A menos de 100 dias das eleições gerais de 2022, publicações alegando que as urnas eletrônicas brasileiras não são auditáveis ganham tração nas redes sociais. O principal argumento é o fato de as máquinas eleitorais usadas no país não imprimirem o comprovante individual do voto. Também alega-se que esse tipo de urna só é usado em mais dois países, o que indicaria uma falta de segurança no processo eleitoral. Mas, diferentemente do que é dito nas redes, o sistema eleitoral brasileiro conta com procedimentos que permitem a sua auditoria. Na visão de alguns dos especialistas ouvidos pela AFP, a adoção de mecanismos adicionais poderia trazer mais auditabilidade e segurança ao processo como um todo, o que não significa que o sistema atual é inseguro ou facilmente fraudável, como sugerem alguns usuários.
'Quero meu voto auditável para em caso de dúvida haver recontagem com fiscais dos vários partidos políticos. ISSO NÃO É POSSÍVEL COM O SISTEMA ATUAL DE URNA ELETRÔNICA', garante uma publicação no Facebook.
'As urnas emitem a quantidade dos votos conciliando com a quantidade dos votos recebidos pelos candidatos, mas depois disso, não existe possibilidade de conferir se o seu voto foi computado para o seu candidato', aponta outro usuário.
No Twitter, onde circulam alegações semelhantes, postagens também ressaltam que as urnas do Brasil, de Bangladesh e de Butão são 'de primeira geração e não auditáveis'.
Esses argumentos, no entanto, desconsideram o fato de que o sistema brasileiro disponibiliza mecanismos para que o funcionamento de sistemas que geram o arquivo digital de cada voto seja previamente verificado. Além disso, também é possível auditar o processo de totalização, ou contagem, desses votos por meio de comprovantes impressos chamados Boletins de Urna (BUs).
Tipos de auditoria nas etapas de votação
A auditabilidade do processo eleitoral brasileiro pode ser dividida em duas etapas: a primeira, para verificar se os votos foram corretamente computados para o candidato escolhido pelo eleitor, e a segunda, que se trata da auditoria do processo de contagem dos votos.
As principais alegações virais sobre a suposta 'falta de auditabilidade' nas urnas eletrônicas têm como foco a primeira etapa. Segundo vários usuários (1, 2, 3), o fato de a urna brasileira não imprimir o registro individual de cada voto - o chamado voto impresso - não permite que ela seja auditada.
No lugar do comprovante impresso do voto, a urna usada no Brasil armazena os votos dos eleitores sob a forma de um arquivo eletrônico chamado Registro Digital do Voto (RDV).
É a partir desse registro digital que se pode fazer a apuração dos votos na urna. Segundo o Tribunal Superior Eleitoral (TSE), partidos políticos e coligações podem obter cópias dos arquivos de RDV de todas as urnas que julgarem necessárias.
'Há muitos anos o RDV já está disponível para auditoria mediante solicitação das entidades fiscalizadoras do processo eleitoral. E a partir deste ano, todos os arquivos de RDV de todas as urnas serão publicados na internet para ampla verificação', garantiu o TSE ao Checamos em 17 de junho de 2022.
A verificação de que o RDV está funcionando corretamente e registrando os devidos votos para cada candidato pode ser feita por meio da inspeção prévia do código-fonte das urnas eletrônicas, que está disponível desde outubro de 2021.
Em uma conversa com a AFP em 29 de junho de 2022, Wilson Ruggiero, phD em Ciência da Computação, professor da Universidade de São Paulo e membro da Academia Nacional de Engenharia, explicou:
'Se você tem a capacidade de ler instrução por instrução desse programa [que faz o RDV] e ver que ele faz exatamente o que deve ser feito e não faz nada além do que ele deve fazer - você tem certeza de que o RDV foi registrado corretamente. O sistema de processamento é um sistema determinístico: uma vez que você escreveu aquele programa, ele vai fazer daquele jeito. E daí a importância de ter o código-fonte disponível para todo mundo'.
Atualmente, o docente desenvolve um projeto financiado pelo TSE para aprimorar o sistema eletrônico brasileiro e que tem como um de seus objetivos melhorar a auditoria do RDV. '[Mas] o fato de um processo de auditoria sobre um determinado elemento poder aceitar melhorias não implica, necessariamente, que o elemento não é auditável", pontuou.
Ruggiero também destacou que, como parte do projeto, há uma equipe de pesquisadores que estão trabalhando no software da urna, analisando-o e testando-o, há quase um ano.
