DEBATE: Entenda o debate sobre a auditoria das urnas eletrônicas e o funcionamento do sistema do TSE

Não há comprovação de fraudes em quaisquer eleições brasileiras realizadas desde que as urnas eletrônicas foram implementadas, em 1996.

Em sua ofensiva contra as urnas eletrônicas, o presidente Jair Bolsonaro repete um mantra: o que ele quer são “votos auditáveis”. E votos auditáveis, para ele, são votos impressos.

O Tribunal Superior Eleitoral (TSE), por sua vez, repete que o sistema brasileiro já é, sim, auditável. E muito auditável, segundo o tribunal.

De acordo com o TSE, há uma série de procedimentos, rotinas e verificações que garantem a segurança e revisão do processo. A BBC News Brasil explica os principais processos em detalhes ao longo da reportagem.

“Existem vários momentos em que se faz ou se pode fazer auditoria da urna e do resultado das votações. As urnas eletrônicas são auditáveis e seguras”, diz o diretor do Instituto de Tecnologia e Sociedade (ITS), Carlos Affonso Souza.

“Existe espaço para melhorar em termos de transparência, sempre vai existir espaço para melhorar na segurança, mas nada significa dizer que a urna é insegura.” Ele ressalta que esse debate “precisa ser conduzido com boa fé, não com o objetivo de causar confusão”.

Importante destacar: não há comprovação de fraudes em quaisquer eleições brasileiras realizadas desde que as urnas eletrônicas foram implementadas, em 1996.

E embora Bolsonaro afirme ter havido fraude na eleição que ele próprio venceu, o presidente nunca apresentou provas que confirmassem sua tese.

Seus ataques à lisura do sistema fizeram o ministro do Supremo Tribunal Federal Alexandre de Moraes incluí-lo na quarta-feira (4/8) como investigado no inquérito das fake news.

Bolsonaro respondeu dizendo que Moraes estava agindo fora da Constituição. Os ataques do presidente ao sistema eleitoral e aos ministros do STF têm crescido, aumentando a tensão entre os poderes.

Em paralelo, há especialistas que apontam que o processo eleitoral poderia ser aperfeiçoado, com maiores camadas de segurança. Também dizem que, como é hoje, a auditoria tem limitações. Mas aperfeiçoar o processo (que de qualquer forma é atualizado e melhorado pelo TSE a cada eleição) só poderia ser feito de forma gradual e a partir de discussões sérias e não politizadas, dizem.

Para o professor do Departamento de Computação da Universidade Federal de São Carlos (UFSCar) Paulo Matias, “existem diversas etapas do processo eleitoral que, hoje, já podem ser auditadas de forma plena, mas a participação da população deixa a desejar”.

À BBC News Brasil, ele diz por e-mail que a introdução de um registro físico é uma demanda legítima, que já existe há pelo menos 20 anos na comunidade técnica brasileira, “mas o uso político dessa pauta não tem sido legítimo.”

Quem faz o uso político da pauta, diz ele, “tem alegado, sem evidências, que fraudes já aconteceram, e que seria necessária uma implementação emergencial já para 2022 (algo que é humanamente impossível).”

Para ele, “não existe urgência nessa mudança e ela deve ser feita com planejamento e de forma gradual.”

Na quinta (5/8), uma comissão especial na Câmara rejeitou o parecer favorável à proposta de emenda à Constituição (PEC) do voto impresso, que previa a impressão de votos em eleições, referendos e plebiscitos.

Mesmo com a derrota, o presidente da Câmara, Arthur Lira (PP-AL) sinalizou que o texto pode ser levado ao plenário, embora membros da comissão defendam que a decisão “enterrou o tema até 2022”.

Código-fonte

Ao questionar a confiabilidade do sistema eleitoral em recente transmissão ao vivo no Facebook, Bolsonaro apresentou diversos vídeos já desmentidos por órgãos oficiais. Um deles traz um homem alegando ser “fácil fraudar” as urnas eletrônicas por meio de alterações em seu código-fonte.

