O Congresso Nacional coloca em pauta nesta terça-feira (10) o Projeto de Emenda Constitucional (PEC) 135/2019, que garantiria o ‘voto impresso’ já nas eleições de 2022. O projeto, de autoria da deputada Bia Kicis (PSL-DF), é de 2019, e prevê que, após o voto na urna eletrônica, o voto seja impresso em uma urna a parte para conferência. Para apoiadores, esta seria uma forma de auditar as eleições. Segundo o secretário de tecnologia da informação do Tribunal Regional Eleitoral de Mato Grosso (TRE-MT), Luis César Darienzo Alves, no entanto, o processo eleitoral brasileiro tem diversos pontos de audição e checagem, e caso a PEC seja aprovada e colocada em vigor, as eleições seriam mais demoradas, menos seguras e, inclusive, menos acessíveis.
Leia também:
Emanuel afirma que Bolsonaro tem razão, mas voto impresso não é pauta urgente
Leia a íntegra da entrevista de Darienzo ao Olhar Direto:
Olhar Direto: De que forma a urna eletrônica é auditável?
Darienzo – Quando falamos em processo eleitoral, isso é uma coisa importante de observámos, a segurança das eleições não é só a urna eletrônica. Cada país quando constrói seu processo eleitoral, ou com urna eletrônica, ou com votação impressa ou voto em cédula, existe um processo por trás, e no Brasil não é diferente. O processo de votação brasileiro começa, a primeira fase, na parte do teste físico de segurança. Uma vez que nós desenvolvemos o código das urnas que vai apoiar a eleição, nós abrimos esse código para a comunidade, e isso envolve partidos, Ministério Público, Justiça Federal, OAB e membros da Sociedade Brasileira de Computação para auditar esse código, conhecer esse código, e tentar, durante uma semana, invadir esse código, tentar achar falhas nesse código, com dois objetivos: o primeiro de alterar o resultado da eleição, e segundo de quebrar o sigilo de voto.
Uma vez feita essa etapa, as melhoras propostas são revisadas pela Justiça Eleitoral, e os investigadores voltam ao TRE posteriormente para verificar se aquela falha que ele havia identificado foi corrigido. Feito essa parte, esse software vai para uma cerimônia que nós chamamos de ‘Lacração de Software’. (...) São gerados números numa equação matemática que mostram o estado atual do código, do código fonte e dos programas que vão para a urna. Então se alterar qualquer vírgula, qualquer ponto nesse código, esse número muda totalmente. E isso é feito em todos os softwares utilizados na eleição. A partir desse momento que eu gero esse código eu consigo ver a qualquer momento se esse software que estou executando é o mesmo ou não que foi lacrado e assinado pelos partidos políticos, pelo TSE, pelo Ministério Público. Então gera-se esse número, e uma vez gerado este número ele é assinado digitalmente pelos partidos políticos, pelo Ministério Público. E essa assinatura é exatamente igual a que fazemos em documentos, então é possível comprovar que aquela entidade assinou aquele software.
Olhar Direto – Então há um acordo antes?
Darienzo – Sim. Os partidos políticos, o Ministério Público e etc. fazem a auditoria nesse software por 180 dias e ao final desses 180 dias eles assinam o código para dizer, olha, realmente esse código foi o que nós auditamos. E é gerado esses números que facilitam a verificação. Então no momento em que se troca esse software dali para frente, esses números não batem mais. E esses números vão se vincular na auditoria de teste de integridade no dia da eleição. Então na véspera da eleição nós sorteamos três urnas para votação paralela e três urnas para auditoria de teste de integridade.
O que é o teste de integridade? Antes de começar a votação na sessão eleitoral, a junta eleitoral imprime da urna estes números, e compara com o que foi enviado lá atrás na cerimônia de lacração de software, para mostrar que aquele software que está rodando naquela urna foi o que foi assinado por todos que participam do processo eleitoral. Então, se neste período alguém tivesse alterado esse software, apareceria na auditoria.
A votação paralela tem um outro objetivo que é demonstrar que o software soma corretamente, ele faz a apuração corretamente. Então no sábado nós sorteamos essas urnas, essas urnas são retiradas das sessões eleitorais (...) isso acontece no país todo, e essas votações são supervisionadas. Então os eleitores são reais, os candidatos são reais, o software é real e é o mesmo usado na eleição, e durante o dia os partidos políticos, os fiscais vão votando nessa urna, vota-se no papel e também na urna, transmite-se isso via Youtube e ao final do dia esses votos são somados, mostrando que o que foi votado no papel é o mesmo que a urna está computando.
