Passadas as eleições municipais de 2020 no Brasil, políticos e candidatos insatisfeitos com os resultados voltaram a atacar a segurança das urnas eletrônicas, espalhando desinformação numa tentativa de mobilizar correligionários, ao mesmo tempo que “justificam” o fracasso junto a seus apoiadores. Os boatos e teorias conspiratórias em torno da lisura do processo eleitoral ajudam a minar a confiança das pessoas na democracia, colocando em risco a manutenção e futuro desta que é, parafraseando o ex-primeiro-ministro britânico Winston Churchill, a pior forma de governo, excluídas todas outras.
O fato de a maior parte das críticas ao voto eletrônico basear-se em suspeitas exageradas e derivar de especulações conspiratórias sem base na realidade não implica, no entanto, que o sistema de votação eletrônica é inexpugnável. Como toda empreitada humana, apresenta falhas que podem ser exploradas. Mas, apesar de toda tecnologia, sua principal vulnerabilidade ainda é o elemento humano, o mesmo que sempre pôs em risco as votações feitas com cédulas de papel.
Usadas nas eleições brasileiras desde 1996, e de forma generalizada a partir do pleito de 2000, as urnas eletrônicas evoluíram muito tanto em tecnologia quanto em segurança nestes mais de 20 anos. Segundo o secretário de tecnologia do Tribunal Superior Eleitoral (TSE), Giuseppe Janino, o processo eleitoral brasileiro como um todo é protegido por mais de 90 sistemas de segurança, 23 deles apenas nas urnas eletrônicas.
Nestas, biometria, criptografia, procedimentos de verificação e instalação de softwares registrados com assinaturas e resumos digitais, limitações temporais para abertura e fechamento da votação e impressão de boletins de urna com a apuração em cada uma delas e sua divulgação pública estão entre estes sistemas, postos à prova regularmente em chamados Testes Públicos de Segurança (TPS) promovidos pelo próprio TSE. Além disso, ao contrário do que dizem muitas teorias conspiratórias, as urnas eletrônicas brasileiras são sim invulneráveis a ataques externos de hackers, sejam da Nasa, do FBI ou de Marte, por uma simples razão: elas não são conectadas à internet ou qualquer outra rede que sirva de porta para uma invasão, e tanto seu software quanto seu hardware são incapazes de formar redes.
É fácil concordar que, com tudo isso, a votação eletrônica reduz a possibilidade de fraudes, não só pelos muitos mecanismos de checagem como pelas dificuldades e complexidades técnicas em enganá-los. Uma vantagem, principalmente na comparação com a antiga votação manual em cédulas, na qual qualquer indivíduo mal intencionado, atuando como mesário ou na apuração, e usando uma simples caneta, poderia fraudar uma eleição, ainda que em pequena escala.
Mas a fraude também ainda não é impossível, alerta Diego de Freitas Aranha, professor de Segurança de Sistemas do Departamento de Ciências Computacionais da Universidade de Aarhus, na Dinamarca, com o agravante de uma pessoa com más intenções poder manipular os resultados de muito mais de uma urna, como no exemplo do mesário desonesto. Ex-professor do Departamento de Teoria da Computação do Instituto de Computação da Universidade Estadual de Campinas (Unicamp), Aranha integrou equipes de especialistas que participou de duas edições do TPS organizados pelo TSE, em 2012 e 2017, encontrando vulnerabilidades nas urnas eletrônicas, que já teriam sido sanadas, em ambas ocasiões.
“Vamos considerar um fraudador racional, que busca o melhor custo-benefício para alterar o maior número possível de votos. É importante considerar a possibilidade de fraude em eleições de diferentes escalas”, descreve em entrevista por e-mail à Revista Questão de Ciência. “Em uma eleição municipal de pequena escala, você só precisa de um chefe de seção apuradora com uma caneta, anulando os votos de um dos candidatos, para alterar o resultado de uma votação conduzida com cédulas. Mas não é muito diferente com a tecnologia usada no Brasil hoje. Bastam mesários votando por eleitores faltosos, como acontecia na fraude antiga de ‘engravidar urnas’ e muito provavelmente aconteceu em pleitos anteriores”.
