting. De fato, sao poucos os trabalhos internacionais que meramente citem a experiencia brasileira, menos ainda que a considerem um paradigma a ser seguido.

O presente artigo se propoe, entao, a apresentar uma visao multidisciplinar da questao, abordando tanto os seus aspectos juridico-politico quanto tecnologicos. Como metodo de estudo, a pesquisa adentra tanto a experiencia internacional quanto nacional, analisando os angulos juridicos, politicos e tecnologicos da aplicacao da informatica nas eleicoes politicas, especificamente quanto ao momento de coleta do voto, pois este pode ser considerado o ponto mais sensivel na informatizacao de uma eleicao, como sera melhor desenvolvido no correr deste texto.

1 Informatica e eleicoes

Como toda atividade que lida com grandes volumes de dados, as eleicoes politicas podem amplamente se beneficiar da utilizacao das novas tecnologias da informacao e comunicacao. Ha varias tarefas que podem ser melhor desempenhadas mediante o uso de sistemas informaticos, o que sera brevemente apresentado a seguir, para distingui-las do ponto central do presente estudo, que recai especialmente sobre o momento da coleta do voto. Antes e depois desse momento, muitas tarefas relacionadas a uma eleicao podem ser informatizadas e suas dificuldades nao destoam dos percalcos gerais que acompanham a introducao das novas tecnologias da informacao em outros ramos de atividade.

A organizacao de uma eleicao depende do trato de um imenso volume de dados: cadastramento de eleitores, sua distribuicao pelo territorio e a manutencao dessa base de dados ao longo do tempo; organizacao partidaria e controle dos candidatos aos varios cargos eletivos em disputa; ou, para darmos mais um exemplo, a gestao de recursos materiais e humanos que serao utilizados na votacao. Ainda durante o periodo que antecede o voto, o uso de meios informaticos, em especial da Internet, pode servir para proporcionar um controle eficiente, publico e transparente acerca dos orcamentos de campanha. Apos o pleito os computadores sao muitissimo eficientes para realizar rapidamente a totalizacao de um grande numero de votos, podendo igualmente valer-se das comunicacoes em rede para divulgacao publica dos resultados finais. Em todos esses momentos, facilmente observaveis, a informatica pode, como em qualquer outro ambiente, apresentar problemas e dificuldades de implantacao, mas o trato e solucao dessas questoes nao e algo diverso do que seria em outro cenario como, por exemplo, os ja citados sistemas bancario ou judicial. O momento da coleta do voto, entretanto, configura um fato com peculiaridades unicas e, por isso, sua informatizacao e uma tarefa um tanto mais delicada.

2 Breve descricao do emprego de meios eletronicos no sistema eleitoral brasileiro

Desde 1996, o Brasil comecou a utilizar maquinas eletronicas de votacao que se tornaram conhecidas pelo impreciso nome de "urna eletronica", eis que "urna", efetivamente, o equipamento nao e. O vocabulo "urna" significa uma caixa ou repositorio lacrado ou fechado e, no caso da "urna" eletronica, nao e disso que se trata. As expressoes inglesas para designar tais apetrechos, voting machines--maquinas de votacao--ou e-voting machines--maquinas eletronicas de votacao--neste segundo caso a excluir os aparelhos mecanicos ou eletromecanicos, teriam sido mais precisas. Trata-se, afinal, de um computador, controlado por um software como qualquer outro dispositivo eletronico de proposito geral, cabendo a tal software definir todas as funcoes que serao executadas pela maquina. O aparelho nacional de votacao apresenta um mecanismo de entrada de dados via teclado, por meio do qual e coletada a vontade do eleitor que confere o seu voto em uma tela de video para, em seguida, registrar as escolhas feitas em uma midia interna de armazenamento exclusivamente digital e, ao final da votacao, emitir um resultado tanto na forma de um boletim impresso, como na de arquivos digitais que serao transmitidos para uma central de totalizacao.

Desde as eleicoes de 2000, como ja assinalado, todos os votos dos eleitores brasileiros passaram a ser colhidos, registrados e totalizados de modo exclusivamente eletronico. Trata-se de uma experiencia de grandes proporcoes, eis que o Brasil realiza eleicoes sempre em escala nacional em uma mesma data--nao ha, como em outros paises, eleicoes parciais que ocorram apenas localmente--atingindo recentemente um universo de 144.088.912 eleitores aptos a votar na eleicao de 2016, dos quais 118.757.780 compareceram. (4)

Para um pais de dimensoes territoriais agigantadas, e diante de tal numero expressivo de eleitores que comparecem simultaneamente em um mesmo dia, e inegavel que o uso das tecnologias da informacao pode aprimorar a eficiencia das eleicoes politicas. As novas tecnologias podem ser aplicadas para enviar resultados locais a partir dos pontos mais distantes e inacessiveis do territorio nacional, ou para facilmente somar milhoes de votos e apresentar ao publico em geral os resultados finais, esmiucados em seus mais precisos detalhes. E meios informaticos podem ser usados para receber os votos diretamente dos eleitores, como tambem tem sido feito, sendo esse o aspecto mais sensivel da informatizacao de eleicoes politicas.

A vantagem mais perceptivel, quanto ao uso das tecnologias da informacao em uma eleicao, e que tais meios proporcionam uma apuracao extremamente rapida, mesmo diante de um universo de dezenas ou centenas de milhoes de votos. Nao ha duvida de que o uso de maquinas eletronicas de votacao agiliza e torna muitissimo mais eficientes as tarefas de coleta de votos, sua apuracao e divulgacao posterior do resultado. A grande questao, todavia, e saber o quanto seguras sao, de fato, as eleicoes conduzidas por meios eletronicos, especialmente quando os votos sao exclusivamente registrados na forma digital, e tambem compreender quais sao os riscos envolvidos em todo esse processo.

3 Duas importantes caracteristicas de uma eleicao democratica e suas relacoes com a informatizacao do voto

Democracia nao e um conceito novo. Entretanto, se o termo nao for interpretado de forma binaria, isto e, como comportando apenas dois tipos de regime politico, o democratico e o nao-democratico, e sim analisada a existencia de uma vasta gradacao de direitos e garantias estabelecidos em cada pais, ou mesmo de praticas, tradicoes e experiencias socioculturais, com tonalidades que possam ser consideradas mais ou menos afeitas a democracia, pode-se pensar em estabelecer uma escala variavel e gradual de padroes democraticos. Como bem assinalado por Ana Claudia Santano:
   Embora ja nao exista mais a necessidade de antes de legitimar as
   eleicoes, agora os desafios sao outros, e quase todos conectados a
   transparencia. Vincula-se diretamente com a distincao que se deve
   ter da democracia como procedimento da democracia com qualidade.
   Nao se pode pensar que, somente porque se realizam eleicoes
   periodicas, mas em condicoes precarias de liberdade, com uma
   deficitaria organizacao e que terminam elegendo a lideres com pouca
   ou nula capacidade de transformacao social, e que ha um ambiente
   democratico. A democracia como procedimento --em sua versao
   minimalista e "schumpteriana"--nao agrega legitimidade a um
   governo, nem fomenta o sentimento de cidadania. Somente a
   democracia material, dotada de integridade e qualidade, e capaz de
   fortalecer principios sociais concretos.

   A qualidade da democracia e um conceito complexo, porem essencial
   ao tema aqui exposto. Reporta-se ao grau em que, dentro de um
   regime democratico, uma convivencia politica se aproxima das
   aspiracoes democraticas da sua cidadania. (5)


Assim, soa possivel dizer que, embora ideia antiga, o nivel de democracia alcancado pela experiencia moderna e um fato muitissimo recente na historia da humanidade. Para destacarmos um dos aspectos que sao indissociaveis de uma moderna visao democratica, e que diz respeito intimamente ao tema aqui abordado, o "sufragio universal e pelo voto direto e secreto" assegurado no art. 14 da Constituicao Federal brasileira e uma pratica ainda nao efetivada por muitos paises do globo e, mesmo nos paises considerados democraticos, e um padrao que somente se consagrou em torno do ultimo seculo.

O detalhe relevante dessa garantia do art. 14 da CF, que torna o cenario de uma eleicao politica significativamente diverso do de outros fatos cotidianos, e a exigencia do voto secreto, uma pratica relativamente nova na historia do pensamento democratico. Como relatam Alvarez e Hall, (6) durante os primeiros 120 anos da historia dos Estados Unidos, os votos eram apresentados pelo eleitor de forma publica e oral, ate que cedulas de votacao e as primeiras maquinas mecanicas de votacao comecaram a ser introduzidas. No Brasil, a enfase ao voto secreto so seria dada pelo Codigo Eleitoral de 1932, que tambem consagrou o voto feminino. (7) Antes disso, ao final da monarquia, a chamada Lei Saraiva--Decreto no. 3.029, de 1881 (8)--havia introduzido o voto secreto, mas o voto aberto seria restaurado durante a Primeira Republica. (9)

O sigilo do voto tem por objetivo assegurar a liberdade do eleitor de votar segundo a sua consciencia. Essa parece ser a melhor forma encontrada para garantir que os eleitores cada um deles--serao livres para expressar nada diverso do que a sua vontade intima. O sigilo do voto busca proteger o eleitor de todos os tipos de pressao: daqueles vindos de seu circulo privado ou profissional (familia, amigos, ou o seu patrao) ou dos que possam ser exercidos por autoridades, ou por aqueles que detenham quaisquer outras formas de poder capazes de influencia-lo ou intimida-lo.

Mas mesmo a caracteristica de secreto que se atribui ao voto difere de outros tipos de segredo havidos como socialmente relevantes e, portanto, protegidos pelo Direito. E que os sigilos, em geral, destinam-se a proteger uma dada informacao dos olhares de outros sujeitos, que nao sejam participes daquela relacao. Esse e o caso, por exemplo, do sigilo bancario, que convem ser aqui mencionado, uma vez que a altissima informatizacao do sistema financeiro e por vezes apontada como exemplo de sucesso a justificar a viabilidade da informatizacao de eleicoes. Afinal, se largas somas de dinheiro trafegam por canais de comunicacao eletronicos, por que nao realizar eleicoes online, ou, como se faz no Brasil, por meio das chamadas urnas eletronicas? (10) Mas o sigilo das transacoes bancarias e algo diverso daquele aplicado nas eleicoes. As operacoes nao sao sigilosas para o proprio banco, para o correntista, ou para aquele em cujo favor o pagamento ou a transferencia sao realizados. O mesmo se pode dizer do sigilo das comunicacoes, do sigilo profissional, ou do segredo de justica. Nao ha sigilo, nesses casos todos, que atinja os participes dessas relacoes. Em uma eleicao, o sigilo deve ser completo, atingindo todas as pessoas, mesmo as envolvidas no ato de votar. Os organizadores da eleicao nao podem saber "quem votou em quem" e sequer o proprio eleitor pode contar com alguma forma de identificar o seu proprio voto, pois isso poderia ser usado de maneira indesejavel para obriga-lo a demonstrar quem sufragou, tornando-o, pois, vulneravel tanto a coacao como a pratica de corrupcao, isto e, a negociacao de seu voto em troca de vantagens para si. Um eleitor submetido a alguma forma de pressao, da qual nao consiga ou nao possa se esquivar, poderia ser constrangido a provar para quem direcionou o seu sufragio.

