Opinião

Voto impresso e segurança eleitoral

Existe uma falsa impressão que o voto impresso traz mais segurança à eleição. Quem garante que uma pessoa com um alicate comum não rompa o lacre dos votos para intencionalmente invalidar uma urna de um reduto adversário? Imaginem só a logística para assegurar que 150 milhões de papeizinhos armazenados em 500 mil urnas não sejam fraudados na impressão (sim, impressoras quebram), transporte, guarda e apuração?

Para aqueles que estiverem interessados em saber mais sobre o assunto, fiz uma análise de riscos e pontos críticos de controle, comparando o sistema atual (puramente eletrônico) com o sistema híbrido (eletrônico mais impresso). Não chega a ser uma HACPP, mas tem aspectos interessantes.

Aviso: não inclui nessa análise questões político-conspiratórias, procurei focar apenas nas questões técnicas.

O processo eletrônico

Para começar, é importante compreender como se dá o processo de instalação do software em urnas eletrônicas e apuração dos resultados dos votos. A sequência abaixo é um resumo desse processo:

1) O programa é elaborado pelos técnicos do Tibunal Superior Eleitoral (TSE)

2) É gerada a versão master do programa

3) A versão master é transmitida aos tribunais regionais eleitorais (TREs) em canal exclusivo

4) Os TREs gravam mídias* com cópias do programa

5) As mídias são espetadas nas urnas para a instalação do programa

6) Os eleitores votam eletronicamente

7) Por amostragem, em alguma seções ocorre também votos em papel, além do eletrônico

8) Ao final da votação, é feita a impressão em papel dos resultados consolidados da urna

9) Os votos são copiados da urna para uma outra mídia nela inserida

10) As mídias são inseridas nos computadores dos TREs

11) Os TREs transmitem os votos ao TSE em canal exclusivo

12) O TSE faz a totalização dos votos

*para facilitar a compreensão, a mídia citada é uma espécie de “pen drive”

Em tese, pode haver fraude em qualquer um dos pontos, mas do ponto 8 em diante, o processo pode ser facilmente auditado, comparando-se os dados do TSE com as impressões feitas nas urnas.

Fraudes em votos digitais

A fragilidade para a qual a impressão do voto poderia trazer mais segurança refere-se às etapas anteriores, que implicam em haver urnas com softwares maliciosos inseridos. Esses softwares fariam o “swap” dos votos, ou seja, o eleitor vota em A, mas o voto vai para B.

Para que isso seja possível, hackers teriam que fazer os seguintes passos:

a) Obter uma cópia do programa master

b) Quebrar a criptografia do programa

c) Alterar o programa para incluir o swap de votos

d) Assegurar que o programa alterado seja compatível com as chaves criptográficas das urnas

e) Copiar o programa alterado para mídias falsas

f) Fazer com que as mídias falsas sejam usadas na urna

Vale notar que os passos “b” a “e” são tipicamente de hackers e demandam avançados conhecimentos técnicos para serem executados, principalmente por que a cada eleição o sistema ganha novas camadas de proteção a partir dos resultados dos chamados “TPS – Teste Público de Segurança”. Os TPS são eventos organizados pelo TSE em que são convidados especialitas em segurança para testar as vulnerabilidades dos sistema.

Mais informações sobre os TPS podem ser obtidas em https://www.justicaeleitoral.jus.br/tps/. Vale a pena também assistir a entrevista do Prof. Pedro Barbosa, da Universidade Federal de Campina Grande, que participou desses testes (https://www.youtube.com/watch?v=rdxtAUPDC_w), bem como a palestra do Prof. Diego Aranha, da Universidade de Brasília (https://www.youtube.com/watch?v=0bAuf4osADg). Os resultados dessas análises podem ser acessados em https://urnaeletronica.info/.

Já os passos “a” e “f” não são de hackers e demandam o envolvimento de “alguém de dentro”, ou seja, de funcionários da Justiça Eleitoral. Sem o envolvimento de alguém de dentro, não há como os hackers obterem uma cópia do programa master e muito menos introduzirem a cópia maliciosa nas urnas, já que não há como instalar o programa remotamente. Ou seja, alguém terá que necessariamente ter contato físico com a urna para fazer a instalação. Essa instalação maliciosa pode ser feita intencionalmente, por algum funcionário envolvido no esquema, ou sem intenção, se algum outro funcionário envolvido tiver trocado os “pen drives” previamente, ou permitido a troca por terceiros.

