Estou escrevendo este texto como um serviço de utilidade pública nas vésperas da eleição presidencial, porque trata de um aspecto do sistema de votação eletrônica, que eu não tinha conhecimento.
Matutando sobre o tema, descobri ontem um TCC (Trabalho de Conclusão de Curso) de 2016 intitulado “Segurança no Sistema Brasileiro de Votação Eletrônica” elaborado para a obtenção do título de bacharel do graduação de Informática de Luís Fernando Schauren da Universidade Federal do Rio Grande do Sul (UFRS), orientado pelo professor PhD Raul Fernando Weber.
O texto explica muito bem todo o processo de urnas eletrônicas e seus dispositivos de segurança.
Um trecho do trabalho que me chamou atenção foi o item “5.10 Auditoria de Funcionamento das Urnas Eletrônicas por meio de Votação Paralela” (página 53)
Este trecho descreve o processo de votação paralela, que está resumido no site do TSE em matéria atualizada em 11/08/2022, item regulado pelo decreto 23365/2012.
Esta votação paralela (exemplo de uma filmagem completa aqui referente ao 2o. turno da eleição de 2018) descrita torna o processo perfeitamente seguro, mesmo que houvesse um complô gigantesco (que mostrei ser extremamente improvável aqui) bem-sucedido para fraudar as eleições e que nosso sistema eletrônico de votação fosse o mais arcaico do universo.
Parto aqui de uma suposição: digamos que houve o tal conluio para fraude centralizada ou mesmo uma invasão altamente especializada de hackers.
A partir vamos descrever o processo de votação paralela, que funciona desde a eleição de 2002.
1) O processo de votação paralela funciona no mesmo dia das eleições.
2) De forma pública, 3 a 5 seções (urnas) são sorteadas em cada estado, incluindo obrigatoriamente uma seção (urna) de cada capital.
3) Este processo acontece DEPOIS das urnas serem lacradas e lembrando que elas sempre estão desconectadas da Internet, toda a comunicação com o mundo exterior é feito através de um dispositivo especial, que não é um pen drive comum. Ou seja, não existe como se copiar o programa para a urna depois disto e a quadrilha criminosa não tem, assim, como prever quais urnas serão sorteadas para este processo.
4) As urnas originais, que foram retiradas do local real para a votação paralela, são substituídas por urnas de contingência, para que a votação possa ocorrer normalmente nas seções em questão.
5) Fiscais de vários partidos geram votos em diversos candidatos registrados em papel, de forma consistente com a lista de candidatos correta do local em questão, incluindo brancos, nulos e abstenções (pessoas que seriam para votar na tal “seção” e não votam).
6) No mesmo dia e horário da eleição, cada urna é inicializada como as urnas normais, no mesmo horário (chama-se “zerésima”, que é o processo que permite atestar que as seções correspondem às seções sorteadas e que elas iniciem zeradas). Ou seja, a seção eleitoral da votação paralela é um clone perfeito da seção original.
7) Dada uma das urnas (seções) desta votação paralela, o processo é o seguinte: ao longo de todo o dia, na mesma faixa de horário de votação das urnas normais, estes votos de papel, em uma ordem aleatória, vão sendo colocados em uma planilha e inseridos nesta urna eletrônica ao longo do dia pela equipe de fiscais de vários partidos, sendo que todo este processo é filmado e registrado e feito de forma a emular uma urna eletrônica verdadeira (erros, duração do voto etc.)
8) Após o encerramento da “votação paralela”, no mesmo horário da votação oficial, será emitido um boletim de urna, como acontece nas urnas normais e este boletim será conferido com a apuração manual. Se bater 100%, então está tudo OK.
E este processo sempre tem batido rigorosamente, desde 2002!!
***
Em resumo, não há como o software, pretensamente adulterado de forma centralizada, que foi copiado para a urna, saber quais urnas serão selecionadas para a auditoria. Todo o processo feito é rigorosamente igual a uma urna convencional e o sorteio das urnas (seções) é feito APÓS as urnas estarem isoladas do mundo, sem internet, já com o software de apuração da urna.
Obviamente o processo paralelo tem que ser similar ao original. Por exemplo, se todo o processo acima fosse feito entre 8 e 10 horas da manhã, o sistema de fraude poderia usar esta informação para desligar o mecanismo que frauda os resultados, por isso há a preocupação extrema de ter um comportamento muito similar a de uma votação normal.
Deste modo a fraude torna-se impossível porque se estivesse no software, durante a votação paralela, a votação não ia bater com o papel e o complô seria simplesmente desmascarado!!
