Relatório sobre sistema de votação eletrônica sugere auditoria independente do software e da Justiça Eleitoral


Pormarina.cordeiro- Postado em 11 maio 2012

Autores: 
MARCACINI, Augusto Tavares Rosa
MOURA, Frank Varela de
STOLFI, Jorge
FERNANDES, Clovis Torres
CUNHA, Sérgio Sérvulo da
TEIXEIRA, Marcio Coelho
BRUNAZO FILHO, Amílcar
REZENDE, Pedro Antônio Dourado de
CORTIZ, Maria Aparecida Silva da Rocha
CARVALHO, Marco Antônio Machado de

Em março de 2010, um comitê independente elaborou espontaneamente um extenso relatório técnico sobre o sistema brasileiro de votação eletrônica. As propostas formuladas são: separação das tarefas de normatização, administração e auditoria do processo eleitoral; auditoria de forma independente das pessoas envolvidas; e regulamentação do princípio da independência do software em sistemas eleitorais.

Relatório sobre o Sistema Brasileiro de Votação Eletrônica

Comitê Multidisciplinar Independente

 

"O TSE pode fazer mais. Além da apuração rápida, que já nos oferece, deveria propiciar uma apuração conferível pela sociedade civil."


SUMÁRIO

1 INTRODUÇÃO. 1.1 HISTÓRICO. 1.2 SOBRE A COMPOSIÇÃO DO COMITÊ MULTIDISCIPLINAR INDEPENDENTE. 1.3 SOBRE ESTE DOCUMENTO . 1.4 RESUMO DAS CONCLUSÕES . 1.5 TERMINOLOGIA ADOTADA . 

2 ANÁLISE DE ASPECTOS FORMAIS. 2.1 SOBRE A COMPOSIÇÃO DO COMITÊ "MULTIDISCIPLINAR" DO TSE. 2.2 SOBRE A ESCOLHA DOS ASSESSORES DO CMTSE . 2.3 SOBRE AS REFERÊNCIAS BIBLIOGRÁFICAS. 2.3.1 Os Relatórios da CCJC da Câmara dos Deputados. 2.3.2 O Relatório Brennan e as Diretrizes VVSG.

3 INFORMAÇÕES PRELIMINARES. 3.1 DIFICULDADES DE FISCALIZAÇÃO PELOS PARTIDOS – DESCRIÇÃO DE CASOS. 3.1.1 1998 e 2008 - Coação em Massa de Eleitores . 3.1.2 2000 - Programas Modificados . 3.1.3 2000 - Caso Diadema, SP . 3.1.4 2002 e 2008 – Assinaturas Digitais Divergentes . 3.1.5 2004 - Caso Marília, SP . 3.1.6 2006 - Caso Campos, RJ – eleição suplementar . 3.1.7 2006 - Caso Alagoas . 3.1.8 2006 - Caso Maranhão . 3.1.9 2008 - Caso Itajaí, SC .3.1.10 2008 - Diferenças nos Código-fonte . 3.1.11 2008 - Travamento de Urnas Eletrônicas . 3.2 DIFICULDADES DE FISCALIZAÇÃO PELA OAB – DESCRIÇÃO DOS CASOS. 3.2.1 2004 – A Tentativa de Fiscalização Correta . 3.2.2 2006 e 2008 – O Abandono da Fiscalização Efetiva . 3.2.3 Resumo das Dificuldades da OAB. 3.3 INDEPENDÊNCIA DO SOFTWARE EM SISTEMAS ELEITORAIS. 

4 ANÁLISE DOS ARGUMENTOS TÉCNICOS DO CMTSE. 4.1 TEMAS OMITIDOS PELO CMTSE. 4.1.1 Direito do Eleitor a conferir o destino do seu voto . 4.1.2 Concentração de Poderes no Processo Eleitoral Brasileiro . 4.1.3 Verba para Fiscalização. 4.1.4 Voto em Transito. 4.1.5 A Experiência com o Voto Impresso em 2002. 4.2 SALVAGUARDAS DO SISTEMA ELETRÔNICO DE VOTAÇÃO BRASILEIRO .4.2.1 Processo de desenvolvimento dos softwares da urna eletrônica . 4.2.2 Lacração dos sistemas de software da urna . 4.2.3 Processo de distribuição e carga do software das urnas eletrônicas. 4.2.4 Histórico de apuração de alegações de fraudes. 4.3 IDENTIFICAÇÃO DO ELEITOR . 4.4 IMPRESSÃO DO VOTO . 4.4.1 Votação manual e vulnerabilidades da impressão do voto . 4.5 SOBRE AS CONCLUSÕES E RECOMENDAÇÕES DO CMTSE . 

5 CONCLUSÕES FINAIS E RECOMENDAÇÕES DO CMIND. 5.1 CONCLUSÕES SOBRE O RELATÓRIO CMTSE . 5.2 CONCLUSÕES GERAIS E RECOMENDAÇÕES DO CMind . 

ANEXOS. ANEXO 1 – INFORMAÇÃO Nº 002/2008 STI-TSE. ANEXO 2 – 2002 E 2008 - ASSINATURAS DIGITAIS DIVERGENTES. ANEXO 2.1 – 2002 - Memorando do TRE-PB. ANEXO 2.2 – 2008 – Resumos Criptográficos "Chaves da Urna". ANEXO 3 – EXTRATOS TRADUZIDOS DAS DIRETRIZES VVSG. ANEXO 4 – A VERIFICAÇÃO DAS ASSINATURAS DIGITAIS NAS URNAS ELETRÔNICAS. ANEXO 5 – VOTO ELETRÔNICO E TRANSAÇÕES FINANCEIRAS DIGITAIS. ANEXO 6 – CONTRADITA À EXPLICAÇÃO DO CASO CAXIAS-MA . ANEXO 7 – O REGISTRO DIGITAL DO VOTO.


1. INTRODUÇÃO

Este relatório foi escrito por advogados e especialistas em tecnologia da informação com experiência no processo eleitoral brasileiro, reunidos sob a denominação de Comitê Multisciplinar Independente, e apresenta uma avaliação sobre o Sistema Brasileiro de Votação Eletrônica.

Este documento também constitui uma réplica ao relatório elaborado pelo Comitê Multidisciplinar do TSE, criado em março de 2009 para avaliação de propostas apresentadas pela Subcomissão Especial de Segurança do Voto Eletrônico da Comissão de Constituição e Justiça e Cidadania da Câmara dos Deputados (CCJC).

O presente Relatório e Réplica se destina a subsidiar os deputados da CCJC da Câmara Federal na elaboração de legislação destinada a elevar o nível de confiança e de segurança do sistema de votação eletrônica do Brasil.

Ainda, pretende reforçar e ampliar as justificativas às propostas encaminhadas pela CCJC ao TSE, no que possam ter sido mal interpretadas, distorcidas ou desconsideradas no relatório do Comitê Multidisciplinar do TSE (CMTSE).

Tem por objetivo mostrar as inconsistências e problemas do Relatório do CMTSE, além de enfatizar o que precisa ser aperfeiçoado no sistema eletrônico de votação brasileiro, de modo a garantir a integridade e o bom funcionamento do software que controla a urna eletrônica brasileira, em consonância com as propostas apresentadas pela Subcomissão Especial de Segurança do Voto Eletrônico da CCJC.

Na Seção 1.1, apresenta-se um histórico dos passos que levaram à escrita deste relatório e réplica. Na Seção 1.2, apresenta-se a composição do Comitê Multidisciplinar Independente. Na seção 1.3, apresenta-se a estrutura deste documento. Na Seção 1.4, apresenta-se um resumo das conclusões deste relatório. Na Seção 1.5, apresenta-se a terminologia empregada neste documento.

1.1 HISTÓRICO

Após audiência pública em 29 de março de 2007 na Comissão de Constituição e Justiça e de Cidadania (CCJC) da Câmara dos Deputados, foi criada a Subcomissão Especial de Segurança do Voto Eletrônico, presidida pelo dep. Geraldo Magela (PT-DF), para avaliar projetos de lei relativos ao sistema de votação informatizada em uso no Brasil.

Ao longo de 2007 e 2008, a subcomissão promoveu 7 audiências públicas, tendo ouvido 11 especialistas no processo eletrônico de votação e em segurança de dados, incluindo-se nesse rol tanto o Diretor Geral quanto o Secretário de Tecnologia da Informação do TSE, e elaborou dois relatórios aprovados posteriormente no plenário da CCJC.

O primeiro destes teve como relator o dep. Vital do Rêgo (PMDB-PB) e foi aprovado em novembro de 2007. O segundo, relatado pelo dep. Gerson Peres (PP-PA), foi aprovado em fevereiro de 2009.

Para referência no presente trabalho, esses relatórios serão denominados respectivamente por Relatório CCJC 2007 [01] e Relatório CCJC 2008 [02].

Ambos apresentam propostas para incremento da confiabilidade do sistema eletrônico de votação e foram entregues em mãos ao Presidente do TSE, Min. Ayres Britto, em audiências em 18 de fevereiro de 2009 e em 03 de março de 2009.

As propostas nos dois relatórios da CCJC divergem bastante, havendo em comum apenas o seguinte item:

"Criar Auditoria Independente do Software das urnas eletrônicas, por meio da recontagem automática dos Votos Materializados Conferíveis pelo Eleitor."

No dia 20 de março de 2009, por meio da Portaria TSE 192/2009, foi criado o Comitê "Multidisciplinar" do TSE, doravante designado como CMTSE, indicado e coordenado pelo seu Secretário de Tecnologia da Informação, com o seguinte objetivo, assinalado em seu art. 1º:

"analisar as sugestões apresentadas no Relatório da Subcomissão Especial do Voto Eletrônico da CCJC da Câmara dos Deputados"

Obs.: o motivo do termo "Multidisciplinar" aparecer entre aspas, quando se refere ao CMTSE, será explicado na Seção 2.1 do Capítulo 2 desta Réplica.

Em 26 de maio de 2009, o CMTSE apresentou [03] o seu relatório [04] onde, por iniciativa própria, informou o seguinte:

"... não se limitou aos temas abordados pela subcomissão da CCJC mas, em função do rico debate e apresentação de ideias, ampliou seu escopo".

Em julho de 2009, com o intuito de prosseguir esse rico debate, alguns dos especialistas ouvidos pela CCJC, professores universitários e técnicos em informática especializados em urna eletrônica, juntaram-se a juristas e advogados eleitorais bem como com os representantes técnicos de Partidos Políticos e da OAB que acompanharam o desenvolvimento dos sistemas eleitorais, compondo-se o Comitê Multidisciplinar Independente, doravante designado como CMindpara elaborar este relatório e réplica ao Relatório do Comitê "Multidisciplinar" do TSE, aqui denominado, por simplicidade, apenas por Réplica.

1.2 Sobre a Composição do Comitê Multidisciplinar Independente

O CMind é composto por dez membros, sendo três professores universitários de ciência da computação, um jurista, autor de livro sobre Direito Eleitoral, um advogado especializado em informática jurídica que já acompanhou o desenvolvimento dos sistemas no TSE, uma advogada eleitoral com larga experiência na fiscalização do voto eletrônico no Brasil e quatro técnicos em informática com experiência junto ao sistema de votação eletrônica brasileiro.

Seis membros do CMind possuem experiência pessoal própria como agentes credenciados para acompanhar o desenvolvimento dos sistemas eleitorais junto ao TSE, conforme §§ 1º ao 4º do Art. 66 da Lei 9.504/97, na qualidade de representantes de Partidos Políticos ou da OAB, e, neste sentido, CONSTITUEM A TOTALIDADE dos representantes de ENTIDADES EXTERNAS que de fato acompanharam a apresentação e o desenvolvimento dos sistemas do TSE desde 2004.

Isso carateriza e ilustra o aspecto multidisciplinar do CMind, uma vez que seus integrantes têm formação apropriada, capacitações diferentes mas correlatas, complementares e condizentes com o objetivo do comitê.

Com relação à área de informática, registra-se que os especialistas têm conhecimento teórico e prático qualificado em sistemas de segurança informacional, em engenharia de software, em criptografia, em projeto de circuitos, em programação geral e em linguagem de máquina.

Além disso, todos eles possuem conhecimento expressivo de aspectos relevantes do sistema eleitoral brasileiro, seja por seu histórico de trabalhos em sistemas que exigem alto grau de segurança, seja por trabalhos realizados junto ao próprio sistema eleitoral brasileiro.

Quanto ao aspecto de independência, em especial do TSE, cumpre assinalar que a reunião dos autores ocorreu de forma espontânea e pessoal. Nesse sentido, os autores membros do CMind declaram o seguinte:

  • Não receberam nenhuma orientação, ajuda ou apoio financeiro de nenhuma entidade pública, privada, acadêmica ou partidária para elaborar o presente trabalho.
  • Nunca prestaram nenhum serviço remunerado ao TSE.
  • Não existe hierarquização dentro do CMind, inexistindo a figura de coordenador. Todos os membros participam das decisões do grupo com igual direito à palavra e ao voto.
  • Este Relatório reflete a opinião conjunta dos autores e não deve ser creditada a terceiros, sejam pessoas ou entidades.
  • Finalmente, nenhum dos autores fala em nome da entidade em que trabalha ou presta serviços.

A seguir, apresenta-se um resumo das qualificações profissionais e da atuação no tema do relatório de cada um dos membros do Comitê Multidisciplinar Independente, dentro de uma categorização pela atuação principal do membro:

Juristas e Advogados:

  • Adv. Sérgio Sérvulo da Cunha, 74, jurista, foi presidente da Subsecção de Santos da OAB (1981/83); coordenou o Bureau de Acompanhamento da Constituinte, do Conselho Federal da OAB; Assessor da Presidência do Conselho Federal da OAB; Membro da Comissão Permanente de Direito Constitucional do Instituto dos Advogados Brasileiros; Chefe de Gabinete do Ministro da Justiça, Dr. Márcio Thomás Bastos (2003/04); autor de inúmeros textos publicados inclusive o "Manual das Eleições[05], em coautoria com o Prof. Roberto Amaral.
  • Adv. Augusto Tavares Rosa Marcacini, 45, advogado em São Paulo. Bacharel, Mestre e Doutor em Direito pela Faculdade de Direito da USP. Presidente da Comissão de Informática Jurídica da OAB-SP, nos triênios 2004/2006 e 2007/2009. Membro da Comissão de Tecnologia da Informação do Conselho Federal da OAB, no triênio 2004/2006, e indicado como representante da OAB junto ao TSE para a fiscalização dos sistemas eletrônicos de votação, em 2004. Professor de Direito Processual Civil e Direito da Informática em cursos de Graduação e Pós-Graduação. Autor de "Direito e Informática: uma abordagem jurídica sobre a criptografia[06], dentre outros livros e artigos jurídicos publicados.
  • Adv. Maria Aparecida da Rocha Cortiz, 49, advogada em São Paulo. Bacharel com curso de extensão em direito administrativo pela PUC-SP, credenciada como representante de partidos políticos e especializada em fiscalização eleitoral. Acompanha o desenvolvimento dos sistemas eleitorais junto ao TSE desde 2002. Coautora do primeiro relatório [07] de análise dos arquivos digitais de auditoria de Alagoas em 2006, e do livro "Fraudes e Defesas no Voto Eletrônico" [08], além de outros artigos publicados.

Professores Universitários na área de Ciência da Computação:

  • Prof. Dr. Jorge Stolfi [09], 59, Ph.D pela Stanford University em 1988 é Professor Titular do Instituto de Computação da UNICAMP. Apresentou-se em audiências públicas, para discorrer sobre a segurança das urnas eletrônicas, no dia 04 de dezembro de 2008 perante a CCJC da Câmara Federal e no dia 20 de agosto de 2009 perante as comissões CCJ e CCT do Senado Federal.
  • Prof. Dr. Clovis Torres Fernandes [10], 56, Professor Associado da Divisão de Ciência da Computação do ITA, especializado em Engenharia de Software. Organizador do SSI - Simpósio sobre Segurança em Informática, realizado no ITA de 1999 a 2006, onde teve início o debate acadêmico sobre voto eletrônico no Brasil. Autor do segundo e principal relatório [11] sobre as urnas eletrônicas usadas na eleição em Alagoas 2006. Apresentou-se perante a CCJC da Câmara dos Deputados em 29 de março de 2007 [12].
  • Prof. Pedro Antônio Dourado de Rezende [13], 57, matemático e criptógrafo, Professor de Criptografia e Ciência da Computação da Universidade de Brasília, UnB, ex-representante da Sociedade Civil na Infra-Estrutura de Chaves Públicas Brasileira (ICP-BR) e membro do Conselho Consultivo do Instituto Brasileiro de Direito e Política de Informática. Participou do I Seminário do Voto Eletrônico ocorrido no Centro Cultural da Câmara dos Deputados em 25 de maio de 2002 e apresentou-se perante a CCJC da Câmara dos Deputados em 25 de novembro de 2008.