Além disso, a etapa 7 do processo descrito incialmente cria uma complicação adicional. Se nessa amostragem houver uma urna violada, a votação em papel será diferente da eletrônica e a fraude será detectada. Há formas, porém, do software “saber” que está sendo auditado e evitar essa detecção, mas para isso seria necessária uma logística muito complexa, pois o primeiro eleitor teria que estar envolvido no esquema, digitando uma certa sequência no teclado, ao invés de seu voto, “avisando” o software que ele será auditado.

Resumindo, a fraude pode existir, mas não é simples. Além disso, necessariamente demanda o envolvimento de gente de dentro, o que é claro que pode também acontecer.

Fraude em votos impressos

Para criar um processo de auditoria do voto eletrônico, uma solução seria a impressão do voto, o chamado “sistema híbrido”. Primeiramente, é importante definir o que é o sistema híbrido (eletrônico mais impresso). Nesse sistema, o eleitor escolhe seu candidato e aparece o voto impresso sob um vidro protetor. Se o eleitor confirmar, a bobina do papel é cortada e o voto cai na urna. Se não confirmar, esse voto é descartado e o processo começa novamente. Ou seja, o eleitor não tem acesso à impressão e não sai da cabine com nenhum recibo em quem votou, isso seria um risco ao “sigilo do voto”. Pelo mesmo motivo, o registro impresso não pode ficar num papel contínuo, os votos precisam ser destacados para que a urna possa ser “balançada” antes de ser aberta e dar algum nível de embaralhamento.

A Folha de São Paulo publicou uma reportagem que contém o histórico do Brasil no que se refere aos votos impressos (https://www1.folha.uol.com.br/poder/2021/05/testado-em-2002-voto-impresso-causou-confusao-e-tornou-urna-eletronica-vulneravel-a-fraude.shtml).

Entretanto, a impressão dos votos considera apenas a questão da urna em si, não leva em consideração a fragilidade dos próprios votos impressos. Se esse sistema for implantado, cada uma das cerca de 500 mil urnas eletrônicas existentes terá um compartimento com aproximadamente 300 votos cada, totalizando 150 milhões de papeizinhos circulando pelo país. Esses papéis precisam ser impressos, transportados, guardados e apurados. Em cada uma dessas etapas pode haver uma fraude.

Ao instalar um componente mecânico nas urnas, é razoável supor que nem todas funcionem perfeitamente. Numa perspectiva otimista, se apenas 1% das urnas tiver problemas durante a impressão, serão 5 mil urnas e aproximadamente 1,5 milhões de votos comprometidos.

No transporte e guarda das urnas, será necessário criar uma complexa logística de segurança. Admitindo que seja possível guardar as urnas em lotes de 50 em média, serão necessários 10 mil pontos de armazenamento, com fiscais, policiais e técnicos do TSE. Se alguma dessas pessoas estiver envolvida em um esquema ilegal, o acesso às urnas será relaxado permitindo a fraude no compartimento dos votos impressos. Não difere, assim, do processo puramente eletrônico, no que se refere à necessidade de “alguém de dentro”, mas esse processo de fraude é bem mais simples, não demanda hackers e conhecimentos técnicos, basta um alicate para romper o lacre.

Por fim, em eventuais apurações dos votos impressos, em um país com a dimensão do Brasil e pontos ermos e distantes, a segurança do processo será um desafio. Se houver “alguém de dentro” envolvido, a fraude é mais simples ainda, não precisa nem do alicate. Quando houver um descuido dos fiscais dos partidos, bastará o auditor sumir com algum voto impresso, para registrar que há inconsistência, quando não houver, ou omitir a inconsistência, quando houver.

Fraudes digitais em votos impressos

Além desses tipos de fraudes, os votos impressos também estão sujeitos a fraudes digitais. Um software malicioso, por exemplo, pode ser instalado por hackers, usando os passos descritos anteriormente, para que as urnas intencionalmente registrem discrepâncias entre o impresso e o digital em redutos adversários e sejam, assim, injustamente invalidadas.

Outra possibilidade é o software malicioso imprimir o voto e exibir ao eleitor, que confirma. Em seguida, sem o eleitor perceber, o software anula o voto, imprime um outro voto para outro candidato e deposita diretamente na urna, sem pedir confirmação.

Esse tipo de voto impresso é denominado VVPAT – Voter-verified paper audit trail. Um interessante artigo sobre VVPAT, com seu histórico, problemas e implicações pode ser visto aqui: https://en.wikipedia.org/wiki/Voter-verified_paper_audit_trail .

Outros países

O IDEA – Institute For Democracy and Electoral Assistance – possui uma ferramenta que permite pesquisar as tecnologias utilizadas por diversos países no mundo (https://www.idea.int/data-tools/data/icts-elections). Essa ferramenta mostra que 17 países usam urnas eletrônicas sem voto impresso ou com voto impresso apenas parcialmente, dentre elas EUA, México, França, Índia, Peru e Rússia.

