Resumo

          O presente relatório foi elaborado atendendo a decisão da Reunião Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, realizada no dia 01 de Junho de 2000, no Plenário do Senado, onde ficou estabelecido que duas equipes de técnicos em informática, uma formada pelos técnicos do TSE e a outra sob a orientação do Senador Roberto Requião formada pelo Eng. Amílcar Brunazo Filho, autor deste relatório, e pelo Eng. Márcio Coelho Teixeira, se reuniriam para procurar encontrar um consenso sobre as propostas de alteração na Urna Eletrônica sugeridas pelo Projeto de Lei PLS 194/99.

As alterações propostas por este Projeto de Lei são basicamente duas: 1) que se desvincule a identificação do eleitor da máquina de votação; e 2) que seja permitida a conferência da apuração por meio da impressão do voto que será usado em conferência estatística.

Após os encontros entre as duas equipes ocorridos durante o mês de Junho de 2000, apresenta-se este relatório cuja conclusão, justificada ao longo do seu corpo, diz que o processo de fiscalização externa da produção da Urna Eletrônica é bastante falho de forma que as garantias de segurança de tal equipamento não são satisfatórias.

Desta forma, o autor, após conhecer e avaliar o processo de desenvolvimento, produção e, principalmente, da fiscalização da produção da Urna Eletrônica Brasileira, e levando em conta o argumento de natureza jurídica de que eleitor brasileiro tem o direito de compreender, por si mesmo, o processo que garante a integridade a confiabilidade do seu voto, mantêm sua posição favorável ao projeto PLS 194/99 e as suas duas propostas de alteração da urna eletrônica atual, mas sugere-se, no entanto, pequenas alterações no seu texto com a finalidade de atenuar possíveis ambigüidades na sua interpretação.

---

Sumário: 1. Introdução. 1.1 Documentação e Bibliografia. 1.2 Nomenclatura e Abreviaturas. 1.3 Histórico e Objetivo. 1.4 As Reuniões entre os Técnicos. 2. Análise dos argumentos do TSE. 2.1 Sobre a desvinculação da identificação do eleitor. 2.1.1 Argumentação básica. 2.1,2 Argumentos corretos. 2.1.3 Argumentos falhos. 2.1.4 Comparação de Riscos e Benefícios. 2.2 Sobre a auditoria da apuração eletrônica. 2.2.1 Contradições. 2.2.2 Argumentação básica. 2.3.3 Argumentos corretos. 2.4.4 Argumentos falhos. 2.4.5 Comparação de Riscos e Benefícios. 2.4.6 Um contra-argumento jurídico. 2.3 A norma ISO 15.508. 2.4 A fiscalização dos Partidos. 3. Conclusão

---

1. Introdução

          1.1 Documentação e Bibliografia

O presente relatório foi elaborado baseado nos dados e informações constantes nos seguintes documentos:

1. Projeto de Lei do Senado PLS 194/99 (anexo 1).
2. Livro " O Voto Informatizado: Legitimidade Democrática", de Paulo César Bhering Camarão, Ed. Empresa das Artes, 1997.
3. Ata da 22ª Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, do dia 01 de Junho de 2000 (anexo 3).
4. Anotações do autor durante a apresentação no Auditório do TSE(1), no dia 15 de Junho de 2000.
5. Fitas de Áudio do Debate Público promovido pela Comissão de Constituição e Justiça da Assembléia Estadual de Minas Gerais(2), do dia 30 de Junho de 2000.
6. Ofício n.º 2.400/00 da Diretoria Geral do TSE, de 29 de Junho de 2000, em resposta à Petição do anexo 5 (anexo 6).
7. Ofício n.º 547/AssEL-98 do Comandante da Polícia Fazendária – RS, ao Juiz da 33ª Zona Eleitoral do Rio Grande do Sul, de 09 de outubro de 98 (anexo 7).
8. Carta do Exmo. Sr. Procurador da República, Dr. Celso Antônio Três, dirigida ao Sen. Roberto Requião, em junho de 2000 (anexo 8).
9. Lei 4.737-65 - Código Eleitoral Brasileiro
10. Lei 9.504-97 – Normas para o Voto Eletrônico
11. Resolução 20.506 de 11/1999 do TSE – Calendário Eleitoral – Eleições de 2000
12. Resolução 20.563 de 03/2000 do TSE – Garantias Eleitorais
13. Resolução 20.565 de 03/2000 do TSE – Apuração e Totalização de votos
14. Norma Técnica Internacional ISO/IEC 15.408 de 12/1999 – Critérios de Avaliação da Segurança de Sistemas Informatizados

          1.2 Nomenclatura e Abreviaturas

Como este relatório não se destina à leitura exclusiva por técnicos em informática e especialistas de segurança de dados e sistemas, apresenta-se a seguir uma sucinta explicação de termos e abreviaturas utilizados:

          Apuração dos Votos – É o processo de contagem dos votos de cada urna. No caso da urna eletrônica a apuração é feita na própria Seção Eleitoral onde se deu a votação. No caso de urnas tradicionais, a apuração se dá nas Zonas de Apuração.