E isto de forma muito mais limpa, barata, segura e transparente do que a tal ideia do comprovante impresso de voto.
E repare que o processo sugerido de comprovante do voto depositado em uma urna para conferência posterior corre um risco de fraude, visto que lacres físicos não são invioláveis.
Basta alguém conseguir abrir o lacre, sumir com 1 voto e voltar com o lacre físico adulterado a partir de uma falha no sistema de segurança física, com ou sem suborno.
A partir daí, dias ou semanas depois, quando os votos de papel desta urna com os comprovantes de voto forem contados, mesmo coalhado de fiscais de vários partidos, tudo vai por água abaixo, criando uma crise de proporções épicas, porque a contagem de papel não mais se ajustará com a apuração da urna eletrônica correspondente.
Repare que a votação paralela fecha a questão da urna eletrônica isolada, uma vez que, a partir do boletim de urna, tudo fica 100% transparente, porque o resultado das eleições de cada urna (seção) fica disponível de forma pública na nuvem, de forma que qualquer um pode totalizá-las de forma independente da apuração oficial.
***
Vamos agora tentar refletir como tentar colocar água na fervura desta votação paralela.
Uma possibilidade seria os fiscais de certo partido fazerem tudo para provar que as urnas são fraudadas para causar confusão. Isto seria extremamente difícil já que os votos de papel dos fiscais são anteriores ao processo e tudo é 100% filmado e público.
Quanto ao software adulterado de forma a conseguir descobrir quais urnas são urnas simuladas, devo dizer que, a despeito de se dizer que software pode fazer tudo, ela ainda não pode fazer milagre…
Um celular não pode filmar ou tirar foto se ele não tem câmera, não pode detectar som se ele não tem algum tipo de microfone, não pode emitir notas musicais se ele não tem nenhum mecanismo de emissão de som, não pode detectar movimento se ele não contém algum mecanismo de captação de movimento como bússola ou giroscópio. Não pode detectar sua localização se ele não contém um mecanismo de GPS ou triangulação por antenas de celular. Não pode se conectar ao Wi-Fi se ele não hardware que o suporta ou se ele está fisicamente desconectado. Não pode ligar o computador sem acionar o botão on/off.
O tipo de coisa descrita no parágrafo anterior não é possível nem com o melhor e mais avançado software do mundo.
A única possibilidade, extremamente remota (1 átomo no universo inteiro ou menos), é ele detectar a hora e minuto de cada voto, associada ao padrão de digitação e duração de cada voto e por algum extremamente sofisticado algoritmo de inteligência artificial, o sistema adulterado separar o padrão de votação da urna simulada do padrão de uma urna normal, de modo a fraudar a urna normal e não fraudar na urna simulada.
No entanto, o processo manual descrito acima justamente parte para que os fiscais dos partidos, junto com a equipe do TSE, simulem a dispersão e comportamento de votos durante a votação, como se fosse uma urna convencional, inclusive “batendo” com o horário de abertura e a hora de extração do boletim da urna, após a votação.
Ou seja, seria preciso escrever um sofisticadíssimo programa usando técnicas de machine learning, só que aqui a etapa de learning seria muito precária.
Ele teria que ter o padrão de cada voto a partir de milhares de urnas usadas para amostragem e milhares de urnas normais cruzá-las e tentar descobrir um padrão usando, quem sabe algum tipo de deep neural network (DNN).
A má notícia é que cada ano só existem cerca de 100 urnas no processo de votação paralela.
Ou seja, na eleição passada, o sistema secretamente teria que captar todos estes dados, gravar na memória de cada urna, e, de maneira oculta, juntar todos estes dados no backoffice, para então rodar processos de aprendizagem para levantar padrões e depois o aplicaria para a próxima eleição, tudo isto sem que ninguém descubra.
Para mim, isto é uma viagem sideral entre multiversos.
E ainda haveria um percentual de falhas. Se tomarmos todas as urnas da votação paralela de todos os estados, ainda assim teríamos um material muito pobre para o Machine Learning ter uma boa acurácia.
E a má notícia para aqueles que, mesmo assim, acreditam ser possível uma fraude é que não existem sistemas infalíveis de inteligência artificial . Eles não são Deus: o Paradoxo de Aprendizado de Máquina diz que “nada diz que o aprendizado de máquina não possa superar os seres humanos, mas é importante perceber que o aprendizado de máquina perfeito não existe e nunca existirá. “
E o problema então é que se houvesse uma única falha em todas as urnas usadas na votação paralela, de uma dada eleição e ela chegasse, assim, a um resultado diferente dos votos de papel, isto seria um escândalo de proporções monumentais e de consequências imprevisíveis…
Veja que mesmo uma acurácia de 99% é muito difícil de ocorrer na prática, ainda mais com um número tão pequeno de urnas simuladas para o processo de treinamento das redes neurais (ou algum outro mecanismo de Machine Learning).