Em artigo que traz como referencias outros estudos internacionais sobre a compra de votos, Steingraber, Signor e Silva desenvolvem, com emprego de modelos matematicos, interessante estudo acerca do potencial impacto do suborno ao eleitor durante uma eleicao. (11) Parece evidente, entretanto, que a certeza de que a "contrapartida" ao suborno sera entregue pelo eleitor e fator determinante para o sucesso desse tipo de fraude. Assim, para ser eficaz na protecao do eleitor contra quaisquer constrangimentos, o voto deve ser secreto para todos, incluindo-se os votantes acerca de seu proprio voto. O sigilo do voto significa que nem mesmo o eleitor pode ser capaz de identificar o voto que manifestou, ou distingui-lo do conjunto de votos.

Assim, pode-se dizer que o voto dito secreto deve ser sobretudo um voto anonimo, nao identificado e nao identificavel.

Entretanto, e necessario, ao mesmo tempo, que o resultado final possa ser demonstrado. E, mais do que isso, que possa ser publicamente demonstrado. Nas democracias, o povo e a fonte do poder, portanto, uma eleicao popular e a genese de todo o poder politico. O objetivo mais obvio de um processo eleitoral e proporcionar um resultado final que corresponda a vontade dos eleitores. Mas esses mesmos eleitores sao sujeitos da eleicao e devem ter o direito de controlar a lisura do pleito e a fidelidade do seu resultado. Assim, a transparencia de todo o certame, o que implica a sua auditabilidade publica, e tambem um primado essencial para a democracia.

O cenario de uma eleicao politica, portanto, e bastante peculiar e nao pode ser simploriamente comparado com outros ambientes que, com lustroso sucesso, foram completamente informatizados. Em um pleito todo o processo deve ser transparente, publico, feito as claras e sob as vistas de toda a sociedade, mas cada voto deve ser completamente anonimo, zelando-se pela impossibilidade de sua identificacao e, simultaneamente, conter elementos que permitam demonstrar sua autenticidade, impedindo fraudes.

Em sintese, uma eleicao e um fato com caracteristicas singulares, pois tem como premissas importantes dois requisitos potencialmente conflitantes, sob o angulo de sua efetivacao pratica: transparencia (de todo o processo eleitoral) e sigilo (do voto).

E oportuno notar que, ao se reintroduzir o voto secreto no pais, o legislador de entao preocupou-se em descrever em detalhes como se faria para se obter tal sigilo, assegurando que as cedulas de votacao pudessem ser, ao mesmo tempo, anonimas e confiaveis. Dizia o art. 57, do Codigo Eleitoral de 1932:

Art. 57. Resguarda o sigilo do voto um dos processos mencionados abaixo.

I--Consta o primeiro das seguintes providencias:

1) uso de sobrecartas oficiais, uniformes, opacas, numeradas de

I a 9 em series, pelo presidente, a medida que sao entregues aos eleitores;

2) isolamento do eleitor em gabinete indevassavel, para o so efeito de introduzir a cedula de sua escolha na sobrecarta e, em seguida, fecha-la;

3) verificacao da identidade da sobrecarta, a vista do numero e rubricas;

4) emprego de urna suficientemente ampla para que se nao acumulem as sobrecartas na ordem em que sao recebidas.

II--Consta o segundo das seguintes providencias:

1) registro obrigatorio dos candidatos, ate 5 dias antes da eleicao;

2) uso das maquinas de votar, regulado oportunamente pelo Tribunal Superior, de acordo com o regime deste Codigo.

No Codigo Eleitoral de 1950, (12) as "maquinas de votar" mencionadas na lei anterior foram eliminadas do texto, ficando assim dispostas as providencias tendentes a assegurar o segredo do voto:

Art. 54. O sigilo do voto e assegurado mediante as seguintes providencias;

1--uso de sobrecartas oficiais uniformes, opacas e rubricadas pelo presidente da mesa receptora a medida que forem entregues aos eleitores;

2--isolamento do eleitor em gabinete indevassavel para o so efeito de introduzir a cedula de sua escolha na sobrecarta e, em seguida, fecha-la;

3--verificacao de autenticidade da sobrecarta a vista da rubrica;

4--emprego de urna que assegure a inviolabilidade do sufragio e seja suficientemente ampla para que se nao acumulem as sobrecartas na ordem em que forem introduzidas.

Finalmente, o Codigo Eleitoral de 1965, atualmente em vigor, afirma em seu art. 82 que "o sufragio e universal e direto; o voto, obrigatorio e secreto", nao trazendo um dispositivo exclusivo para definir os metodos empregados para assegurar o sigilo. No art. 146, (13) voltado a definir todo o ato de votar, sao encontradas algumas disposicoes tendentes a proporcionar sigilo e auditabilidade a cedula de votacao:

Art. 146. Observar-se-a na votacao o seguinte:

...

V--achando-se em ordem o titulo e a folha individual e nao havendo duvida sobre a identidade do eleitor, o presidente da mesa o convidara a lancar sua assinatura no verso da folha individual de votacao; em seguida entregar-lhe-a a cedula unica rubricada no ato pelo presidente e mesarios e numerada de acordo com as Instrucoes do Tribunal Superior instruindo-o sobre a forma de dobra-la, fazendo-o passar a cabina indevassavel, cuja porta ou cortina sera encerrada em seguida;

...

IX--na cabina indevassavel, onde nao podera permanecer mais de um minuto, o eleitor indicara os candidatos de sua preferencia e dobrara a cedula oficial, observadas as seguintes normas:

a) assinalando com uma cruz, ou de modo que torne expressa a sua intencao, o quadrilatero correspondente ao candidato majoritario de sua preferencia;

b) escrevendo o nome, o prenome, ou o numero do candidato de sua preferencia nas eleicoes proporcionais;

c) escrevendo apenas a sigla do partido de sua preferencia, se pretender votar so na legenda.

X--ao sair da cabina o eleitor depositara na urna a cedula;

XI--ao depositar a cedula na urna o eleitor devera faze-lo de maneira a mostrar a parte rubricada a mesa e aos fiscais de partido, para que verifiquem sem nela tocar, se nao foi substituida;

XII--se a cedula oficial nao for a mesma, sera o eleitor convidado a voltar a cabina indevassavel e a trazer seu voto na cedula que recebeu; senao quiser tornar a cabina ser-lhe-a recusado a ocorrencia na ata e ficando o eleitor retido pela mesa, e a sua disposicao, ate o termino da votacao ou a devolucao da cedula oficial ja rubricada e numerada;

...

Todas essas disposicoes, novas e antigas, demonstram uma visivel preocupacao em regrar a novidade democratica que se introduzia no sistema: como assegurar que votos anonimos sejam, ao mesmo tempo, confiaveis (ou auditaveis)?

A possibilidade de verificacao de cedulas em papel, pelo proprio eleitor, e um bom meio de atingir esses requisitos. Cedulas podem ser preenchidas de forma anonima e mesmo assim e possivel conferir sua autenticidade, seja usando papeis especiais, seja conferindo assinaturas de terceiros, como mesarios e fiscais presentes a secao de votacao, ou mediante a publica, continua e atenta vigilancia sobre as urnas em que as cedulas sao armazenadas.

Evidentemente, o emprego das cedulas anonimas em papel nao e um modelo a prova de falhas. Muito se sabe, especialmente pelas experiencias passadas, acerca das possibilidades de fraude em uma eleicao baseada no uso de cedulas de papel. Urnas podem ser violadas, cedulas podem ser trocadas, ou a contagem manual, ja em si nao imune a erros involuntarios, pode ser maliciosamente distorcida. A questao que precisa ser mais densamente analisada--dai a importancia de se compreender o fato informatico nesse ambiente eleitoral--reside em saber se e, principalmente, como as maquinas eletronicas de votacao podem ser melhores, nesse quesito, do que as cedulas de papel.

4 Criticas ao uso de maquinas de votacao exclusivamente eletronicas, no Brasil e no mundo

A partir do momento em que o eleitor escolhe o seu candidato, ate a apuracao final do resultado, uma serie de passos precisa ser realizada. Este artigo e focado nos primeiros desses passos: como as opcoes do eleitor sao colhidas, gravadas e contadas logo nas primeiras etapas, ate que cada maquina de votacao divulgue os votos que recebeu? Esse e o principal problema de sistemas eletronicos de votacao, porque a tarefa, aparentemente simples, envolve um paradoxo conceitual. Uma vez que cada urna eletronica divulga, ao final do dia, os votos nela gravados, a conferencia paralela do resultado final da eleicao pode demandar um esforco herculeo para os partidos politicos, candidatos, imprensa, ou qualquer um que pretenda auditar ou ao menos observar as eleicoes politicas. De qualquer modo, e apenas uma questao de coletar os numeros em cada maquina de votacao e realizar a soma todos eles: pode ser trabalhoso, porem, e uma tarefa possivel e cada vez mais viavel com o aumento da capacidade de processamento dos dispositivos eletronicos, que vem gradativamente se tornando mais potentes e mais baratos. (14)

Por outro lado, conferir que cada maquina de votacao registrou precisamente a entrada dos dados introduzidos por cada eleitor e uma questao conceitual bastante complexa, quando os votos precisam ser necessariamente secretos e anonimos. Nao haveria tal problema se votos identificaveis fossem uma opcao. Neste caso, votacoes eletronicas seriam, sem qualquer sombra de duvida, um inigualavel meio de se conduzir eleicoes, uma vez que existem procedimentos confiaveis para auditar e rastrear dados digitais identificados. Nos sistemas bancario ou judicial, por exemplo, trafegam dados digitais identificados; no segundo caso os atos sao assinados digitalmente por juizes, promotores e advogados, o que lhes confere grande seguranca contra adulteracoes posteriores ao momento em que foram praticados. Fosse aberto o voto, assinaturas digitais tambem poderiam ser utilizadas para marcar o voto digital, tornando-o inalteravel, identificavel e rastreavel. Em outros cenarios em que se faz votacoes, como em assembleias societarias ou condominiais, nas quais o voto e aberto, o uso de assinaturas digitais para cada voto nao seria um problema, de modo que ate mesmo eleicoes online podem ser realizadas sem grandes dificuldades adicionais, ou, ao menos, sem mais dificuldades do que as observadas em outros atos da vida que sao praticados pela Internet. Mas votos secretos e anonimos sao, como ja exposto acima, um dos mais importantes metodos a serem preservados em uma eleicao democratica.

Ha uma porcao de tarefas que computadores podem fazer muito melhor do que humanos. Ao executar complexas (ou nem tanto) operacoes matematicas ou lidar com gigantescos volumes de dados, sua superioridade e acima de qualquer duvida. Mas conferir a autenticidade e a integridade de informacoes digitais pode ser um grande problema. Uma vez que computadores podem lidar com informacoes em taxas altissimas de velocidade, eles tambem podem modificar tais informacoes de modo igualmente rapido. No momento, nenhum sistema informatico pode ser considerado a prova de falhas, e os jornais frequentemente publicam noticias sobre ataques criminosos direcionados contra servicos online de grandes companhias ou de poderosas entidades publicas. Assim sendo, como podem os eleitores confiar que suas escolhas foram, logo no principio, corretamente registradas na maquina de votacao? Pode o software da propria urna eletronica alterar esse voto registrado ate o momento final da eleicao? A maquina o somara corretamente ao expedir o chamado "boletim de urna", contendo o total de votos ali armazenados? Quem sao os sujeitos que devemos temer e que podem fraudar uma eleicao: invasores externos, apenas, ou desenvolvedores, tecnicos ou gerentes internos?

