Urnas eletrônicas são sujeitas a fraudes? Veja perguntas e respostas

• 0

Apesar das reiteradas acusações do presidente Jair Bolsonaro sobre a ocorrência de fraudes na contagem dos votos nas eleições de 2014 e de 2018, especialistas, investigadores e técnicos do Tribunal Superior Eleitoral (TSE) são unânimes ao afirmar que nunca foi provada qualquer adulteração das escolhas feitas pelos eleitores na urna eletrônica.

Mesmo assim, dentro da comunidade acadêmica, há consenso entre cientistas da computação e analistas de segurança eletrônica de que existem fragilidades e que é possível melhorar o sistema de votação no Brasil, apesar de avanços recentes no TSE. Por isso, boa parte deles defende a implantação do voto impresso como um mecanismo de certificação do resultado, mas rejeita o discurso de Bolsonaro de que disputas presidenciais recentes não foram limpas.

“Essa argumentação não tem qualquer respaldo em provas e informações coletadas até então, tanto pelos pesquisadores acadêmicos quanto pelas autoridades de Justiça. Realmente nunca houve fraude comprovada”, afirma Mario Gazziro, professor de engenharia da informação na Universidade Federal do ABC (UFABC) e que, junto com outros especialistas em tecnologias de votação, aconselha o deputado Filipe Barros (PSL-PR), relator da proposta de emenda à Constituição (PEC) do voto impresso na Câmara.

É o que também atesta Marcos Camargo, presidente da Associação Nacional dos Peritos Criminais Federais (APCF), cujos integrantes participam de testes e verificação de softwares instalados nas urnas.

“Até o momento, nunca houve qualquer comprovação de fraude nas urnas eletrônicas desde que elas passaram a ser usadas nas eleições brasileiras. Nenhuma análise das urnas ou de outros elementos que estivessem relacionados a indícios de fraude confirmou que isso tenha havido”, diz o perito.

Apesar disso, os dois dizem que há falhas na urna eletrônica que podem torná-las mais vulneráveis a tentativas de fraude. Uma comprovação, no entanto, dependeria de investigações periciais e forenses mais aprofundadas. Uma crítica comum é que, historicamente, o próprio TSE sempre dificultou esse tipo de análise. Daí o argumento de que o voto impresso também ajudaria a afastar as recorrentes suspeitas que surgem sobre a votação eletrônica.

Entenda, abaixo, nesta série de perguntas e respostas, quais são essas suspeitas e como o TSE responde a elas:

Quais as principais suspeitas de fraude eletrônica nas eleições e quando ocorreram?

As principais suspeitas, e que levaram a investigações externas, ocorreram na disputa presidencial de 2014 e na eleição para o governo de Alagoas em 2006. No primeiro caso, a desconfiança recaiu sobre o processo de totalização dos votos no TSE. No segundo caso, mais antigo, a suspeita de tentativa de fraude se deu em virtude da ocorrência de falhas acima do comum nas urnas distribuídas no estado.

No pleito de 2014, o PSDB recebeu denúncias de milhares de eleitores, principalmente ligadas à transmissão e soma final dos votos no segundo turno. A suspeita de fraude foi reforçada porque, naquele ano, a divulgação dos resultados da disputa presidencial só ocorreu após as 20 horas, quando terminou a votação no Acre. Somente um grupo restrito no TSE teve acesso aos dados parciais. A evolução parcial da apuração, revelada depois, mostrou que Aécio Neves (PSDB) partiu na frente de Dilma Rousseff (PT), que virou somente por volta das 19h30, quando 88% das urnas estavam apuradas. Ela venceu com 51,64% dos votos válidos.

O PSDB pediu uma auditoria para verificar se houve desvio de votos na transmissão e totalização feita no TSE. Concluiu que, nesta fase final, “não encontrou sinais de erros ou eventuais fraudes sistemáticas que pudessem inverter o resultado”.

Outras denúncias pontuais da eleição – como de eleitores que apareceram na seção e foram informados que outras pessoas haviam votado em seu lugar; de eleitores que se ausentaram mas que tiveram votos registrados; e também de mesários que votaram no lugar de ausentes – foram consideradas “falsas ou apenas falhas localizadas (sem potencial de afetar o resultado)”.

Em relação à disputa de 2006 em Alagoas, uma auditoria externa feita a pedido de João Lira (PTB), que perdeu as eleições para Teotônio Vilela Filho (PSDB), mostrou que mais de 7% das urnas eletrônicas apresentaram arquivos de controle, chamados “logs”, corrompidos. São arquivos internos que registram eventuais problemas durante a votação. Os logs também apontavam 20 mil votos a menos que o total oficial.