Técnicos em informática com experiência no sistema eleitoral brasileiro:

  • Eng. Márcio Coelho Teixeira, 46, engenheiro e programador em linguagem de máquina. Projetista do protótipo de urna eletrônica apresentado pelo TRE-MG em 1995, que foi considerada a melhor proposta pela Comissão de Informatização do Voto do TSE. Acompanhou a apresentação dos sistemas eleitorais do TSE em 2000. Em 2001 foi nomeado assistente técnico pela Subcomissão do Voto Eletrônico da CCJ do Senado, para acompanhar a auditoria da UNICAMP.
  • Eng. Amilcar Brunazo Filho, 60, engenheiro pela Poli-USP e representante técnico de partido político para acompanhamento do desenvolvimento dos sistemas eleitorais desde 2000. Assistente Técnico de diversos partidos políticos em perícias eleitorais. Coautor do livro "Fraudes e Defesas no Voto Eletrônico" e do primeiro relatório de análise dos dados eleitorais de Alagoas em 2006.Apresentou-se perante a CCJC da Câmara Federal em 29 de março de 2007 [14] e em 04 de junho de 2007 e perante as comissões CCJ e CCT do Senado Federal no dia 20 de agosto de 2009. Em 2001 foi nomeado assistente técnico pela Subcomissão do Voto Eletrônico da CCJ do Senado, para acompanhar a auditoria da UNICAMP.
  • Frank Varela de Moura, 38, analista de sistemas e pós-graduando em Ciência da Computação na área de "Desenvolvimento de Sistemas Distribuídos com orientação a objetos" pela UnB/FINATEC. Acompanha o desenvolvimento dos sistemas eleitorais do TSE desde 2004. Ministrou cursos de fiscalização eletrônica e é autor de manuais de fiscalização eleitoral [15] nas últimas três eleições, em conjunto com a Dra. Stella Bruna Santo e com a Sra. Gisa Guimarães. Palestrante no Carter Center [16], em Atlanta, GA/USA, sobre o tema "Eleições Eletrônicas no Brasil", como representante da delegação enviada pela Câmara dos Deputados para observação das eleições nos EUA em 2004.
  • Marco Antônio Machado de Carvalho, 44, analista de sistemas e programador de computadores, representante técnico de partido político para acompanhamento do desenvolvimento dos sistemas eleitorais em 2008 e especializado em recuperação profissional de dados digitais [17], civil e forense. É coautor do primeiro relatório de análise dos arquivos digitais de auditoria de Alagoas em 2006.

1.3 Sobre este Documento

No Capítulo 2 deste documento são analisados alguns aspectos formais preliminares relativos ao Relatório do CMTSE.

No Capítulo 3, como Informações Preliminares, são apresentados casos concretos que revelam as dificuldades na fiscalização do voto eletrônico pelos Partidos Políticos (Seção 3.1) e pela OAB (Seção 3.2).

Ao final desse capítulo, é introduzido o conceito de Independência do Software, que vem sendo adotado nas normas técnicas internacionais sobre equipamentos de votação e que será usado como paradigma na avaliação de mérito desenvolvida no capítulo seguinte.

No Capítulo 4, que contém a avaliação de mérito, apresenta-se inicialmente uma descrição dos temas citados nos Relatórios da CCJC mas que foram omitidos ou desconsiderados no Relatório da CMTSE. Em seguida, apresenta-se uma avaliação crítica e a réplica aos argumentos técnicos centrais doCMTSE.

No Capítulo 5 apresentam-se as conclusões e recomendações do CMind para o sistema eleitoral brasileiro.

Como Anexos, foram incluídos documentos de difícil acesso por outros meios e informações complementares relevantes para a análise e conclusões apresentadas.

Nas referências bibliográficas, procurou-se, sempre que conhecido, indicar um endereço na Internet onde seja possível encontrá-la de forma rápida. Todos esses endereços foram conferidos quanto à disponibilidade no dia 25 de março de 2010.

Todas as inclusões de textos de terceiros foram marcadas em azul, mas eventuais destaques dentro delas, em negrito ou sublinhado, são dos autores deste relatório.

1.4 Resumo das Conclusões e Sugestões

A conclusão final do CMind é que o TSE pode e deveria fazer mais.

Além do sistema de apuração rápida, que já nos oferece, o TSE deveria propiciar uma sistema eleitoral de apuração conferível pela sociedade civil.

Concluiu-se, ainda, que há exagerada concentração de poderes no processo eleitoral brasileiro, resultando em comprometimento do Princípio da Publicidade e da soberania do eleitor em poder conhecer e avaliar, motu próprio, o destino do seu voto.

Como consequência disso, constata-se que no atual sistema eleitoral brasileiro É IMPOSSÍVEL para os representantes da sociedade conferir e auditar o resultado da apuração eletrônica dos votos. Em outras palavras, desde 1996 a sociedade civil brasileira não tem como conferir e confirmar o resultado publicado pela autoridade eleitoral.

Esta impossibilidade de auditoria independente do resultado eleitoral é que levou à rejeição de nossas urnas eletrônicas em todos os mais de 50 países que aqui vieram avaliá-la.

Com relação ao Relatório do CMTSE verificou-se que consiste basicamente numa reprodução fiel dos argumentos apresentados anteriormente por seu coordenador - o Secretário de TI do TSE, Sr. Guiseppe Dutra Janino - em audiências públicas perante a Comissão de Constituição e Justiça e de Cidadania (CCJC) da Câmara dos Deputados.

Em seu relatório, o CMTSE foi a extremos, chegando a CITAR COM EXPLÍCITA INVERSÃO DE MÉRITO, trabalhos técnicos de terceiros para emprestar crédito a seus argumentos, conforme pode-se constatar na Seção 4.4 do Capítulo 4 e no Anexo 4 desta Réplica.

A análise dos argumentos técnicos defendidos no Relatório do CMTSE mostrou que ele se encontra eivado de OMISSÕESPARCIALIDADE e SUPERFICIALIDADE, como exaustivamente demonstrado nos Capítulos 3 e 4 desta Réplica e registrado nas conclusões finais da mesma, no Capítulo 5.

Diante dessas condições, conclui-se que Relatório do Comitê "Multidisciplinar" do TSE não construiu a credibilidade necessária para o fim que se propôs, devendo ser desconsiderado em qualquer análise séria com o fim de aperfeiçoar o nível de confiança e de segurança do sistema de votação eletrônica brasileiro.

As principais recomendações do CMind são as seguintes:

  1. Propiciar separação mais clara de responsabilidades nas tarefas de normatizar, administrar e auditar o processo eleitoral brasileiro, deixando à Justiça Eleitoral apenas a tarefa de julgar o contencioso.
  2. Possibilitar uma auditoria dos resultados eleitorais de forma totalmente independente das pessoas envolvidas na sua administração.
  3. Regulamentar mais detalhadamente o Princípio de Independência do Software em Sistemas Eleitorais, expresso no Art. 5 da Lei 12.034/09, definindo claramente as regras de auditoria com o Voto Impresso Conferível pelo Eleitor.

1.5 Terminologia Adotada

  • Apuração e Totalização – São processos separados que ocorrem em momentos e locais diferentes. A Apuração ocorre primeiro e consiste na soma dos votos colhidos por uma máquina de votar que resulta no Boletim de Urna, expresso em forma digital e impressa. Já a Totalização ocorre depois, nos computadores dos Tribunais Eleitorais, e consiste na soma dos Boletins de Urna para se gerar o resultado final da eleição.
  • Arquivos Digitais de Auditoria – É um conjunto de arquivos digitais gerados numa máquina de votar, destinados a uso na auditoria do seu funcionamento, que inclui a preparação, a coleta de votos e a apuração. No caso das urnas brasileiras, os principais, mas não únicos, arquivos digitais de auditoria são, a saber: BU, LOG e RDV, também descritos nesta seção.
  • Arquivo BU (de Boletim de Urna) - Arquivo digital da urna eletrônica brasileira onde é gravado o resultado da apuração.
  • Arquivo LOG – Arquivo digital da urna eletrônica brasileira onde são registrados a data e hora de eventos importantes ocorridos durante determinado processo.
  • Arquivo RDV (de Registro Digital do Voto) – Arquivo digital da urna eletrônica brasileira onde fica gravado o conjunto de todos os votos confirmados pelos eleitores.
  • Auditoria Independente do Software – Procedimento de conferência da apuração eletrônica de votos de forma que não depende, para tanto, da integridade ou do bom funcionamento do software da máquina de votação e apuração.
  • Boletim de Urna : Resultado da apuração em cada máquina de votar e que pode ter a forma de arquivo digital ou ser impresso em papel logo que calculado.
  • CMind - Comitê Multidisciplinar Independente – Conjunto dos dez autores desta Réplica.
  • CMTSE - Comitê "Multidisciplinar" do TSE – Comitê de cinco integrantes nomeados pela Portaria TSE 192/2009 de 20/03/2009.
  • Independência do Software em Máquinas de Votar – Conceito necessário para permitir a Auditoria Independente do Software. Foi proposto [18] em 2006 por um dos inventores da técnica de assinatura digital, depois de concluir que essas técnicas criptográficas não são suficientes para oferecer garantia de integridade lógica do software das máquinas de votar eletrônicasdurante a votação.
  • Máquinas DRE (de Direct Recording Electronic Voting Machines) - Tipo de equipamento eletrônico de votação que grava os votos em Arquivos RDV para posterior apuração. As urnas eletrônicas brasileiras são do tipo DRE.
  • Registro Digital do Voto – O mesmo que Arquivo RDV ou, simplesmente, RDV.
  • Registro Independente do Voto Conferível pelo Eleitor (RICE) – Qualquer forma de registro do voto cuja exatidão possa ser conferida pelo eleitor assim que gerado e de uma maneira que não dependa do software da máquina de votar. Os RICE são necessários para viabilizar a Auditoria Independente do Software.
  • Voto Impresso Conferível pelo Eleitor (VICE) – É o meio pelo qual se pode obter RICE em máquinas DRE, através da impressão do voto e da sua apresentação para confirmação pelo eleitor antes da gravação do voto no Arquivo RDV. Assim, podem existir Máquina DRE com VICE e Máquina DRE sem VICE.
  • Voto Materializado Conferível pelo Eleitor – É um sinônimo de RICE usado tanto no Relatório CCJC 2007 quanto no Relatório CCJC 2008.

2 ANÁLISE DE ASPECTOS FORMAIS DO RELATÓRIO CMTSE

Antes da apresentação da análise dos argumentos técnicos desenvolvidos no Relatório CMTSE, discutem-se alguns aspectos formais preliminares, relativos à composição do CMTSE, à escolha da sua assessoria e sobre as referências bibliográficas citadas.

2.1 Sobre a Composição do Comitê "Multidisciplinar" do TSE

Nesta seção, discutem-se os aspectos de imparcialidade, de independência e de multidisciplinaridade dos componentes do CMTSE.

O CMTSE teve seus membros indicados e foi coordenado pelo Secretário de Tecnologia da Informação (STI/TSE), Sr. Giuseppe Dutra Janino, que possui longa experiência com as urnas eletrônicas brasileiras. Como funcionário da STI/TSE, o Sr. Janino acompanhou o desenvolvimento desse equipamento desde o início e seu posicionamento a favor de máquinas de votar puramente digitais, sem registro independente do voto (máquinas DRE sem VICE), é público e notório:

  • O Sr. Giuseppe Dutra Janino apresentou-se perante a CCJC da Câmara dos Deputados em 23 de maio de 2007 e em 04 de dezembro de 2008 quando descreveu o sistema eletrônico de votação criado pelo TSE, citando com detalhes suas salvaguardas e justificando a opção do TSE de adotar máquinas DRE sem VICE.

Na escolha dos demais membros do CMTSE, o Coordenador do CMTSE procurou evitar o contraditório, indicando exclusivamente especialistas na área de informática alinhados com sua posição contrária à impressão do voto, não abrindo espaço para especialista de outras áreas, ou com opiniões divergentes ou favoráveis à impressão do voto.

Além disso, o Coordenador do CMTSE priorizou escolher, dentre os técnicos de TI alinhados à sua posição, os que já tivessem prestado serviços remunerados à sua secretaria, sempre que possível.

Apenas um dos membros indicados não havia prestado serviço ao TSE antes de participar desse comitê, mas foi chamado posteriormente para prestar novos serviços.

A seguir, apresentam-se os componentes do CMTSE, onde se procura evidenciar a falta de imparcialidade e independência de todos eles em relação ao TSE, em especial das teses do Coordenador do CMTSE.

  • Pesquisador Antônio Montes Filho [19]
  • Pesquisador Amândio Ferreira Balcão Filho [20]

- São pesquisadores do Centro de Tecnologia da Informação Renato Archer do Ministério da Ciência e Tecnologia (CTI/MCT – antigo CenPRA), atuando na área de segurança de informática.

Foram consultores do TSE sob o Contrato TSE 032/2008 de maio de 2008, para elaborar análises quanto a segurança do sistema eletrônico de votação.

Na cláusula 4.3 do contrato com o TSE é estabelecida a participação e remuneração de técnicos do CTI/CenPRA.

No item 1.1 do Relatório do CMTSE os pesquisadores são apresentados como "autores de relatórios de análise da segurança do sistema eletrônico de votação, o que ocorreu a partir de um detalhado estudo e acompanhamento de todas as etapas de preparação e execução das eleições 2008".

No entanto, tais relatórios não estão disponíveis para conhecimento ou avaliação por terceiros visto terem sido declarados secretos pelo coordenador do CMTSE, através da Informação nº 002/2008-STI-TSE de 12/11/2008 (vide Anexo 1).

Não é prática comum citar, como referência curricular, trabalhos secretos que não possam ser acessados ou consultados por terceiros e, talvez por isso, nos seus próprios currículos Lattes e do CNPq não se encontre nenhuma referência a trabalhos sobre o sistema eletrônico de votação para o TSE.

  • Professor Ricardo Dahab

- É professor da área de Ciência da Computação do Instituto de Computação da UNICAMP, atuando em criptografia.

Trabalhou para o TSE sob o Contrato TSE 054/2001 de novembro de 2001, produzindo em 2002, em coautoria com outros professores da UNICAMP, o polêmico relatório "Avaliação do Sistema Informatizado de Eleições (Urna Eletrônica)" [21].

Esse relatório foi alvo de severas críticas no meio jurídico e no meio acadêmico, de autores como: Marco Aurélio Aydos [22] (Procurador da República), Roberto Romano [23] (ex-Presidente da Comissão de Perícias da UNICAMP), Jorge Stolfi [24] (Diretor do Instituto de Computação da UNICAMP), Jeroen Van der Graaf (UFMG) e Ricardo Felipe Custódio [25] (UFSC) e de Pedro Antônio Dourado Rezende [26] (UnB).

Essas críticas ressaltam, de forma unânime, a interferência e uso político desse relatório pelo TSE, a exclusão dos assistentes técnicos do Senado [27] e a omissão em responder seus quesitos e, ainda, à ambiguidade de algumas conclusões e propostas oferecidas.

Como consequência direta do uso impróprio e abusivo do nome da instituição pelo TSE, que sempre o designa esse texto incorretamente como "Relatório da UNICAMP", a Câmara de Administração do Conselho Universitário da UNICAMPbaixou, em 13 de junho de 2003, a deliberação CAD-A-4 [28], esclarecendo que professores dos quadros da universidade, mesmo quando autorizados pelo reitor a realizar trabalhos externos, não estariam autorizados a falar deles em nome da UNICAMP e que deveriam fazer constar ressalva neste sentido na folha de rosto do relatório produzido.

Ignorando essa deliberação, não consta tal ressalva no Relatório CMTSEe, na Seção 2.1.3, os autores, incluindo o próprio prof. Dahab, voltam a explorar indevidamente a imagem da instituição universitária, citando o relatório escrito em 2002 como se representasse a palavra oficial da UNICAMP.

Em cção à deliberação CAD-A-4 do Conselho Universitário da UNICAMP, nesta Réplica designaremos o relatório supracitado como o chamado Relatório "Unicamp", com aspas, para caraterizar que não expressa a opinião da instituição.

  • Professor Mamede Lima-Marques

- É Professor Titular da UnB, atuando em arquitetura de informação, com nenhum trabalho anterior ou artigo publicado na área de votação eletrônica.

É o único membro do CMTSE que não havia trabalhado anteriormente para o TSE.

Apresentou-se perante a CCJC da Câmara de Deputados, em 30 de maio de 2007, junto com os professores Ricardo Puttini e André Tofanello, onde manifestaram-se a favor de controles puramente digitais em máquinas DRE. Na ocasião, ofereceram serviços para desenvolvimento de protocolos de segurança para o sistema eleitoral brasileiro.

Caracterizando e confirmando que a natureza da relação profissional que os componentes do CMTSE mantêm com o TSE é de assistentes técnicos e não de auditores independentes, os membros do CMTSE foram chamados para prestar novos serviços ao TSE, sendo nomeados pela Portaria TSE 648 [29] e Portaria TSE 649 [30], de 09 de setembro de 2009, para comporem as comissões deliberativas e administrativas dos Testes de Segurança, conforme descrito na Seção 4.1.1 do Capítulo 4 deste relatório.

O fato de todos os indicados para compor o CMTSE tenham antes se declarado alinhados com as teses do seu coordenador indica que a fuga ao contraditório tenha sido um dos critérios para sua escolha.

Sob esses critérios de seleção, a imparcialidade e a "multidisciplinaridade" do CMTSE restaram prejudicadas pela similaridade da formação, de experiência, de relação profissional e de predisposição de seus membros quanto ao objeto de análise.