          Totalização dos Votos – É o processo de contagem dos votos de todas as urnas de todas as seções eleitorais. É feita por programas contidos na Rede de Totalização do TSE, a qual tem terminais de acesso em todos os TRE estaduais e nas sedes das Zonas Eleitorais municipais.

          Boletim de Urna (BU) – É o documento que contém o resultado da apuração de cada urna eletrônica. Por lei, deve ser impresso, publicado na própria seção eleitoral e distribuído aos partidos políticos. Uma versão digitalizada do BU é gravada num disquete magnético para servir de transporte do BU para os terminais de entrada da Rede de Totalização.

          Lista de Votação – É aquela lista impressa com os nomes e números dos eleitores, que há em todas as seções eleitorais. Nela o eleitor coloca sua assinatura e dela é destacado o comprovante de voto.

          CPU ou UCP – Unidade Central de Processamento. É o componente do computador responsável pelo controle dos fluxos de dados entre todas os demais componentes. Todos os dados que trafegam de um componente do computador para outro passam, normalmente, pelo controle da CPU, com poucas exceções.

          Periféricos – São todos os demais componentes ou equipamentos que constituem o computador, fora a CPU. Exemplos de equipamentos periféricos são: o teclado, o monitor de vídeo, as memórias temporárias (RAM) ou permanentes (Disquetes e Flash-Cards), a impressora.

          Programa Básico – Trata-se do conjunto autônomo de programas da urna eletrônica posto para funcionar logo que este é ligado. É destinado a servir de base de apoio para outros programas comuns, chamados de Programas Aplicativos, os quais serão iniciados posteriormente. O Programa Básico é composto por: Sistema Básico de Entrada e Saída (BIOS), Sistemas Operacional (VirtuOS) e Gerenciadores de Dispositivos (Device Drivers). O Programa Básico é o responsável pelo acesso aos equipamentos periféricos, transferindo dados entes estes e os Programas Aplicativos.

          Programa Aplicativo – Trata-se de programa de computador, não autônomo (precisa que um Sistema Operacional esteja instalado e funcionando), que é o responsável pela recepção e ordenação dos dados originados ou destinados aos equipamentos periféricos. Por exemplo, o Aplicativo recebe do Sistema Operacional os dados digitados no teclado pelo eleitor, ordena-os para comporem uma tela e os remete de volta para o Sistema Operacional escrevê-los no vídeo propriamente dito.

          BIOS - Sistema Básico de Entrada e Saída. Programa componente do Programa Básico, normalmente gravado em memória permanente fixa (EPROM) e, por isto, é as vezes chamado de "Firmware". É o primeiro programa a ser executado quando se liga o computador e é o encarregado de preparar o Sistema Operacional para carga.

          Sistema Operacional (OS) – é o componente principal do Programa Básico, e as vezes é confundido com este. Detêm o controle geral de todos os processos (programas e sub-programas) e é o responsável por coordenar toda a troca de dados entre tais processos.

          Gerenciadores de Dispositivos (Device Drivers) – São os componentes do Programa Básico destinados exclusivamente a estabelecer o contato do Sistema Operacional com um equipamento periférico. Normalmente são produzidos pelos fabricantes dos próprios periféricos.

          Criptografia – São técnicas matemáticas de se embaralhar (cifrar) um conjunto de dados ou textos, com a finalidade de esconder ou tornar incompreensível as informações ali contidas, ou seja, a Criptografia normalmente é utilizada para defender a confidencialidade dos dados. As técnicas de criptografia normalmente utilizam dois elementos no seu processo: 1) a fórmula ou algoritmo de ciframento; 2) uma seqüência de números, chamados "chave". Para se reconstruir o texto ou dados originais necessita-se conhecer a chave inversa (ou de "deciframento") mais a fórmula ou algoritmo inverso (ou de "deciframento") ao utilizado no ciframento.

          Assinatura Digital – São técnicas matemáticas utilizadas para que se possa saber quem ou que equipamento gerou certo documento e se tal documento não foi adulterado, ou seja, a Assinatura Digital é utilizada para se garantir a integridade dos dados. Estas técnicas normalmente utilizam algumas fórmulas peculiares de criptografia, chamadas de "assimétricas" ou de "Chaves Públicas", onde tanto a fórmula de ciframento, quanto a chave e a fórmula de deciframento são divulgadas para conhecimento público. Apenas a chave usada para ciframento é mantida secreta por aquele que vai fazer a assinatura digital. Assim, qualquer pessoa que conheça os dados públicos pode verificar que tal documento, assinado digitalmente, proveio de determinada pessoa ou equipamento.