Em resposta às suspeitas, o TSE afirmou na época que a falha não comprometeu os arquivos dos resultados e deu o caso por encerrado, sem permitir acesso e perícia aprofundada nos votos digitais armazenados, no software e no hardware nas urnas.

É em razão dessa postura, de limitar verificações de resultados após as eleições, dentro dos arquivos digitais das urnas, que técnicos externos dizem que o sistema eletrônico de votação em seu todo é, na prática, inauditável. A mesma queixa foi manifestada pelo PSDB em 2014.

O que revelaram os testes públicos de segurança, promovidos pelo TSE?

Uma das principais formas de o TSE rebater as críticas é pela realização do Teste Público de Segurança (TPS), no qual especialistas independentes são chamados ao tribunal para tentar invadir a urna eletrônica e adulterar seus sistemas. O objetivo é que colaborem apontando falhas que, segundo o TSE, são sempre corrigidas.

Desde a introdução das urnas eletrônicas no Brasil, em 1996, foram realizados cinco testes, em 2009, 2012, 2016, 2017 e 2019. Em todos eles, participantes conseguiram encontrar vulnerabilidades. A mais grave foi detectada em 2017, quando uma equipe coordenada pelo professor Diego Aranha, atualmente pesquisador de ciência da computação na Universidade Aarhus, na Dinamarca, conseguiu invadir a urna eletrônica.

A equipe, também composta por Pedro Barbosa (UFCG), Thiago Cardoso, Caio Lüders (UFPE) e Paulo Matias (UFSCar), conseguiu executar um software malicioso e adulterar o comportamento do programa oficial que computa os votos. Foi possível violar o sigilo do voto, inserir na tela mensagens pedindo para o eleitor votar em determinado número e também desviar votos de um candidato para outro. Eles só não conseguiram inserir esta última adulteração na urna física porque faltou tempo – dizem que poderiam ter feito isso se tivessem mais uma hora disponível.

“Nossa abordagem foi pensada para um fraudador que captura os cartões de memória que instalam software nas urnas antes das eleições, sabendo que cada cartão instala até 50 máquinas”, explicou Diego Aranha em artigo publicado em seu site.

Uma adulteração, de alcance menor, já havia sido conseguida no teste de 2016: técnicos externos conseguiram mexer nos votos em situações em que a urna apresentava pane e tem de ser substituída.

Antes, em 2012, a equipe de Aranha conseguiu outra proeza: desembaralhar os votos depositados em uma urna, de forma a reordená-los na sequência cronológica em que foram digitados na eleição. Isso possibilitaria quebrar o sigilo, consultando a lista do mesário com a relação de eleitores daquela seção. O sigilo também foi comprometido em 2009, quando um pesquisador conseguiu decifrar os botões que eram apertados a partir da frequência de rádio que cada um emitia.

O TSE diz que todas os testes foram úteis para aperfeiçoamentos do sistema eletrônico. Após as correções, o tribunal chama os técnicos externos de volta para verificarem novas blindagens introduzidas na urna. Mesmo assim, eles reclamam do tempo e das condições restritas para realizar os ataques monitorados.

“São apenas três dias para examinar dezenas de milhões de linhas de programação, e é proibido anotar trechos de código em papel ou usar as próprias máquinas, tomando enorme tempo para preparar um ambiente de trabalho”, diz Diego Aranha.

Desde quando o presidente Jair Bolsonaro questiona as urnas eletrônicas? Ele já apresentou provas?

Antes mesmo de sua vitória em 2018, Bolsonaro já lançava dúvida sobre o sistema eletrônico. Em setembro daquele ano, dentro do hospital, quando se recuperava da facada na barriga, ele disse numa live para seguidores nas redes sociais:

“A grande preocupação realmente não é perder no voto, é perder na fraude. Então, essa possibilidade de fraude no segundo turno, talvez até no primeiro, é concreta.”

Bolsonaro foi o autor de uma PEC de 2015 que também previa a impressão do voto. A proposta chegou a ser aprovada na Câmara, mas o voto impresso só virou lei por meio de outro projeto, aprovado no mesmo ano. Ele deveria ser implementado em 2018, mas o Supremo Tribunal Federal considerou a norma inconstitucional antes da eleição.