Já para eleições em maior escala, como os cargos majoritários de senador, governador ou presidente, na qual uma interferência significativa exigiria a manipulação de dezenas de milhares, se não milhões de votos, seria preciso fraudar o sistema em si, diz Aranha. E o melhor caminho para isso exigiria a cumplicidade de pessoas diretamente envolvidas com os sistemas de votação, seja no TSE ou nos Tribunais Regionais Eleitorais (TREs).
“Em uma eleição de maior escala, onde centenas de milhares ou até milhões de votos precisem ser alterados, entendo que corromper milhares de mesários é impraticável (como era antigamente nas eleições por cédulas), e o melhor custo-benefício esteja na adulteração do software”, avalia. “Para isso, é também melhor custo-benefício contar com colaboração interna de alguém com acesso privilegiado e razoavelmente centralizado aos sistemas de votação e protocolos de verificação. Um desenvolvedor do TSE, com acesso direto ao software de votação, termina representando uma ameaça desproporcional ao sistema. Funcionários dos TREs que gravam centenas de cartões que instalam software nas urnas são outro ponto sensível, já que cada cartão instala em torno de 50 urnas, que recebem 450 votos cada, em média”.
Segundo Aranha, nos Testes Públicos de Segurança de 2017 sua equipe apresentou uma metodologia para explorar a segunda possibilidade, utilizando uma sequência de vulnerabilidades encontradas no software, mas não pôde demonstrar a primeira, em razão das restrições técnicas e de tempo impostas pelo próprio TSE. Em audiência no Senado em 2018, ele relatou que neste TPS sua equipe conseguiu alterar mensagens de texto exibidas ao eleitor na urna para fazer propaganda de um candidato e fez “progresso” na direção de desviar voto de um candidato para outro, “mas não tivemos tempo de testar esse tipo de ataque”.
“Acredito que uma adulteração do software de votação passaria indetectada com grande probabilidade em uma unidade federativa grande, visto que a amostra verificada pela Votação Paralela (em que urnas aleatórias são separadas para uma votação simulada no mesmo dia e horário do pleito oficial) tem no máximo cinco urnas (o estado de São Paulo usa mais de 100 mil urnas numa eleição)”, considera. “O risco do voto puramente eletrônico está justamente aqui, pois o custo da fraude não cresce na mesma proporção do seu impacto”.
Já a transmissão e totalização dos votos apurados nas urnas eletrônicas em si são mais difíceis de fraudar, visto que podem ser facilmente verificados por qualquer um comparando os boletins de urna impressos com os resultados recebidos e publicados pelo TSE por seção eleitoral. Neste caso, Aranha diz que o problema de segurança e transparência está no software de votação, cuja contagem eletrônica não pode ser auditada a contento.
“O TSE afirma que os partidos e instituições da sociedade civil realizam auditoria do software antes das eleições, mas a verdade é que os 40 milhões de linhas de código do software tornam qualquer esforço impraticável. O relatório de auditoria de 2014 (feito pela equipe de fiscalização do PSDB) deixa bem claras as condições”, ressalta.
Diante disso, a ideia de Aranha é acrescentar outra camada de segurança ao sistema, na qual os votos registrados nas urnas eletrônicas sejam impressos e depositados em urnas físicas em paralelo. Se não todas, um número razoável de seções eleitorais usando este sistema tornaria possível verificar, de modo simples e fácil, a validade da apuração eletrônica, sem perder sua agilidade, rapidez e muitos outros itens de segurança.
“Além de toda a discussão sobre fraude, é tão ou mais importante considerar as limitações de transparência do sistema atual”, argumenta. “Ainda que todos os resultados de eleições anteriores sejam legítimos do ponto de vista tecnológico, o que provavelmente são, vale à pena empregar um sistema que na prática não pode ser inteiramente auditado por não especialistas? É por isso que o consenso científico gira em torno de introduzir um registro físico do voto para auditar a contagem rápida eletrônica”.
Cesar Baima é jornalista e editor-assistente da Revista Questão de Ciência