Não há, entre eles, representantes da área do Direito. Isso reduziu a abrangência da análise que o CMTSE pôde produzir, levando à omissão em importantes questões, citadas nos Relatórios CCJC, que sobrepujam sua área tecnológica estrita, como, por exemplo, o comprometimento do Princípio da Tripartição de Poderes e do Princípio da Publicidade com a informatização do processo eleitoral brasileiro.

Também, é marcante, no CMTSE, a ausência de fiscais externos ao TSE - representantes dos partidos políticos, da OAB ou do Ministério Público – com experiência direta que pudesse contribuir com uma visão externa sobre as dificuldades que as entidades fiscais do sistema eleitoral encontram para exercer, na prática, essa função.

Essa ausência de fiscais externos com experiência prática constituiu uma lacuna marcante, que levou o CMTSE a conhecer apenas a visão teórica das salvaguardas criadas pelo administrador eleitoral, deixando de consultar aqueles que poderiam apresentar informações sobre a efetividade, a eficácia e a viabilidade econômica das formas de auditoria permitidas.

Por isso, o uso de aspas ao citar-se o Comitê "Multidisciplinar" do TSE nesta Réplica, já que todos seus componentes são técnicos da área de Tecnologia da Informação, descaracterizando a ideia de grupo multidisciplinar real, que, por definição, consiste em reunir membros com atuação em disciplinas e pesquisas em diversas áreas do saber, o que não ocorre no caso do CMTSE.

Ademais, a relação pessoal e profissional dos membros do CMTSE com a administração eleitoral os qualifica, do ponto de vista estritamente legal, como assistentes técnicos do TSE e, portanto, sem isenção formal para a função de auditores independentes e imparciais neste caso em que o fruto do trabalho administrativo do seu contratante é o alvo do questionamento externo a ser avaliado.

Enfim, considerando que o Relatório CCJC 2007 e o Relatório CCJC 2008 apresentam algumas críticas ao produto da administração eleitoral e que o CMTSE deveria avaliar essas críticas, com a composição escolhida, o CMTSE foi montado para evitar conhecer o contraditório e, sob a óptica jurídica estrita, não parece estar qualificado para exercer essa avaliação de forma imparcial.

O que faz lembrar a máxima de Upton Sinclair:

"It is difficult to get a man to understand something when his salary depends upon his not understanding it"

"É dificil fazer um homem entender alguma coisa quando seu salário depende dele não entendê-la"

Upton Sinclair (1878 - 1968), escritor e ativista político norte-americano, vencedor do Premio Pulitzer em 1943

2.2 Sobre a Escolha dos Assessores do CMTSE

A dependência do CMTSE ao administrador eleitoral foi reforçada pela escolha dos seus consultores e assessores. Na Seção 1.1 do seu relatório informa-se que "o Comitê foi assessorado por membros da equipe técnica do TSE diretamente ligados ao desenvolvimento da urna eletrônica e do sistema eletrônico de votação brasileiro".

Essa assessoria foi dada exclusivamente por funcionários do TSE. Nenhuma pessoa independente ao corpo técnico do administrador eleitoral foi ouvida pelo CMTSE para apresentar contestações ou alternativas ao discurso oficial.

É natural esperar que os técnicos diretamente envolvidos no desenvolvimento das urnas eletrônicas, o objeto final sob avaliação do comitê, filtrassem as informações apresentadas, omitindo aquelas que, por qualquer motivo, pudessem macular o ideal concebido por eles próprios.

Por exemplo, ao avaliar as salvaguardas do sistema, o CMTSE, descreveu nas Subseções 2.1.1 e 2.1.2 do seu relatório, a concepção ideal da apresentação dos sistemas aos representantes dos partidos, da OAB e do MP durante 180 dias anteriores à eleição, sugerindo que o procedimento é efetivo e satisfatório para a transparência do processo.

Porém, por não ter sido ouvido nenhum dos representantes dessas entidades fiscalizadoras, que realmente acompanharam a apresentação dos sistemas desde 2004 - e que são todos membros deste CMind -, no relato do CMTSE não são citados os seguintes fatos observados diretamente pelos fiscais externos em 2008:

  • Dados Secretos – foram mantidos secretos e longe do conhecimento dos fiscais, segundo a Informação nº 002/2008-STI/TSE do coordenador do CMTSE (vide Anexo 1 desta Réplica), os relatórios parciais desenvolvidos pelas entidades FACTI e CenPRA (atual CTI/MCT), que induziram centenas de alterações nos programas das urnas, algumas delas introduzidas até nos últimos minutos antes da compilação final.
  • No dia da compilação e lacração dos sistemas, foram descobertas diferenças entre os programas-fonte que eram apresentados para análise dos fiscais externos e os programas-fonte que estavam sendo compilados de fato. Em ato autoritário, este fato foi omitido na ata da cerimônia, e petição para incluí-lo foi ignorada (vide detalhes na Subseção 3.1.10 desta Réplica).
  • Ao contrário do citado na Subseção 2.1.2 do Relatório CMTSE, uma parte dos arquivos fixos das urnas eletrônicas não teve seus resumos criptográficos calculados ao final da cerimônia oficial em 15/09/2008. Contrariando a lei, esse cálculo foi feito no dia 25/09/2008, 10 dias depois de terminada a cerimônia, sem a presença dos representantes externos (vide data no documento oficial no Anexo 2.2).
  • Apesar de ser dito na Subseção 2.1.1 do Relatório CMTSE que "não é possível modificar ou executar qualquer trecho de código neste ambiente de acompanhamento externo", alguns programas, contendo roteiros de compilação (scripts), foram alterados de última hora naquele ambiente para corrigir erros que impediam a compilação correta.
  • A maior parte da documentação descritiva do sistema só ficou pronta DEPOIS do encerramento do prazo da apresentação.

Esses fatos comprometem totalmente a finalidade da alegada salvaguarda, pois não adianta projetar uma apresentação ideal dos sistemas eleitorais para conhecimento e fiscalização externa se, na prática, as regras estabelecidas para segurança não são cumpridas, se os sistemas apresentados têm diferenças em relação aos que serão usados nas eleições e se valores essenciais para a verificação de integridade dos sistemas (resumos e assinaturas digitais) não são calculados na presença dos fiscais.

Todas essas informações, acima referidas, seriam significativas para a análise do CMTSE, mas acabaram ignoradas em seu relatório por serem embaraçosas para os assessores escolhidos porque, a rigor, foram consequências de erro, de falta de planejamento ou de autoritarismo dos próprios assessores do CMTSE.

Lembre-se, ainda, que esses problemas na apresentação dos sistemas são apenas um exemplo de como as diferenças entre o ideal descrito pelos assessores do CMTSE e a realidade prática observada pelos fiscais externos pode apontar para conclusões muito diferentes sobre a eficácia das salvaguardas descritas.

Outros exemplos, de outras áreas, outros atores e em outros momentos, serão detalhados ao longo dos Capítulos 3 e 4 desta Réplica.

2.3 Sobre as Referências Bibliográficas

São escassas as citações e referências bibliográficas no Relatório do CMTSE, a começar pela completa omissão relativa à especificação dos Relatórios da CCJC, objetos da análise. Não é dito qual dos dois foi analisado ou se foram ambos.

As citações e referências que aparecem no corpo do relatório do CMTSE são genéricas, nunca especificando de forma objetiva o capítulo ou ponto referido na obra citada.

Ao longo do texto, são apresentadas apenas duas referências bibliográficas formais. Somente uma delas permite a identificação do objeto apontado. A outra é ambígua e não remete a um documento único.

Há, também, caso de texto citado sem a devida referência bibliográfica correta e explícita, como o relatório "Avaliação do Sistema Informatizado de Eleições (Urna Eletrônica)", indevidamente [31] chamado como "Relatório da UNICAMP" na Seção 2.1.3 do Relatório CMTSE.

Há, ainda, erros de forma até em referência interna do Relatório CMTSE. O "Anexo I", ao final do documento, é referido como "Anexo A" na Seção 2.4, revelando descompromisso e desatenção na revisão final do texto.

As duas mais graves dessas impropriedades formais, que comprometem a qualidade formal do Relatório CMTSE, são descritas, a seguir, nas Subseções 2.3.1 e 2.3.2 desta Réplica.

2.3.1 Os Relatórios da CCJC da Câmara dos Deputados

A CCJC da Câmara dos Deputados produziu dois relatórios sobre a questão do voto eletrônico, referenciados como Relatório CCJC 2007 e Relatório CCJC 2008.

Relatório CCJC 2007 foi elaborado após as audiências públicas de 2007, com a presença do Dr. Mamede Lima-Marques e do Sr. Giuseppe Janino, membros do CMTSE, e do Dr. Clovis Fernandes e do Eng. Amílcar Brunazo Filho, membros do CMind. O relatório foi entregue ao presidente do TSE no dia 03 de março de 2009 [32].

Relatório CCJC 2008 foi elaborado após as audiências de 2008, novamente com a presença do Sr. Giuseppe Janino, Coordenador do CMTSE, e do Dr. Jorge Stolfi e do Prof. Pedro Antônio Dourado Rezende, membros deste CMind. Foi entregue ao presidente do TSE pelo seu autor, o Deputado Gerson Peres, no dia 18 de fevereiro de 2009 [33].

Relatório CCJC 2007 recebeu o título "Relatório da Subcomissão Especial do Voto Eletrônico da CCJC da Câmara dos Deputados" e tem escopo mais abrangente – multidisciplinar -, abordando temas técnicos, econômicos e jurídicos como os seguintes:

  • Consequências da concentração de poderes no processo eleitoral brasileiro.
  • Falta de verba oficial para as entidades encarregadas da fiscalização eleitoral.
  • Auditoria Independente do Software sobre a Apuração, por recontagem de 2% dos votos impressos conferíveis pelo eleitor (VICE).
  • Uso de software de código aberto nas urnas eletrônicas.
  • Permissão do voto em trânsito.

Ao final do Relatório CCJC 2007, referente a face legislativa da questão,são propostos quatro Projetos de Lei sobre esses temas.

Destaque-se, no entanto, que no Relatório CCJC 2007 nada é proposto a respeito da separação física e lógica entre a máquina de identificar o eleitor e a máquina de votar.

Já o Relatório CCJC 2008 tem escopo mais restrito, ficando centrado em duas questões tecnológicas e apresentando os seguintes itens como necessários:

  • Separação entre a máquina de identificar o eleitor e a máquina de votar.
  • Registro independente do voto (RICE), impresso ou escaneado, para permitir Auditoria Independente do Software sobre a Apuração.

A Presidência do TSE formalizou a criação do seu Comitê "Multidisciplinar" através da Portaria TSE 192/2009 com o explicito objetivo de:

"... analisar as sugestões apresentadas no Relatório da Subcomissão Especial do Voto Eletrônico da CCJC da Câmara dos Deputados"

Como a portaria que criou o CMTSE cita literalmente o título do Relatório CCJC 2007 e denomina o comitê como multidisciplinar, aponta que esse seria o seu relatório-alvo.

No entanto, no Capítulo 3 do Relatório CMTSE, ao citar o relatório da CCJC analisado, reduz a descrição do seu conteúdo apenas ao seguinte:

"3 ANÁLISE DAS PROPOSTAS DA SUBCOMISSÃO DA CCJC

A subcomissão da CCJC propôs que fossem introduzidas as seguintes modificações no sistema eletrônico de votação:

1.a identificação do eleitor deve ser feita em dispositivo separado da máquina que registra o voto, como garantia do sigilo do voto;

impressão do voto como evidência de sua correta contabilização."

Essa descrição é mais condizente com o Relatório CCJC 2008, a saber:

  1. A separação das máquinas, que aparece citada no item 1 do Capítulo 3 do Relatório CMTSE, não foi abordada no Relatório CCJC 2007.
  2. Outros temas abordados no Relatório CCJC 2007 não estão citados, como o acúmulo de poderes, a falta de verba para a fiscalização, a adoção de software de código aberto e do voto em trânsito.
  3. Não há referência, no Relatório CMTSE, aos quatro Projetos de Lei eleitorais presentes no Relatório CCJC 2007.

Desta forma, por não reconhecer a existência de dois relatórios e ao citar o título de um e o conteúdo do outro, o Relatório CMTSE não deixa claro e explícito qual dos relatórios da CCJC é o objeto de sua avaliação.

Trata-se de um evidente erro de forma na especificação do seu objeto - item preliminar essencial - que descredencia do nível acadêmico, implícito na escolha dos autores indicados, o Relatório CMTSE.

Nesta Réplica, para contornar os efeitos desse crasso erro sobre formalidade essencial, consideramos a existência dos dois relatórios da CCJC na análise dos argumentos oferecidos pelo Relatório CMTSE.

2.3.2 O Relatório Brennan e as Diretrizes VVSG

Relatório CMTSE apresenta, por duas vezes, a seguinte referência bibliográfica:

Brennan; Voluntary Voting System Guidelines Recommendations to the Election Assistance Commission AUGUST 31, 2007).

Na Seção 3.2 do Relatório CMTSE, essa referência está associada à expressão "relevantes estudos [que justificariam a adoção de máquinas de votar DRE sem VICE]".

Na Subseção 4.1.3 do Relatório CMTSE, a mesma referência aparece associada à expressão: "há estudos que comprovam ineficácias em todos os sistemas, com e sem impressão do voto. Esses mesmos estudos fazem recomendações caso se adote cada um dos tipos de sistemas".

Porém, a referência, como citada, é ambígua.

A palavra "Brennan", destacada em negrito como se fosse nome do autor, no mundo do voto eletrônico remete ao Brennan Center for Justice da New York University School of Law que, em junho de 2006, publicou um importante estudo [34], denominado "The Machinery of Democracy: protecting elections in an electronic world", o qual passa aqui a ser referido como Relatório Brennan.

Já o restante da referência bibliográfica citada pelo CMTSE, remete diretamente às Voluntary Voting System Guidelines (VVSG) [35], preparadas pela agência federal norte-americana U.S. Election Assistance Commission (US-EAC) com a colaboração do National Institute of Standards and Technology (NIST) em agosto de 2007, as quais passam a ser aqui referidas como Diretrizes VVSG.

Tanto o Relatório Brennan quanto as Diretrizes VVSG fazem jus ao epíteto de relevantes estudos. São trabalhos desenvolvidos por grande equipes de especialistas, com composição verdadeiramente multidisciplinar, que analisaram todos os tipos de equipamentos eletrônicos de votação conhecidos, a saber, máquinas DRE sem VICEmáquinas DRE com VICE e máquinas digitalizadoras do voto, estendendo o estudo até sistemas ainda em desenvolvimento teórico, referenciados na categoria Innovation Class ou formas alternativas de RICE.

Relatório Brennan apresentou o primeiro estudo acadêmico de avaliação de riscos de sistemas eleitorais eletrônicos. Descreveu 128 possíveis tipos de fraude eleitoral e propôs um método de cálculo de riscos e danos potenciais, que inclui a medida da quantidade de participantes ativos necessários para mudar indevidamente o resultado de uma eleição majoritária.

Deste estudo, sua principal conclusão é que a fraude "menos difícil", ou seja, a de melhor relação custo-benefício para o fraudador, é a adulteração do software em máquinas DRE sem VICE - como as urnas eletrônicas brasileiras.

Já as Diretrizes VVSG, na prática, constituem a norma técnica norte-americana sobre equipamentos de votação. Foram elaboradas em conjunto com o National Institute of Standards and Technology (NIST), contando com quase 600 páginas.

Apresentam detalhada lista de normas e recomendações de segurança para todos os sistemas eleitorais eletrônicos conhecidos e, desde a última versão de 2007, passou a exigir a Independência do Software [36] nas máquinas de votar eletrônicas, o que levou ao descredenciamento sumário das máquinas DRE sem VICE.

Nestas condições, por apresentar por duas vezes a mesma referência bibliográfica incompleta e ambígua, sem identificar o trecho referenciado na obra citada, o Relatório CMTSE dificulta a localização do texto que estaria indicando para sustentar a sua tese, impedindo o leitor de avaliar e confirmar como essa referência corroboraria seu argumento.

Trata-se de mais um erro evidente de forma, e que, neste caso, aparece duas vezes no Relatório CMTSE.

Esse erro formal repetido, é ainda agravado com a constatação, descrita na Seção 4.4 desta Réplica, de que consultadas as fontes ambiguamente apontadas, encontra-se, em ambasasserção que diz exatamente o contrário do contexto da citação no Relatório CMTSE.

associação de três erros formais distintos – incompletude, ambiguidade e inversão de mérito -, a princípio independentes mas repetidos em dois pontos do relatório, estimula a hipótese de não ter sido simples erro de revisão.

Para sustentar esta Réplica, consideraremos tanto a existência do Relatório Brennan quanto das Diretrizes VVSG na análise dos argumentos da CMTSE.

 

3 INFORMAÇÕES PRELIMINARES

Apresenta-se, neste capítulo, uma série de informações preliminares que ajudarão a ilustrar e esclarecer a análise que será desenvolvida no Capítulo 4 seguinte.

De início, são descrições de alguns casos concretos relacionados às dificuldades de fiscalização do processo eleitoral eletrônico pelos Partidos Políticos, apresentando situações vividas pelos fiscais desde a apresentação dos sistemas no TSE até casos ocorridos nos cartórios eleitorais de cidades espalhadas pelo país.