Pessoas comuns normalmente confiam naquilo que elas podem ver, mas o que quer que um computador faca ou exteriorize estar fazendo, e apenas o resultado de uma atividade para a qual ele foi especificamente programado. Quando alguem escreve uma letra "x" em uma folha de papel, o "x" que ele pode ver e real e foi uma consequencia direta de sua acao fisica, produzida com uma caneta em punhos, que deixou rastros de tinta que tingiram as fibras do papel. Quando uma tecla e pressionada no teclado do computador, o que aparece na tela de video nao e uma consequencia direta da acao, mas sim o resultado de uma sequencia de comandos de programacao. Uma outra pessoa previamente programou o computador para exibir na tela a mesma tecla que foi pressionada, ou de outro modo nada aconteceria, o computador nada faria por si mesmo! Tudo o que um computador executa encontra-se previamente programado e estabelecido pelo software nele inserido.

Como afirmado por Rebecca Mercuri:
   Sistemas inteiramente eletronicos nao proporcionam nenhuma forma
   pela qual o eleitor possa confiavelmente verificar que o voto
   inserido corresponde aquele que foi registrado, transmitido ou
   tabulado. Qualquer programador pode escrever um codigo que exiba
   uma coisa na tela, registre outra, e ainda imprima outro resultado.
   Nao ha nenhum jeito conhecido de assegurar que isso nao esta
   acontecendo dentro de um sistema de votacao. (15)


Entre outras questoes, essa submissao do computador ao que esta definido em sua programacao e uma das peculiaridades que se deve ter em mente quando se quer interpretar o fato informatico, mas a experiencia leva a crer que pessoas comuns, nao versadas nos meandros da informatica, nao estao suficientemente conscientes disso.

Em 2000, Bruce Schneier, um dos mais respeitados profissionais da area de seguranca da informacao, publicou algumas notas sobre os incidentes que ocorreram nas eleicoes da Florida daquele ano, dizendo que mais tecnologia nao iria resolver tais problemas. Ele afirmou que:
   Certamente, a antiquada tecnologia de votacao da Florida e em parte
   culpada, mas tecnologias mais novas nao iriam magicamente fazer com
   que os problemas se fossem. Elas poderiam ate mesmo tornar piores
   as coisas, adicionando mais camadas de traducao entre os eleitores
   e contadores de voto, evitando recontagens.

   Eis minhas primeiras preocupacoes sobre votacao por computadores:
   nao ha uma cedula em papel para retornar. Maquinas de votacao
   computadorizadas, tenham elas como interface teclado e monitor, ou
   uma tela sensivel ao toque como as maquinas de automacao bancaria,
   poderiam facilmente tornar as coisas piores. Voce precisar confiar
   que o computador gravou os votos corretamente, tabulou os votos
   corretamente, e manteve registros precisos. Voce nao pode retornar
   para as cedulas em papel e tentar descobrir o que o eleitor queria
   fazer. E computadores sao faliveis; algumas das maquinas de votacao
   computadorizadas desta eleicao falharam misteriosa e
   irrecuperavelmente. (16)


Uma vez que nao ha nenhuma maneira de olhar dentro da maquina e ver o que ela esta realmente fazendo durante o dia da eleicao, nao ha muita coisa que fiscais ou observadores possam conferir ou observar no local da votacao. Como dito em relatorio de seguranca que sera mais amplamente comentado adiante, "as pessoas nao podem ver eletrons, entao elas nao podem observar a contagem dos votos quando um sistema de votacao DRE e usado". (17) Ou, ainda, como assinalado por Rebeca Mercuri:
   Votacao e tabulacao eletronicas fazem com que as tarefas
   desempenhadas pelos funcionarios da eleicao, fiscais e autoridades
   sejam puramente procedimentais, e removem a oportunidade de
   realizar verificacoes bipartidarias. Qualquer processo
   computadorizado de eleicao e, portanto, confiado ao pequeno grupo
   de individuos que programam, constroem e mantem as maquinas de
   votacao. (18)


Deste modo, sua proposta para o uso de sistemas eletronicos de votacao e:
   Cabe, portanto, aqueles que estejam envolvidos com eleicoes que se
   abstenham de utilizar qualquer sistema que nao preveja uma cedula
   de papel anonima e indiscutivel que possa ser verificada de forma
   independente pelo eleitor antes da confirmacao de seu voto, que
   seja usada pelo comite eleitoral para demonstrar a veracidade de
   qualquer totalizacao do voto eletronico, e esteja tambem disponivel
   para auditoria e recontagem manual. (19)


Em 2006, um artigo escrito por Rivest e Wack introduziu o conceito de sistemas de votacao cuja auditoria possa ser considerada "dependente do software" ou "independente do software". Tais conceitos indicam modelos em que a verificacao da correcao dos resultados da eleicao depende ou nao, de modo essencial, de exame do software do sistema de votacao. E assim concluem:
   (...) a habilidade de provar a correcao do software se reduz
   rapidamente conforme o software se torne mais complexo. Seria
   efetivamente impossivel testar adequadamente os futuros (e atuais)
   sistemas de votacao a busca de falhas ou introducao de fraudes,
   portanto, estes sistemas sempre remanesceriam suspeitos em sua
   capacidade de proporcionar eleicoes seguras e precisas. (20)


Entre nos, o professor da Unicamp, Diego Aranha, que reuniu conhecimentos teoricos e experiencias praticas sobre seguranca de maquinas eletronicas de votacao, ao participar dos testes publicos permitidos pelo TSE, atestou em trabalho recente que:
   Maquinas de votar do tipo DRE sao largamente criticadas na
   literatura cientifica, principalmente por suas falhas de projeto e
   implementacao, impossibilidade de auditoria independente de
   software e vulnerabilidade contra-ataques internos. (21)


Em poucas palavras, esses reconhecidos expertos em seguranca informatica acreditam que nao ha melhor maneira de auditar uma eleicao do que proporcionando um meio de recontar os votos independentemente do sistema eletronico, ou do software que o controla. Qualquer outro meio de apropriadamente auditar uma eleicao--dependente, portanto, de auditar o software--seria demasiadamente caro ou praticamente impossivel, ate mesmo por profundos especialistas, isso sem contar que pode nao haver especialistas disponiveis em numero suficiente para realizar tal tarefa durante uma agigantada eleicao nacional.

Para o cidadao medio importa compreender que um software e uma ferramenta essencialmente alteravel e que esta constantemente em evolucao. O teste de seguranca feito hoje--acaso fosse possivel fazer um teste extensivo e definitivo - nada diz por si so sobre o software que sera utilizado amanha, na semana seguinte, ou na proxima eleicao. Mais do que isso, nao soa democratico impedir que cidadaos comuns sejam capazes, por si mesmos, de aferir a confiabilidade de uma eleicao politica. Diante disso, Rivest e Wack propoem o uso do modelo conhecido pela sigla VVPAT--Voter Verifiable Paper Audit Trail, ou, no vernaculo, Trilha de Auditoria em Papel Verificavel pelo Eleitor. Os modelos em uso no mundo variam, entre imprimir o voto (22) que o eleitor previamente inseriu diretamente na maquina, ou, no caminho inverso, fazer leitura otica da cedula previamente preenchida manualmente pelo eleitor.

5 Algumas experiencias internacionais

Embora tenha sido bastante disseminada em nosso pais a afirmacao de que haveria uma exclusiva e pioneira expertise brasileira em desenvolver sistemas eletronicos de votacao, que, como ja mencionado na introducao, sao anunciados como "referencia internacional", tais assertivas nao se sustentam no exame da literatura ou dos eventos faticos e politicos que se desenrolaram no cenario mundial nas ultimas decadas.

O Brasil nao foi pioneiro no emprego de maquinas de votacao, nem tao pouco desenvolveu localmente a tecnologia utilizada nas chamadas urnas eletronicas que, desde o primeiro momento, foram produzidas por fabricantes estrangeiros, fornecedores tambem no mercado internacional. O Brasil pode merecer algum destaque no cenario internacional por ter organizado eleicoes nacionais com uso de formas exclusivamente eletronicas de coleta do voto e, considerando sua expressiva populacao e numero de eleitores, isso pode, de algum modo, representar uma facanha. Mesmo em termos puramente quantitativos, entretanto, nao e o Brasil o maior utilizador de novas tecnologias da informacao em eleicoes, sendo, neste quesito, superado pela India, que nas eleicoes de 2009 utilizou 1.378.352 maquinas eletronicas de votacao em suas eleicoes nacionais. (23)

Por outro lado, se outros paises desenvolvidos nao adotaram maquinas de votacao de forma mais ampla, isso pode ser atribuido ao contexto politico dessas nacoes e nao a falta de suficiente expertise tecnologica. Nos EUA, a decisao sobre os metodos de votacao e pulverizada em nivel local, de tal sorte que cabe a cada Condado a decisao de adotar, ou nao, meios eletronicos de votacao. (24) O mesmo sucedeu na Alemanha, em que a implementacao vinha sendo feita gradativamente, (25) ate que os modelos de maquinas de votacao utilizados foram todos banidos por decisao de sua Suprema Corte, como sera comentado adiante. Dada a centralizacao de poder que se observa no nosso pais, em maos de entidades federais--o que, diga-se, nao e uma caracteristica exclusiva da esfera eleitoral--o Brasil impos e implementou nacionalmente o uso de urnas eletronicas. Foi essa centralizacao que proporcionou uma rapida e ampla informatizacao eleitoral no pais, quando comparado com outras nacoes.

Por outro lado, o Brasil utiliza a mesma tecnologia empregada desde a sua primeira eleicao eletronica. Embora a classificacao desses equipamentos em geracoes possa se sujeitar a criterios variados, adotando a classificacao apresentada por Amilcar Brunazo Filho, pode-se afirmar que o desenvolvimento dessas tecnologias eleitorais ja produziu tres diferentes geracoes de equipamentos. (26) O Brasil, porem, ainda utiliza maquinas de primeira geracao, que outros paises tem banido ou substituido por equipamentos mais confiaveis. Tais equipamentos de primeira geracao sao tambem conhecidos pela sigla DRE--Direct Recording Eletronic machines--pois tem como caracteristica registrar os votos diretamente em uma base de dados interna, fazendo-o em meio exclusivamente eletronico.

A Holanda foi o primeiro pais que, apos empregar maquinas eletronicas de votacao, decidiu abandona-las para retornar as cedulas em papel, por decisao de suas autoridades, tomada em 2007. (27) Naquele pais, eram utilizadas maquinas DRE e, apesar de criticas pontualmente feitas por especialistas, as autoridades e o fabricante garantiam que o sistema era a prova de falhas. Em 2006, um grupo de ativistas, formado por especialistas em seguranca da informacao, intitulado "Wij vertrouwen stemcomputers niet" (nos nao confiamos em computadores de votacao), logrou obter tres desses equipamentos, que depois submeteriam a testes independentes: as maquinas lhes foram fornecidas por duas diferentes municipalidades, a que eles se referem apenas pelas letras A e B, tendo a primeira lhes emprestado um dos equipamentos e a segunda vendeu-lhes dois deles. Assim, afirmando terem posse e propriedade legais sobre as maquinas de votacao, os expertos fizeram testes de seguranca que sequer podem ser considerados exaustivos--duraram apenas um mes--mas que foram suficientes para expor as fragilidades dos tais aparelhos. Narraram como um terceiro poderia violar os sistemas caso lograsse se aproximar dos equipamentos, apontando ainda que o sistema nao era, evidentemente, nem um pouco imune a uma fraude interna. Com a divulgacao do paper, (28) um juiz decidiu pela proibicao do uso desses equipamentos que, em seguida, foram definitivamente banidos pela propria autoridade eleitoral daquele pais. Desde entao, a Holanda voltou a utilizar cedulas em papel.