Então fica provado, olha, o software foi auditado por 180 dias, eles entenderam que esse software está íntegro,
assinaram esse software, e aí nós mostramos na auditoria que esse software assinado foi o mesmo do sistema, e também mostramos que ele soma corretamente os votos como deveria somar. E entre essas duas fases, a lacração, a votação paralela e o teste de integridade, existe uma cerimônia [para] carregar os softwares oficiais para a urna, então esse software que foi assinado é carregado nas urnas em uma cerimônia pública (com a presença de juiz eleitoral, Ministério Público, fiscalizado partidos políticos) e a urna é lacrada. Então toda abertura que a urna tem é colado um lacre e esse lacre é assinado pelo juiz eleitoral, então se esse lacre for retirado, for rompido, assim como lacre de garantia, ele aparece como rompido. Qual é o princípio dessa cerimônia? Primeiro é colocar os dados oficiais na urna, porque até o momento ela está vazia.
OD – Isso é feito com todas as urnas, então...
Darienzo – Com todas as urnas e é uma cerimônia pública. A sociedade pode participar e os fiscais participam da fiscalização para ver se ela é feita de forma correta. E qual é o objetivo de lacrar as urnas? Para que não haja contato físico com a parte interna das urnas. Porque quando é feito aquele teste físico de segurança no começo, muitas partes das urnas são retiradas. Os atacantes podem abrir a urna, tirar pedaços, peças da urna e tentar fazer testes, o que é bom para o processo para que nós possamos analisar novas tentativas e coibir essas ações, mas numa eleição oficial essa urna não é aberta, não pode ser retirados equipamentos dela, e esses lacres que garantem essa integridade.
Feito todo esse processo, quando nós chegamos ao final da votação no domingo a urna apura os votos, esses votos são somados pela urna, e ela emite o boletim de urna, que é entregue pelos partidos políticos, pela fiscalização, afixado na porta da sessão. Esse boletim tem um QR Code, então a pessoa que queira fazer uma somatória, independente da central, pode escanear esse QR Code e fazer essa somatória. E isso, inclusive, partiu de uma iniciativa de um projeto de um investigador do teste de segurança, [que sugeriu] para colocar o QR Code, e uma vez feito isso, esses boletins de voto também são transmitidos para o TSE para totalização.
Os boletins que são recebidos nesse sistema de totalização – que é desenvolvido totalmente separado dos sistemas que rodam dentro da urna – publica também esses boletins na internet. Então nós passamos para outra fase de auditoria, que é o processo de comparar o que foi recebido para somar com o que está impresso lá na porta da sessão, que os partidos puderam fiscalizar. E com esse conjunto de ações nós fechamos a auditoria que ocorre durante a eleição. Após isso todas as urnas utilizadas na eleição – sejam elas oficiais ou de ‘back up’ – ficam disponíveis para auditoria por 60 dias, [se precisar] prorroga-se esse prazo. Todas as urnas são entregues para auditoria, podendo se retirar de dentro da urna o que a gente chama de ‘registro virtual de voto’, que é como se fosse uma cédula que a gente usava antigamente. Então é possível fazer uma recontagem delas para verificar se a votação bateu. E com isso a gente fecha o processo de integridade eleitoral.
OD – Nestes anos trabalhando no TRE, quais problemas você já presenciou que aconteceu em urnas, e quais são os problemas mais comuns de acontecer em uma eleição?
Darienzo – As urnas são equipamentos eletrônicos, então da mesma forma que um computador estraga a urna também apresenta problema de equipamento, de hardware. (...) A urna, na Justiça Eleitoral, pela quantidade de urnas que temos no Brasil, são 530 mil urnas, nós trocamos 1/10 por ano (claro que não acontece todos os anos, porque não usamos todos os anos), mas a urna tem um tempo de vida de dez anos. São dez anos rodando eleições regulares e suplementares e também apoiando algumas instituições que fazem eleições comunitárias. Então esse equipamento vai se desgastando. Em 2018 tivemos uma situação em que uma peça metálica do teclado quebrou, o modelo dela era 2009, e esse metal rodava dentro do teclado, então dependendo do impacto que dava na tecla ele podia ter contato com outras teclas. Era um problema que se detectava rapidamente, porque a pessoa que ia votar percebia a falha e ela era rapidamente substituída. Então o processo de substituição de urna é normal de acontecer, apesar de ser pouquíssimas urnas substituídas, e nós trabalhamos com uma contingência. Em Cuiabá, por exemplo, há 10% de contingência para esses casos.