A seguir é descrita a experiência de fiscalização pela OAB, destacando-se suas dificuldades em 2004 e o abandono da fiscalização em 2006 e 2008.

Ao final deste capítulo, introduz-se o conceito de Independência do Software em Sistemas Eleitorais, que vem ganhando cada vez mais espaço e tem sido adotado como referência técnica em muitos países que passaram a dar maior atenção às questões de transparência e confiabilidade geral de sistemas eletrônicos de votação.

3.1 Dificuldades de Fiscalização pelos Partidos - Descrição de Casos Concretos

A cada nova eleição, crescem muito as denúncias de problemas nas urnas eletrônicas, como foto trocada do candidato, votação encerrada antes da confirmação do eleitor, eleitor impedido de votar, etc.

Devido à carga emocional do evento, frequentemente esses casos vêm acompanhados de acusações de fraudes e repercutem na imprensa.

Na Seção 2.4 do Relatório CMTSE, se generaliza uma explicação simplória de que "muitos desses relatos não são apresentados à imprensa por má fé, mas por falta de conhecimento do processo eletrônico de votação". No Anexo A do Relatório CMTSE é apresentada explicação para 3 casos que repercutiram na mídia televisada.

No entanto, existem muitos casos bem documentados de problemas no processo eleitoral eletrônico, que tornam ineficaz a fiscalização pelos partidos políticos e que nunca receberam explicação convincente do administrador eleitoral e também não foram explicados pelo CMTSE, em que pese sua opção espontânea de "ampliar o escopo deste rico debate".

 

Os casos documentados aqui descritos não se ajustam aos rótulos de "denunciantes desinformados" ou de "choro de perdedor" - há até dois casos em que o denunciante ganhou a eleição - e ainda servem de exemplo de como está desequilibrado o jogo de poder entre fiscais e fiscalizados no processo eleitoral brasileiro, com flagrante desvantagem dos fiscais.

3.1.1 Coação em Massa de Eleitores - 1998 e 2008

A opção do administrador eleitoral por identificar o eleitor usando a própria urna eletrônica, seja pelo número do título ou pela biometria, é um reforço muito forte à ideia de que o voto poderá ser identificado posteriormente.

Em função desta peculiaridade de nosso sistema, a cada eleição crescem as denúncias de coação de eleitores sob a alegação de que o voto será identificado nas urnas eletrônicas. É uma modalidade nova de golpe eleitoral que chegou com nossa urna eletrônica e tem sido denominada como Voto-de-Cabresto-em-Massa.

Esse problema já havia sido detectado em 1998, na segunda eleição com urnas eletrônicas, quando surgiu forte boato entre os funcionários de empresas estatais do Rio Grande do Sul de que a digitação do número do título simultânea à digitação do voto seria usada para identificar os funcionários públicos que não votassem na chapa da situação.

O TRE-RS teve que apresentar repetidos esclarecimentos pela grande imprensa [37], tentando desconvencer os eleitores intimidados pelo boato.

Dez anos depois, notícia [38] divulgada pelo TSE pouco antes da eleição de 2008, comprova a persistência do problema. Revela os esforços do TRE-RJ por meio de campanha publicitária pela TV para:

"... esclarecer o eleitores quanto à inviolabilidade do voto, em resposta à ação de grupos criminosos que atuam em comunidades carentes do Rio de Janeiro que estariam coagindo os eleitores dessas comunidades, afirmando ser possível identificar aqueles que não votassem nos candidatos impostos pelos criminosos"

Para viabilizar o voto-de-cabresto-em-massa não é necessário que o agente coator consiga quebrar, de fato, o sigilo do voto do eleitor coagido. Basta convencê-lo de que conseguiria e, para isso, a identificação do eleitor na própria máquina de votar ajuda muito ao infrator.

Não se sabe avaliar como o conflito psicológico, entre o boato e o contra-boato, se resolve nas mentes dos eleitores: eles acreditarão na propaganda corretiva do administrador eleitoral ou preferirão, por via das dúvidas, submeter-se ao voto-de-cabresto por medo do poder do coator?

O fato é que o Voto-de-Cabresto-em-Massa sobrevive e cresce a cada eleição, explorando a equivocada forma de identificar os eleitores na mesma máquina de votar que a autoridade eleitoral escolheu adotar.

A projetada adoção de identificação biométrica do eleitor na própria máquina de votar, que tem recebido ampla divulgação publicitária pelo TSE, vai reforçar, no imaginário popular, a ideia de que é possível identificar o voto nas urnas eletrônicas e, com boa certeza, vai servir de estímulo para o crescimento desta modalidade de fraude.

3.1.2 Programas Modificados - 2000

Nas eleições de 2000, o TSE deixou de cumprir vários mandamentos da lei eleitoral relativos a procedimentos de segurança na apresentação dos programas aos Partidos e ao MP, dentre os quais destacam-se os dois seguintes:

  1. Dois terços do software das urnas eletrônicas, que incluía o Sistema Operacional VirtuOS da Microbase e a biblioteca de criptografia da ABIN, foram mantidos secretosaos partidos e até aos próprios funcionários do TSE.
  2. Depois de homologado, gravado em CD-ROM e lacrado na frente do MP e dos Partidos em 06 de agosto de 2000o software das urnas foi modificado forma que os programas de computador colocados nas urnas eletrônicas em 2000 eram diferentes da versão oficial homologada.

Uma impugnação [39] a esses fatos, apresentada por partido político, foi rejeitada pela Justiça Eleitoral; as mesmas pessoas eram os juízes, peritos e réus no processo.

Essas ilegalidades praticadas pela autoridade eleitoral em 2000 acabaram sendo comprovadas pelos seguintes acontecimentos futuros:

  1. O chamado Relatório "Unicamp"apresentou dados que desmentiam [40] o então secretário de Informática do TSE, revelando que eram falsos os argumentos usados para indeferir e arquivar a impugnação.
  2. Numa entrevista ao Jornal do Brasil [41], os técnicos Oswaldo Catsumi e Paulo Nakaya, do TSE, confessaram que os programas das urnas só ficariam prontos no dia 5 de setembroum mês após sua lacração oficial. Uma perícia em Camaçari [42], BA, comprovou que os programas nas urnas eletrônicas não eram os mesmos homologados em agosto de 2000 no TSE.
  3. Em comunicado público [43], em 2006, a empresa Microbase confirma que o TSE não cumpria a legislação em vigor na apresentação e lacração dos sistemas.
  4. Na audiência pública perante a CCJC da Câmara, em 25 de novembro de 2008, o Eng. Frederico Gregório, diretor da Microbase, confirmou que o software denominado VirtuOS, de sua autoria e usado em urnas até as eleições de 2006, nunca teve seu código-fonte apresentado ao MP, OAB ou partidos e nem mesmo aos funcionários do próprio TSE.

Embora as ilegalidades, denunciadas tempestivamente em 2002, tenham sido comprovadas por eventos posteriores, nenhuma consequência ou responsabilização daí adveio. O administrador eleitoral continua se omitindo sobre esses fatos, sem apresentar explicações ou esclarecimentos.

O CMTSE, nas conclusões na Subseção 4.1:5, reconhece o abuso no passado, mas não procura explicá-los. Satisfaz-se na esperança que não se repetirão, ao dizer:

"É verdade que, no passado, em vários momentos o TSE não foi suficientemente responsivo às demandas por maior transparência. Entretanto, as iniciativas dos últimos anos mostram claramente uma mudança de atitude, com várias medidas já implantadas"

3.1.3 O Caso Diadema, SP - 2000

Foi nesse município, vizinho à cidade de São Paulo, que em 2000 primeiro se constatou e documentou um rol de irregularidades no processo de votação eletrônica e onde se revelaram, com clareza, as nefastas consequências da concentração de poderes da Justiça Eleitoral.

Para se ter ideia da truculência do administrador eleitoral naquela época, aos Partidos era negado acesso a todos os Arquivos Digitais de Auditoriagerados pelo sistema, sob o argumento de conterem informações próprias de segurança nacional.

Somente após 9 meses da eleição, e não antes de se recorrer ao TSE, os partidos concorrentes obtiveram acesso a apenas os Arquivos de LOGdas urnas.

A análise desses arquivos revelou que todas as urnas eletrônicas tinham sido carregadas fora da cerimônia oficial de carga e lacraçãodias antesda convocação por edital público, tendo todas ficado sem lacres durante dias.

A grande maioria das urnas eletrônicas utilizadas - 431 de 451 - foram inseminadas com o software de votação nos dias 22 e 23 de setembro, 2 em 24/9, 7 em 25/9, 2 em 26/9, sendo que todas elas só foram lacradas no dia 28/9.

Esses dados mostravam que a totalidade das urnas eletrônicas de Diadema em 2000, estiveram carregadas com os programas mas sem lacree sem a presença de fiscais dos partidos políticos por vários dias, em total oposição aos procedimentos de segurança apontados como salvaguardas na Subseção 2.1.3 do Relatório CMTSE.

O resultado do processo judicial aberto contra os procedimentos de preparação das urnas pelos funcionários da Justiça Eleitoral foi pelo indeferimento do pedido, alegando, a própria Justiça Eleitoral, não haver elementos suficientes para infirmar a alegação. Perícia nas urnas não foi deferida.

Este Caso Diadema 2000, é mais um bom exemplo de que "no passado, em vários momentos o TSE não foi suficientemente responsivo às demandas por maior transparência...", como foi citado no Relatório CMTSEem suas conclusões.

A indignação e o sentimento de impotênciaperante o tratamento autoritário e obscuro que o caso recebeu da autoridade eleitoral, levou o candidato denunciante das irregularidades, à atitude radical de iniciar uma greve de fomeque durou 10 dias.

3.1.4 Assinaturas Digitais Divergentes - 2002 e 2008

Na Seção 2.1.2 do Relatório CMTSE é dito que geração de resumos digitais (Tabelas de Hash) durante a cerimônia de lacração dos sistemas no TSE, perante o MP, a OAB e os Partidos, é uma das salvaguardas do sistema. Porém, nem sempre esse procedimento de segurança foi cumprido com o rigor necessário para sua mínima eficácia.

Nas eleições de 2002 - 2º turno - e de 2008, fiscais de partidos, ao verificarem os arquivos carregados nas urnas eletrônicas, detectaram a presença de um conjunto de arquivos com resumos digitais diferentes do oficial homologado nas respectivas cerimônias de lacração dos sistemas (vide Anexo 2 desta Réplica).

Em 2002, a diferença foi descoberta pelo fiscal eng. Hebert Rodrigues Pereira na cidade de Campina Grande, PB, e em 2008 a fiscal adv. Maria Cortiz (coautora desta réplica) encontrou 16 arquivos não assinados ou "sobrantes" nas urnas de Timon, MA.

Nos dois casos, a providência dada pelo administrador eleitoral foi a de publicar novas Tabelas de Hash, calculadas a portas fechadas, fora de uma cerimônia oficial perante os agentes fiscais externos, impedindo-os de saber quais programas foram assinados, e considerar válido, a posteriori, o procedimento de carga das urnas onde os erros foram encontrados.

Detalhes do Caso Campina Grande 2002, podem ser acompanhados nas mensagens eletrônicas [44] trocadas entre os fiscais externos de então. A decisão do administrador eleitoral, naquela ocasião, foi de esconder o problema do público, da imprensa e até dos fiscais externos como mostra o memorando apresentado no Anexo 2.1, onde se passavam instruções aos supervisores dos polos de carga das urnas para procurarem esconder o problema dos fiscais dos partidos e do MP.

A perícia nas urnas foi indeferida. As Tabelas de Hash originais, que demonstravam a impropriedade, foram retiradas do sítio do TSE. Tabelas novas foram publicadas no lugar.

Em 2008 a reação do administrador eleitoral foi "menos irregular". Foi publicada uma nova tabela de hashs, mas as anteriores foram mantidas publicadas. No Anexo 2.2 apresenta-se o fac-simile da tabela complementar com as assinaturas dos "arquivos sobrantes" calculada, sem a presença de fiscais, em 25/10/2008, dez dias depois de encerrada a cerimônia oficial de apresentação dos sistemas.

Esses dois casos são exemplos acabados de como a concentração de poderes é terreno fértil para a prática de abusos que acabam por comprometer a transparência e segurança do processo eleitoral, podendo anular completamente a eficácia dos mecanismos de fiscalização externa permitidos.

O caso de 2002 comprova o dito pelo CMTSE, nas conclusões de seu relatório, que "no passado, em vários momentos o TSE não foi suficientemente responsivo às demandas por maior transparência...".

Já o caso de 2008, que praticamente repete a prática, desmente o alegado em seguida pelo CMTSE, de que "... as iniciativas dos últimos anos mostram claramente uma mudança de atitude, com várias medidas já implantadas".

3.1.5 O Caso Marília, SP - 2004

Os Arquivos Digitais de Auditoria das urnas usadas em 2004 na cidade de Marília, SP, foram obtidos no TRE, tempos depois da eleição, posto que os Juízes Eleitorais do município se recusaram a entregar os dados.

Esses arquivos indicavam ter ocorrido geração de flashs de carga [45] em duplicata e também discrepâncias no horário de recebimento dos Boletins de Urna da 400ª ZE.

Essas três informações, em conjunto, a saber:

  1. Resistência dos juízes/administradores à auditoria;
  2. Flash de carga em duplicata;
  3. Discrepâncias nos recebimentos dos BU;

são compatíveis com a hipótese de fraude por "clonagem de urnas", que consiste num ataque interno no Cartório Eleitoral, no qual se prepara um conjunto de urnas com data antecipada para nelas efetuar uma votação prévia que gera documentos com resultados falsos, mas aceitáveis pelo sistema totalizador, e se prepara um outro grupo de urnas para serem enviadas às seções eleitorais. No momento de totalização, os disquetes de resultados dos dois grupos são trocados dentro do Cartório Eleitoral, o que caracteriza o tipo de fraude como um ataque interno.

Arquivo de Espelhos de Boletins de Urna da 400ª ZE, gerado em 14/10/2004 às 15:22:55 h, indicava que muitas seções eleitorais tiveram seus resultados recebidos para totalização antes do início da votação.

Como exemplo, mostra-se o cabeçalho da página 45 do arquivo, referente à seção eleitoral 0008, apresentado a seguir:

Justiça Eleitoral/SP pág.:45

Sistema de Gerenciamento - Versão: 2.09 (Oficial) 14/10/2004

Eleições Municipais de 2004 15:22:55

Espelho de Boletim de Urna 1º turno

Eleitores Seções Seções Seções N.vagas

Município ZT Aptos AgregadasEfetivas Vereadores

66818 - MARILIA 0070 141,159309 7 302 13

Zona Eleitoral: 0400 Seção: 0008

Seções Agregadas: Esta seção não possui seções agregadas.

Aptos:530 Comparecimento: 445 Faltosos: 85

Tipo de Urna: Apurada Origem: URNA ELETRÔNICA

Data do Recebimento: 03/10/2004 6:40:28

Cód.UE: 148909 PM Cód. Carga: 090.225.521.369.572.240. 332.446

Data: 27/09/2004 Hora: 15:59:00 Cód.FC: 8D66079F

Nesse cabeçalho são apresentados a data e hora de três eventos, a saber:

  1. Na segunda e terceira linha tem-se a data e hora em que o arquivo foi criado em 14/10/2004 às 15:22:55 h.
  2. Na antepenúltima linha, destacado em negrito, tem-se a data e hora do recebimento do Boletim de Urna em 03/10/2004 às 6:40:28.
  3. Na última linha aparece a data e hora da carga da urna em 27/09/2004 às 15:59:00.

A eleição ocorreu em 03/10/2004. A hora 6:40:28 (item 2), é incompatível com o recebimento dos Boletins de Urna, os quais só são oficialmente gerados após às 17:00 h. Esse problema apareceu em todas as seções eleitorais da 400ª ZE.

Questionada a respeito, a Seção de Apoio às Eleições do TRE-SP emitiu parecer técnico em 28/02/2005, onde tentou explicar essa discrepância, afirmando que a hora de recebimento dos BU estaria grafada em padrão americano (12 h mais AM ou PM) devido ao arquivo ter sido gerado em computador no qual o sistema operacional Windows seria de versão em inglês.

O padrão brasileiro para data e hora segue o formato "dia/mês/ano" para a data e "24h" para a hora, enquanto o padrão americano usa "mês/dia/ano" para a data e "12h mais AM ou PM" para a hora.

A data e a hora de geração do arquivo em questão (item 1 - 14/10/2004 às 15:22:55), está obviamente em formato brasileiro pois não existe mês 14 e nem 15 horas no padrão americano. Isto indicaria que o arquivo fora gerado em computador configurado no padrão brasileiro.

A data e a hora da carga da urna (item 3 - 27/09/2004 às 15:59:00) também está obviamente em padrão brasileiro, mais uma vez indicando que o computador que escreveu esse dado no arquivo estava em padrão brasileiro.

A data do recebimento do boletim de urna (item 2 - data de 03/10/2004) só pode estar em padrão brasileiro, indicando o dia 3 de outubro de 2004, dia do 1º turno das eleições de 2004. Se essa data estivesse em padrão americano estaria indicando o dia 10 de março de 2004, data em que era impossível se receber Boletins de Urna, visto que o Sistema de Gerenciamento 2004 T1, segundo o parecer técnico, só foi instalado em setembro de 2004. Confirma-se, assim, que o computador que inseriu esse dado no arquivo estava em padrão brasileiro.