Pouco depois, na Alemanha, a questao foi submetida ao Poder Judiciario, que tambem determinou a cessacao do uso de maquinas DRE por decisao da Suprema Corte Federal. (29) O emprego de maquinas de votacao na Alemanha, embora antigo, era bastante restrito, dado que cabia ao poder local optar, ou nao, pelo seu uso. Diferentemente do que ocorrera pouco antes na Holanda, a decisao nao foi fruto do clamor gerado pela demonstracao de inseguranca dos equipamentos, mas por razoes principiologicas. Entendeu a Corte alema que os meios eletronicos de votacao em uso violavam o principio da publicidade das eleicoes, impedindo que cidadaos comuns, sem conhecimento profundo de tecnologia, ou sem necessitar realizar extensos exames periciais nos equipamentos, pudessem acompanhar todos os passos de uma eleicao. Segundo Sebastian Seedorf, ao comentar tal decisao:
   Somente um governo eleito pode legitimamente exercer poder em uma
   democracia. A legitimidade e baseada no fato de que o povo sabe que
   a eleicao e seu especifico resultado final e uma genuina expressao
   de sua vontade. Para a Corte, uma eleicao sem a confianca do
   eleitorado e insuficiente. Nao e suficiente que uma eleicao seja
   simplesmente livre e justa e que um governo tenha sido
   democraticamente eleito--o povo tambem precisa estar confiante de
   que esse foi o caso. O fato e a percepcao do fato formam as duas
   faces de uma mesma moeda: conformidade com os principios
   constitucionais de uma eleicao (que uma eleicao seja livre, justa,
   secreta etc.) e confianca nessa conformidade constituem
   precondicoes para uma democracia viavel. (30)


Segundo o mesmo autor, embora o Tribunal nao tenha terminantemente proibido o uso de equipamentos eletronicos de votacao, mas apenas proibido equipamentos que nao se adequassem ao carater publico de uma eleicao, desde essa decisao as votacoes foram realizadas exclusivamente com cedulas de papel.

Na India, equipamentos eletronicos de votacao eram utilizados desde a decada de 1980. Do mesmo modo, autoridades asseguravam que o sistema era imune a falhas ou fraudes. Um ativista hindu, todavia, alegando ter recebido um dos equipamentos de fontes anonimas--nem foi dito como o equipamento teria sido obtido pelas tais fontes realizou testes de seguranca com apoio de outros expertos internacionais, produzindo, tal como ocorrera anos antes na Holanda, um paper (31) descritivo em que apontou varias fragilidades das maquinas de votacao e demonstrou como poderiam ser fraudadas. As repercussoes da divulgacao foram mais dramaticas gerando, inicialmente em desfavor do perito, a acusacao de pratica criminosa na obtencao dos equipamentos. (32) Mas a evidencia de que a seguranca das maquinas era fragil levou a Corte Constitucional da India a tambem decidir pela sua substituicao. (33) Segundo Barley e Sharma, nesse julgamento de 2013:
   a Suprema Corte decidiu que uma trilha de papel e um requerimento
   indispensavel de eleicoes livres e justas e que a confianca dos
   eleitores no sistema somente poderia ser alcancada por meio de
   transparencia, a qual necessita a exigencia de introduzir um
   acurado e verificavel sistema de votacao. Entretanto, no mesmo
   folego, a Corte paradoxalmente permitiu a Comissao Eleitoral
   introduzir o sistema VVPAT em fases. (34)


Os tres cenarios apontados podem ser comparados a situacao brasileira em diversos aspectos. Em primeiro lugar, em todos eles havia uma confianca nao demonstrada--e que se mostrou equivocada--na infalibilidade de equipamentos eletronicos que fazem apenas registro digital dos votos (isto, e, maquinas DRE). Em segundo lugar, conquanto as maquinas de Holanda e India sejam diferentes entre si e diferentes das que emprega nossa Justica Eleitoral, os problemas tecnicos foram evidenciados somente quando os equipamentos puderam ser escrutinados por profissionais experientes, sem quaisquer limitacoes de ordem pratica, tecnica, legal, procedimental, ou temporal, o que reproduz o cenario em que um fraudador real atuaria. Ficou evidenciado, portanto, que tais equipamentos so contam com a questionavel "seguranca por obscuridade", modelo que vem sendo veementemente considerado inseguro pelos especialistas. (35) Criminosos que desejassem fraudar as eleicoes certamente nao teriam dificuldade--sequer estariam preocupados com os freios morais ou legais--em obter ao menos uma das centenas de milhares de urnas eletronicas existentes no pais para tentar desvendar meios de viola-las. Em terceiro lugar, o cenario politico-juridico nao e diverso. Busca-se, em todas as democracias, realizar eleicoes transparentes, publicas, auditaveis e secretas. E sequer se diga que o quadro sociopolitico brasileiro possa conter qualquer peculiaridade a justificar o emprego de maquinas DRE. Nesse caso, o exemplo da India e por demais significativo. Embora nao tao extenso territorialmente como o Brasil, trata-se de pais com gritantes contrastes sociais e economicos; ha uma populacao de analfabetos muitissimo superior; ha locais pouco desenvolvidos em que nao ha energia eletrica disponivel para alimentar os equipamentos; suas eleicoes passadas retratam historicos de corrupcao e coacao sobre eleitores comparaveis aos que ja se sucederam em nosso pais, (36) fatos esses que sao comumente apontados no Brasil como justificativa bastante e suficiente para o emprego de maquinas exclusivamente eletronicas nas votacoes. Portanto, a experiencia desses tres paises para restringir a analise aos tres casos mais visiveis de mudanca de rumos, merece ser considerada no Brasil.

6 A pouca auditabilidade das urnas eletronicas brasileiras e seus riscos para a democracia

6.1 Metodos de auditoria empregados no Brasil

Durante as ultimas duas decadas, o Brasil experimentou um movimento pendular em que ora a lei determina o uso de trilhas fisicas, ora o metodo e revogado, sem que as trilhas fisicas sejam extensivamente empregadas. E, ao inves delas, outros meios de auditoria foram tentados, o que sera comentado neste subtitulo.

6.2 Votacao paralela

O primeiro metodo usado para conferir a votacao eletronica nas eleicoes brasileiras ficou conhecido como votacao paralela, uma pratica que se iniciou em 2002 (37) e pode ser assim resumidamente explicada: a) dois dias antes da eleicao, quando todas as urnas eletronicas ja estao posicionadas nas suas respectivas secoes de votacao, quatro delas sao escolhidas aleatoriamente em uma audiencia publica realizada em cada um dos Tribunais Regionais; b) em seguida agentes na eventual companhia de fiscais de partidos que voluntariamente se apresentem, vao o mais rapido possivel as secoes de votacao onde estao instaladas as maquinas sorteadas, que sao dali retiradas, substituidas por outras para serem usadas na eleicao, e trazidas para a Capital, onde a apuracao paralela sera realizada; caso as maquinas sorteadas estejam lotadas em secoes distantes centenas de quilometros da Capital, podem se passar algumas horas entre o momento do sorteio e sua "captura"; c) e solicitado a fiscais de partidos e outros observadores presentes que preencham cedulas de voto simulado que serao usadas na apuracao paralela; d) no domingo de eleicao, durante o mesmo horario da votacao, as urnas eletronicas sorteadas sao ligadas e usadas como se ainda estivessem no seu lugar de origem; os votos simulados previamente preenchidos sao inseridos nessas urnas durante um procedimento bastante formal e lento, registrado em uma camara de video; e) ao final do dia, as urnas assim auditadas divulgam os boletins de urna, com os votos nelas registrados, e seu resultado e comparado com os votos simulados que nela foram inseridos.

O objetivo de tal metodo de auditoria seria provar que qualquer urna eletronica aleatoriamente escolhida esta trabalhando adequadamente e soma corretamente todos os votos nela inseridos. De fato, esse tipo de teste pode ser util para conferir erros involuntarios de programacao, mas e bastante duvidoso que seja capaz de evitar fraudes perpetradas por um ataque interno. Uma vez que maquinas eletronicas de votacao sao tao complexas como qualquer outro computador, ha incontaveis meios com que um fraudador interno, com suficiente acesso ao codigo de programacao, poderia contar para evitar ser detectado por esse tipo de teste. Tudo o que o fraudador interno precisaria seria um tipo de "interruptor" (provavelmente desenhado por software) que liga e desliga as rotinas de fraude. Se o software detectar qualquer sinal de que a urna eletronica nao esta no seu local de votacao (entao, ela pode estar sendo auditada), a fraude pode ser desligada. A forma como a votacao paralela e conduzida faz com que as urnas eletronicas trabalhem em condicoes muitissimo diversas das que estao no ambiente normal de votacao. Por exemplo, como pode ser observado nesses testes, o intervalo de tempo entre quaisquer dois votos subsequentes e irreal, pois cada voto simulado precisa ser gravado em video, ser inserido em um segundo computador (usado para somar paralelamente os votos), seguindo-se um procedimento formal e demorado, de modo que se passam varios minutos entre um voto e seu subsequente. Em condicoes reais, tres ou quatro eleitores teriam usado a urna eletronica em um intervalo desses. Por outro lado, as urnas testadas recebem votos durante intervalos de tempo regulares, espalhados ao longo do dia de votacao, enquanto as maquinas que estao nas secoes de votacao podem ficar inoperantes por varios minutos, uma vez que o fluxo real de eleitores nao e constante. Como assinalado no relatorio holandes, a votacao paralela nao e um metodo confiavel de auditoria pois "o criador do software que desvia votos pode executar uns poucos testes que distinguiriam uma eleicao real e as mais rigorosas e disciplinadas votacoes paralelas". (38) O metodo e tambem criticado no chamado "relatorio Brennan", um extenso estudo realizado nos Estados Unidos sobre a seguranca de sistemas de votacao:
   No entanto, mesmo sob as melhores circunstancias, o teste paralelo
   e uma medida de seguranca imperfeita. O teste cria uma "corrida
   armamentista" entre os testadores e o atacante, mas e uma corrida
   em que os testadores nunca podem ter certeza de que eles venceram.
   (39)


Em conclusao, sabendo como a votacao paralela sera executada, um atacante imaginativo que consiga comprometer o software da urna e capaz de criar duzias de "alarmes" para detectar diferentes sinais de que a maquina nao esta em seu local de votacao, a indicar que esta sendo auditada, e, assim, desligar as programacoes fraudatorias. Portanto, esse metodo de auditoria nao e eficiente contra um atacante experiente e premeditado. Pode servir, de qualquer modo, para detectar erros involuntarios. Mas, mesmo assim, se erros involuntarios forem detectados em apenas quatro maquinas, o que pode ser feito com as demais? Teriam elas os mesmos problemas? Se elas tambem tem os mesmos erros, como os verdadeiros votos poderao ser recuperados? Parece claro, assim, que se trata de um sistema util enquanto ateste que erros nao foram detectados. Nao soa compativel com um pensamento critico e cientifico, que deveria estar aberto a possibilidade de que ambos os cenarios pudessem ser apontados, isto e, tanto erros como acertos no confronto com o resultado final. (40)

6.3 Auditoria do codigo de programacao

Em 2003, uma nova Lei (41) estabeleceu um segundo metodo de auditoria e que foi posto em pratica durante a eleicao de 2004. Observadores externos foram autorizados a examinar o software usado nas urnas eletronicas e nos sistemas de totalizacao. Pode parecer uma forma adequada de fiscalizar a eleicao pois, afinal, se o software e correto, seus resultados deverao ser corretos. As dificuldades de auditar o imenso volume de linhas de codigo de programacao, todavia, mostraram-se imensas, como, alias, e sustentado pelos especialistas acima citados.