          Sistemas Fechados – Diz-se de um sistema criptográfico onde tanto as chaves quanto as fórmulas de criptografia e de deciframento são mantidas em segredo. Um ataque externo à um sistema fechado é dificultado pois não se conhece a fórmula de deciframento. Porém sistemas fechados tem pouca resistência ao ataque de elementos internos (que tiveram acesso à suas fórmulas). Outro problema é que sistemas fechados não podem ser provados como matematicamente seguros. Utilizar um Sistema Fechado de Criptografia implica diretamente em confiar cegamente no fornecedor.

          Sistemas Abertos – Diz-se de um sistema criptográfico onde as fórmulas de criptografia e de deciframento são divulgadas publicamente e apenas as chaves são mantidas em segredo. A vantagem de Sistemas Abertos é que se pode calcular e provar qual o tempo médio que um atacante, que não conheça a chave secreta, terá que gastar para reconstruir o texto original por tentativa e erro. Se este tempo médio for maior (bem maior) que o tempo em que a informação deve permanecer protegida, considera-se o sistema seguro. Um sistema de Assinatura Digital é sempre um Sistema Aberto, por sua própria concepção.

          Ataque – Ação de algum agente, interno ou externo à corporação, com o objetivo de deturpar o funcionamento esperado de um equipamento, programa ou sistema.

          Ataque Destrutivo – Um ataque cujo objetivo é paralisar ou atrasar o funcionamento regular do sistema-alvo, visando reduzir sua disponibilidade para uso (availability) sem, no entanto, construir algum resultado falso.

          Ataque Dirigido ou Construtivo – Um ataque que visa construir, de forma escamoteada, um resultado falso durante o funcionamento do sistema atacado, tentando fazer o resultado falso ser aceito como verdadeiro.

          Ataque de Força Bruta – É o ataque a um sistema de criptografia ou de bloqueio de acesso no qual que tenta descobrir a senha ou a chave por tentativa e erro de todas as combinações possíveis. Quando se fala que existe "prova matemática" que um dado sistema informatizado resiste a um ataque por tanto tempo, normalmente está se referindo a Ataque de Força Bruta. Assim, esta "prova matemática" não garante a inviolabilidade do sistema pois outras formas de ataque, que se valham de características particulares dos sistemas ou do vazamento de informações podem, eventualmente, obter sucesso em tempo menor.

          Vício em programa – refere-se a modificações espúrias introduzidas em programas de computador com a finalidade de provocar um funcionamento diferente do objetivo do projeto.

          Potencial de dano – Numa análise da segurança de um sistema deve-se atribuir um valor ao "potencial de dano" de cada risco de falha ou fraude que existir. Este valor deve refletir a grandeza e a importância dos danos provocados se tal fraude ocorrer. Por ex., uma fraude que possa eleger um governador, como ocorrido no Rio de Janeiro em 1982, que ficou conhecida como "Caso Proconsult" (anexo 10), deve ter um valor de "Potencial de Dano" bem maior que uma fraude que só possa eleger um vereador, como a compra de votos de alguns eleitores.

          Valor do Risco – O Valor do Risco de uma fraude é calculado como o produto do seu Potencial de Dano versus sua Probabilidade de Ocorrência. É um valor que os auditores de segurança procuram obter para que seja possível comparar sistemas e riscos diferentes entre si.

          Sistemas de Alto Risco – Diz-se de sistemas informatizados cujo Potencial de Dano é muito elevado e a Probabilidade de Ocorrência não é desprezível. Normalmente, sistemas que envolvam risco de vida ou de grandes danos ambientais, como um sistema de controle de aeronaves ou usinas nucleares, são classificados como de alto risco. O Processo Eleitoral Informatizado tem as características de Sistema de Alto Risco pois a Probabilidade de Ocorrência de Fraudes é grande e o Potencial de Dano, que é entregar o poder político a um eleito ilegítimo, é incomensurável.

          Validação – refere-se ao processo de análise de um projeto de equipamento ou de um programa de computador, com a finalidade de se determinar se atende ao objetivo desejado. A validação se dá antes da produção final do equipamento ou programa.

          Certificação – refere-se ao processo de acompanhamento da produção de um equipamento ou da carga de um programa em computador de forma a se verificar se o produto final corresponde ao projeto ou programa que foi validado anteriormente. A certificação se dá ao final do processo de implantação ou fabricação do sistema e antes da sua operação.

1.3 Histórico e Objetivo

Em 31 de Março de 1999, o Senador Roberto Requião apresentou ao Senado o Projeto de Lei PLS 194/99 (anexo 1) a fim de ampliar a segurança e a fiscalização do voto eletrônico. Este projeto altera a Lei n.º 9.504, de 30 de setembro de 1997, a qual estabelece normas para as eleições.