OD – E geralmente quantas dão problema? Tem uma porcentagem?
Darienzo – É bem baixa, menos de 1%. Cerca de 0,5%.
OD – E quando acontece isso ainda é possível computar os votos que já foram feitos naquela urna naquele dia?
Darienzo – Sim. Nós temos um processo que, uma vez que eu já computei os votos em uma urna e passo para outra, esses votos são transferidos para a urna seguinte, existe um processo para não perder esses votos.
OD – Você consegue passar as informações do software...
Darienzo – Os votos. Ele ao final é mudado para uma outra urna, então você substitui literalmente a urna, as mídias também são substituídas, e aí temos dois processos, a substituição dentro da própria sessão eleitoral, quando acontece nós substituímos as mídias e aí isso também é feito uma cerimônia pública com a Justiça Eleitoral, os fiscais também acompanham o processo, então a mídia que já foi computada em uma urna passa para outra. E pode acontecer, no final do dia, por exemplo, de nós não conseguirmos obter na memória de transmissão os votos. Eles estão dentro da urna mas não é possível colocá-lo na mídia para transmitir para totalização. E aí existe também um processo que a junta apuradora executa a transferência do boletim de urna para uma nova urna para gerar os dados para transmissão. Então todos esses processos, toda vez que acontece uma falha prevista, uma falha de hardware, algum equipamento que dá problema, existe um ponto no processo que trata essa falha. (...). Então no momento não existe a execução de uma substituição ou qualquer tratativa em cima de urna, o que não seja acompanhada pelo processo de fiscalização.
OD – As urnas não são ligadas à internet e nem uma à outra. Como esses votos chegam ao TRE e ao TSE e como são apurados, se não há um envio pela internet?
Darienzo – Temos duas situações. A primeira é a apuração, que acontece na própria urna. Ao final do dia ela mesma soma seus votos que recebeu, e emite aquele boletim de urna com o resultado dela. Uma segunda fase é a totalização, quando somamos a apuração de todas as urnas. Ao final do dia a urna emite também uma via digital, uma espécie de um pen drive específico para a Justiça Eleitoral, com característica própria de identificação, e ela emite esse boletim de urna de forma digital nessa mídia. Esse boletim digital vai para o transporte. Qual é o trabalho desse sistema? Estabelecer uma conexão confiável até a justiça eleitoral, e envia esse boletim de urna.
Temos duas situações: o boletim de urna que sai da urna eletrônica é assinado, criptografado pela própria urna. Se no meio do caminho após ser colocado esses dados nessa mídia eu tiver acesso a esses dados, eu não consigo abri-los. Você precisaria da própria chave da urna para fazer isso. E aí então esses lotes são transmitidos para o TSE. Nessa transmissão temos dois pontos: ou ele vem normalmente pela rede da Justiça Eleitoral, então essa mídia vai para o cartório eleitoral e via rede interna ele vai até o TSE (...) ou quando o local é muito distante - e aí a janela de tempo de transmissão é importante, porque quanto mais tempo nós temos de transmissão, mais tempo tem para sofrermos ataques, por isso tentamos fazer no menor tempo possível. Aí entra uma segunda plataforma que isola o equipamento que ela está rodando, então se eu vou usar a máquina de uma escola, um computador de uma escola, eu coloco um sistema próprio da Justiça Eleitoral, que independente do sistema daquela máquina. Ele blinda a plataforma da Justiça Eleitoral, para que não tenha contato com o sistema daquela máquina. Uma vez feito isso ele cria um turno pela internet até a rede da Justiça Eleitoral. Essa tecnologia é a mesma que nós usamos para acessar bancos, por exemplo. E posteriormente esse sistema de transporte envia esse boletim de urna que também está criptografado pela urna eletrônica. Então temos várias camadas de embaralhamento de dados que dificultam muito a retirada desses dados durante o transporte. E mesmo que alguém conseguisse em algum momento abrir esses dados, uma vez que se muda esses dados precisa, novamente, da assinatura da urna. Então você não tem mais a conta inicial que é a urna que gerou aqueles dados. Então é feita uma cadeia, do início do processo eleitoral até o fim.