Basta ver que bilhões de dados foram usados para detectar padrões de operações fraudulentas com cartão de crédito e mesmo assim, existem muito falsos negativos e falsos positivos.
A não ser que a teoria da conspiração louca do leitor inclua que a urna eletrônica possa ter alterações físicas (hardware) indetectáveis, que envolveria um complô estendido para mais algumas milhares de pessoas.
E mais: se alguém supõe que seja possível fraudar o equipamento da urna eletrônica (além do software), então também seria possível fraudar o comprovante do voto em papel, que seria mostrado para o eleitor e depois encaminhado para uma urna para posterior auditoria. Ora, bastaria usar uma tinta apagável quando está mostrando o voto ao eleitor e depois apagá-la antes de reimprimir o voto com a tinta definitiva, para então colocá-lo na urna.
***
Depois que tomei conhecimento do processo de votação paralela, a possibilidade de fraude, que já era quase zero, tornou-se menor que 1 átomo em todos os universos que existem no nosso multiverso.
No final, isto quer dizer que a vontade do povo, seja qual for, será respeitada…
UPDATE
De fato, Fabio Ramon (no comentário abaixo), identificou uma falha que eu humildemente reconheço. Não tinha pensado nesta hipótese.
Infelizmente, a falha torna, na prática, todo o processo de votação paralela, da forma como ele está, praticamente inútil porque bastaria o software fraudado detectar em uma dada seção, que não houve nenhum voto validado pelo sistema biométrico para o tal software desligar a fraude nesta urna.
O processo de votação paralela, como eu disse, existe desde 2002 e é muito irônico que sua validade fica comprometida a partir de uma evolução tecnológica, o teste biométrico, que funciona integrado à urna eletrônica.
Não vejo uma solução perfeita para este problema, mas existe um caminho que me parece razoável.
Uma hipótese óbvia seria usar as impressões digitais do eleitor já de posse do TSE para fazer um dispositivo que engane a urna simulada de forma a ela “pensar” que um dado voto foi a partir do sistema biométrico. O problema é que este processo não é possível porque os dados biométricos são armazenados de forma criptografada, o que faz com o que o TSE consiga apenas reconhecer uma digital válida, não gerá-la.
O que pode ser feito é usar para auditoria a própria urna real no momento da votação, em urnas selecionadas de forma aleatória, depois da urna eletrônica ter sido lacrada.
Neste caso, o hardware da urna não precisaria ter nenhuma alteração, mas dentro do local de votação haveria uma máquina fotográfica digital oculta e lacrada, externa à urna, que tiraria uma foto em diagonal do voto na tela (de modo que o eleitor não fosse fotografado, nem parcialmente). Esta foto, por sua vez, seria gravada em uma memória do tipo que só pode ser escrito uma única vez, de forma a que o eleitor não a detectasse.
No final do dia, através de um acionamento de um mesário, esta unidade de memória seria armazenada por um mecanismo mecânico acionado por um botão em um mini cofre selado.
A memória com a sequência de fotos, que está dentro deste mini cofre selado, seria usada na auditoria com presença de fiscais de todos os partidos interessado.
A ideia é usar um pequeno software de algum fornecedor externo do TSE (cujo executável fosse fixado com um código hash seguro e que não sofresse, em geral, alterações de uma eleição para a outra, uma vez que ele cumprisse seu pequeno papel), embaralhasse a ordem das fotos da mídia original para outra mídia. Este processo, a fim de preservar o anonimato do eleitor, incluiria ainda o descarte manual da mídia original.
A partir daí seria possível comparar a apuração dos votos contidos nas fotos com o boletim de urna, na presença de todos os fiscais.
Não sei se é possível fazer isso de maneira realmente discreta. Demanda estudos.
Ainda assim, penso que vale o que eu escrevi neste texto sobre a possibilidade matemática ínfima de um complô para mudar o resultado das eleições, não por questão técnica, mas por questão prática.
Na votação paralela a validação da biometria do eleitor ê cancelada(ele não está presrnte) o que serviria para um software imalicioao dênticas quais são elas.
Concordo!!! Esta é uma falha enorme que eu não tenho problemas em reconhecer. Eu não tinha pensado nisso. De fato, isso invalida na prática a validade do teste de votação paralela. Fiz um update no final do texto. Não sei como resolver isso dentro do atual sistema sem eliminar a biometria.