As alterações na Urna Eletrônica propostas pelo PLS 194/99 são essencialmente duas:

1. que se desvincule a identificação do eleitor da máquina de votação, para impossibilitar a identificação do voto, o que dá uma solução 100% segura para a inviolabilidade do voto;
2. que se proceda a conferência da apuração eletrônica em 3% das urnas eletrônicas, escolhidas a posteriori, por meio da recontagem dos votos impressos, os quais deverão ser conferidos pelo eleitor antes de serem depositados numa urna convencional. No caso de divergência entre a contagem eletrônica e a recontagem dos votos impressos, outras urnas seriam conferidas dentro de um processo judicial aberto para determinar a origem da diferença.

Este Projeto de Lei foi aprovado pela Comissão de Constituição, Justiça e Cidadania do Senado Federal em 15 de setembro de 1999, e foi colocado na pauta de votação do Plenário do Senado do dia 03 de Maio de 2000. Desde então a votação do PLS 194/99 foi adiada e remarcada três vezes atendendo a pedidos partidos pelo Exmo. Sr. Presidente do TSE, Ministro José Néri da Silveira, dirigidos ao Exmo. Sen. Roberto Requião e encaminhados ao Presidente do Senado, Exmo. Sen. Antônio Carlos Magalhães.

No dia 01 de Junho de 2000, data da última votação adiada, o Ministro do TSE, Exmo. Sr. Nelson Jobim, apresentou as críticas oficiais do TSE sobre o PLS 194/99, durante uma Reunião Pública Extraordinária da Comissão de Constituição, Justiça e Cidadania do Senado Federal, especialmente convocada para este fim. O autor do presente relatório esteve presente a esta apresentação, a convite da Mesa do Senado, na qualidade de Assessor Técnico, como se vê no Resultado CCJ: 01/02/2000 (anexo 2) e na própria ata da reunião (anexo 3)

Conforme consta na ata desta da 22ª reunião extraordinária da CCJ do Senado (anexo 3) o Sen. Roberto Requião apresentou uma série de perguntas sobre a segurança da Urna Eletrônica, que não foram respondidas pelo Min. Jobim, tendo este alegado:

          "Quero dizer mais: vim preparado para debater o Projeto n.º 194, e não examinar com detalhes a questão relativa ao sistema informatizado. Só responderia a algumas das questões feitas por V. Exª, visto que, quanto às demais, não me encontro habilitado para tanto."

E, mais adiante, respondendo a pergunta se os partidos políticos tinham tido acesso para análise ao Programa Básico da urna, sugeriu:

          "Quero confessar a V. Exª que não tenho condições de informar-lhe melhor… V. Exª terá que se fazer acompanhar de um técnico que conheça o assunto."

O Sen. Requião em resposta propôs:

"…quero propor aos técnicos que acompanham o Ministro Nelson Jobim e os Ministros do Tribunal que, posteriormente ao encerramento desta reunião da CCJ, tenhamos uma conversa com os técnicos que me assessoram, o Amílcar Brunazo e o Márcio Teixeira."

Esta proposta foi aceita pelos presentes e o Exmo. Sr. Presidente da CCJ, Sen. José Agripino, marcou a primeira reunião entre os técnicos imediatamente, nas próprias dependências da CCJ:

          "…E ofereço o espaço físico da Comissão de Constituição, Justiça e Cidadania, a fim de que os técnicos sob a orientação do Senador Roberto Requião e os técnicos do Tribunal Superior Eleitoral se reunam e encontrem uma forma consensual de encaminhamento da questão. As dependências da Comissão estão, desde já, à disposição dos técnicos para que aquilo que já julgo ser possível seja efetivado: o consenso e o encaminhamento de uma proposta que conste do interesse nacional."

Desta forma, a votação do PLS 194/99 está suspensa, aguardando o parecer dos técnicos, a resultar das reuniões entre eles.

Assim, é com o objetivo de subsidiar os Srs. Senadores de informações e esclarecimentos que os auxiliem na votação do PLS 194/99 que o presente relatório, resultante destas reuniões técnicas, foi elaborado.

          1.4 As Reuniões entre os Técnicos

A primeira reunião entre os técnicos representantes do Senado, sob coordenação do Sen. Requião, e os técnicos do TSE ocorreu no próprio dia 01 de Junho de 2000, e serviu apenas para que os envolvidos apresentassem suas qualificações e intenções. Nesta oportunidade, o Dr. Paulo César Bhering Camarão, Secretário de Informática do TSE, apresentou também o Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE, como "exemplo de a ser seguido pelos fiscais técnicos dos demais Partidos". Foi marcada uma nova reunião de trabalho para o dia 15 de Junho nas dependências do TSE. Não foi elaborada ata desta primeira reunião.