Bolsonaro durante live

Reprodução
Em live, Bolsonaro apresentou diversos vídeos já desmentidos por órgãos oficiais, mas reconheceu que não tinha comprovação de fraude nas eleições

O código-fonte é um texto escrito em uma linguagem de programação que dá origem a um software.

O texto cria programas, ou sucessões de comandos, que podem ser lidos e executados por computadores como a urna eletrônica – que, por sinal, é um microcomputador completamente desconectado da internet. Seu código-fonte é desenvolvido pelo TSE.

O conteúdo do vídeo reproduzido pelo canal de Bolsonaro não tem solidez – o vídeo apenas simula o sistema do TSE, mas não tem conexão com o sistema das eleições.

“Trata-se apenas de um programador demonstrando que, se ele escrevesse o código da urna, ele poderia fazer a alteração que quisesse neste código”, diz Matias.

“É claro que programadores do TSE não vão agir da mesma forma que o programador do vídeo, pois eles estão sob escrutínio de outros membros da equipe e de pessoas que auditam os códigos fonte. Existem, sim, formas de um programador do TSE interferir de forma negativa no processo mas, ao contrário do exposto no vídeo, não seria trivial colocá-las em prática.”

Isso porque há diversas camadas de segurança para proteger o sistema que roda na urna eletrônica. De acordo com o TSE, a Justiça Eleitoral “utiliza ferramentas modernas de controle de versão do código-fonte dos sistemas eleitorais” e por meio delas “é possível acompanhar toda modificação feita sobre o código-fonte, o que foi modificado e por quem”.

Só um grupo restrito de servidores e colaboradores do TSE tem acesso ao repositório do código-fonte e pode fazer alterações no software. Além disso, há mecanismos de segurança capazes de impedir o funcionamento das urnas com arquivos modificados.

O TSE realiza o chamado Teste Público de Segurança antes das eleições, abrindo o código-fonte para pesquisadores, representantes da OAB, Ministério Público, Supremo Tribunal Federal (STF), Congresso Nacional, Controladoria-Geral da União, Polícia Federal, entre outros, enquanto os sistemas eleitorais ainda estão na fase de desenvolvimento.

Assim, especialistas podem buscar vulnerabilidades e apontar eventuais brechas para que o sistema seja aprimorado antes das eleições, algo que já aconteceu no passado.

Mais tarde, os softwares são assinados digitalmente e lacrados. A assinatura digital é uma técnica de criptografia usada para garantir que um arquivo digital não foi modificado e para assegurar a autenticidade do programa. Os softwares são instalados, assinados digitalmente e lacrados fisicamente.

Os lacres servem para impedir que os programas instalados nas urnas sejam acessados ou trocados sem o conhecimento de todos e da Justiça Eleitoral.

Problemas do sistema atual

Apesar desses mecanismos de segurança, especialistas apontam alguns problemas.

Um deles é o período de análise do código-fonte antes das eleições: cinco dias. Para Matias, da UFSCar, cinco dias “não são suficientes”.

“O código contém milhões de linhas, incluindo projetos inteiros de software livre”, além de ter de ser examinado nos computadores do TSE em um ambiente desconfortável e sem acesso à internet.

Ele propõe que o código seja aberto para o público em geral, inclusive para estrangeiros, para uma auditoria “bem mais ampla do sistema”.

Mas abrir o código para todos não seria perigoso?

“Em segurança cibernética, nunca tomamos como premissa que o código-fonte de um sistema crítico é secreto. Ele sempre pode ter sido vazado por algum agente interno ou por meio de alguma intrusão ao sistema”, diz ele.

“Dado que manter o código fechado não é garantia que ele esteja seguro, ao abrirmos o código-fonte permitimos que um número maior de pessoas bem intencionadas estudem o sistema e encontrem vulnerabilidades com maior agilidade.”

A proposta de abrir o código-fonte para mais pesquisadores é considerada pelo TSE. “Naturalmente, o Tribunal Superior Eleitoral estuda ampliar ainda mais o acesso ao código-fonte para que mais pessoas e instituições possam verificar a correção e lisura do software”, registrou o tribunal em seu site.