OD – Como funciona em lugares muito distantes, como aldeias indígenas? Essa mídia é transportada até o TRE em Cuiabá?
Darienzo – Ela é transportada para o cartório eleitoral. Em locais como aldeias indígenas, em que o tempo de deslocamento é muito grande e muitas vezes você só chega lá por aeronaves, nós usamos satélites para transmissão. Então a urna emite a via digital do boletim, nós subimos nessa plataforma segura, estabelece uma conexão segura com o tribunal e aí esse boletim vem para ser digitalizado. Aí toda a urna, o material, esse material todo se desloca depois para o cartório eleitoral e fica naquele período de guarda. É um processo que ocorre de forma paralela.
OD – Se for aprovada a lei do voto impresso e isso for implementado no ano que vem, quais seriam as dificuldades que o TRE teria na instalação e quais são os riscos de erro de uma urna que imprime?
Darienzo – A maior dificuldade para execução do voto impresso é o processo de construção da impressora. A urna eletrônica, diferente do que tem se pregado, passa pelo processo evolutivo normal. Então a urna que nós usamos na eleição de 2020 é muito diferente da que foi criada inicialmente no início dos anos 2000. Então ela vem sofrendo processo evolutivo grande. Hoje, por exemplo, quando vemos o teclado da urna, quando se digita o número de um candidato no teclado, esse dado sai do teclado já protegido. Então mesmo que alguém conseguisse entrar na urna eletrônica, entre o caminho do teclado até o sistema da urna, ele não conseguiria enxergar qual informação estava passando. Então a urna não é um equipamento comum de mercado, ela é projetada pela Justiça Eleitoral brasileira. Da mesma forma, essa impressora também deveria ser projetada pela Justiça Eleitoral brasileira para garantir a integridade. O trânsito de dados entre a urna e a impressora precisa ser protegido. Então essa impressora precisa ser capaz de receber os dados como se fosse o acesso de internet para o banco, todo o sistema precisa ser blindado.
Então temos que projetar essa impressora – um pré-projeto dela já existe porque nas eleições de 2018 existia esse projeto, que foi aprovado e depois considerado inconstitucional – esse projeto existe, chegamos a licitar um conjunto de impressoras, baseado na lei daquela época que é um pouco diferente da lei atual, e aí temos o processo fabril da própria impressora, então temos que passar por uma licitação pública, com o tempo previsto no processo licitatório, e uma vez que tivéssemos uma empresa vencedora, primeiro ela teria que fabricar um protótipo e homologar o teste, teria que montar a linha de produção para 530 mil impressoras, isso também tem um tempo, e aí nos entregar essas impressoras para que fossem feitos testes, distribuição para todos os tribunais, para que pudesse ser entregue nas sessões eleitorais. Então o prazo para se executar todas essas etapas é curto, mas tudo depende muito de quando a lei, se for promulgada, seja promulgada, e depois o processo licitatório. (...)
E com relação à segurança, o voto impresso foi criado na literatura para auditar a votação independente do software. Então alguns países não possuem essa cadeia toda de custódia que o Brasil possui, não têm uma instituição que cuida do processo do início ao fim. Então muitos deles alugam urnas, por exemplo, e aí, lógico, é preciso um sistema independente do software, porque eu estou alugando um equipamento e preciso auditar aquele equipamento. Então o voto impresso tem esse viés de auditoria independente do software. A nossa auditoria, no Brasil, permite a auditoria do próprio software posteriormente, então o voto impresso tem várias formas de ser implementado no Brasil. Tem a possibilidade de ser uma fase de auditoria, por exemplo, em um número de urnas, ou como o projeto prevê, a implantação ampla em todas as urnas.