A segunda reunião ocorreu no Auditório do TSE, em Brasília, no dia 15 de Junho de 2000. Sua duração foi de 6 horas, das 14:30 h até as 20:30 h, tendo o TSE gravado em vídeo e tomado notas taquigráficas do evento.

Compareceram a esta reunião, por parte do TSE, seu corpo técnico, dos quais destacam-se os Dr. Paulo César Bhering Camarão, Secretário de Informática do TSE, e mais os Srs. Eng. Paulo Seiji Nakaya, Eng. Guizeppe Janino, Eng. Antonio Ézio Marcondes Salgado e Eng. Oswaldo Catsumi Imamura, que apresentaram palestras ilustradas com recursos audiovisuais.

Compareceram a esta reunião, por parte do Senado, o Eng. Amílcar Brunazo Filho, o Eng. Márcio Coelho Teixeira e o Sr. Christiano de Oliveira Emery, Assessor Administrativo do Sen. Requião.

Ainda compareceram a esta segunda reunião em torno de 20 convidados do TSE, porém nem todos se apresentaram, mas destacamos a presença do Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE, Sr. Fernando Nery, Presidente do Conselho da Módulo, fornecedora de programa (SIS) de controle de acesso da rede do TSE, Sr. Marcos Lallo, Gerente da Procomp, fabricante das urnas e dos programas aplicativos desta, e de um representante do CEPESC, órgão governamental fornecedor do programa denominado "biblioteca de criptografia" utilizada na proteção dos dados contidos no disquete de transmissão dos Boletins de Urna.

A reunião iniciou-se com uma apresentação de 4 (quatro) horas de duração, por parte dos Técnicos do TSE acima citados, onde foram descritas as características de projeto, produção e distribuição da Urna Eletrônica e da Rede de Computadores do TSE, a qual é utilizada no momento da Totalização dos Votos. Após esta apresentação, a maior parte dos convidados do TSE se retiraram, mas destaque-se que o Sr. Marcos Lallo e o representante do CEPESC continuaram presentes à fase de perguntas e respostas que se seguiu.

Nesta segunda fase da reunião, que durou em torno de duas horas, foram elaboradas perguntas pelos representantes do Senado, as quais foram respondidas, todas, pelos Técnicos do TSE.

Como ainda restavam dúvidas e perguntas em aberto, os técnicos do TSE ofereceram-se para esclarecê-las por outras vias, como o contato por telefone ou por mensagens eletrônicas na Internet. Porém esta forma alternativa de contato não prosperou. No dia 20 de Junho de 2000, foi enviada uma consulta por mensagem eletrônica (anexo 9) ao corpo técnico do TSE. Esta consulta não foi respondida até o momento da elaboração deste relatório, por nenhum dos membros consultados, embora no encontro pessoal que ocorreu no dia 30 de Junho seguinte, o recebimento da mensagem foi reconhecido, sendo argumentado que a resposta ainda estava sendo elaborada.

Houve um terceiro encontro entre os dois grupos técnicos, do Senado e do TSE, no Debate Público promovido pela Comissão de Constituição e Justiça da Assembléia Estadual de Minas Gerais, ocorrido no dia 30 de Junho de 2000, no Plenário da Assembléia, coordenado pelo Exmo. Sr. Deputado Rogério Correia (anexo 4).

Compareceram a este debate o Eng. Amílcar Brunazo Filho e Eng. Márcio Coelho Teixeira, assessores do Sen. Requião e, por parte do TSE/TRE-MG, o Dr. Paulo César Bhering Camarão, o Eng. Paulo Seiji Nakaya, o Eng. Antonio Ézio Marcondes Salgado, o Eng. Oswaldo Catsumi Imamura e a Dra. Elizabeth Rezende, Diretora Geral do TRE/MG.

Apresentaram-se também neste debate o Dr. Evandro Luiz de Oliveira, Assessor de Assuntos de Segurança de Informática da Presidência da Empresa de Informática e Informação do Município de Belo Horizonte – PRODABEL, Dra. Maria Luiza de Oliveira, Presidente da Companhia de Processamento de Dados do Estado de Minas Gerais – PRODEMGE e o Sr. Moacir Alvarenga Casagrande, Assessor Técnico do PT junto ao TSE. Na platéia estiveram presentes o Sr. Frederico Gregório, Diretor da Microbase, e também o Sr. Marcos Lallo, Gerente da Procomp. Ambas empresas são as fornecedoras dos programas denominados Programa Básico e Aplicativo da urna eletrônica.

Este Debate Público durou em torno de 3 (três) horas e foi transmitido ao vivo pela TV Assembléia de Minas Gerais. Constou de apresentações e réplicas de todos os convidados seguido de manifestações de alguns presentes na platéia e de perguntas da platéia e de telespectadores dirigidas aos apresentadores.