Desde que tomou posse na Presidência, Bolsonaro repetiu em diversas ocasiões a acusação de fraude na urna eletrônica, mas nunca apresentou evidências concretas. Em março de 2020, num evento em Miami, ele disse que “brevemente” iria apresentar provas de que teria vencido a disputa no primeiro turno.

“Pelas provas que tenho em minhas mãos, que vou mostrar brevemente, eu fui eleito no primeiro turno, mas, no meu entender, teve fraude. E nós temos não apenas palavra, temos comprovado, brevemente quero mostrar, porque precisamos aprovar no Brasil um sistema seguro de apuração de votos”, disse.

Em novembro do ano passado, após votar na eleição municipal, o presidente afirmou: “A minha eleição em 2018 só entendo que fui eleito porque tive muito, mas muito voto. Tinha reclamações que o cara queria votar no 17 e não conseguia. Vão querer que eu prove. É sempre assim. O cara botava um pingo de cola na tecla 7, um tipo de adulteração.”

Neste mês, Bolsonaro disse a apoiadores, na porta do Palácio da Alvorada, que o problema estaria na contagem dos votos no TSE.

Depois, em entrevista a uma rádio de Itapetininga (SP), disse que “o indício mais forte de probabilidade de o sistema não ser seguro” seria uma alternância repetida de forma incomum na liderança durante a apuração dos votos minuto a minuto na eleição de 2014. “Por 231 vezes, ganhava Aécio, ganhava Dilma, ganhava Aécio...”, disse.

No mesmo dia, o TSE divulgou uma tabela e um gráfico da evolução da totalização (veja abaixo) desmentindo o presidente. Os resultados parciais, de 17h01 de 26 de outubro às 02h13 da madrugada do dia 27, mostram que Aécio largou na frente e foi ultrapassado por Dilma apenas uma vez, às 19h32.

Bolsonaro prometeu que, nesta quinta (29), em sua live semanal para seguidores nas redes, vai apresentar as supostas provas de fraude.

Como funciona o sistema da urna eletrônica? Por que o TSE diz que ele é seguro?

A urna eletrônica foi introduzida nas eleições municipais de 1996. Foi criada dentro do próprio TSE não só para agilizar a apuração, mas com o objetivo principal de eliminar fraudes que eram comumente praticadas na contagem manual de cédulas de papel.

Desde 2000, com a universalização do uso da urna eletrônica, a cada pleito, o tribunal distribui pelo país mais de 400 mil máquinas, uma para cada seção eleitoral. O TSE sempre diz que a urna não é ligada à internet e, por isso, durante a votação, não há possibilidade de invasão.

Ao final da votação, os votos inseridos na urna são embaralhados, criptografados e armazenados em um cartão enviado a uma junta eleitoral. De lá, os dados são transmitidos numa rede exclusiva da Justiça Eleitoral para os Tribunais Regionais Eleitorais (TREs), que conferem se eles realmente vieram de uma urna oficial e os repassa ao TSE, que totaliza e divulga os resultados.

O TSE assegura a confiabilidade do sistema pelo uso de vários mecanismos durante a transmissão desses dados, sendo os principais a criptografia (tecnologia que oculta os dados) e as chaves de segurança secretas (que decifram os dados criptografados).

A urna em si possui o “log”, espécie de caixa-preta que registra todos os eventos durante a votação (hora em que foi ligada, momento de cada voto, eventual pane, desligamento, retirada dos dados, etc.). Além disso, imprime a zerézima antes da votação (comprovante que certifica que não computou nenhum voto) e, ao final, o boletim de urna (que soma todos os votos recebidos durante aquele dia da eleição).

Os resultados de cada urna, apresentados no boletim impresso, podem ser conferidos no site do TSE e no aplicativo oficial Boletim na Mão, inclusive por meio de um QR Code.

Há ainda outros meios de auditoria sempre ressaltados pelo tribunal. Além dos Testes Públicos de Segurança (TPS), o TSE também disponibiliza o código-fonte da urna por seis meses a técnicos indicados por partidos, Polícia Federal, Ministério Público, Forças Armadas, Congresso Nacional, STF, Tribunal de Contas da União, Ordem dos Advogados do Brasil e Conselho Federal de Engenharia.

Essas entidades também são chamadas a participar da cerimônia de lacração da urna eletrônica. Trata-se do momento posterior à inspeção, em que elas podem verificar se os programas inseridos na urna estão íntegros e assiná-los digitalmente, certificando a conferência.

O que os críticos do sistema dizem? Onde estão as brechas?