Note-se que essa auditoria tem sido realizada sob regras extremamente restritivas, impostas pela autoridade eleitoral brasileira. Nenhum fiscal e autorizado a levar consigo o codigo-fonte dos programas, nem utilizar seus proprios equipamentos para examina-lo. O [section]2, do art. 66, da lei no. 9.504/1997, com redacao dada pela supracitada Lei no. 10.740/2003, diz que a analise dos programas sera feita "nas dependencias do Tribunal Superior Eleitoral". Nao se permite, portanto, aos fiscais, o mesmo acesso que os especialistas holandeses e indianos tiveram as maquinas de votacao de seus respectivos paises, como ja narrado acima. As unicas operacoes permitidas consistem em ler as linhas de programacao na tela de alguns computadores disponiveis na sede do Tribunal Superior Eleitoral. Entretanto, o codigo fonte a ser examinado se estende por dezenas de milhares de arquivos em formato texto (txt), de modo que pouco pode ser testado a partir da mera permissao para ler algumas dessas linhas, de alguns desses arquivos, nas telas dos computadores disponibilizados. Mesmo que fiscais pudessem levar consigo o codigo-fonte e tentar o mais possivel localizar falhas ou potenciais fraudes--e de se destacar que isso nao e uma tarefa ordinariamente facil e talvez somente alguns poucos e altamente especializados profissionais de seguranca da informacao possam ser capazes de detectar fraudes mais sofisticadas--conferir que o codigo revisado esta correto ainda nao e o suficiente. Isto porque conferir posteriormente que o codigo revisado e o mesmo que gerou o software final usado na eleicao nao e tarefa simples.

De acordo com os procedimentos desse metodo de auditoria: a) o codigo-fonte dos programas estaria disponivel para exame (nos termos postos acima) por algumas semanas; b) em data determinada, em cerimonia formal com a presenca de todos os fiscais, o codigo seria compilado (42) e o arquivo executavel dai resultante seria digitalmente assinado por eles; c) posteriormente, os arquivos executaveis seriam instalados em cada urna eletronica, sendo facultado aos fiscais conferir a veracidade das assinaturas digitais, testando-as diretamente em cada uma das urnas.

A parte o fato de que nao foi proporcionado um acesso direto ao codigo-fonte, todo esse metodo de auditoria aparenta ser inutil para repelir fraudes internas. A compilacao e cerimonia de assinatura aparenta ser uma tarefa "puramente procedimental", para repetir as sabias palavras da professora Rebecca Mercuri. (43) Uma vez que e impossivel entrar dentro do computador, ou dentro dos chips de silicio, para vigiar o que esta acontecendo ali, tudo que os fiscais podem observar e um funcionario da Corte eleitoral operando um computador e dando a ele alguns comandos com o uso do teclado. Nao ha absolutamente nenhuma maneira de assegurar, naquele fatidico momento, que o codigo compilado era o mesmo que foi (superficialmente) revisado nas semanas anteriores. Quando a compilacao e terminada, os fiscais usam suas chaves criptograficas privadas para assinar os arquivos executaveis, mas toda a operacao e feita no mesmo computador do Tribunal. Nao ha como demonstrar que os arquivos assinados sao os mesmos que resultaram da previa compilacao. Finalmente, conferir se as assinaturas digitais sao verazes em cada uma das centenas de milhares de urnas eletronicas, uma a uma, e uma tarefa quase impossivel. O melhor que pode ser feito e apenas proceder a esse teste por amostragem. Mesmo assim, conferir uma assinatura digital em um computador desconhecido (as proprias urnas eletronicas) e uma operacao duvidosa, especialmente se e justamente esse computador o objeto de auditoria. Ora, se uma urna foi "contaminada" por codigo de programacao indevido, quem quer que o tenha feito teve acesso suficiente ao sistema para boicotar tambem a conferencia das assinaturas, isto e, fazer com que a tela da maquina auditada exiba a informacao de que as assinaturas estao corretas, ja que se considera improvavel a falsificacao das proprias assinaturas digitais. Mas um sistema adulterado em que se execute tal tentativa de conferencia pode, mesmo diante de assinaturas falsas, fazer com que a tela das urnas exiba a informacao de que sao verdadeiras. Por fim, conferir que o software nao foi alterado, numa checagem feita varios dias antes da eleicao, nao e prova racional bastante e suficiente de que o mesmo software estara ali no dia da eleicao.

Como conclusao, tudo o que esse metodo produz pode ser assim resumido: solicita-se aos fiscais que assinem alguns arquivos executaveis que nao podem ser provados como o verdadeiro resultado da compilacao, que, por sua vez, foi feita por um software compilador desconhecido, usando codigos-fonte que nao se pode assegurar que sejam os mesmos que ja nao foram completamente esquadrinhados. E, depois disso, o trabalho de conferir as assinaturas em cada urna eletronica (ou, ao menos, em um numero representativo delas) nao se mostra uma tarefa simples, especialmente ao longo de um pais de dimensoes continentais como o Brasil.

6.4 Testes publicos de seguranca

Um terceiro metodo de auditoria foi implementado em 2009. E um tipo de competicao aberta a inscricao de grupos de expertos em informatica para que tentem desferir ataques para testar eventuais vulnerabilidades do sistema, a respeito do sigilo dos votos, da disponibilidade das urnas ou o risco de falhas durante o dia da eleicao, entre outras questoes relacionadas a seguranca. Nos meios profissionais da informatica, tais testes sao conhecidos como "testes de penetracao".

Note-se, todavia, que os testes autorizados, e do modo como o foram, nao podem ser considerados um completo teste de penetracao, uma vez que os participantes devem seguir regras bastante restritivas definidas pelo TSE. A Resolucao no. 23.444/2015, do TSE, que "dispoe sobre a realizacao periodica do Teste Publico de Seguranca (TPS) nos sistemas eleitorais que especifica", cria todo um conjunto formal de procedimentos e limites impensaveis em um cenario real, isto e, um quadro em que um criminoso tentasse manipular os resultados de uma eleicao verdadeira. A titulo de breve referencia, encontram-se previstas, nessa Resolucao, quatro comissoes formadas por membros da Justica Eleitoral (Comissao Organizadora, Comissao Reguladora, Comissao Avaliadora e Comissao de Comunicacao Institucional) para atuar nesses testes. A Comissao Reguladora, em especial, tem como suas atribuicoes, entre outras, "definir os procedimentos e a metodologia utilizados" e "aprovar os planos de testes elaborados pelo(s) tecnico(s) e/ou grupos de tecnicos" (art. 9). A burocratizacao do teste de penetracao ainda preve uma divisao em fases formalmente definidas (arts. 17 a 20). Crimes informaticos, evidentemente, nao sao orientados por metodologias criadas por suas vitimas, sequer seguem planos previamente aprovados por elas, dai se podendo concluir pelo carater extremamente artificial e restritivo desses testes de seguranca oficialmente autorizados.

Em poucas palavras, os expertos nao podem tentar qualquer tipo de ataque que tenham habilidade tecnica em perpetrar, mas somente aqueles que sao previstos nas regras instituidas pelo departamento tecnico daquela Corte. Mesmo assim, em cada edicao desse teste publico, algo de falho foi descoberto pelos profissionais que dele tomaram parte. Em 2009, o grupo vencedor conseguiu capturar ondas eletromagneticas emitidas pelo teclado das urnas, enquanto o eleitor digitava, e isso foi suficiente para que fosse desvelado o voto entao inserido, em clara ameaca ao seu sigilo. (44)

Em 2012, uma das equipes foi bem-sucedida em reverter a ordem aleatoria do registro digital do voto, de modo que foi possivel recuperar a sequencia cronologica em que os votos foram inseridos na urna, expondo outra grave ameaca ao sigilo do voto. Como desdobramento, essa equipe publicou um relatorio sobre as vulnerabilidades encontradas, com sugestoes para o aprimoramento da seguranca do sistema brasileiro de votacao eletronica. (45) Alem de algumas falhas de seguranca que foram detectadas, o relatorio tambem aponta que a auditoria permitida pelo TSE e um "modelo inapropriado de ataque", uma vez que "enfase significativa e colocada no desenho de caracteristicas de seguranca resistentes apenas a atacantes externos, quando as ameacas internas representam um risco muito mais alto". (46)

De fato, ameacas internas nao podem ser detectadas por esse tipo de teste. Mesmo que as equipes participantes fossem autorizadas a livremente executar amplos testes de penetracao, ou revisar completamente o software, nao ha meio de assegurar que o software revisado sera exatamente o mesmo que estara instalado nas urnas eletronicas durante a eleicao, em centenas de milhares delas.

Ainda de acordo com os relatorios dessa equipe de especialistas, que detectou a falha reportada:
   Nos apresentamos uma colecao de vulnerabilidades de software nas
   urnas eletronicas brasileiras, o que permitiu a eficiente, exata e
   nao rastreavel recuperacao da ordem dos votos inseridos
   eletronicamente. Associando a informacao com a lista ordenada de
   eleitores, obtida externamente, isso permite uma completa violacao
   do sigilo do voto. O registro cronologico publico dos eventos
   mantido pelas urnas eletronicas tambem permite a recuperacao de um
   especifico voto, inserido em um dado momento no tempo. As
   consequencias dessas vulnerabilidades foram discutidas sob um
   modelo de ataque realista e mitigacoes foram sugeridas. Varias
   falhas adicionais no software e em seu processo de desenvolvimento
   foram detectadas e discutidas com recomendacoes concretas para sua
   mitigacao. Em particular, foi demonstrado como derrotar o unico
   mecanismo empregado pela urna eletronica para proteger o sigilo do
   voto.

   ...

   Em particular, nos podemos concluir que nao houve nenhuma melhoria
   significativa em seguranca nos ultimos 10 anos. Protecao inadequada
   do sigilo do voto, a impossibilidade pratica de realizar uma
   completa ou minimamente efetiva revisao do software e a verificacao
   insuficiente da integridade do software sao preocupantes. Uma vez
   que essas tres propriedades sao criticas para garantir o sigilo e
   integridade dos votos, os autores repetem as conclusoes do
   relatorio supracitado e defendem a reintroducao de trilhas de
   autoria em papel verificaveis pelo eleitor para permitir uma
   simples verificacao dos resultados de forma independente do
   software. Trilhas de auditoria em papel distribuem o procedimento
   de auditoria entre todos os eleitores, que se tornam responsaveis
   por verificar que os seus votos foram corretamente registrados pela
   urna eletronica, desde que uma auditoria seja feita posteriormente
   para conferir que a contagem eletronica e manual de votos sao
   equivalentes.

   ...