No dia da eleição

Os mecanismos de segurança e verificação do TSE estão presentes também, claro, no dia das eleições.

Antes de serem abertas as urnas, por exemplo, elas imprimem um relatório chamado “zerésima”. Esse relatório deve confirmar que não existem votos registrados ainda para aquela seção eleitoral. Ou seja, a urna está zerada, sem votos registrados antes do início das eleições. Serve também para que os mesários confirmem que todos os candidatos estão cadastrados.

Urnas sendo preparadas por técnico em Cuiabá (MT)

TSE
TSE garante diversos mecanismos que protegem os votos depositados nas urnas eletrônicas e permitem sua auditoria

O boletim de urna é um relatório emitido assim que a urna eletrônica é encerrada, mostrando todos os votos que foram depositados naquela urna (sem identificação de eleitores, claro) ao final do período de votação. São emitidas cinco vias do boletim de urna. Esse boletim traz diversas informações que podem ser confrontadas por qualquer um com aquele publicado pelo Tribunal Superior Eleitoral na internet, como o total de votos por candidato, os brancos, os nulos e o código interno de cada urna.

Também há o Registro Digital de Voto, o RDV. O RDV funciona como uma espécie de tabela em que o voto de cada eleitor vai sendo registrado em cada linha. Mas de forma aleatória, e não sequenciada, para evitar que o sigilo do voto seja violado. Ou seja, que o voto seja associado ao eleitor. “Permite uma visão macro, uma visão geral das eleições”, diz Souza, do ITS.

Segundo o TSE, esse registro digital pode ser usado posteriormente para uma recontagem dos votos. Para a Justiça Eleitoral, esse método é mais seguro do que um comprovante impresso do voto porque o documento em papel pode ser subtraído, rasgado ou riscado.

Os votos são armazenados em duas mídias (uma memória interna e outra externa) e são assinados digitalmente. Essas assinaturas, segundo o TSE, permitem alertar inconsistência caso alguém tente alterar os dados.

Caso alguém queira recontar os votos, solicita cópias desses registros digitais de voto à Justiça Eleitoral.

Outro mecanismo de controle é a votação paralela, uma eleição simulada e gravada para assegurar que o voto digitado na urna é o voto computado.

Na véspera da eleição, urnas são escolhidas por sorteio e retiradas dos locais de votação para auditar a integridade dos equipamentos e dos sistemas. Cada voto é registrado numa cédula de papel e replicado na urna eletrônica. No final do dia, apura-se as cédulas de papel com o resultado do boletim da urna.

Por fim, há o log, um arquivo com o registro cronológico das operações realizadas pelo software da urna, como início e encerramento da votação. É possível analisar toda a história da urna – e isso também é disponibilizado aos partidos e coligações.

Imagem da urna eletrônica

TSE
TSE diz que eleições com urnas são auditáveis, mas há especialistas que apontam problemas que deveriam ser endereçados de forma gradual e com debate não politizado

Auditável?

“Todos esses momentos de auditabilidade retiram o argumento de que o voto não é auditável”, defende Souza. “Nossa urna eletrônica já é híbrida porque permite a impressão de relatórios.”

Para ele, a campanha do presidente e seus apoiadores visa a tornar “o pleito eleitoral mais confuso, longo e duradouro no processo de contagem”.

“Um resultado que se dê com segurança, auditabilidade e de maneira mais rápida possível é também um elemento apaziguador. Num país tão polarizado politicamente como o Brasil, arrastar um pleito eleitoral por uma semana é criar toda a sorte de oportunidades para que uma série de elementos possa ocorrer.”

O voto impresso, defendido por Bolsonaro, é visto por Souza como uma maneira de “inserir uma série de oportunidades para incidentes que tornam a contagem do voto muito mais subjetiva, falha, sujeita a uma série de intempéries”, inserindo um elemento de perda dos votos que hoje em dia não existe.