Para garantir que o software utilizado nas urnas no dia da eleição seja o mesmo que foi previamente auditado, o TSE realiza uma cerimônia pública de Assinatura Digital e Lacração dos Sistemas Eleitorais. Na ocasião, são lacrados e assinados digitalmente os programas que serão usados na urna eletrônica durante a votação.
Outro mecanismo relevante para essa parte da auditoria, segundo os especialistas consultados pelo Checamos, é a cerimônia de votação paralela, uma eleição simulada e pública para verificar se as urnas estão funcionando corretamente. Um dia antes da eleição, são sorteadas as urnas que passarão pelo teste, no qual são registrados em papel os votos que, depois, serão inseridos na urna eletrônica. Ao final da votação, é feita a comparação entre os votos escritos nas cédulas em papel e aqueles registrados no equipamento para verificar se a quantidade de votos para cada candidato foi corretamente computada.
'Além de todo o processo anterior à eleição de verificação que é feita no software e no hardware das urnas também tem essa simulação feita para comprovar que o comportamento é o esperado', disse ao Checamos em 28 de junho de 2022 Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS).
A auditoria de totalização dos votos pode ser feita pela sociedade em geral por meio dos boletins de urna (BUs), que se trata de um documento físico impresso pela urna eletrônica após o final da votação. Nesse papel são indicados quantos votos foram registrados naquela urna específica para cada candidato e para cada partido, além de outras informações relativas à votação.
Esse documento é fixado na porta das respectivas seções eleitorais e também está disponível pela internet. Por meio do Boletim de Urna é possível fazer uma auditoria de forma independente do TSE para verificar se a totalização dos votos feita pela Justiça Eleitoral está correta.
Além dos procedimentos citados, o TSE também destaca como mecanismos de auditoria:
O professor Rafael Timóteo de Sousa, mestre em Sistemas de Informação e Computação e professor do Departamento de Engenharia Elétrica da Universidade de Brasília, destacou, ainda, que todo o processo eleitoral brasileiro para a votação de outubro de 2022 vem sendo acompanhado pelo Tribunal de Contas da União (TCU).
'Eu presenciei auditores do TCU em seu trabalho de auditoria. Então temos um fato: a auditoria é possível e é realizável. Existe um órgão fazendo auditoria. Acredito que há uma certa manipulação na terminologia que é utilizada quando falam que 'a auditoria [da urna brasileira] não é possível'. A auditoria segue regras também', indicou.
No último relatório divulgado pelo TCU, em 2021, o Tribunal concluiu que a urna eletrônica é auditável, contando com diferentes mecanismos de verificação.
Urnas de 'primeira geração'
Nas redes sociais, usuários também alegam que as urnas brasileiras não são auditáveis por serem de 'primeira geração', sistema que seria usado em poucos países (1, 2).
O termo 'primeira geração' é uma referência ao fato de as urnas usadas no Brasil serem do tipo DRE (do inglês 'Direct Recording Electronic Voting Machines'), ou seja, que não imprimem um comprovante impresso do voto. As chamadas urnas de 'segunda geração' são as que dispõem de um sistema VVPAT (do inglês 'Voter-Verified Paper Audit Trails'), que imprimem um comprovante individual de cada voto.
'O DRE foi uma febre mundial no final dos anos 1990 e começo dos anos 2000, com diversos países adotando esse tipo de sistema devido à sua praticidade e velocidade de apuração. No entanto, rapidamente ficou evidente a dificuldade de auditar os sistemas DRE e de conferir transparência a eles. Pesquisadores passaram, então, a buscar alternativas, com Rebecca Mercuri propondo o VVPAT ('voto impresso') na sua tese de doutorado em 2000', contou ao Checamos em 4 de julho de 2022 Paulo Matias, professor do Departamento de Computação da Universidade Federal de São Carlos (UFSCar).
O docente explicou que, entre os profissionais da ciência da computação, existe o 'princípio da independência do software', segundo o qual um sistema eleitoral é independente 'se uma modificação ou erro não detectado no seu software não puder causar uma mudança ou erro indetectável no resultado da apuração". O sistema VVPAT, portanto, seria uma forma de tornar uma máquina eletrônica de votação um sistema independente do software, já que manteria o registro de cada voto em papel.
'O princípio de independência de software é o requisito básico, de acordo com o consenso científico, necessário para rotular um sistema de votação como auditável. Entretanto, isso não quer dizer que é impossível auditar um sistema que não siga o princípio. Afinal, o TSE realiza diversos processos de auditoria que contribuem, sim, para a segurança do processo eleitoral brasileiro', afirmou Matias.