   Nos acreditamos que, por essa razao, diante dos severos problemas
   de seguranca discutidos nesse relatorio, o software usado no
   sistema de votacao brasileiro nao satisfaz minimas e plausiveis
   exigencias de seguranca e transparencia. (47)


No ultimo teste, realizado em 2017, a equipe comandada pelo Professor Diego Aranha logrou alcancar o estagio maximo e final de uma invasao a sistemas digitais: conseguiu demonstrar que, violando o flash card que da carga dos programas em cada uma das urnas, e possivel executar codigo arbitrario nas maquinas. Nesse nivel de invasao, o atacante assume o comando da maquina invadida, podendo determinar que ela execute o que o invasor quiser, como descrito no relatorio publicado pela equipe participante:
   Foi possivel executar codigo arbitrario na urna eletronica. Como
   apresentado anteriormente, foram varias as demonstracoes de que os
   ataques obtinham total controle sobre o software da urna
   eletronica. (48)


No cenario de uma eleicao, o grupo poderia, entao, fazer a urna eletronica desviar votos. Ao final, o mesmo relatorio conclui:
   O software de votacao da urna eletronica brasileira ainda nao
   satisfaz requisitos minimos de seguranca e transparencia e esta
   muito aquem da maturidade esperada de um sistema critico em
   producao ha mais de 20 anos. Recomenda-se ao TSE revisar
   cuidadosamente suas praticas de desenvolvimento e considerar
   novamente a adocao do voto impresso para fornecer garantias fortes
   do funcionamento correto do sistema no dia das eleicoes,
   acompanhando a experiencia de outros paises. Espera-se que os
   resultados aqui descritos contribuam com o debate no pais a
   respeito da introducao de um registro fisico de votos individuais
   como uma forma de aprimorar seguranca e transparencia do sistema de
   votacao. (49)


Enfim, mesmo diante de poucos e restritos testes--que nao podem ser comparados ao pleno acesso que os expertos holandeses e indianos tiveram as maquinas de votacao de seus paises--nossa urna eletronica apresentou vulnerabilidades inaceitaveis para uma eleicao justa, publica, segura e democratica. E de se duvidar de sua alegada seguranca, pois nao se conhece equipamento eletronico imune a falhas involuntarias ou a ataques premeditados e, como dito, a experiencia internacional nao da elementos em favor dessa suposta inexpugnabilidade.

Conclusoes

Auditar uma eleicao e tarefa ainda mais dificil do que auditar qualquer outro tipo de sistema informatizado. Duas caracteristicas principais fazem uma eleicao eletronica um desafio singular, de modo que audita-la e uma tarefa mais complexa do que auditar sistemas eletronicos usados em outros cenarios: a exigencia de sigilo do voto e o fato de que a eleicao e realizada inteira e exclusivamente em um unico dia. A experiencia brasileira encaixa-se perfeitamente como um exemplo disso a confirmar as criticas de expertos internacionais. Todos os tres metodos de auditoria descritos neste artigo, e que tem sido usados para conferir a confiabilidade das urnas eletronicas por mais de uma decada, provaram ser insuficientes, ou sao veementemente repelidos por estudos internacionais, especialmente por nao ser um meio eficaz para evitar um ataque interno.

A pesquisa feita tambem nao corrobora as afirmacoes de que o Brasil seja "referencia internacional" em sistemas de votacao eletronica. Ha, no mundo, uma larga profusao de estudos sobre e-voting, das quais as referencias deste artigo sao uma mera amostra e, neles, a experiencia brasileira e raramente mencionada, menos ainda e tomada como um modelo a ser seguido. Ademais, maquinas DRE, como a brasileira, sao equipamentos corriqueiramente conhecidos nos meios tecnologicos--sendo, alias, alvo de duras criticas, como as que foram exibidas neste artigo--nao se podendo considera-las como uma inovacao tecnologica nacional. Anote-se que tambem na literatura brasileira produzida pelos profissionais da area de seguranca da informacao e recomendado o uso de trilhas fisicas.

Ao que tudo indica, a titulo de conclusao, nao ha meio de conduzir uma eleicao que preencha simultaneamente estas tres caracteristicas: a) receba votos anonimos; b) seja publicamente auditavel; c) seja 100% digital (como nas maquinas DRE). Apenas dois desses requisitos podem ser oferecidos ao mesmo tempo. Se toleravel o voto aberto, como em votacoes societarias, corporativas, ou condominiais, uma eleicao por registros exclusivamente digitais pode ser transparente e totalmente auditavel. Nas democracias, uma eleicao politica nao pode abrir mao dos dois primeiros itens. A chave para obter seguranca, sigilo do voto e transparencia e abandonar o uso de sistemas totalmente digitais de registro do voto, com a adocao de maquinas de votacao que sigam o modelo de auditoria independente do software, com trilhas fisicas auditaveis (VVPAT).

Pela terceira vez em nosso pais, o uso de trilhas fisicas foi objeto de previsao legal, dispondo a lei sobre sua utilizacao para as eleicoes de 2018, (50) mas teve, por ora, seu cumprimento suspenso por decisao do STF proferida em medida cautelar a Adin 5.889.51 Na esteira dos estudos tecnicos, tanto nacionais como internacionais, bem como das melhores praticas adotadas noutros paises, e de se esperar que essa lei prevaleca e que o julgamento de merito da Adin 5.889 nao confirme a decisao provisoria, em nome do aprimoramento do processo eleitoral brasileiro.

DOI: 10.9732/P.0034-7191.2019V118P097

Referencias

ALEMANHA. Corte Constitucional Federal. Judgment of the Second Senate of 3 March 2009 on the basis of the oral hearing of 28 October 2008-2 BvC 3/07, 2 BvC 4/07. Disponivel em: <http://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/2009/03/ cs20090303_2bvc000307en.html> [acesso em 05/12/2017].

ALVAREZ, R. Michael; HALL, Thad E. Electronic Elections: the perils and promises of digital democracy. Princeton: Princeton University Press, 2008 (e-book).

AMATO, Francisco; et. al. Vot.Ar: una mala eleccion. Disponivel em: <https://ivan.barreraoro.com.ar/vot-ar-una-mala-eleccion/> [acesso em 05/12/2017].

ARANHA, Diego F. et al. Software vulnerabilities in the Brazilian voting machine. In Design, Development, and Use of Secure Electronic Voting Systems. USA: IGI Global (2014), <https://sites.google.com/site/dfaranha/ pubs/aranha-karam-miranda-scarel-12-book> [acesso em 05/12/2017].

ARANHA, Diego F et al. The return of software vulnerabilities in the Brazilian voting machine. Research Gate (mar/2018). Disponivel em <https://www.researchgate. net/publication/323470546_The_Return_of_Software_Vulnerabilities_in_the_Brazilian_Voting_Machine> [acesso em 05/11/2018].

ARANHA, Diego F. et al. Execucao de codigo arbitrario na urna eletronica brasileira. Research Gate (jul/2018). Disponivel em <https://www.researchgate.net/publication/326261911_Execucao_de_codigo_arbitrario_na_urna_ eletronica_brasileira> [acesso em 05/11/2018].

BAILEY, Rishab; SHARMA, Rohit. E-Voting case law in India. In: MAURER, Ardita Driza; BARRAT, Jordi (Organizers). E-Voting Case Law. Surrey: Ashgate Publishing, 2015.

BARRETO JUNIOR, Irineu Francisco; LEITE, Beatriz Salles Ferreira. Responsabilidade civil dos provedores de aplicacoes por ato de terceiro na lei 12.965/14 (marco civil da internet). Revista Brasileira de Estudos Politicos. Belo Horizonte, n. 115, pp. 391-438. jul./dez. 2017.

BRASIL. Decreto no. 21.076, de 24 de fevereiro de 1932 (Codigo Eleitoral). Disponivel em: <http://www2.camara. leg.br/legin/fed/decret/1930-1939/decreto-21076-24-fevereiro-1932-507583-publicacaooriginal-1-pe.html> [acesso em 05/12/2017]

BRASIL. Decreto no. 3.029, de 9 de janeiro de 1881. Disponivel em <http://www2.camara.leg.br/legin/fed/ decret/1824-1899/decreto-3029-9-janeiro-1881-546079-publicacaooriginal-59786-pl.html> [acesso em 05/12/2017].

BRASIL. Lei no. 1.164, de 24 de julho de 1950 (Codigo Eleitoral). Disponivel em: <http://www.planalto.gov.br/ccivil_03/leis/1950-1969/L1164.htm> [acesso em 05/12/2017].

BRASIL. Lei no. 13.165/2015. Disponivel em: <http:// www. planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13165. htm> [acesso em 05/12/2017].

BRASIL. Lei no. 4.737/1965. Disponivel em: <http://www. planalto.gov.br/ccivil_03/leis/L4737.htm> [acesso em 05/12/2017].

BRASIL. Lei no. 9.504/1997. Disponivel em: <http://www. planalto.gov.br/ccivil_03/Leis/L9504.htm> [acesso em 05/12/2017].

BRASIL. Tribunal Superior Eleitoral. Resolucao no. 23.444/2015. Disponivel em <http:// www.tse.jus.br/legislacao/codigo-eleitoral/normas-editadas-pelo-tse/ resolucao-no-23-444-de-30-de-abril-de-2015-2013-brasilia-2013-df> [acesso em 05/11/2018].

BRASIL. Tribunal Superior Eleitoral. Eleicoes 2018: auditorias confirmam seguranca das urnas eletronicas em SP

e MG. Disponivel em <http://www.tse.jus.br/imprensa/ noticias-tse/2018/Outubro/eleicoes-2018-auditorias-confirmam-seguranca-das-urnas-eletronicas-em-sp-e-mg> [acesso em 05/11/2018].

BRASIL. Tribunal Superior Eleitoral. Biometria e urna eletronica. Disponivel em: <http://www.tse.jus.br/eleitor-e-eleicoes/eleicoes/urna-eletronica/biometria-e-urna--eletronica> [acesso em 05/12/2017].

BRASIL. Tribunal Superior Eleitoral. TSE realizou maior eleicao municipal da historia em 2016. Disponivel em: <http://www.tse.jus.br/imprensa/noticias-tse/2017/ Julho/tse-realizou-maior-eleicao-municipal-da-historia-em-2016> [acesso em 05/12/2017].

BRASIL. TSE encerra testes do sistema eletronico premiando melhores contribuicoes. <http://www.investidura. com.br/biblioteca-juridica/resenhas/etica/123261-tse-encerra-testes-do-sistema-eletronico-premiando-melhores--contribuicoes> [acesso em 05/12/2017].

BRUNAZO FILHO, Amilcar; CORTIZ, Maria Aparecida. 2 Relatorio CMind sobre o Equipamento Argentino de Votacao usado em 2011. Disponivel em: <http://www. brunazo.eng.br/voto-e/textos/CMind-2-Argentina-2011. htm> [acesso em 05/11/2017].

BRUNAZO FILHO, Amilcar; CORTIZ, Maria Aparecida. Fraudes e defesas no voto eletronico. Sao Paulo: All Print, 2006)

BRUNAZO FILHO, Amilcar; MARCACINI, Augusto Tavares Rosa. Legal Aspects of E-Voting in Brazil. In: MAURER, Ardita Driza; BARRAT, Jordi (Organizers). E-Voting Case Law. Surrey: Ashgate Publishing, 2015.

BRUNAZO FILHO, Amilcar. Modelos e Geracoes dos equipamentos de votacao eletronica, 2014. Disponivel em: <http://www.brunazo.eng.br/voto-e/textos/modelosUE. htm> [acesso em 05/12/2017].

DUTCH pull the plug on e-voting. The Register, 01/10/2007. Disponivel em: <http://www.theregister. co.uk/2007/10/01/dutch_pull_plug_on_evoting> [acesso em 05/12/2017].

GONGGRIJP, Rop; et. al. Nedap/Groenendaal ES3B voting computer: a security analysis, 2006. Disponivel em: <http:// wijvertrouwenstemcomputersniet.nl/images/9/91/Es3b-en.pdf> [acesso em 05/12/2017].