---

2. Análise dos argumentos do TSE

          2.1 Sobre a desvinculação da identificação do eleitor

          2.1.1 Argumentação básica

A proposta do PLS 194/99 de impedir que a identificação eletrônica do eleitor seja feita na mesma máquina que recebe os votos, para garantir o princípio de Inviolabilidade do Voto, foi muito pouco abordada pelos representantes do TSE durante os encontros e reuniões.

O Ministro Nelson Jobim, falando pelo TSE durante sua apresentação no Senado, no dia 01 de Junho, declarou que "vim preparado para debater o Projeto n.º 194" mas, em nenhum momento, se referiu à proposta de desvinculação da identificação do eleitor, de forma que nenhum argumento contra esta proposta foi levantado.

Os técnicos do TSE, na apresentação que durou seis horas, no Auditório do TSE, no dia 15 de Junho, pouco se manifestaram espontaneamente sobre esta proposta e só a abordaram mais especificamente quando argüidos diretamente sobre ela, já no final da reunião. Esta questão foi tratada durante poucos minutos, dos quais parte foi tomado por nossas descrição de soluções alternativas.

No Debate no Plenário da Assembléia de Minas Gerais, no dia 30 de Junho, novamente os representantes do TSE pouco se manifestaram sobre esta proposta. O Eng. Paulo Seiji Nakaya, em seu pronunciamento, não manifestou oposição explicita à proposta de desvincular a identificação da urna, mas explicou que o programa da urna não está projetado para violar o voto, tendo dito:

          "Do jeito que foi montado o programa da urna não existe nenhuma associação entre o voto e quem vota, existe o contador... Mesmo que eu queira descobrir quem votou em quem, não sei… Existe a contador total, não dá para associar eleitor com candidato."

Apenas o Sr. Moacir Casagrande, fiscal técnico do PT junto ao TSE, manifestou-se explicitamente contrário à proposta do PLS 194/99 e dedicou parte de sua apresentação para este problema.

Os argumentos básicos apresentados para rejeitar a proposta do PLS 194/99 de desvinculação do processo de identificação do eleitor com a máquina que recebe os votos são de que a identificação do eleitor vinculada à urna:

1. dificulta que mesários votem por eleitores faltosos;
2. impede que o eleitor vote por duas ou mais vezes;
3. permite que se crie automaticamente uma relação de eleitores faltosos para atualizar o cadastro dos TREs;
4. não violará o voto, pois o Programa Aplicativo da Urna não reserva espaço na memória para esta finalidade;
5. não violará o voto, pois o Programa Aplicativo da Urna descarta (apaga da memória) o número eleitor e o próprio conteúdo do voto, após incrementar os contadores do candidato votado;
6. não violará o voto, como os fiscais dos partidos poderão conferir, conhecendo os programas da Urna.

          2.1.2 Argumentos corretos

Nenhum dos argumentos apresentados acima, a favor identificação do eleitor vinculada à urna, podem ser considerados integralmente corretos. Possuem erros lógicos ou imprecisões, como analisamos a seguir.

          2.1.3 Argumentos falhos

          Argumento 1 – a identificação do eleitor na urna dificulta que mesários votem por eleitores faltosos;

Apesar de que a urna eletrônica realmente dificulta este tipo de fraude, este argumento está logicamente incorreto pois o motivo alegado (identificação do eleitor) não é a causa real de tal qualidade da urna (dificulta a inserção de votos), constitui-se assim uma incorreção.

Nas eleições tradicionais, um único mesário desonesto que contasse com a omissão ou falha dos fiscais dos partidos e com a distração dos demais colegas mesários conseguiria mais facilmente introduzir votos na urna, pois esta ficava ao seu lado da mesa receptora. Com a urna eletrônica, tal mesário desonesto teria que liberar a urna no microterminal, que está na sua mesa, e ir depositar o voto na urna eletrônica, que fica afastada da mesa e emite sinais sonoros ao ser utilizada. A falha na fiscalização e a distração ou complacência dos outros mesários teria que ser maior para permitir esta fraude.

A liberação da urna, para receber o próximo voto, tem sido feita pela digitação do número do título do eleitor, mas fosse qualquer outra a senha de liberação da urna, ainda assim as dificuldades do mesário fraudar a votação continuariam presentes.

Assim, é por estar afastada da mesa e por emitir sinais sonoros enquanto recebe um voto que a urna eletrônica dificulta que um mesário desonesto deposite votos por um eleitor ausente, e não por que a identificação do eleitor está conectada à urna como sugere o argumento acima.