Já a hora de recebimento do BU (item 2 – hora 6:40:28) indica que os Boletins de Urna 400ª ZE já tinham sido recepcionados pelo sistema de totalização antes da eleição ter tido início.

Houve dois processos judiciais decorrentes dessas constatações: um inquérito do Ministério Publico e uma representação de Partido Político.

Na primeira instância, o juiz que também era o responsável administrativo pelos procedimentos questionados, indeferiu os pedidos de perícia e recusou-se a mandar lacrar os computadores utilizados, para preservar eventuais provas.

Três anos depois, na terceira instância, foi reconhecida a necessidade de perícia e o processo retornou à primeira instância, mas, nesse momento, os equipamentos já haviam sido modificados pelo uso em outras eleições e as provas estavam perdidas.

Ambos processos se encerraram em 2009, sem julgamento final, por decurso de prazodevido a protelação dentro da própria justiça e administradora do sistema contestado. Nenhuma perícia foi deferidae as eventuais provas pereceram, não sendo mais possível a realização de perícia nos meios eletrônicos. Sobre o juiz-administrador que não preservou as provas, nada recaiu.

3.1.6 O Caso Campos do Goitacases, RJ – Eleição Suplementar 2006

Essa eleição suplementar em Campos do Goitacases, RJ, foi realizada em março de 2006 por anulação do pleito oficial de 2004.

As dificuldades de fiscalização, adiante descritas, são apresentadas pelo lado do candidato que venceu a eleição, desmentindo o refrão generalizante de que as denúncias contra as urnas eletrônicas são sempre fruto de "choro de perdedor".

Por interesse do candidato vencedor, foi montado um esquema de fiscalização preventiva do processo eletrônico de votação desde seu princípio.

No entanto, cada passo da fiscalização, para ser realizado, enfrentou autoritarismo e resistências nascidas dentro do corpo de membros da administração eleitoral. As cerimônias de fiscalização, obrigatórias, só foram marcadas depois de muita insistência e uma foi negada. As irregularidades encontradas só foram corrigidas quando enfrentado o autoritarismo do agente responsável.

Já de início, a autoridade eleitoral descumpriu frontalmente o Artigo 66 da Lei 9.504/97 que manda apresentar, com antecedência em cerimônia oficial, os programas de computador do sistema eleitoral aos partidos concorrentes, cerimônia esta que o CMTSE afirma ser umas das salvaguardas de segurança do sistema.

O argumento usado para justificar tal ilegalidade revela um exercício de autoritarismo desmedido. Alegou-se que tal artigo de lei só se aplicaria a eleições oficiais que ocorrem no mês de outubro dos anos eleitorais. Segundo essa interpretação da justiça-administração eleitoral, ela própria, nas demais eleições complementares, estaria desobrigada dessa norma legal que é, teoricamente, uma salvaguarda de segurança.

Devido ao calendário justo imposto pela mesma autoridade, não havia tempo suficiente ou mesmo órgão do poder judiciário capaz de rever a decisão.

Sem alternativa adequada, o candidato teve que desconsiderar padrões de segurança, e foi forçado a participar de eleição eletrônica cujo software era totalmente secreto, embora seus resumos digitais fossem publicados para "conferência de integridade".

O passo seguinte da fiscalização, a conferência das assinaturas no sistema gerador de mídias, foi dificultado por questões atinentes à logística e prazos. A cerimônia foi marcada, em cima da hora, na sede do TRE na capital estadual, forçando a fiscalização a idas e vindas, atravessando o Estado para acompanhar o trajeto das Flashs-de-Carga.

De volta a Campos do Goitacases, a fiscalização foi acompanhar as sete cerimônias de carga e lacração das urnas, que ocorriam em sequência durante 3 dias.

Constatada a regularidade das assinaturas dos programas das urnas eletrônicas, passou-se à conferencia dos dados dos candidatos concorrentes ao pleito. Verificou-se a ausência do nome de um deles no arquivo de candidatos.

O candidato, cujo nome não constava no arquivo de candidatos, estava em terceiro lugar nas pesquisas prévias e os votos que lhe fossem dados seriam anulados, afetando sobremaneira a quantidade de votos válidos, podendo resultar na vitória irregular de um dos candidatos em primeiro turno.

Para surpresa dos fiscais dos partidos, informada do fato, a Juíza eleitoral e chefe administrativa da cerimônia de carga mandou prosseguir os trabalhos de lacração das urnas, ignorando os protestos dos partidos presentes no local. Somente quando estes exigiram que a decisão de manter a irregularidade constasse em ata, a administradora-chefe mandou suspender a sessão e regularizar a situação.

Outra travessia do Estado foi necessária para acompanhar a nova geração de mídias e nova carga das urnas, mas, quando da conferência, verificou-se a ausência do nome do vice do mesmo candidato ausente na fase anterior. Essa ausência tinha o mesmo potencial de antecipar a eleição irregular em primeiro turmo de um candidato.

Premido pelo tempo, finalmente o administrador eleitoral teve o bom senso de realizar a terceira cerimônia de geração de mídias na própria cidade de Campos e a carga e lacração das urnas pôde se encerrar.

A cerimônia oficial obrigatória seguinte, chamada de Oficialização do Totalizador, não foi marcada pela autoridade eleitoral local. Levou horas de tratativas, para convencimento dos servidores eleitorais, de que havia necessidade de conferência das assinaturas digitais dos programas instalados nos computadores de totalização antes da oficialização do sistema.

Aberta a cerimônia, encontrou-se um programa instalado no sistema de totalização cujo resumo digital diferia da tabela obtida, a duras penas, no TSE.

Alertada a servidora do TRE/RJ, que chefiava os trabalhos, sobre a irregularidade, sua explicação é que seria um fato normal, insignificante e que a oficialização do totalizador poderia ser completada. Novamente, somente quando os fiscais presentes exigiram constar em ata a irregularidade encontrada, a cerimônia foi suspensa para reinstalação do sistema de totalização e, no dia seguinte com a votação já em andamento, nova oficialização pôde ser feita com todas as assinaturas digitais dos programas de totalização coincidindo com a tabela do TSE.

As tentativas das autoridades eleitorais locais, apoiadas em juízes, para dar continuidade aos preparativos oficiais mesmo diante de irregularidades constatadas e sua retração quando exigido que os fatos fossem registrados em ata, são mais exemplos de como o acúmulo de poderes no processo eleitoral brasileiro facilita o autoritarismo a ponto de inibir e até tornar inócua a fiscalização pelos partidos.

O CMTSE, no entanto, por não ter ido a campo e apenas ter como consultores os técnicos do TSE, não constatou essa realidade em seu relatório.

3.1.7 O Caso Alagoas - 2006

A eleição para governador de Alagoas em 2006 teve o resultado questionado pelo candidato que ficou em segundo lugar, uma vez que ele entendia que os resultados potenciais apontados pelas as pesquisas eleitorais prévias foram flagrantemente contrariados, até mesmo em seus redutos eleitorais.

Para avaliar a confiabilidade do resultado eleitoral foi promovida uma análise do Arquivos Digitais de Auditoria das urnas eletrônicas.

Resume-se a seguir o desdobramento técnico e jurídico desse caso, cujo detalhamento [46] e exemplos pode ser acompanhado em página no sítio do Fórum do Voto Eletrônico na Internet.

Na primeira semana após a eleição, para cumprir os prazos legais, foi desenvolvido um relatório preliminar [47] que detectou corrupção nos Arquivos LOG em mais de 2,5% das urnas eletrônicas utilizadas, colocando sob suspeição o resultado da votação e apuração nessas urnas. Entre a diversidade de lançamentos impróprios encontrados nos arquivos LOG de Alagoas 2006, havia o seguinte:

  • Mudança do número do município da urna, depois de carregada e lacrada.
  • Mudança do número da própria urna, depois de carregada e lacrada.
  • Registro de eventos inexistentes como "código para uso futuro".
  • Omissão de eventos reais ocorridos.
  • Sequência de substituição de urnas com ordenação irregular.

Um processo judicial foi aberto propondo o desenvolvimento de perícias para determinar o comprometimento do resultado, em vista do comprovado funcionamento irregular das urnas eletrônicas.

A Secretaria de Tecnologia de Informação (STI/TSE), chamada a se manifestar na pessoa do coordenador do CMTSE, confirmou a ocorrência de "arquivos de LOG que já apresentavam perda de integridade, parcial ou total, quando gerados" nas urnas eletrônicas, mas afirmava, mesmo sem ter apresentado nenhuma análise dos arquivos RDV (de votos digitais) e dos arquivos BU(de resultados), que a perda da integridade dos Arquivos de Auditoria não teria atingido os resultados.

Impedindo que sua afirmação pudesse ser verificada, a Secretaria de Tecnologia de Informação do TSE, através da Informação nº 90/2006-ASPLAN/STI, de dezembro de 2006, negou o acesso dos auditores externos aos arquivos RDV para que sua integridade pudesse ser constatada ou não. Para manter os dados de auditoria do resultado distantes dos olhos dos auditores, a STI/TSE enfrentou até ordem do juiz-corregedor do TRE-AL e se negou a decifrar os arquivos para serem entregues aos requerentes.

Um segundo relatório [48] dos auditores externos [49], elaborado com mais profundidade e apresentado dois meses depois do primeiro, demonstrou que as explicações do relatório STI/TSE sobre os motivos da perda de integridade dos dados de controle eram insuficientes, apontando ainda o seguinte:

  • Havia 13 tipos diferentes de irregularidades nos arquivos LOG, que atingiram 2282 (44%) das 5166 urnas utilizadas.
  • Mais de 25% dos arquivos LOG deixaram de registrar o evento de auto-teste, obrigatório segundo a regulamentação.
  • Havia uma diferença superior a 22 mil entre o total de votos válidos para o pleito de governador registrados nos arquivos LOG e os registrados nos arquivos BU.

Para ilustrar e reforçar a tese de falta de confiabilidade dos resultados dessas urnas eletrônicas utilizadas em Alagoas, foi apresentado o exemplo a seguir, de arquivo LOG que estava mesclado com o arquivo BU :

trecho inicial (1024 caracteres) do Arquivo LOGde nome "10x48sdk.rl1 "

da seção eleitoral 0139 da Zona Eleitoral 0035 do município de Senador Teotônio Vilela, AL

__________________________________________

Total de votos de Legenda : 0022

Brancos : 0003

Nulos : 0008

Total Apurado : 0241

Código Verificador: 25054

======================================

SENADOR(A)

Nome do candidato Nro cand Votos

RONALDO LESSA 123 0065

GALBA NOVAES 222 0001

NONÔ 251 0006

COLLOR 288 0132

OTAVIO CABRAL 500 0001

--------------------------------------

Total de votos Nominais : 0205

Brancos : 0005

Nulos : 0031

Total Apurado : 0241

Código Verificador: 41574

======================================

GOVERNADOR(A)

Nome do candidato Nro cand Votos

LENILDA LIMA 13 0005

JOÃO LYRA 14 0043

ELIAS BARROS 19 0001

ANDRE PAIVA 28 0003

TEOTONIO VILELA FILHO 45 0167

Esse texto acima não é o conteúdo de um arquivo LOG normal. É um trecho do Espelho do Boletim de Urna da própria seção eleitoral, que está seguido de registros de logcom perda de integridade frequente e até com inversão da ordem cronológica dos eventos.

Está evidente que, nesse caso, o mau funcionamento do programa na urna provocou uma fusão do arquivo LOGcom o arquivo BU, normalmente independentes, revelando que também os procedimentos de apuração dos resultados foram atingidos pela impropriedade no processamento dos dadosou, como concluiu o prof. Clovis Fernandes, autor do segundo relatório do Caso Alagoas 2006 : "Não é possível afirmar que não tenha havido perda de integridade do RDV ".

Porém, mesmo diante das evidências, no lugar de providenciar uma profunda auditoria a ser realizada de forma independente dos administradores do sistema, como ocorreu no caso das eleições em 2006 no Estado de Ohio nos EUA [50], a autoridade eleitoral brasileira, que ao mesmo tempo é responsável administrativa pelo sistema questionado e juiz nos recursos contra ele,inviabilizou uma perícia independente com as seguintes decisões:

  • Decretou arbitrariamente que apenas os arquivos RDV, e não os arquivos LOG, devem ser usados para contar a quantidade de votos válidos, embora essa informação esteja registrada e disponível nos dois arquivos que não poderia haver diferença entre os totais obtidos nos dois arquivos.
  • Simultaneamente, negou acesso aos arquivos RDVpelos assistentes técnicos do requerente.
  • Transferiu para o requerente a cobrança antecipada de R$ 2 milhões para que fosse desenvolvida uma perícia nas urnas eletrônicas.
  • Diante do não pagamento desse de valor, proibitivo para qualquer candidato em todo o Brasil, o requerente foi multado e condenado por litigância de má-fé,tendo apresentado provas materiais inquestionáveis do mau funcionamento das urnas.
  • A perícia sobre as urnas não foi permitida.

Desse conjunto de medidas autoritárias, os dois primeiros itens foram viabilizados a partir de ativa participação do coordenador do CMTSE.

Diante de todos esses aspectos técnicos e jurídicos, os membros deste CMind acompanham a conclusão do prof. Clovis Fernandes, apresentada em audiência pública na Assembleia Legislativa de São Paulo no dia 01 de junho de 2009, a saber:

"Com base na análise dos resultados do pleito de governador de Alagoas 2006 e na atitude do TSE não dá para provar que houve fraude!

Nem que não houve fraude!

Motivo: a urna eletrônica brasileira não é auditável!"

Enfatiza-se que a "inauditabilidade" da urna brasileira é decorrente tanto da ação da STI/TSE na esfera judicial e administrativa, quanto da estrutura e técnica de programação temerária utilizada na urna pela STI/TSE. Para eleições do tipo brasileiro, que conta com muitos pleitos, não é possível tornar uma máquina DRE auditável.

Ou seja, não se pode garantir com técnicas puramente computacionais que o voto dado pelo eleitor na urna foi registrado mesmo para o candidato de sua escolha e faz parte da totalização. Por causa disso, em qualquer eleição que se fizer uso deste modelo de urna eletrônica brasileira, será impossível provar que nela houve ou não fraude."

3.1.8 O Caso Maranhão – 2006

Nesse Estado, também foi feita fiscalização preventiva do processo, nos dois turnos para governador, e as denuncias a seguir são apresentadas pelo lado vencedor da eleição, desmentindo o refrão generalizante de que as denúncias contra as urnas eletrônicas são sempre fruto de "choro de perdedor".

1º TURNO

O primeiro fato importante aconteceu na cerimônia de oficialização dos programas de totalização para o 1º turno das eleições. Naquele ato seriam conferidas as assinaturas digitais dos programas instalados nos computadores do TRE–MA.

Foram preparados quatro computadores para essa ocasião. Três deles, que ficavam na parte de baixo de um palanque, recepcionariam os arquivos BU vindos das Zonas Eleitorais e repassariam os dados para o quarto computador, que serviria ao Presidente do Tribunal e totalizava os demais. Este ficava sob os holofotes da imprensa e, por isso, num patamar superior.

No dia de Cerimônia de Oficialização dos programas, em que estavam presentes muitas autoridades e com maciça cobertura do imprensa local, um partido conferiu as assinaturas digitais no quarto computador, usado pelo Desembargador Presidente do Tribunal, onde se constatou a regularidade dos dados.

Ato contínuo, o fiscal pediu, então, para conferir os dados dos outros três computadores, recebendo a resposta de que não havia necessidade, porque os programas estariam interligados. O fiscal insistiu e, como não aceitou os argumentos de servidor do TRE, pôde conferir os demais dados.

Dois dos computadores estavam em situação regular, mas em um deles as assinaturas não correspondiam às dos programas oficiais. Muitas explicações foram apresentadas, inclusive que se poderia ir à totalização sem problemas, mas nenhuma delas foi capaz de demover o fiscal, que exigiu a regularização por reinstalação dos sistemas.

Após novas conferências, foi solicitada a lacração dos computadores, somente utilizados após as 17 horas do dia da eleição.

2º TURNO

Nessa etapa, verificou-se que o TRE-MA iria realizar "uma atualização por recarga dos programas em 3% das urnas no dia da votação", posto que algumas delas, no ato da carga, acusavam ocorrência de um erro designado como G-200.

Esse erro teria ocorrido pelo desligamento antecipado de algumas urnas, no 1º turno, por mesários que não aguardaram o momento certo para o encerramento.

Como a nova carga recebida pela urna poderia camuflar eventuais problemas anteriores requereu-se permissão ao Tribunal para se verificar o arquivo LOG de uma das urnas que estariam nessa situação.

Aceito o requerimento pelo Tribunal, foi escolhida uma seção em cuja Ata de Cerimônia de Carga constava uma urna com o erro G-200. Realizada a análise do arquivo LOG, não constava qualquer problema com o encerramento da urna em 1º Turno, e a carga para o 2º Turno estava regular, não necessitando de qualquer atualização.

Ademais, verificou-se que o programa que seria utilizado para a "atualização do software" não inseria nenhum registro no arquivo LOG da urna depois de utilizado. Questionando os técnicos do TRE-MA, viu-se que não tinham conhecimento do problema e iam apenas obedecer "ordem superiores", o que causou imenso receio e preocupação.