GRAAF, Jeroen van de. O mito da urna. Disponivel em: <https://inscrypt.dcc.ufmg.br/wp-content/ uploads/2017/11/o-mito-da-urna.pdf> [acesso em 05/12/2017].

HA 30 anos, 'JB' revelou escandalo do Proconsult e derrubou fraude na eleicao. Jornal do Brasil, 27/11/2012. Disponivel em: <http://www.jb.com.br/pais/noticias/2012/11/27/ ha-30-anos-jb-revelou-escandalo-do-proconsult-e-derrubou-fraude-na-eleicao/> [acesso em 05/12/2017].

HERRNSON, Paul S. et al. Voting Technology: The notso-simple act of casting a ballot. Washington: Brookings Institution Press, 2008 (e-book).

INDIA. Suprema Corte da India. Civil Appeal No. 9093 of 2013. Disponivel em: <https://www.eff.org/document/ dr-subramanian-swamy-vs-election-commission-india> [acesso em 05/12/2017].

LEVY, Steven. Crypto: how the code rebels beat the government saving privacy in the digital age. New York: Penguin Books, 2001.

MACIEL, Ana Rosa Reis. Brasil: do voto de cabresto ao voto eletronico. Portal de e-governo, inclusao digital e sociedade do conhecimento, UFSC. Disponivel em: <http://www. egov.ufsc.br/portal/conteudo/brasil-do-voto-de-cabresto-ao-voto-eletronico> [acesso em 05/12/2017].

MERCURI, Rebecca. Rebecca Mercuri's Statement on Electronic Voting, <http://www.notablesoftware.com/ RMstatement.html> [acesso em 05/12/2017].

MERCURI, Rebecca. Electronic Vote Tabulation Checks & Balances. Ph.D. thesis, defended on 27 October 2000 at the School of Engineering and Applied Science of the University of Pennsylvania, Philadelphia, PA, USA.

NADAF, Ronaldo Moises. Modelo Brasileiro de Votacao Mecatronica Independente de Software ou Votacao Mecatronica. XIV Simposio Brasileiro em Seguranca da Informacao e de Sistemas Computacionais. Disponivel em: <http://www.lbd.dcc.ufmg.br/colecoes/sbseg/2014/0046. pdf> [acesso em 05/12/2017].

NEISSER, Fernando. e-Leitor: O voto impresso e a falsa sensacao de seguranca. Jota, 20/05/2016. Disponivel em: <https://jota.info/colunas/e-leitor/e-leitor-o-voto -impresso-e-falsa-sensacao-de-seguranca-20052016> [acesso em 05/12/2017].

NORDEN, L.D. et al. The Machinery of Democracy: voting system security, accessibility, usability and cost. New York: Brennan Center of Justice, NYU, 2006. Disponivel em: <http://www.brennancenter.org/sites/default/files/ publications/Machinery_Democracy.pdf> [acesso em 05/12/2017].

POLICIA prende hacker indiano que identificou falha em urna eletronica. G1, 22/08/2010. Disponivel em: <http:// g1.globo.com/tecnologia/noticia/2010/08/policia-prende-hacker-indiano-que-identificou-falha-em-urna-eletronica. html> [acesso em 05/12/2017]

PRASAD, Hari K.; HALDERMAN, J. Alex; GONGGRIJP, Rop. Security Analysis of India's Electronic Voting Machines, 2010. Disponivel em: <https://indiaevm.org/ evm_tr2010-jul29.pdf> [acesso em 05/12/2017].

REZENDE, Pedro Antonio Dourado. Devagar com o andor da urna: Comentarios sobre testes de penetracao no TSE e de sua cobertura midiatica. Disponivel em: <http:// cic.unb.br/~rezende/trabs/penetracao.html> [acesso em 05/12/2017].

RIVEST, Ronald L.; VIRZA, Madars. Software Independence Revisited. Disponivel em: <https://people.csail.mit.edu/ rivest/pubs/RV16.pdf> [acesso em 05/12/2017].

RIVEST, Ronald L., WACK, John P. On the notion of "software independence" in voting systems, National Institute of Standards and Technology (NIST), USA (28 July 2006) <http://people.csail.mit.edu/rivest/pubs/RW06.pdf > [acesso em 05/12/2017].

ROCHA, Felipe Melo de Assis. Inconstitucionalidade da urna eletronica. Revista Direito e Liberdade, v. 3, n. 2, 2005. Disponivel em: <http://www.esmarn.tjm.jus.br/revistas/ index.php/revista_direito_e_liberdade/article/view/280> [acesso em 05/12/2017].

SANTANO, Ana Claudia. Voto impresso: por que tanta resistencia? Resposta ao artigo 'O voto impresso e a falsa sensacao de seguranca' de Fernando Neisser. Academia. edu, jul/2016. Disponivel em <https://www.academia. edu/33045447> [acesso em 05/11/2018].

SCHNEIER, Bruce, Applied cryptography (2nd edition), John Wiley & Sons, New York, 1996.

SCHNEIER, Bruce, Designing Voting Machines to Minimize Coercion. Disponivel em: <https://www.schneier. com/crypto-gram-0707.html#8> [acesso em 05/12/2017].

SCHNEIER, Bruce, Voting and technology. Disponivel em: <https://www.schneier.com/crypto-gram-0012.html#1> [acesso em 05/12/2017].

SCHNEIER, Bruce. Internet Voting vs. Large-Value eCommerce. Disponivel em: <https://www.schneier.com/ crypto-gram-0102.html#10> [acesso em 05/12/2017].

SEEDORF, Sebastian. Germany: The Public Nature of Elections and its Consequences for E-Voting. In: MAURER, Ardita Driza; BARRAT, Jordi (Organizers). E-Voting Case Law. Surrey: Ashgate Publishing, 2015.

STEINGRABER, Ronivaldo; SIGNOR, Diogo; SILVA, Elder Mauricio. What is needed to change the result of an election: an analysis with agent-based models. Revista Brasileira de Estudos Politicos, v. 116, 2018. Disponivel em <https://pos. direito.ufmg.br/rbep/index.php/rbep/article/view/581> [acesso em 05/11/2018].

VOGEL, Luiz Henrique. A seguranca do voto eletronico e as propostas de fiscalizacao da apuracao pela sociedade, 2011. Brasilia: Camara dos Deputados--Consultoria Legislativa. Disponivel em: <http://bd.camara.leg.br/bd/ bitstream/handle/bdcamara/5945/seguranca_voto_vogel. pdf?sequence=3> [acesso em 05/12/2017].

Recebido em 06/02/2018.

Aprovado em 20/09/2018.

Augusto Tavares Rosa Marcacini

E-mail: amarcacini@gmail.com

Irineu Francisco Barreto Junior

E-mail: neubarreto@hotmail.com

Augusto Tavares Rosa Marcacini (1)

Irineu Francisco Barreto Junior (2)

(1) Livre-Docente em Direito pela Faculdade de Direito Universidade de Sao Paulo. Doutor em Direito Processual pela Faculdade de Direito Universidade de Sao Paulo. Vice-Presidente da Comissao de Direito Processual Civil, Membro da Comissao de Ciencia e Tecnologia e Membro Consultor da Comissao de Informatica Juridica da Ordem dos Advogados do Brasil OAB-SP. Advogado. Sao Paulo, SP, Brasil. E-mail: amarcacini@gmail.com

(2) Pos Doutorando em Sociologia pela Faculdade de Filosofia, Letras e Ciencias Humanas (FFLCH), da Universidade de Sao Paulo--USP Doutor em Ciencias Sociais pela Pontificia Universidade Catolica de Sao Paulo--PUC-SP. Docente do Programa de Mestrado em Direito da Sociedade da Informacao e do Curso de Graduacao em Direito do Centro Universitario das Faculdades Metropolitanas Unidas (FMU-SP). Sao Paulo--SP, Brasil. Analista de Pesquisas da Fundacao Seade--SP. E-mail: neubarreto@hotmail.com

(3) TSE, pagina com informacoes sobre "Biometria e urna eletronica", disponivel em <http:// www.tse.jus.br/eleitor-e-eleicoes/ eleicoes/urna-eletronica/ biometria-e-urna-eletronica> [acesso em 05/12/2017].

(4) Informacoes divulgadas pelo Tribunal Superior Eleitoral, disponiveis em <http:// www.tse.jus.br/imprensa/noticias-tse/ 2017/Julho/tse-realizou-maior-eleicao-municipal-da-historia-em-2016>.

(5) SANTANO, Ana Claudia; Voto impresso: por que tanta resistencia? Resposta ao artigo 'O voto impresso e a falsa sensacao de seguranca' de Fernando Neisser.

(6) ALVAREZ, R. Michael; Hall, Thad E., Electronic Elections.

(7) Decreto no. 21.076, de 24 de fevereiro de 1932, disponivel em: <http://www2. camara.leg.br/legin/fed/decret/1930-1939/decreto-21076-24-fevereiro-1932-507583-publicacaooriginal-1-pe.html>.

(8) Disponivel em <http://www2.camara.leg.br/legin/fed/decret/1824-1899/ decreto-3029-9-janeiro-1881-546079-publicacaooriginal-59786-pl.html>. Dizia esse decreto, em seu art. 15, [section] 19, que: "O voto sera escrito em papel branco ou anilado, nao devendo ser transparente, nem ter marca, sinal ou numeracao. A cedula sera fechada de todos os lados, tendo rotulo conforme a eleicao a que se proceder".

(9) MACIEL, Ana Rosa Reis, Brasil: do voto de cabresto ao voto eletronico.

(10) V., a respeito dessa frequente comparacao, SCHNEIER, Bruce. Internet Voting vs. Large-Value e-Commerce, disponivel em: <https://www.schneier. com/crypto-gram-0102.html#10>.

(11) STEINGRABER, Ronivaldo; SIGNOR, Diogo; SILVA, Elder Mauricio. What is needed to change the result of an election: an analysis with agent-based models.

(12) Lei no. 1.164, de 24 de julho de 1950, disponivel em: <http://www.planalto. gov.br/ccivil_03/leis/1950-1969/L1164.htm>.

(13) Embora formalmente em vigor, o procedimento previsto no art. 146 tornou-se superado, diante da implementacao do sistema eletronico de votacao, definido no art. 59, da Lei no. 9.504/1997.

(14) Nesse sentido, merece ser comentada a existencia do projeto Voce Fiscal, conduzido pelo Prof. Diego Aranha, voltado a estimular a conferencia das eleicoes por voluntarios do povo, com o uso de aplicativos instalados em seus aparelhos celulares, para captura do resultado do boletim de urna e envio dos dados para uma central de totalizacao independente (disponivel em: <http://www.vocefiscal.org/> [acesso em 15/08/2016]).

(15) MERCURI, Rebecca. Rebecca Mercuri's Statement on Electronic Voting.. Em nossa traducao. No original: "Fully electronic systems do not provide any way that the voter can truly verify that the ballot cast corresponds to that being recorded, transmitted, or tabulated. Any programmer can write code that displays one thing on a screen, records something else, and prints yet another result. There is no known way to ensure that this is not happening inside of a voting system".

(16) SCHNEIER, Bruce. Voting and technology. Em nossa traducao. No original: "Certainly Florida's antiquated voting technology is partially to blame, but newer technology wouldn't magically make the problems go away. It could even make things worse, by adding more translation layers between the voters and the vote counters and preventing recounts. That's my primary concern about computer voting: There is no paper ballot to fall back on. Computerized voting machines, whether they have keyboard and screen or a touch screen ATM-like interface, could easily make things worse. You have to trust the computer to record the votes properly, tabulate the votes properly, and keep accurate records. You can't go back to the paper ballots and try to figure out what the voter wanted to do. And computers are fallible; some of the computer voting machines in this election failed mysteriously and irrecoverably".