Também é importante ficar claro que a urna eletrônica atual dificulta mas não impede tal tipo de fraude, ao contrário do que alegou o Sr. Moacir Casagrande do PT, na Assembléia de Minas Gerais, ao falar sobre a possibilidade do mesário colocar votos na urna por eleitores que ainda não compareceram:

          "Com a identificação do eleitor, o mesário não pode fazer isso por que ele não sabe se o eleitor vai vir votar"

Se houver falha na fiscalização, mesários mancomunados poderão liberar a urna digitando números de eleitores que ainda não tiverem comparecido e votar por estes na urna eletrônica. Caso o eleitor compareça mais tarde para votar basta liberar a urna com o número de outro eleitor que ainda não tiver comparecido.

Além disso, a Lista de Votação impressa não é mais utilizada na obtenção ou conferência da relação de eleitores faltosos, conforme será mostrado na análise no argumento 3 a seguir. Se alguma discrepância houver entre a relação de eleitores faltosos gravada na urna eletrônica e a contida na Lista de Votação, esta discrepância não será descoberta pois não é conferida. Desta forma, eventuais "erros" cometidos por mesários desonestos ao manipularem a Lista de Votação, não serão descobertos e a fraude terá sucesso.

O Ofício n.º 547/AssEL-98 do Comandante da Polícia Fazendária – RS, ao Juiz da 33ª Zona Eleitoral do Rio Grande do Sul, de 09 de outubro de 98, anexo 7, mostra um acontecido que sugere ter ocorrido este tipo de fraude. É relatado um caso de um eleitor, Sargento da Brigada Militar, que :

          "… foi impedido de votar pois constava na Urna Eletrônica que o referido sargento já havia votado, porém foi conferido a relação da seção e lá constava o nome do Sargento Paulo Roberto Pimentel, inclusive sem sua assinatura e sem estar destacado o seu comprovante do voto."

Como o cadastro de eleitores que é utilizado para gerar a Folha de Votação impressa é o mesmo que gera a Tabela de Eleitores gravada na Urna Eletrônica, este tipo de problema só pode ter sido causado por que algum mesário leu o número do Sargento Pimentel na Folha de Votação e o usou para liberar a urna para que alguém votasse no lugar do próprio eleitor.

          Argumento 2 – a identificação do eleitor na urna impede que o eleitor vote por duas ou mais vezes;

Este argumento é falso por estar baseado em premissa errada. O eleitor não pode votar repetidas vezes por que a urna trava quando o eleitor completa o seu voto. A liberação da urna para receber mais um voto deve ser feita, como tem sido feita, pelos mesários. Mas nada neste processo impõe que a senha de liberação da urna seja o número do próximo eleitor a votar. Poderia ser qualquer outra senha, fixa ou aleatória.

Assim, da mesma forma que já ocorria no caso do voto tradicional, para votar mais de uma vez na urna eletrônica o eleitor precisa contar com a conivência do mesário. Caso algum mesário estiver disposto a permitir que algum eleitor vote mais de uma vez basta proceder como descrito na seção anterior, liberando a urna com o número de outro eleitor que ainda não tiver comparecido.

          Argumento 3 - a identificação do eleitor na urna permite que se crie automaticamente uma relação de eleitores faltosos para atualizar o cadastro dos TREs;

Este argumento, apresentado pelo Eng. Oswaldo Catsumi Imamura, do TSE inclui uma premissa (a identificação estar CONECTADA à urna) desnecessária à conclusão (a identificação eletrônica permite criar o cadastro) de forma a induzir o ouvinte a erro. Constitui-se assim o que pode-se classificar como uma falácia.

Para gerar tal relação de eleitores faltosos não é necessário que identificação eletrônica do eleitor seja feita CONECTADA à urna. Uma identificação em equipamento desvinculado da urna, como é permitida pelo PLS 194/99, também poderia gerar a desejada relação sem por em risco a inviolabilidade do voto.

Além disso, a tal relação de eleitores faltosos poderia facilmente ser gerada por leitura ótica da Folha de Votação, pelos funcionários dos vários Cartórios Eleitorais, também sem colocar em risco a inviolabilidade do voto.

Lembramos, ainda, que gerar a relação de eleitores faltosos a partir do conteúdo da memória da urna é uma impropriedade técnica, pois pode haver divergências entre esta e a Folha de Votação impressa, como prova o Ofício n.º 547/AssEL-98 (anexo 7). A assinatura do eleitor, que é o comprovante legal da sua presença e comparecimento, está colocada na Folha de Votação, enquanto que a Relação de Eleitores na Urna foi preenchida exclusivamente pelos mesários sem interferência de próprio punho do eleitor e pode conter erros Assim, é a Folha de Votação, que tem valor legal e é mais confiável, que deveria ser usada na geração da relação de eleitores faltosos.