A informação foi levada ao Ministério Público, à OAB e ao próprio Tribunal, a quem os candidatos requereram a não utilização de qualquer procedimento extra nas urnas no dia da votação.

Ressalte-se que as medidas preventivas foram possíveis, mesmo contra a disposição de alguns operadores, graças à permissão do Presidente do Tribunal Regional Eleitoral do Maranhão, o que resultou em nenhum questionamento técnico posterior ao pleito.

3.1.9 O Caso Itajaí, SC – 2008

Nas eleições municipais de 2008 em Itajaí, Santa Catarina, constatou-se uma burla intencional, como se descreve a seguir, na cerimônia de carga e lacração das urnas, cerimônia esta que na Subseção 2.1.3 do Relatório CMTSEé classificada como uma das salvaguardas de segurança dos sistemas.

Conforme Art. 32 da Resolução TSE 22.712/2008:

"Art. 32. No período que abrange o procedimento de carga e lacração, deverá ser realizado teste de votação acionado pelo aplicativo de Verificação Pré-Pós em pelo menos uma urna por zona eleitoral, observado o mínimo de uma urna por município."

O município de Itajaí é coberto pelas 16ª e 97ª Zonas Eleitorais de Santa Catarina, sendo que a 16ª ZE também engloba as seções eleitorais do município vizinho de Navegantes.

Na eleição de 2008, os juízes-administradores dessas duas Zonas Eleitorais decidiram fazer a carga das urnas numa única cerimônia conjunta. Na Ata da Cerimônia de Preparação e Lacração das urnas das 16ª e 97ª Zonas Eleitorais, aberta no dia 22 de setembro de 2008, consta o seguinte:

"Foi realizado o teste de votação a que se refere o art. 32 da Resolução TSE nº 22.712/2008 nas urnas das seções 236 (97ª ZE – Itajaí) e 451 (16ª ZE – Navegantes), obtendo-se o resultado constante do boletim de urna anexo, que passa a integrar a presente ata, sendo tais urnas submetidas a nova carga."

Nota-se, de imediato, que nenhuma urna eletrônica de Itajaí da 16ª ZE foi sorteada para teste.

Já na 97ª ZE, a urna da seção 236, sorteada para o teste obrigatório e estando então carregada e lacrada, na hora do teste foi substituída por outra preparada exclusivamente para o teste e que depois foi colocada à parte.

Os dados impressos anexados à ata e os dados constantes nos Arquivos Digitais de Auditoriada respectiva urna, mais especificamente, as tabelas de correspondências e o arquivo LOGcomprovam de forma inequívocaa ocorrência dessaburla que trocou a urna oficial a ser testada por outra preparada apenas para o teste, fraudando o procedimento de segurança que o CMTSE reputa como salvaguarda.

Zerésima e no Boletim de Urna impressosanexados à ata,produzidos pela urna testada como sendo da seção 236 da 97ª ZE, apresentaram os seguintes dados:

Eleição de 23/09/2008

Hora do teste: 14:39:25

Município : 81612 – ITAJAÍ

Zona Eleitoral: 0097

Seção Eleitoral: 0236

Código de Identificação da urna : 00852034

Resumo da Correspondência : 902.000

De forma contraditória, no Comprovante de Carga da urna da seção 236 da 97ª ZE, levada para a votação, e também constante da ata, está registrado o seguinte:

Município : 81612

Zona Eleitoral: 0097

Seção Eleitoral: 0236

Código de Identificação da urna : 00842748

Código de identificação de Carga : 592.799.644.230.781.622.007.290

Resumo da Correspondência : 007.290(os últimos seis dígitos do código acima)

Flash de Carga: 88D2D957

Data da Carga: 22/09/2008

Hora da Carga: 18:35:30

Existe diferença no código de identificação da urna e no resumo da correspondência (ou código de identificação da carga) comprovando de forma absolutaque a urna que foi carregada, lacrada e levada a votação na seção 236 não é a mesma que foi levada ao teste de votação simulada.

Os demais arquivos de auditoria,como a tabela de correspondência e o arquivo LOG, confirmam que a urna levada a votação foi a de nº 00842748e não a testada, que tinha o nº 00852034.

Ressalte-se, ademais, que o arquivo LOGurna 842748, levada para a votação real,não registra a ocorrência do nenhum teste de votação e também não registra a ocorrência de uma nova carga de urna no dia 23 de setembro de 2008.

Em síntese, foi intencionalmente falsificado o teste de integridade dos programas utilizados no município de Itajaí para as eleições de 2008, prescrito no art. 32 da Res. TSE 22.712/08, consubstanciado nos seguintes procedimentos:

  • Da 16ª ZE não foi sorteada nenhuma urna de Itajaí para ser testada.
  • Da 97ª ZE foi sorteada a urna da seção 236 para passar pelo teste.
  • Essa urna, registrada sob nº 842748, tinha sido carregada em 22/09/2008 com o flash de carga 88D2D957, e gerou um Boletim de Urna aceito na Totalização.
  • arquivo LOG dessa urna não registra ter sido testada ou recebida nova carga, ao contrário do dito na Ata da Cerimônia de Carga e Lacração.
  • A urna que passou pelo teste oficial, registrada sob nº 852034, foi carregada no dia 23/09/2008, depois do sorteio, momentos antes de ser testada.
  • Essa urna usada no falso teste foi em seguida recarregada como urna de contingência, com o flash de carga F084DF12, destruindo-se todas eventuais provas nela gravadas.

Simplificando para um melhor entendimento: sortearam uma urna para o teste obrigatório mas, nesse momento, houve a troca desta urna, que já estava preparada, por outra urna que só foi preparada para passar pelo teste e depois posta à parte.

Portanto, o Boletim de Urna e a Zerésima da seção 236 da 97ª ZE, anexados à ata da Cerimônia de Preparação e Lacração das Urnas eram falsos, uma vez que a urna real, previamente preparada e levada para a votação real foi intencionalmente excluída do teste obrigatório.

Assim, com a omissão em testar urnas da 16ª ZE e com a falsificação do teste da urna da 97ª ZE, ao final:

  • NENHUMA URNA PREPARADA PARA VOTAÇÃO EM ITAJAI PASSOU PELO TESTE OBRIGATÓRIO prescrito pelo Art. 32 da Res. TSE 22.712/08.
  • Nenhum dos Flash de Carga que carregou as urnas de Itajaí foi testado quanto à sua integridade. Foram utilizados mídias diferentes para carregar as urnas levadas à votação e para realizar o teste de integridade.
  • As condições complementares presentes nessa troca de urnas testadas, como o fato da urna real estar pronta para o teste desde o dia anterior e posteriormente ter sido levada à votação, afastam a possibilidade de erro, indicando a intencionalidade de burla do teste.

A ação jurídica, denunciando essa fraude interna contra salvaguarda de segurança, não teve seu mérito avaliado pela autoridade eleitoral.

Na primeira instância, foi indeferida pelo juiz que também era responsável administrativo pela cerimônia onde a burla ocorreu, sob argumento escapista de que as impugnações contra os procedimentos da cerimônia só poderiam ser apresentados dentro da própria cerimônia, desconsiderando o fato de que a irregularidade só pôde ser detectada pelos fiscais dos partidos depois de terem recebidos os arquivos LOG para análise, o que só ocorre após a eleição.

Na segunda instância, também se evitou a avaliação de mérito sob a alegação de intempestividade do pedido que, segundo eles, teria prazos diferentes dos regulados pelo Art. 184 do Código do Processo Civil.

Deve-se salientar, ainda, que na época do descobrimento dessa fraude, em outubro de 2008, o assunto foi levado a conhecimento e discussão com os técnicos da STI/TSE, posteriormente escolhidos para assessores pelo CMTSE.

Dessa forma, não se justifica na Subseção 2.1.3 do Relatório CMTSEa cerimônia de carga e lacração das urnas seja apresentada de forma sucinta como uma das salvaguardas de segurança do sistema eleitoral sem se apresentarem ressalvas quanto à sua eficácia.

Torna-se este, mais um indicativo a apontar a incapacidade do CMTSE em criticar o sistema oficial, reforçando a impressão de sua parcialidade.

3.1.10 Diferenças no código-fonte – 2008

Até 2006, o programa de votação das urnas eletrônicas, após a confirmação final do voto pelo eleitor, procedia a seguinte sequência de eventos:

  1. Somava um voto ao candidato votado e gravava no arquivo BU.
  2. Gravava o voto no arquivo RDV.
  3. Marcava o eleitor como tendo votado no arquivo de eleitores.
  4. Registrava o evento "voto computado" no arquivo LOG.

Na prática, no entanto, ocorriam alterações quando, por qualquer motivo, a urna eletrônica desligava no meio deste processo podendo resultar que parte desses arquivos já estivessem atualizados com o novo voto e outra parte ainda não.

Isso resultava em diferenças entre os totais de votos registrados em cada um desses quatro arquivos, como foi detectado e descrito no relatório [51] de análise dos dados das urnas usadas na eleição em Alagoas 2006, pelo Prof. Clovis Torres Fernandes, coautor desta Réplica.

Para atenuar esse problema, em 2008, o TSE mudou a rotina e parou de calcular o BU a cada voto confirmado. Moveu-se esse procedimento para o final da votação, calculando o arquivo BU somente depois de gravados todos votos no arquivo RDV. Esperava-se que, pelo menos entre estes dois arquivos, deixariam de existir diferenças, difíceis de explicar, na quantidade total de votos.

No dia 11 de setembro de 2008, véspera da primeira compilação oficial dos sistemas, os fiscais de dois partidos, também coautores desta réplica, analisando essas rotinas encontraram uma incoerência numa comparação (comando if) entre a quantidade de eleitores que votaram e a quantidade de votos no arquivo RDV.

Pedindo esclarecimentos aos programadores do TSE, foram informados, no último dia da apresentação dos sistemas, que tal incoerência já tinha sido excluída dos código-fonte que estavam sendo compilados.

Esse acontecido comprova que havia diferenças entre o código-fonte apresentado para análise aos partidos e o que de fato era usado na compilação dos sistemas; nesse caso, essa absurda impropriedade foi descoberta por mero acaso.

Os representantes dos partidos não têm como saber quantas outras diferenças existiam, mas têm fortes motivos para supor que eram muitas diante da recusa do TSE de apresentar a lista de alterações feitas - mais de uma centena segundo um dos programadores do TSE - em função dos relatórios secretos citados no Anexo 1.

É por demais óbvio, mesmo para leigos, que a existência de diferenças entre o código apresentado para análise dos auditores e fiscais externos e o usado de fato nas urnas, quebra toda a segurança pretendida com uma cerimônia oficial de apresentação, compilação e lacração dos sistemas.

Além da impropriedade técnica, ocorreu ainda ato autoritário do administrador eleitoral ao se recusar incluir na ata da cerimônia, citação a esse problema. Um pedido formal apresentado por partido político à Secretaria de Tecnologia de Informação do TSE, em 12 de setembro de 2008, foi ignorado e jamais respondido. A ata não registrou o caso.

Mas o CMTSE, por apenas ter colhido informações sobre a cerimônia com os próprios técnicos do TSE, deixando de ouvir os fiscais externos presentes, não detectou essas impropriedades e autoritarismo e apresentou como salvaguarda um processo frágil e com segurança totalmente comprometida.

Destaque-se, ainda, que além dessa impropriedade na apresentação dos sistemas, a modificação da rotina de cálculo do BU para evitar divergências entre os totais de votos e de eleitores, não resolveu o problema em sua totalidade.

Em seis urnas eletrônicas de modelo 2008 usadas em cidades do interior de Alagoas na eleição de 2008, onde os respectivos Arquivos LOG registravam desligamento imprevisto da urna eletrônica, um fiscal de partido verificou que em quatro delas havia divergência entre a quantidade de eleitores ausentes segundo o arquivo BU e a quantidade de comprovantes de votação não assinados na Folha de Votação das respectivas seções eleitorais.

Essas diferenças não foram encontradas em dez outras seções analisadas cujas urnas não haviam sido desligadas durante a votação, mostrando que ainda pode ocorrer erros na gravação dos arquivos RDV de onde se geram os arquivos BU.

Essa dificuldade do administrador eleitoral para conciliar os Arquivos Digitais de Auditoria entre si e entre os registros em papel, pode estar na raiz da forte repulsa de seus membros contra a ideia de auditoria independente do software (vide Seção 3.3 desta Réplica) por meio da recontagem do voto impresso conferível pelo eleitor.

Os técnicos da administração eleitoral aparentam temer que potenciais erros na apuração eletrônica, gerados por falhas e que hoje passam despercebidos, comecem a ser detectados provocando inevitável desconfiança no processo eletrônico de votação.

3.1.11 O Travamento de Urnas Eletrônicas - 2008

A urnas eletrônicas modelo 1998, entregues pela fabricante Procomp ao TSE, continham um lote de 90 mil cartões de memória (flash-cards) de marca Hitachi com defeito no seu firmware [52] de versão 5.1.1, que causava erro de gravação nos dados quando solicitada gravação de múltiplos setores.

Naquela ocasião, diante da premência de apresentar modelos funcionais, a Procomp solicitou à Microbase - empresa de software produtora do sistema operacional VirtuOS das urnas - que criasse um remendo (patch) em seu gerenciador de memória (driver de bloco) para substituir a gravação de múltiplos setores pela múltipla gravação de um setor, como solução provisória até que os flash-cards defeituosos fossem substituídos. O remendo no sistema operacional foi criado.

Porém, a Procomp posteriormente optou por tomar essa solução como definitiva e decidiu o seguinte:

  1. Não substituiu os flash-cards defeituosos, entregando-os assim mesmo ao TSE.
  2. Não comunicou o defeito nos cartões e nem o remendo no sistema operacional.

Todos esses eventos foram descritos em audiência pública [53] pelo Eng. Frederico Gregório, Diretor Técnico da Microbase, perante a CCJC da Câmara dos Deputados no dia 25 de novembro de 2008. O depoente era o autor (terceirizado) da adaptação do software que depois o fornecedor da urna optou por esconder do TSE.

Para a eleição de 2008, visando padronizar o software de todos os seis modelos de urnas eletrônicas, o TSE adotou o Linux [54], de código aberto, como sistema operacional.

Por desconhecer o defeito dos 90 mil flash-cards instalados nas urnas modelo 98, os programadores do TSE não cuidaram de criar similar "patch" para substituir a gravação de múltiplos setores por múltipla gravação de um setor.

Agravando esta situação, uma vez que o processo de desenvolvimento do software eleitoral continua imaturo como denunciado em 2002 no Relatório COPPE [55] (vide Subseção 4.2.1 desta Réplica), inexiste roteiro de testes exaustivos para o software e o hardware, de forma que a incompatibilidade do software de 2008 com os cartões Hitachi de 1998, defeituosos, não foi detectada até o final da cerimônia de lacração dos sistemas no TSE em 15 de setembro de 2008.

No Maranhão, poucos dias antes do início das eleições, foi desenvolvida uma intervenção em massa por técnicos da Diebold-Procomp a fim de trocar Cartões de Memórias com o referido defeito.

No dia da eleição de 1º turno de 2008, as milhares de urnas que ainda estavam equipadas com flash-cards Hitachi com firmware versão 5.1.1 travavam e necessitavam ser substituídas.

Isso provocou muito atraso na votação nas cidades de Belém, Goiânia, Recife e seus arredores, onde a troca dos flash-cards ou das urnas atingiu o índice alarmante de 30%. Devido ao volume de intervenções e à falta de material, seções eleitorais tiveram a votação interrompida até as 14:30 h e a votação foi para além das 21 h.

Sob emergência, até helicópteros foram contratados no dia da eleição para transportar novos flash-cards para essas cidades.

Foi justamente a ocorrência desse problema, no Estado do Pará, que despertou a atenção do candidato a deputado federal Gerson Peres, como declarou na abertura das audiências públicas que convocou em novembro de 2008 na CCJC da Câmara dos Deputados, para obter esclarecimentos sobre a confiabilidade das urnas eletrônicas e que, ao final, gerou oRelatório CCJC 2008.

A análise desse caso, que é exemplo da anunciada imaturidade do processo de desenvolvimento do software do sistema eleitoral, foi ignorada no Relatório CMTSE onde tal processo é apresentado como salvaguarda de segurança.

3.2 Dificuldades de Fiscalização pela OAB - Descrição dos Casos

A Lei nº 10.740, de 1º de outubro de 2003, ao revogar a impressão do voto que havia sido determinada em lei anterior, em contrapartida optou por instituir como forma de fiscalização o acompanhamento das "fases de especificação e de desenvolvimento de todos os programas de computador de propriedade do Tribunal Superior Eleitoral, desenvolvidos por ele ou sob sua encomenda, utilizados nas urnas eletrônicas para os processos de votação, apuração e totalização".

Na mesma Lei, atribuiu-se essa prerrogativa não apenas aos Partidos Políticos, mas também à Ordem dos Advogados do Brasil – OAB - e ao Ministério Público – MP -. E os programas executáveis usados na eleição, inclusive os que rodam na própria urna, poderiam receber assinaturas digitais dessas entidades.