Nos EUA, há 20 estados que usam urnas eletrônicas (Direct recording electronic – DRE), dos quais 9 não imprimem o voto (https://ballotpedia.org/Voting_methods_and_equipment_by_state).

Como o voto impresso gera custos e desafios operacionais, alguns países, como a Índia, optam por implantar esse sistema em apenas parte das urnas, pelo critério de amostragem

(https://economictimes.indiatimes.com/news/elections/lok-sabha/india/what-is-vvpat/articleshow/68667136.cms).

Conclusão

Em sociedades mais estruturadas, a hipótese de fraude eleitoral, seja qual for o método, é mínima, para não dizer negligenciável. No Reino Unido, onde o voto é impresso, é feita a marcação a lápis e não é necessário apresentar nenhum documento para votar. Em Portugal, assim como em vários outros países, pode-se votar pelo correio. Na Austrália e na Nova Zelândia é possível votar pela Internet.

O Brasil, infelizmente, não goza dessa situação e tem um passado de fragilidades, desde os “votos de cabresto”. É saudável, assim, buscar iniciativas que tornem o processo eleitoral mais seguro e confiável.

É compreensível, assim, que algumas pessoas considerem intuitivamente que a impressão do voto seja uma medida efetiva para mitigar o risco de fraudes digitais. Todavia, a introdução do voto impresso resolve uma fragilidade, mas cria outra maior. Conforme descrito anteriormente, a impressão dos votos não impede que hackers continuem seus ataques e a logística dos votos impressos expõe novas vulnerabilidades ao processo.

Resumindo, a implantação do voto impresso para mitigar riscos digitais é o mesmo que tampar o furo de uma piscina de vinil, usando um pedaço de lona da mesma piscina, fazendo um furo ainda maior.

Maurício Garcia

Maurício Garcia é cientista digital. Durante quase 40 anos de carreira profissional, atuou em diversos grupos educacionais públicos e privados em vários países. Atualmente, pesquisa tecnologias ligadas à inteligência artificial e análise de dados, auxiliando instituições, empresas e organizações a inovar e se transformar digitalmente, tanto no Brasil, quanto em outros países como Estados Unidos e México. É Mestre e Doutor pela Universidade de São Paulo e MBA pela Fundação Getúlio Vargas. Realizou projetos, cursos e estágios em instituições como a Universidade de Milão, a Escola Nacional de Alfort em Paris, a Universidade de Montreal no Canadá e a Universidade de Stanford nos Estados Unidos.

Artigos relacionados

2 Comentários

  1. Bem, o principal motivo do voto impresso é para que a auditoria possa ser feita pelo próprio eleitor: Um pressuposto básico do sufrágio universal em reais democracias. A verificação pelo eleitor também é pressuposto, no que é insubstituível. E é pressuposto tbm que os voluntários legais (mesários, presidente de mesa, e fiscais dos partidos) participem, independentemente de ser apenas voto eletrônico ou hibrido: Sem este pessoal nenhuma eleição funciona; é parte da democracia. Como é parte da democracia ter custos associados com impressora, e logística e segurança. Alias ja aprovado desde 2002, e ilegalmente alterada por quem não tem voto, e que deveria se preocupar com a constitucionalidade da lei, e não forma de implementação. Quanto ao voto descartado por inconformidade na hora da auditoria feita pelo eleitor. Humildemente discordo do autor. O voto que não passar pela auditoria será descartado mesmo, e o eleitor poderá sim votar de novo, porque a a legislação prevê que o processo só termina depois de validado/auditado pelo eleitor, e não depois do FIM no processo eletrônico, como é hoje. Assim, existirão duas validações, (A) fim de voto eletrônico, e (B) confirmação, para que a votação seja efetivamente terminada. Ou seja, Irá dar problema sim, e será resolvido, lembrando que as impressoras de hoje são muito melhores que as impressoras de 2002, e com 4 a 5 mil reais da para comprar e manter muito boas impressoras. Não é razoável que a garantia soy yo, COMO ESTA HOJE. . E finalmente, a impressão em papel tem mais de 200 anos de pratica forense, claro que mais desenvolvida que a CIENTIFICAMENTE impossível auditoria em silício de hoje, motivo pelo qual NENHUMA GRANDE DEMOCRACIA DO MUNDO UTILIZA O MODELO QUE UMA MINORIA QUER IMPOR aqui no Brasil.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo
%d blogueiros gostam disto:
Send this to a friend