(17) GONGGRIJP, Rop; et. al. Nedap/Gr enendaal ES3B voting computer: a security analysis. Em nossa traducao. No original: "People cannot see electrons, so they cannot observe a vote count when a DRE voting systems is used".

(18) Idem, ibidem. Em nossa traducao. No original: "Electronic balloting and tabulation makes the tasks performed by poll workers, challengers, and election officials purely procedural, and removes any opportunity to perform bipartisan checks. Any computerized election process is thus entrusted to the small group of individuals who program, construct and maintain the machines."

(19) Idem, ibidem. Em nossa traducao. No original: "It is therefore incumbent upon all concerned with elections to refrain from procuring any system that does not provide an indisputable, anonymous paper ballot which can be independently verified by the voter prior to casting, used by the election board to demonstrate the veracity of any electronic vote totals, and also available for manual audit and recount".

(20) RIVEST R.R.; WACK, J.P. On the notion of "software independence" in voting systems. Em nossa traducao. No original: "the ability to prove the correctness of software diminishes rapidly as the software becomes more complex. It would effectively be impossible to adequately test future (and current) voting systems for flaws and introduced fraud, and thus these systems would always remain suspect in their ability to provide secure and accurate elections". Um detalhe interessante da biografia de Ronald Rivest, a titulo de apresentar suas credenciais a comunidade juridica, merece comentario: ele e o "R" da sigla "RSA", o nome do algoritmo de assinatura digital que tem sido utilizado nos "processos digitais" e e produzida com o uso dos certificados digitais com que os profissionais do direito se tornaram familiarizados nos anos recentes. Em 1977, ele, juntamente com seus colegas (Adi) Shamir e (Leonard) Adleman desenvolveram o primeiro algoritmo criptografico de assinatura digital (v. LEVY, Steven. Crypto: how the code rebels beat the government saving privacy in the digital age). Seu prestigio na area de seguranca da informacao e, portanto, inegavel.

(21) ARANHA, Diego F. et al, Execucao de codigo arbitrario na urna eletronica brasileira.

(22) Na Argentina, a impressao e feita em cedula que contem um chip, no qual o voto tambem e gravado em formato digital e posteriormente lido, no momento da totalizacao (v. BRUNAZO FILHO, Amilcar; CORTIZ, Maria Aparecida. 2 Relatorio CMind sobre o Equipamento Argentino de Votacao usado em 2011); embora o modelo tambem seja passivel de criticas (v. AMATO, Francisco et. al, Vot.Ar: una mala eleccion).

(23) PRASAD, Hari, et. al., Security Analysis of India's Electronic Voting Machines.

(24) A organizacao Verified Voting divulga informacoes detalhadas sobre o uso de meios eletronicos nas eleicoes norte-americanas, apontando, Condado a Condado, os meios utilizados e, se for o caso, que tipo de equipamento informatico e empregado (disponivel em <https:// www.verifiedvoting.org> [acesso em: 15/08/2016]).

(25) SEEDORF, Sebastian. Germany: The Public Nature of Elections and its Consequences for E-Voting.

(26) BRUNAZO FILHO, Amilcar, Modelos e Geracoes dos equipamentos de votacao eletronica.

(27) Dutch pull the plug on e-voting. The Register, 01/10/2007. Disponivel em: <http://www.theregister.co.uk/2007/10/01/dutch_pull_plug_on_evoting>.

(28) GONGGRIJP, Rop; et. al. Nedap/Groenendaal ES3B voting computer: a security analysis.

(29) Versao em ingles da decisao esta disponivel em: <http://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/2009/03/ cs20090303_2bvc000307en.html>

(30) SEEDORF, Sebastian, Germany: The public nature of elections and its consequences for e-voting. Em nossa traducao. No original: "Only an elected government can legitimately exercise power in a democracy. This legitimacy is based on the fact that the people know that the election with its specific outcome result is a genuine expression of their will. For the Court, an election without the trust of the electorate in insufficient. It is not enough that an election simply is free and fair and that a government has been democratically elected--the people must also be confident that this has been the case. The fact and the perception of the fact form the two sides of the same coin: compliance with the constitutional election principles (that an election has been free, fair, secret etc.) and confidence in compliance with them, constitute preconditions for a viable democracy".

(31) PRASAD, Hari K. et al, Security Analysis of India's Electronic Voting Machines.

(32) Policia prende hacker indiano que identificou falha em urna eletronica. G1, 22/08/2010. Disponivel em: <http://g1.globo.com/tecnologia/noticia/2010/08/ policia-prende-hacker-indiano-que-identificou-falha-em-urna-eletronica.html>.

(33) Civil Appeal No. 9093 of 2013, disponivel em: <https://www.eff.org/document/ dr-subramanian-swamy-vs-election-commission-india>.

(34) BAILEY, Rishab; SHARMA, Rohit; E-voting case law in India. Em nossa traducao. No original: "the Supreme Court held that the 'paper trail' is an indispensable requirement of free and fair elections and that the confidence of voters in the system could only be achieved through transparency which necessitated the need to introduce an accurate verifiable system of voting. However, in the same breath, the Court paradoxically allowed the Election Commission to introduce the VVPAT system in a phased manner".

(35) Considera-se "seguranca por obscuridade" um modelo cuja seguranca dependa de esconder de terceiros como o sistema funciona. Sua seguranca e considerada fraca, pois, tao logo seu funcionamento seja compreendido --o que, de modo mais ou menos arduo, pode ser inevitavel--todas as defesas desmoronam, sendo precisamente isso que ocorreu com os supra comentados testes feitos nas maquinas de votacao holandesas e indianas. Seguro, para as modernas exigencias, e o sistema que se mantenha integro, nao obstante todo o seu funcionamento seja conhecido. Bruce Schneier, em prefacio de sua prestigiada obra sobre criptografia aplicada, faz uma otima analogia sobre o que pode ser considerado seguranca, em contraposicao a mera obscuridade: "Se eu pego uma carta, tranco-a em um cofre, escondo o cofre em algum lugar de Nova York e entao peco a voce para tentar ler a carta, isso nao e seguranca. Isso e obscuridade. Por outro lado, se eu pego uma carta e a tranco em um cofre, e depois lhe entrego o cofre juntamente com o seu projeto, mais uma centena de cofres identicos, com suas combinacoes, de modo que voce e os melhores arrombadores de cofre do mundo possam estudar o mecanismo da tranca--e voce assim mesmo nao consegue abrir o cofre e ler a carta--isso e seguranca" (Applied Cryptography, p. xix).

(36) BAILEY, Rishab; SHARMA, Rohit, ob. cit.

(37) A votacao paralela e prevista no art. 66, [section] 6, da Lei no. 9.504/1997, introduzido pela Lei no. 10.408/2002 (disponivel em: <http://www.planalto.gov.br/ ccivil_03/leis/2002/L10408.htm>).

(38) GONGGRIJP et. al, ob. cit. Em nossa traducao. No original: "the author of the vote-stealing software can perform quite a few tests that would discriminate between a real election and anything but the most rigorous and disciplined parallel tests".

(39) NORDEN, Lawrence et al. The Machinery of Democracy: voting system security, accessibility, usability and cost. Em nossa traducao. No original: "even under the best of circumstances, parallel testing is an imperfect security measure. The testing creates an 'arms-race' between the testers and the attacker, but the race is one in which the testers can never be certain that they have prevailed".

(40) O TSE, entretanto, da a apuracao paralela uma dimensao nao corroborada pela comunidade cientifica, afirmando que "a simulacao da votacao, que foi filmada continuamente, comprovou que cada voto foi registrado na urna sem nenhuma anormalidade e que a soma, ao final, correspondeu ao que ocorreu no primeiro turno, com todos os votos aproveitados normalmente" (TSE, Eleicoes 2018: auditorias confirmam seguranca das urnas eletronicas em SP e MG, com divulgacao de alguns dados referentes a votacao paralela realizada em 2018).

(41) Lei no. 10.704/2003. Disponivel em: <http://www.planalto.gov.br/ccivil_03/ Leis/2003/L10.740.htm >.

(42) Compilacao e o nome dado a conversao do codigo-fonte (arquivos de texto, legiveis, contendo comandos escritos) para os arquivos executaveis, que serao compreendidos e utilizados pelo computador.

(43) v. nota 17.

(44) TSE encerra testes do sistema eletronico premiando melhores contribuicoes. <http://agencia.tse.jus.br/sadAdmAgencia/noticiaSearch. do?acao=get&id=1255520>

(45) ARANHA, D.F. et al. Software vulnerabilities in the Brazilian voting machine. In Design, Development, and Use of Secure Electronic Voting Systems.

(46) Idem, ibidem. Em nossa traducao. No original: "significant emphasis is put on the design of security features resistant only to outsider attackers, when insider threats present a much higher risk".

(47) Idem, ibidem. Em nossa traducao. No original: "We presented a collection of software vulnerabilities in the Brazilian voting machines which allowed the efficient, exact and untraceable recovery of the ordered votes cast electronically. Associating this information with the ordered list of electors, obtained externally, allows a complete violation of ballot anonymity. The public chronological record of events kept by the voting machines also allows recovering a specific vote cast in a given instant of time. The consequences of these vulnerabilities were discussed under a realistic attacker model and mitigations were suggested. Several additional flaws in the software and its development process were detected and discussed with concrete recommendations for mitigation. In particular, it was demonstrated how to defeat the only mechanism employed by the voting machine to protect ballot secrecy. (...) In particular, we can conclude that there was no significant improvement in security in the last 10 years. Inadequate protection of ballot secrecy, the impossibility in practice of performing a full or minimally effective software review and the insufficient verification of software integrity are still worrisome. Since these three properties are critical to guarantee the anonymity and integrity of votes, the authors repeat the conclusions of the aforementioned report and defend the reintroduction of voter-verified paper audit trails to allow simple software-independent verification of results. Paper audit trails distribute the auditing procedure among all electors, who become responsible for verifying that their votes were correctly registered by the voting machine, as long as an audit is done afterwards to check that the electronic and manual vote counts are equivalent. (...) We believe that, for this reason, and in light of the severe security problems discussed in this report, the software used in the Brazilian voting system does not satisfy minimal and plausible security and transparency requirements".

(48) ARANHA, Diego F. et al, Execucao de codigo arbitrario na urna eletronica brasileira.

(49) Idem, ibidem.

(50) Lei no. 13.165/2015, que introduziu o art. 59-A na Lei no. 9.504/1997 (disponivel em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2015/lei/l13165. htm)
COPYRIGHT 2019 Universidade Federal de Minas Gerais. Faculdade de direito.
No portion of this article can be reproduced without the express written permission from the copyright holder.
Copyright 2019 Gale, Cengage Learning. All rights reserved.

Article Details
Printer friendly Cite/link Email Feedback
Author:Marcacini, Augusto Tavares Rosa; Barreto, Irineu Francisco, Jr.
Publication:Revista Brasileira de Estudos Politicos
Date:Jan 1, 2019
Words:14350
Previous Article:Hermes Lima and the framing of a brazilian legal thought/Hermes Lima e a construcao de um pensamento juridico brasileiro.
Next Article:The people in democracy as a legal political subject of the Constitution of 88: Centrality of fundamental rights and guarantees in the relegitimation...
Topics:

Terms of use | Privacy policy | Copyright © 2019 Farlex, Inc. | Feedback | For webmasters