Este fato é muito explorado nas notas à imprensa [56] do TSE, comportamento esse repetido no Relatório CMTSE nas Subseções 2.1.2 e 2.1.3 e no Item 1 da Seção 2.2, sempre se apresentando as participações destas entidades como avalistas da confiabilidade do processo eleitoral eletrônico brasileiro. Mas a realidade é diferente.

Nesta seção, baseando-se nas observações e experiências dos advogados membros do CMind que já acompanharam o desenvolvimento dos sistemas junto ao TSE, representando Partidos Políticos ou a própria OAB, são descritas as dificuldades encontradas por esta entidade em auditar o sistema eleitoral brasileiro, a ponto de se poder dizer que tal tarefa foi, na prática, ineficaz.

3.2.1 2004 – A Tentativa de Fiscalização Correta

Em 2004, primeira eleição em que a OAB desempenhou essa função, foram indicados para participar dessa atividade dois advogados, então integrantes da Comissão de Tecnologia da Informação do seu Conselho Federal, e dois profissionais da área técnica que trabalhavam no Departamento de Informática da instituição.

Embora o TSE tenha desde logo divulgado [57] que a OAB, assim como o Ministério Público, estavam sendo agregados a essa tarefa fiscalizatória, o que possivelmente emprestava uma maior sensação de lisura ao sistema eletrônico de votação, na realidade tratou-se de uma fiscalização bastante limitada, em razão de fatores variados.

Uma primeira dificuldade foi financeira e estrutural: a entidade não dispunha de recursos materiais e humanos para desempenhar uma tarefa que, no correr dos trabalhos, mostrou-se hercúlea e dispendiosa.

Logo de início, foi necessária a contratação de uma empresa de desenvolvimento de software, que pudesse, em curto espaço de tempo, produzir programas de computador para assinar digitalmente e conferir tais assinaturas, tudo segundo as estritas especificações ditadas pelo TSE.

A prestação desse serviço custou alguns milhares de reais à entidade, que não recebe verbas públicas e é custeada pelas contribuições pagas pelos advogados inscritos em seus quadros.

A etapa de validação do software desenvolvido incluía reuniões no TSE, visitas à sala onde o exame dos programas era realizado, ou o comparecimento às sessões finais em que os programas eram digitalmente assinados e demandava outros gastos mais, com o passagens aéreas e estadia de seus representantes, que eram baseados fora de Brasília.

Ao fim de tudo isso, assinados digitalmente os programas, mostrou-se impossível de ser seriamente cumprida, no plano nacional, a tarefa que se seguia: a certificação dos programas instalados nos computadores e urnas eletrônicas.

Para tanto, seria necessário gerar disquetes com o programa de conferência das assinaturas digitais – o que representava mais um gasto, ainda que desta vez mais módico – e distribuir essas mídias entre possíveis fiscais da entidade, nas diversas unidades da Federação. Conquanto o Conselho Federal tenha solicitado a cooperação das Seccionais da OAB, não nos consta que a conferência tenha sido feita senão em Minas Gerais e São Paulo.

Em Minas Gerais, como o TRE local optou por fazer a carga das urnas centralizada em Belo Horizonte, ainda foi possível fazer-se a conferência de cerca de vinte urnas, numa amostragem quase simbólica, dada a dimensão daquele Estado.

Em São Paulo, diferentemente, a carga das urnas foi feita em pontos variados do Estado, o que exigiu uma mobilização às pressas da OAB-SP, no sentido de recrutar em seus quadros de bacharéis em Direito, possíveis fiscais habilitados para realizar a conferência das assinaturas digitais. Gravaram-se disquetes, que foram enviados para cada uma das Subseções espalhadas por esse Estado - em torno de duzentas - juntamente com uma solicitação ao seu Presidente local para que desempenhasse a tarefa.

Esse esforço da OAB-SP desnudou uma outra dificuldade: a capacitação dos representantes, não versados em assuntos tecnológicos, tornava aquela certificação difícil e aparentemente inócua. Pareceu evidente que, não entendendo os meandros daquilo que está sendo fiscalizado, uma pessoa sem conhecimentos técnicos não seria capaz de identificar qualquer tipo de falha ou problema (como os descritos na Subseção 3.1.4 e no Anexo 4), caso viesse a presenciar a ocorrência de algum. Não mais do que uma dezena de representantes compareceram para conferir as assinaturas das urnas, em nome da OAB-SP.

Não há notícia de que a fiscalização da OAB tenha sido realizada noutros estados da Federação, no ano de 2004.

Mas, além disso, outra dificuldade decorria das próprias condições em que o acompanhamento era efetuado. Na etapa de validação, foi permitido um acesso bastante mitigado ao código-fonte dos programas: não era possível analisá-los com independência.

O acompanhamento, no caso, restringia-se a poder ler os códigos-fontes na tela dos computadores do próprio TSE, em uma sala de acesso restrito aos fiscais indicados pelos Partidos, OAB e MP. A OAB enviou, por vários dias, seu gerente de informática à sala restrita do TSE; mas tudo que lhe era possível "fiscalizar" resumia-se a ver, nos monitores, os códigos-fonte de cerca de 4.000 arquivos.

Poder ler o código-fonte de um sistema não é, por si só, uma auditoria ou validação técnica. Para se validar um código-fonte corretamente seria necessário ter total acesso a ele, de modo que seja possível testar, simular, inserir alterações e recompilar para verificar as consequências de situações não previstas.

Esse código-fonte, que, nas condições dadas, já não pôde ser minuciosamente conferido, foi compilado – isto é, vertido para código executável final - nos computadores do TSE, sem que qualquer auditoria pudesse ser feita sobre os mesmos.

Fazendo-se resumo crítico, não há como se ter certeza de que o código-fonte visto, que já não foi adequadamente examinado, seria o mesmo que estava sendo compilado (vide caso descrito na Subseção 3.1.10 desta Réplica).

Os programas executáveis que foram digitalmente assinados pela OAB, MP e Partidos, foram os que resultaram dessa operação, em si repleta de pontos de interrogação.

3.2.2 2006 e 2008 – O Abandono da Fiscalização Efetiva

Já nas eleições seguintes, 2006 e 2008, dadas as dificuldades vividas em 2004, optou-se por um acompanhamento mínimo, eliminando-se despesas.

A experiência de 2004 demonstrara que o acompanhamento envolvia uma relação custo/benefício desbalanceada: pode-se dizer que os custos da entidade mais o tempo dedicado voluntariamente pelos seus representantes não compensava o pouco benefício que tal tipo de fiscalização, bastante limitada, poderia trazer para a sociedade. E, em reforço do que já foi dito, a OAB não recebe verbas públicas para fazer frente às despesas impostas por este tipo de atividade.

Durante os 180 dias disponíveis para validação do software produzido, em cada eleição, não compareceu nenhum advogado membro da Comissão de Tecnologia da Informação da OAB ou técnico em informática.

No último dia, na Cerimônia de Assinatura e Lacração, compareceu um profissional técnico e, mesmo não tendo previamente estudado o código-fonte, apôs sua assinatura digital nos sistemas em nome da OAB, como apenas para cumprir a formalidade prevista em lei.

Tanto foram simbólicas as assinaturas digitais pelo técnico da OAB em 2006 e 2008, que não foi dada sequência aos procedimentos de fiscalização. A OAB não desenvolveu nenhum trabalho ordenado para a conferência das assinaturas digitais nos arquivos executáveis inseridos nas urnas eletrônicas em todo o Brasil.

Em 2008, a OAB e o MP chegaram a receber do TSE "programas próprios" verificadores de assinaturas, mas, comprovando o puro formalismo da suas participações e o abandono da fiscalização, nenhum representante da OAB ou do Ministério Público, conseguiu detectar a existência dos "arquivos sobrantes", sem assinaturas, incluídos nas 400 mil urnas eletrônicas em todo o Brasil, como citado na Subseção 3.1.4 desta Réplica.

Destarte, embora a participação da OAB seja apresentada pelo TSE como uma forma de abonar, perante a sociedade, os métodos e programas utilizados, pode-se dizer que, em 2006 e 2008, a atuação dessa entidade foi meramente figurativa, diante das limitações financeiras e das restritas possibilidades de auditagem que lhe são franqueadas.

3.2.3 Resumo das Dificuldades da OAB

Em resumo, apesar da participação da OAB na fiscalização do processo eleitoral brasileiro transmitir uma certa sensação de tranquilidade à sociedade, a experiência no acompanhamento deste processo fiscalizatório demonstrou que:

  1. tais tarefas exigem fiscais com elevado grau de compreensão tecnológica, do contrário participarão como meros figurantes, incapazes de detectar qualquer problema, mais ou menos grave, que eventualmente existisse nos programas carregados na urna eletrônica, como, por exemplo, os "arquivos sobrantes" presentes nas urnas em 2008 (vide Subseção 3.1.4 desta Réplica);
  2. o custo dessa fiscalização é elevado e a OAB não recebe verbas públicas para desempenhar essa tarefa para a sociedade;
  3. mesmo superando os dois obstáculos acima, algo que parece difícil, a eficácia da fiscalização continuará ínfima, eis que o sistema é examinado segundo as regras criadas pelo próprio fiscalizado, isto é, o TSE e seu corpo técnico;
  4. finalmente, caso ocorra uma infiltração criminosa nesse corpo técnico, determinada a fraudar as eleições, restou evidente que a fiscalização, deste modo como é feita, será incapaz de detectá-la.

Desde 2006, a participação da OAB tem sido apenas formal. Na prática, a fiscalização foi abandonada e é abusiva a exploração da imagem da OAB como participante desses procedimentos como, por exemplo, na Subseções 2.1.2, 2.1.3 e na Seção 2.2 do Relatório CMTSE, onde a fiscalização pela OAB é citada de forma a induzir que seria efetiva.

A opção do CMTSE por não ouvir e conhecer a experiência própria dos fiscais externos - dos Partidos e da OAB - levou-o a também ignorar as dificuldades aqui descritas e que, na prática, tornam ineficazes muitas das salvaguardas projetadas para a segurança das eleições.

Esse comportamento do CMTSE caracteriza mais uma OMISSÃO sua e demonstra sua dependência e sua incapacidade de criticar o discurso oficial da autoridade eleitoral.

As descrições dos casos, aqui apresentadas, revelam a ineficácia absoluta da fiscalização externa sobre o processo eleitoral, demonstrando que, atualmente, a sociedade brasileira não detém recursos para auditar o resultado eleitoral eletrônico de uma forma que seja independente dos próprios operadores do sistema.

3.3 Independência do Software em Sistemas Eleitorais

No meio acadêmico e no meio eleitoral internacional, o conceito de Independência do Software em Máquinas de Votar vem ganhando cada vez mais espaço e tem sido adotado como referência técnica.

A Independência do Software em Máquinas de Votarnão significa que tais máquinas não devam possuir software e, sim, que a auditoria da apuração eletrônica dos votos deve ser feita de forma que não dependa de confiar na integridade lógica do software das próprias máquinas.

Ou seja, a conferência do resultado e recontagem dos votos deve dar um resultado que represente fielmente a vontade do eleitor e que não possa ser afetado, qualquer que seja o estado do software do equipamento no momento da votação e da auditoria.

Esse conceito já aparecia em 2004 nas recomendações "ACM Policy Recommendations on Electronic Voting Systems[58], da ACM - Association for Computing Machinery, pioneira e maior sociedade de profissionais de informática em todo o mundo:

"Recomendações sobre Política para Sistemas Eletrônicos de Votação – Set/2004

Sistemas Eleitorais [eletrônicos] deverão permitir que cada eleitor possa conferir um documento físico (isto é, em papel) para verificar que seu voto foi gravado com precisão e para servir para uma auditoria independente do software sobre o resultado produzido e registrado no sistema.

Tornando permanentes essas gravações (isto é, não baseadas apenas em memórias dos computadores), propiciam-se os meios pelos quais uma recontagem precisa possa ser feita.

Assegurar confiabilidade, segurança e verificabilidade de eleições públicas é fundamental para estabilizar a democraciaConveniências e velocidade da apuração de votos não são substitutos para a precisão dos resultados e para a confiança do eleitorado no processo." (tradução pelo CMind)

O conceito de Independência do Software em Máquinas de Votar foi formalizado em 2006 por Ronald Rivest (MIT) e John Wack (NIST) no artigo "On the notion of software independence in voting systems" [59], declaradamente para enfrentar o problema da "complexidade e dificuldade de testar a integridade de software de sistemas de votação", onde explicitamente propõem o seguinte:

"Propomos que sistemas de votação independentes do software sejam preferidos e que sistemas de votação dependentes do software sejam abandonados."

Primeiramente, é necessário destacar e registrar a importância do matemático Ph.D. Ronald Linn Rivest no contexto do voto eletrônico.

Foram de sua concepção três inovadores e importantes conceitos de segurança que, de algum modo, permeiam os sistema eleitorais existentes e em construção, inclusive o sistema eleitoral brasileiro.

São suas principais criações e contribuições:

  • Assinatura Digital RSA (1978) – Desenvolvida para garantir a integridade de arquivos digitais e apontada no Relatório CMTSE como uma das principais salvaguardas do sistema brasileiro.
  • Three Ballot Voting System [60] (2004) – Sistema criptográfico de votação, ainda em desenvolvimento acadêmico, baseado no Sistema Chaum [61], com entrega do voto criptografado ao eleitor para que este possa conferir que o seu voto foi devidamente apurado, sem, no entanto, ter como provar a terceiros em quem ele efetivamente votou.
  • Independência do Software em Máquinas de Votar (2006) – aqui resumido e já incorporado ao Art. 5º da Lei 12.034/09, que deverá ser aplicado ao sistema eleitoral brasileiro a partir de 2014.

A técnica matemática de assinatura digital para garantir integridade de dados, foi proposta em 1978 como mecanismo de autenticação digital genérica.

Com sua adoção em sistemas eleitorais, inclusive no Brasil, Rivest verificou [62] que o uso da assinatura digital não conseguia cumprir a esperada garantia de integridade lógica do software eleitoral no momento da votação e, então, envolveu-se na criação de novas técnicas autenticatórias para essa área de aplicação, que desaguou no conceito de Independência do Software em Sistemas Eleitorais, aqui abordado.

Rivest participou dos três principais grupos de estudos sobre voto eletrônico nos Estados Unidos:

  • Membro do CalTech-MIT Voting Technology Project [63];
  • Coautor do Relatório Brennan (New York University).
  • Colaborador na elaboração das Diretrizes VVSG (NIST e US-EAC).

Nas Diretrizes VVSG, a Independência do Software foi adotada como absolutamente necessária para o credenciamento de sistemas eleitorais eletrônicos, conforme descrito nos itens traduzidos e listados no Anexo 3 desta Réplica, de onde destacamos o seguinte trecho:

"Todos os sistemas de votação precisam ser independentes do software para estar conformes com esta norma.

Um exemplo de sistema dependente do software são as máquinas DRE, que não estão conformes com estas normas.

Equipamentos de votação DEVEM criar um registro independente do voto que o eleitor possa conferir sem auxílio de software.

Atualmente, os sistemas de votação em uso oficial que podem satisfazer a definição de independência do software empregam os registros em papel conferível pelo eleitor"

4 ANÁLISE DOS ARGUMENTOS TÉCNICOS DO CMTSE

Inicia-se a análise de mérito, nesta Réplica, na Seção 4.1 apresentando-se comentários sobre os temas citados noRelatório CCJC 2007, mas que foram ignorados no Relatório CMTSE.

Em seguida, nas Seções 4.2 a 4.5, são analisados os argumentos técnicos da CMTSE, na mesma ordem em que foram apresentados, relativos à descrição das salvaguardas do sistema eleitoral brasileiro, à identificação do eleitor, à impressão do voto e às suas conclusões.

4.1 Temas Omitidos pelo CMTSE

Relatório CCJC 2007 analisou Projetos de Lei existentes na Câmara dos Deputados e propôs novos Projetos de Lei sobre os seguintes temas:

  1. Consequências da concentração de poderes no processo eleitoral brasileiro.
  2. Dificuldades práticas e falta de verba oficial para as entidades encarregadas da fiscalização eleitoral.
  3. Auditoria Independente do Software sobre a Apuração, por recontagem de 2% dos votos impressos conferíveis pelo eleitor (VICE).
  4. Uso de software de código aberto à inspeção nas urnas eletrônicas.
  5. Permissão do voto em trânsito.

Apenas o item (c) acima foi avaliado pelo CMTSE. Comenta-se, a seguir, a importância dos outros temas que o CMTSE ignorou.

4.1.1 Direito do Eleitor de Conferir o Destino do seu Voto

 

Porque gado a gente marca.

Tange, ferra, engorda e mata.

Mas com gente é diferente...

Geraldo Vandré e Theo de Barros – canção: Disparada

Relatório CCJC 2007 aborda a questão da percepção do eleitor sobre o destino do seu voto ao propor o projeto de lei para a materialização do voto, justificando da seguinte forma:

 

"A materialização deve ser entendida como a possibilidade de recontagem física dos votos, garantindo ao eleitor a conferência visual de seu voto, sem qualquer manipulação [64]....