O caso citado no anexo 7 ilustra este problema. Algum eleitor compareceu e votou normalmente, mas o número de identificação, que foi digitado pelo mesário para liberar a urna, foi o de outro eleitor, o do Sargento Pimentel. Aquele primeiro eleitor compareceu, votou e deixou sua assinatura na Folha de Votação mas na memória da urna constou como faltoso. Como é a memória da urna que está sendo erroneamente utilizada para gerar o Relatório de Eleitores Faltosos, tal eleitor foi relacionado como ausente, apesar de ter votado e assinado o comprovante.

          Argumento 4 - a identificação do eleitor na urna não violará o voto, pois o Programa Aplicativo da Urna não reserva espaço na memória para este recurso;

Este argumento, foi apresentado no Debate na Assembléia de Minas pelo Sr. Moacir Casagrande, fiscal do PT junto ao TSE:

          "…pode verificar que não existe nenhuma identificação entre a Tabela de Candidatos e a Tabela de Eleitores para que eu pudesse fazer a identificação de quem o eleitor votou. Eu precisaria ter na Tabela de Eleitores mais 2 campos, seria o número do candidato a prefeito e para vereador. Aí sim, permitiria a identificação do eleitor no microterminal. Como vocês podem observar, não existe esta ligação…"

Trata-se de um raciocínio construído com redundância. Parte-se da hipótese que todos os programas da urna são honestos e não contem vícios, como reservar espaços na memória para a guardar os dados fraudulentos, e conclui que assim a fraude não ocorrerá.

Para se guardar a relação entre voto e eleitor, basta arquivar de forma compactada a posição do candidato escolhido na tabela de candidatos, para cada eleitor. Esta relação ocupa pequeno espaço da memória fixa e poderia ficar guardada, por exemplo, nos muitos espaços ociosos do disquete de transferência de dados.

          Argumento 5 - a identificação do eleitor na urna não violará o voto, pois o Programa Aplicativo da Urna descarta (apaga) o número eleitor e o próprio conteúdo do voto, após incrementar os contadores do candidato votado;

Este argumento, apresentado pelo o Eng. Paulo Seiji Nakaya, do TSE, no Auditório do TSE e na Assembléia de Minas, está errado pelo mesmo motivo que o anterior. É um argumento redundante. Parte da hipótese que todos os programas da urna são honestos e que o voto de cada eleitor é apagado da memória após ser acumulado na Tabela de Candidatos, e conclui que assim a fraude de identificação do voto não poderá ocorrer.

          Argumento 6 - a identificação do eleitor na urna não violará o voto, como os fiscais dos partidos poderão conferir, conhecendo os programas da Urna.

Este argumento, apresentado pelo o Dr. Paulo César Camarão, do TSE, em todos seus pronunciamentos, é negado pela prática. A questão da conferência dos programas da urna pelos fiscais dos Partidos será abordada com mais detalhes no item 2.4 deste relatório, mais adiante, onde será esclarecido que, nas eleições de 96 e de 98, os Partidos não validaram nem certificaram todos os programas das urnas de forma correta, nem tais práticas estão previstas para este ano de 2000.

          2.1.4 Comparação de Riscos e Benefícios

O benefício alegado para o uso da identificação do eleitor em equipamento conectado à urna, tal como diminuir o risco da fraude do mesário inserir votos na urna, deve ser comparado com os outros riscos que tal fato gera.

A identificação vinculada à urna abre brecha para que vícios de programas sejam introduzidos, permitindo a violação sistemática do voto. Esta outra fraude, da violação sistemática dos votos é, então, o novo risco que se corre ao adotar a identificação ligada à urna.

O Potencial de Dano destes dois riscos são bastante diferentes. A possibilidade de violação sistemática do voto compromete totalmente a credibilidade de uma eleição e até do sistema democrático adotado no País. Já o dano à credibilidade do sistema eleitoral causado por alguns mesários desonestos, em seções sem fiscalização, é muito menor.

As Probabilidade de Ocorrência destas duas fraudes distintas é um problema complexo de se avaliar. Os estudos para o cálculo do Valor dos Riscos (ou Mapas de Riscos) envolvidos devem ser feitos pelos projetistas do sistema sob análise e conferidos pelos auditores do mesmo.

Em nossos contatos com os técnicos do TSE e com os fiscais técnicos dos Partidos Políticos, nenhum documento com dados de avaliação dos riscos nos foram apresentados, nem mesmo foram citados existirem. Tudo leva a crer que nunca foram feitos e que a decisão de vincular a identificação do eleitor à urna, sob risco de se permitir a violação sistemática do voto, foi tomada sem avaliação quantitativa, e auditada, do problema.

Convém salientar que em nenhum outro país do mundo existe uma urna, similar à brasileira, onde a identificação do eleitor é feita na mesma máquina que onde este declarará o seu voto.

          2.2 Sobre a auditoria da apuração eletrônica