“É paradoxal. Defendem o voto ‘impresso e auditável’ para gerar mais confiança, quando a criação de voto impresso cria enormes desconfianças e inseguranças.”

Para alguns especialistas, no entanto, esses mecanismos de auditoria que podem ser conduzidos depois das eleições estão todos atrelados ao software das urnas, ou ao código-fonte, e isso é um problema.

Qualquer auditoria depende do pressuposto de que o código-fonte funcionou da maneira com se esperava.

“Não é possível realizar auditoria independente do software. Isso torna a cadeia de custódia extremamente longa e dificulta imensamente qualquer trabalho de perícia”, diz Matias.

O processo de análise das mídias de urnas eletrônicas “tem grandes chances de ser inconclusivo”, acrescenta ele.

Isso porque, diz ele, “caso exista alguma vulnerabilidade que permita uma intrusão no sistema, um software malicioso pode ter sido carregado somente em memória volátil, ou pode ter apagado seus rastros da memória permanente, dependendo da metodologia de ataque”.

A BBC News Brasil questionou o TSE sobre os “buracos” apontados por especialistas, mas não recebeu resposta até a conclusão desta reportagem.

Por que o PSDB disse que o sistema é inauditável?

O PSDB esbarrou nesses mesmos problemas em 2014, depois que pediu uma auditoria da disputa presidencial entre o tucano Aécio Neves e a petista Dilma Rousseff.

Depois de acessar os dados disponibilizados pelo TSE, o partido afirmou em relatório não ter encontrado nenhum indício de fraude, mas disse que a análise final era inconclusiva porque não era possível auditar as urnas com as informações disponíveis.

Para o PSDB à época, o sistema eleitoral “não está projetado para permitir auditoria externa independente e efetiva dos resultados”.

Segundo o partido, não ter encontrado fraude não significa que “o sistema brasileiro é inviolável, mas sim que é inaferível ou inauditável”.

Entre os problemas encontrados pela análise do PSDB, estavam o uso de um “programa criptográfico, vinculado à Agência Brasileira de Inteligência (Abin), que não está imune a programas maliciosos que possam fraudar os processos de coleta e totalização dos votos”.

“O acesso ao programa, que é controlado pela Abin e restrito até mesmo aos servidores do TSE, não foi autorizado aos peritos da auditoria”, diz nota do partido.

Os tucanos passaram a defender o voto impresso, no qual o voto continuaria sendo feito por meio de urna eletrônica, mas uma impressora mostraria ao eleitor um recibo em papel do voto.

Esse papel seria automaticamente depositado em uma outra urna, sem passar pela mão do eleitor ou de qualquer outra pessoa.

Em 2021, em meio ao debate crescente sobre essa impressão do comprovante do voto, o ex-senador Aloysio Nunes Ferreira (PSDB), que concorreu como vice na chapa de Aécio Neves, afirmou em entrevista ao jornal Folha de S.Paulo que a eleição de 2014 foi limpa e que o partido perdeu “porque faltou voto”.

Em nota enviada à BBC News Brasil, a Executiva Nacional do PSDB disse que a auditoria conduzida pelo partido “comprovou que a urna eletrônica é segura e que a legislação eleitoral garante a auditagem e a recontagem dos votos, ainda que não impressos”.

“Na mesma consulta, o PSDB apontou sugestões que foram atendidas pelo TSE e já adotadas na resolução que regulamentou a fiscalização das urnas em 2016. Entre elas, a ampliação do rol de entidades que podem acompanhar o desenvolvimento do sistema a partir de seis meses antes da eleição.”

O partido afirmou confiar “no sistema eleitoral brasileiro e, sob essa ótica, considera que as eleições de 2014 foram limpas”.

“O PSDB, como instituição que teve a oportunidade de comprovar a segurança das urnas eletrônicas, não corrobora com o jogo de quem faz insinuações sobre ‘fraudes’ e que tenta esconder os próprios erros com ameaças frontais à nossa democracia”, diz o comunicado do partido.

Fonte: Juliana Gragnani/BBC News Brasil em Londres/Correio Brasiliense