Trata-se, enfim, de uma sistemática de fácil entendimento, mesmo para os cidadãos eleitores mais humildes, e que combina as vantagens da agilidade da informática, com a possibilidade de eventual verificação dos votos consignados eletronicamente."Dada a sua importância, esse direito do eleitor é tratado como fundamental já no parágrafo único do Artigo 1º da Constituição Federal: "Todo o poder emana do povo, que o exerce por meio de representantes eleitos ou diretamente, nos termos desta constituição".

E, para a escolha dos eleitos, agregam-se os três princípios eleitorais básicos:

  1. Direito do Cidadão Votar e ser Votado.
  2. Princípio da Inviolabilidade do Voto.
  3. Princípio da Publicidade, no processo eleitoral.

O primeiro encontra sustentáculo no Art. 14 caput e § 3ºda Constituição Federal,que resulta nas modalidades ativa e passiva de garantia ao pleno exercício da soberania popular, nos termos:

  • Direito ativo – de votar e eleger seus representantes – Art. 14 caput da CF.
  • Direito passivo – de ser votado e ocupar um cargo público – § 3º do Art. 14 da CF.

Como um dos substratos do Art. 14 da Carta Magna, tem-se que a SOBERANIA POPULARserá exercida pelo VOTO DIRETO ESECRETO, núcleo desse preceito e que permite eleições livres e honestas.

Ressalte-se que o direito ao sigilo do voto é irreversível, o que o diferencia de outros sigilos, como o telefônico ou o bancário, que podem ser revertidos por ordem judicial.

Desse núcleo se extraem a liberdade da expressão da vontade popular e os atributos essenciais do voto: SINCERIDADE, AUTENTICIDADE e EFICÁCIA.

O voto é, nesse quadro, um direito e ao mesmo tempo uma obrigação, além de selar o destino político de um povo, posto que numa democracia o poder de tomar decisões políticas está nas mãos do cidadão, que elege seus representantes.

Assim, o direito do cidadão deverá ser exercido livre e soberanamente, e sua vontade deve ser respeitada e obedecidaMas esse respeito e obediência deverá perseguir o processo até sua etapa final - a divulgação dos resultados - pois somente ali o voto preencherá os atributos essenciais, em especial o de sua EFICÁCIA.

A Soberania do Eleitor

Em 2002, os Procuradores da República Celso Antônio Três [65] e Marco Aurélio Aydos [66] já abordavam a tese da soberania do eleitor médio poder fiscalizar o processo eleitoral sem deter conhecimentos especiais.

Em defesa da fiscalização pelo homem-médio, preleciona Celso Antônio Três:

"A soberania do povo, em nome do qual todo o poder é exercido, tem no direito ao voto universal e secreto o meio de expressão da soberania popular. Tal direito carece de amplo exercício de fiscalização para sua completa efetivação. Fiscalização esta que deve ser exercida e compreendida, motu próprio, pelo eleitor comum, mediano, titular primeiro desta soberania."

Para o Ilustre Procurador, a tecnicidade do processo não deve subjugar o exercício da soberania pelo eleitor-médio:

"(...) Contudo, mesmo fosse cientificamente possível garantir a segurança técnica [do voto eletrônico], isso não seria suficiente. Impõe-se disponibilizar ao cidadão, através de suas faculdades normais, motu próprio, a possibilidade de sindicar a devida observância à sua vontade eleitoral.

(...) De que vale um poder, uma prerrogativa, desprovido dos instrumentos necessários à sua efetivação?!?!?

Soberania pressupõe poder supremo. Onde está a supremacia do povo em um processo cuja apuração não é instrumentado por mecanismos que permitam-lhe certificar-se da soberania de sua vontade?!?!?.

Soberano que não é instrumentado a fiscalizar o exercício de sua soberania não é soberano."

Em sua conclusão defende a tecnologia do processo, porém conjugada a um modelo simples de confirmação dos resultados:

"Urge conciliar a irremovível instrumentação da soberania popular com as conveniências da tecnologia. Proceder-se a votação e a apuração eletrônica, acompanhada da impressão física das cédulas, de forma a garantir a palpável, testemunhável, eventual aferição que venha a fazer-se necessária, uma das soluções."

Recentemente, em março de 2009, essa mesma tese foi acatada pelo Tribunal Constitucional Federal da Alemanha ao julgar o uso de máquinas de votar Nedap ESD1 e ESD2 - do tipo máquinas DRE sem VICE - na eleição para o parlamento em 2005.

Num longo acórdão [67], a corte suprema alemã criou jurisprudência, demarcando princípios e fundamentos sobre o uso de máquinas de votar e considerando contrário ao Princípio da Publicidade e à Constituição o uso de máquinas DRE sem Voto Impresso Conferível pelo Eleitor.

Desse acórdão da corte suprema alemã, se destaca o seguinte, de acordo com tradução para o português realizada pelo CMind:

"Princípios

2. Na utilização de máquinas eletrônicas de votar, é necessário que o cidadão, que não possui experiência especial sobre o assunto, possa controlar de forma confiável os passos essenciais da ação de votar e da aferição dos resultados.

Decisão

2. A utilização de máquinas de votar Nedap ESD1 e ESD2 [máquinas DRE sem VICE ] na eleição do 16º Parlamento Alemão não estava de acordo com o PRINCÍPIO DE PUBLICIDADE no processo eleitoral implícito no artigo 38, conjugado ao artigo 20, parágrafos 1 e 2 da Constituição.

Fundamento 111

PRINCÍPIO DA PUBLICIDADE exige que todos os passos essenciais da eleição estejam sujeitos à comprovação pública. A contagem dos votos é de particular importância no controle das eleições.

Fundamento 155

Os votos foram registrados somente em memória eletrônica. Nem os eleitores, nem a junta eleitoral ou os representantes dos partidos poderiam verificar se os votos foram registrados corretamente pelas máquinas de votar. Com base no indicador no painel de controle, o mesário só pode detectar se a máquina de votar registrou um voto, mas não se os votos foram registrados sem alteração. As máquinas de votar não previam a possibilidade de um registro do voto independente da memória eletrônica, que permitisse aos eleitores uma conferência dos seus votos.

Fundamento 156

As principais etapas no processamento dos dados pelas máquinas de votar não poderiam ser entendidas pelo público. Como a apuração é processada apenas dentro das máquinas, nem os oficiais eleitorais, nem os cidadãos interessados no resultado podiam conferir se os votos dados foram contados para o candidato correto ou se os totais atribuídos a cada candidato eram válidos. Com base num resumo impresso ou num painel eletrônico, não era suficiente conferir o resultado da apuração dos votos na central eleitoral. Assim, foi excluída qualquer conferência pública da apuração que os próprios cidadãos pudessem compreender e confiar sem precisar de conhecimento técnico especializado."

Tendo traduzido a decisão da corte alemã para o espanhol, o cientista político teuto-portenho Manfredo Koessl, em artigo no jornal argentino Clarin [68], comentou o seguinte:

"La Corte Constitucional alemana afirma algo que muchos políticos y consultores olvidan: "En la República la elección es cosa de todo el pueblo y asunto comunitario de todos los ciudadanos" y que la función del proceso electoral es la "delegación del poder del Estado a la representación popular". Por ello, su legitimidad no puede ser sacrificada en función de la comodidad de funcionarios o la ansiedad de políticos por conocer los resultados."

Assim, o Princípio da Publicidade no processo eleitoral, citado na Decisão e no Fundamento 111 acima, vem se entrelaçar ao Direito de Votar e ser Votado e ao Princípio da Inviolabilidade do Voto para compor os PRINCÍPIOS ELEITORAIS FUNDAMENTAIS.

Mas como conciliar, num mesmo processo, um princípio de publicidade e transparência com um princípio de sigilo?

Essa conciliação é propiciada pelo Registro do Voto, que é o ente que trafega entre os três princípios eleitorais para lhes dar consistência e simultaneidade.

O Registro do Voto recebe, sob sigilo, a vontade do cidadão-eleitor e a leva, sem quebrar o sigilo da identidade, para ser vista e contada em cerimônia aberta perante o fiscal do cidadão-candidato.

A Exclusão do Eleitor

Princípio da Publicidade no processo eleitoral era perfeitamente atendido no sistema de votação manual. O eleitor via o conteúdo do Registro do Voto - a cédula eleitoral – antes de ser colocada na urna. Na apuração, todos esses Registros do Voto eram abertos para serem vistos e contados perante os representantes dos candidatos.

Porém, com a adoção das máquinas DRE no Brasil em 1996, o Princípio da Publicidade no processo eleitoral eletrônico teve seu alcance restringido.

Como ressaltado pelo tribunal alemão nos Fundamentos 155 e 156, o eleitor não tem como ver ou conferir o que foi gravado no Registro Digital do Voto, porque essa gravação só ocorre DEPOIS que ele encerra sua participação ao digitar a tecla CONFIRMA e, assim, nunca terá como saber se o RDV teria registrado o seu voto conforme digitado.

Além disso, o resultado da apuração – Boletim de Urna – é calculado e oficialmente publicado sem que os fiscais dos candidatos possam antes ver cada RDV para conferi-los e contá-los [69].

O CMTSE, posiciona-se em direção contrária ao Princípio da Publicidade e desconsidera o direito do cidadão médio de entender e fiscalizar o processo, defendendo soluções tecnológicas mesmo que não compreendidas pelo cidadão comum, como em suas considerações finais na Seção 4.3, "verbis":

"O fato de que o uso de criptografia e mecanismos sofisticados tecnologicamente não serem entendidos pela maioria dos eleitores, candidatos e público em geral, não diminui os benefícios que essas ferramentas modernas trazem para a segurança das eleições."

Essa tese esposada pelo CMTSE reflete o posicionamento de seu coordenador e da própria Justiça Eleitoral. Vem crescendo como linha diretriz da autoridade eleitoral nas seis últimas eleições desde a adoção das urnas eletrônicas. Suas normatizações têm seguido uma tendência constante de desconsideração desses direitos constitucionais dos eleitores.

O argumento do CMTSE repete esse entendimento, mas fere de morte o princípio de publicidade e os direitos contidos no Artigo 14 da Constituição Federal, pois distancia-se da supremacia do direito do eleitor em ver, de forma a si compreensível, a sua vontade preservada tanto noato de votar quanto na destinação dada a seu voto,posto que é no final do processo que o voto preencherá os requisitos de eficácia, atributo essencial da obediência à vontade popular.

Com essa abordagem da autoridade eleitoral brasileira, a importância do eleitor fica restrita à obrigação de comparecer, identificar-se, votar e acreditar que seu voto foi mesmo registrado e computado, pois daí em diante vale tão somente o que o resultado eletrônico indicar.

Eficiência significa fazer um trabalho de boa qualidade e sem desperdícios. Eficácia é fazer um trabalho correto, sem erros, que atinja totalmente um resultado esperado.

Ao divulgar os resultados com rapidez, o TSE tem sido eficiente. Mas, como o eleitor não tem como conferir o apurado, entende-se que esse trabalho não alcançou o resultado esperado, não foi eficaz no atendimento ao Princípio da Publicidade,e é essa uma grande lacuna conceitualdo sistema eletrônico de votação brasileiro.

Regulamentação do Sigilo do Voto

Essa postura de descaso ao princípio de publicidade quando relacionado à soberania do eleitor, fica claramente revelada, por exemplo, na regulamentação das garantias do sigilo do voto, outro direito constitucionalmente garantido.

Para o sistema de votação manual, essas garantias estão listadas no Art. 103 do Código Eleitoral, nos seguintes termos:

"Art. 103. O sigilo do voto é assegurado mediante as seguintes providências:

I - uso de cédulas oficiais em todas as eleições, de acordo com modelo aprovado pelo Tribunal Superior;

II - isolamento do eleitor em cabine indevassável para o só efeito de assinalar na cédula o candidato de sua escolha e, em seguida, fechá la;

III - verificação da autenticidade da cédula oficial à vista das rubricas;

IV - emprego de urna que assegure a inviolabilidade do sufrágio e seja suficientemente ampla para que não se acumulem as cédulas na ordem que forem introduzidas. "

São regras simples e, para o homem-médio – cidadão comum de cultura técnica mediana -, é fácil e intuitivo compreender que, com o uso de cédulas oficiais - que não contêm identificação do eleitor -, com votação em cabine isolada e com embaralhamento dos votos nas urnas, se garante o sigilo do voto sem ferir a publicidade do registro do voto.

Porém, com a adoção, pelo TSE em 1996, do modelo Máquinas DRE sem VICE como urnas eletrônicas, apenas o inciso II acima pôde ser atendido. Os demais acabam não sendo satisfeitos.

Saliente-se que essas regras do nosso Código Eleitoral seriam perfeitamente atendidas por outro o modelo de máquinas de votar como, por exemplo, as máquinas digitalizadoras (scanners) do voto em papel [70], como as que foram usadas em 2008 nas eleições na Rússia e em mais de 30 Estados norte-americanos.

Para contornar essa impropriedade legal do modelo de urna eletrônica que adotou, a cada eleição desde 1996, a autoridade eleitoral edita instruções onde, no lugar de descrever procedimentos simples e compreensíveis para o eleitor, simplesmente declara de ofício que a integridade e o sigilo do voto estariam irrefutavelmente garantidos desde que usada sua urna eletrônica e o sistema da própria autoridade eleitoral, como no Art. 41 da Resolução TSE 23.218 de 2010, "verbis":

"Art. 41. A integridade e o sigilo do voto são asseguradosmediante o disposto nos incisos I a IV do art 103 do Código Eleitoral, devendo ser adotadas, também, as seguintes providências:

I – uso de urna eletrônica;

II – uso de sistemas de informática exclusivos da Justiça Eleitoral."

Basicamente, essa norma infra-legal do TSE acrescenta novos incisos ao artigo de lei para contornar o descumprimento da lei pelo modelo de urna que escolheu, o que já é questionável. Agrava esse abuso, o fato de que a redação desses novos incisos não permite ao cidadão comum entender como o sigilo do voto estaria garantido, pois apenas estabelece por decreto que seus próprios sistemas gerariam tal garantia.

Um partido político apresentou, agora em 2010, sugestão formal à autoridade eleitoral para que fosse incluído um Inciso III no art. 41 acima, com a seguinte redação:

"III - inexistência de conexão entre o sistema ou equipamento de identificação do eleitor e as urnas eletrônicas (§ 5º do Art. 5º da Lei 12.034/09)."

Essa sugestão visava mostrar ao eleitor médio, de uma forma fácil de entender, que o sigilo do voto digital seria garantido pelo fato de não existir nenhuma conexão lógica ou eletrônica entre o equipamento que será usado para identificar o eleitor e a máquina que registra o seu voto, impossibilitando que a identidade do eleitor e seu voto pudessem ser correlacionados, como estabelece o § 5º do Art. 5º da Lei 12.034/09.

Mas, valendo-se do poder de normatizar sobre seu próprio ato administrativo, o TSE ignorou essa sugestão sem apresentar nenhuma justificativa e, na eleição de 2010, o administrador eleitoral, mais uma vez, não vai separar os equipamentos de identificar o eleitor da máquina de votar, como agora pede a lei, ampliando a brecha para a fraude do Voto-de-Cabresto-em-massa, descrita na Subseção 3.1.1 desta Réplica.

Pela óptica da autoridade eleitoral, se o sigilo do voto será mesmo mantido ou se o voto será ou não computado corretamente, não cabe ao eleitor compreender como ou porque. Nessa sua norma, simplesmente estabelece por decreto que o modelo de sistema que adotou garante o sigilo do voto. Ao eleitor e candidatos resta aceitar sem questionar.

A Posição dos Partidos na Regulamentação Eleitoral

No bojo do desinteresse do TSE em dar guarida e, em consequência, eficácia ao direito e soberania do eleitor, também acaba inserindo um constante descaso aos direitos dos candidatos. agentes têm que estar sob a tutela de partidos, que têm sido forçados a absorver e cumprir as decisões unilaterais impostas pelo administrador eleitoral.

Como no exemplo acima, pode-se observar que a postura do administrador frente aos agentes passivos do processo é sempre de defesa ao absolutismo de suas ideias, soluções e decisões. Não se vê uma parceria ou conjugação de interesses, mas sim um antagonismo, onde ao administrador interessa terminar as eleições com eficiência.

A busca pelo requisito da eficácia é tida como uma interferência não desejada, que pode pôr em risco a confiança no processo, torná-lo lento ou macular sua veracidade.

Reitera-se, por pertinente, que autoridades eleitorais de mais de 50 Nações aqui estiveram para conhecer nosso sistema eleitoral eletrônico, mas do conhecimento adveio a rejeição por todos ante a falta de segurança imanente à ausência de instrumentos de rastreabilidade e auditabilidade material do voto, ou seja, instrumentos que permitam ao eleitor comum, ao final, conferir se o voto cumpriu o seu requisito de eficácia.

Contextualizando tais alegações, tome-se como exemplo da condição de exclusão dos Partidos Políticos perante a administração eleitorala recente decisão expressa na Resolução TSE 23.090/09, sobre os testes de segurança nas urnas eletrônicas.

Os testes tiveram origem na petição PET TSE 1896/06, de maio de 2006, onde dois partidos políticos solicitaram a realização de experimentos para testar, perante uma comissão deliberativa independente, a eficácia do voto dado pelo eleitor. Em maio de 2008, um terceiro partido aderiu e, em conjunto, pleitearam indicar membros da comissão deliberativa, sem o que entenderiam indeferido o pedido inicial.