O ponto falho do voto impresso: nós temos um ponto falho de segurança e um ponto falho de usabilidade. De usabilidade, nós retiramos o uso de pessoas que têm dificuldade de visão, de enxergar, de ter acesso àquele meio. Hoje a urna, por exemplo, tem braile nas teclas e também tem fone de ouvido que lê o que está na tela para aquela pessoa. Da mesma forma quando imprimimos a pessoa que tenha deficiência visual não será possível a identificação, então temos esse problema para mais ou menos 1,5 milhão de pessoas, que, de acordo com o cadastro eleitoral, tem problema de visão.
E um segundo problema é a custódia dos papeis. Quando nós imprimirmos isso em 530 mil urnas, estamos falando que todas as sessões eleitorais do país terão urnas com voto em papel armazenado. Então garantir que essas urnas não sejam violadas em momento algum e que elas se mantenham íntegras, inclusive não sendo desviadas, é bastante complexo no Brasil, porque o Brasil é muito grande, temos diferentes realidades no Sudeste, Norte, Nordeste, Centro-Oeste. Temos o caso de Cuiabá, que é mais fácil, temos locais a mil quilômetros de Cuiabá, que são 24 horas de deslocamento do local até a Zona Eleitoral, e em todo o trajeto
Sempre que passamos por um processo de contagem manual, independente do que estamos contando, a qualidade da contagem é inferior a uma contagem eletrônica, por isso que bancos utilizam robôs para fazer sua contagem, não se conta mais manualmente
tem que ser garantida essa integridade. Então o voto em papel, sempre que colocamos o voto numa mídia externa, a custódia dele se torna a dificuldade. E um segundo ponto que a PEC torna menos seguro o processo é que a apuração dos votos é manual. Sempre que passamos por um processo de contagem manual, independente do que estamos contando, a qualidade da contagem é inferior a uma contagem eletrônica, por isso que bancos utilizam robôs para fazer sua contagem, não se conta mais manualmente. Então quando colocamos a votação impressa como principal fonte de apuração principal, colocamos toda a falha da contagem humana sobre esse processo. Então nesse caso acaba reduzindo a segurança do processo eleitoral como um todo.
OD – E dá para ter uma ideia de quanto atrasaria a apuração e a somatória dos votos como um todo?
Darienzo - Passaríamos de algumas horas, porque hoje temos eleições que acabam 17h e em torno de 23h temos resultado no Brasil todo (em alguns casos acaba ficando até 6h, 7h do dia seguinte quando temos locais de difícil acesso. Que muitas vezes não vai impactar no resultado final, mas ainda não encerra), passaríamos para algumas semanas de contagem, como era antigamente. Da mesma forma que tínhamos antigamente a contagem de cédulas que demorava muito, porque era contagem humana, da mesma forma teremos com o voto impresso. A única diferença da forma de antigamente para agora é que o nome não está mais escrito no papel, então é mais fácil de identificar, porque está impresso. Mas voltaríamos à contagem manual, às mesas apuradoras, a contagem seria feita nas sessões eleitorais, então estamos falando de cada sala, cada sessão eleitoral contar em torno de 400 a 500 votos, isso na presença dos fiscais e da população, o que torna o processo mais difícil. Nós teríamos em uma escola, em um local de votação, 20 / 30 apurações simultâneas. E hoje quando nós olhamos, por exemplo, a Justiça Eleitoral cria as juntas apuradoras nas eleições, é essa junta apuradora que faz esse processo de auditoria (...) e é ela também, quando tem problema em urna, que atua. Então temos um controle maior quando se tem um apoio eletrônico, um apoio de tecnologia. Quando vai para o papel, nós teríamos que ter N juntas apuradoras para acompanhar isso tudo. Então a fiscalização se torna mais complexa porque você distribui a apuração.
OD – E neste caso de voto impresso, como seria o envio dos boletins de locais distantes?
Darienzo – É claro que a gente sabe que ter ou não ter voto impresso é uma questão política, e naturalmente caberia ao TSE regular como executar isso, e isso ainda não está pronto. Mas uma possibilidade seria votar esse voto manualmente no local distante – como é o caso de aldeias indígenas – e aí ao final disso usar a urna para gerar um boletim com a totalização para transmitir para se totalizar ao final. Então faria a apuração manual, tendo um resultado usaria a urna para colocar esse resultado da soma nela, e ela emitiria essa via digital num boletim, e esse boletim seria transmitido. É claro que teríamos o tempo da contagem lá também.