Procurado pelo AFP Checamos, o TSE afirmou que o modelo de classificação das urnas por gerações é 'inconsistente' e desconsidera, por exemplo, o processo evolutivo pelo qual passou a urna brasileira, em especial a mudança estrutural realizada no equipamento em 2009.
Naquele ano, foi introduzido o Módulo de Segurança Embarcado, independente do processador principal, para garantir que somente o software desenvolvido pelo TSE possa funcionar na urna.
'Com essa nova arquitetura, mitiga-se de forma definitiva uma série de ataques aos quais os modelos DRE utilizados em outros países são vulneráveis. Essa arquitetura [...] passou a ser denominada de Trusted-DRE - T-DRE (DRE Confiável)', continuou o Tribunal, acrescentando que esse modelo é uma inovação brasileira utilizada somente no país.
Além dos sistemas de primeira e segunda geração, existem também métodos de votação chamados de 'terceira geração', conhecidos como sistemas de verificação fim-a-fim (do inglês 'end-to-end'), que, em geral, são baseados em mecanismos criptográficos que permitem que o eleitor veja se o seu voto foi corretamente computado.
'Os 'sistemas de segunda geração' garantem somente que o seu voto foi registrado para o candidato que você escolheu, ao passo que os 'sistemas de terceira geração' garantem que o seu voto foi custodiado corretamente (não necessariamente de forma física - essa custódia pode ser eletrônica) até a totalização', resume Paulo Matias.
Lucas Lago, engenheiro da computação e pesquisador do CEST-USP, destaca, porém, que é complexo comparar sistemas eleitorais analisando somente as urnas usadas em cada país, já que cada nação tem uma realidade diferente.
'Um exemplo do impacto da realidade brasileira sobre a decisão da arquitetura é que um dos principais sistemas de votação fim a fim (...) foi desenhado para eleições com poucos candidatos para cada vaga. No cenário brasileiro, onde uma eleição para deputado estadual pode contar com 3 mil candidatos, deve gerar um tempo de processamento bastante elevado para cada voto. Isso geraria atrasos e uma sensação ruim ao votar', ponderou.
Limitações do sistema atual
Na visão de Paulo Matias, é verdade que o sistema eleitoral utilizado hoje no Brasil tem limitações importantes em termos de transparência e auditabilidade.
Mas esse 'é o sistema que foi testado, adaptado à realidade nacional, e que o TSE consegue usar para fazer as eleições deste ano acontecerem. É importante que o sistema evolua, mas as mudanças têm de ser implementadas ao longo de anos de trabalho, com base em discussões conjuntas entre TSE, comunidade acadêmica e sociedade'.
Segundo o docente, a urna brasileira precisa evoluir gradualmente para um sistema que seja independente do software. O voto impresso poderia ser um caminho, mas não é o único.
O TSE tem estudado uma nova arquitetura para o sistema eleitoral brasileiro a fim de permitir a implantação do método de votação fim a fim, que seria capaz de atender ao princípio de independência do software.
'O fato de haver estudos científicos sobre como melhorar a auditabilidade do sistema eleitoral obviamente não significa que ocorra fraude tecnológica nas eleições brasileiras, nem que exista uma conspiração da posição política rival', acrescentou Matias.
Para Lucas Lago, é correto dizer que a urna brasileira atual não permite a realização de uma 'auditoria de limitação de risco', um processo no qual são sorteados e analisados votos após o pleito para verificar estatisticamente se o software do equipamento teve alguma inconsistência.
Porém, o pesquisador destaca que, desde que autorizados pela Justiça Eleitoral, existem procedimentos técnicos que podem ser usados em uma eventual auditoria, incluindo a votação paralela e a auditoria prévia do código-fonte.
Ainda segundo o engenheiro, embora não seja possível afirmar que esse tipo de procedimento leve a um sistema completamente seguro, 'pois nenhum sistema complexo é 100% livre de eventuais falhas', o sistema brasileiro está em contínua evolução.
O sistema eleitoral brasileiro 'encontra-se em um estado de robustez no qual tentativas de subverter as diversas 'barreiras de segurança' da urna seriam bastante custosas, ou mesmo inviáveis (em especial em larga escala). Mecanismos extras para melhorar a detecção de eventuais tentativas de subversão [fazem] parte da evolução contínua do sistema. Entretanto, dizer algo como 'sem mecanismos adicionais a urna deve ser considerada insegura' é uma falácia'.
Nesse sentido, o fato de que mecanismos adicionais de segurança poderiam ser implementados não significa que o sistema como um todo é facilmente fraudável. Afinal, esses procedimentos também estarão sujeitos a eventuais falhas, explicou o acadêmico.