Apesar de todos esses itens de segurança e procedimentos de auditoria, especialistas em segurança digital apontam fragilidades, principalmente com base nas invasões realizadas nos Testes Públicos de Segurança.

Ao contrário do que já foi cogitado pelo PSDB e por Bolsonaro, a principal vulnerabilidade não estaria na transmissão e totalização dos dados pelo TSE após a votação.

"É muito remota essa possiblidade, porque o resultado vai ficar discrepante do boletim de urna. Só ia causar um problema temporário, porque o candidato que perdesse ia verificar e ia reclamar diretamente. Um ataque efetivo teria que acontecer dentro da urna", diz Mario Gazziro, da UFABC.

Para os especialistas, as principais brechas encontram-se no processo de confecção, dentro do TSE, do programa de votação que roda nas urnas, e também no momento em que ele é instalado, por empresas terceirizadas, nas máquinas distribuídas por todo o país.

A primeira hipótese supõe a possibilidade de que um funcionário do TSE possa ser corrompido e tornar-se um fraudador interno, contaminando o programa de votação com algoritmos que possam adulterar a votação no dia da eleição.

A segunda hipótese cogita o risco de que prestadores de serviços, contratados pelo tribunal para preparar as urnas, contratem hackers para invadir o cartão de memória e alterar o programa.

“Não é impossível que essas empresas tenham ligação direta com candidatos, políticos que colocam laranjas para administrá-las”, diz Gazziro.

Ex-secretário de Tecnologia da Informação do TSE e hoje assessor da presidência da Corte, o engenheiro Giuseppe Janino, considerado um dos pais da urna eletrônica, rechaça essa possibilidade. Diz que a urna tem mais de 30 barreiras eletrônicas e não aceita executar programas que tenham sido adulterados.

“Ela verifica se todo software que está sendo rodado é autêntico e está íntegro. Portanto, não permite que qualquer vírus possa ser carregado. Softwares maliciosos podem rodar na urna eletrônica? Isso é boato”, afirmou, durante apresentação do sistema no final de junho a deputados da comissão da PEC do voto impresso.

Os recentes ataques a redes do TSE apresentam risco para as eleições?

Nos últimos anos, foram identificados dois ataques de hackers a computadores do TSE. Em 2018, os invasores se passaram por funcionários de TREs para entrar na rede do tribunal. Conseguiram acessar um sistema chamado Gedai, onde é confeccionado o software da urna.

Em 2020, um novo ataque conseguiu capturar dados administrativos antigos de servidores e ex-ministros. No dia da eleição, a apuração dos votos atrasou algumas horas.

Apesar disso, o TSE sempre afirmou que esses ataques foram interceptados pela equipe de segurança e não impactaram as eleições nesses dois anos. Os dois casos são investigados em sigilo pela Polícia Federal.

Por que o TSE é contra a adoção do voto impresso?

O TSE diz que o sistema eletrônico já é auditável e que a impressão traria de volta riscos de fraude na manipulação física dos papéis.

Também alega custo de até R$ 2 bilhões para aquisição das impressoras e adaptações nas urnas atuais, dificuldades logísticas para operação e armazenamento dos votos impressos e necessidade de treinar mesários e eleitores para problemas no momento da votação.

Gestores do TSE ainda apontam “paradoxos” sobre os reais benefícios da impressão. Um deles é que o registro impresso teria de conter um código verificador de sua autenticidade. Esse código, porém, seria impresso no voto físico pela própria urna eletrônica.

“Desconfiamos da urna eletrônica, e por isso incluímos o voto impresso, mas para podermos confiar no voto impresso, nós necessariamente precisamos confiar na urna eletrônica, porque ela vai autenticar cada voto impresso”, ironizou o secretário da Tecnologia da Informação do TSE, Júlio Valente, durante debate realizado em junho no tribunal com deputados da comissão que analisa a PEC na Câmara.

Ele também aponta riscos de fraudadores clonarem votos e inseri-los na urna física, ou subtraírem votos autênticos do recipiente, o que lançaria dúvida sobre a eleição e judicializaria a disputa.

“Com um simples estilete e acesso ao depósito, qualquer um pode colocar em suspeição as seções eleitorais. Não é preciso dominar nenhum dos vários mecanismos de segurança hoje existentes, como assinaturas digitais e criptografias. Efetivamente diminui a segurança das eleições”, disse Valente.

O que dizem os defensores do voto impresso?

Especialistas em tecnologia da segurança dizem que a impressão do voto é a forma mais simples e eficaz de o próprio eleitor conferir o resultado apresentado pelo sistema eletrônico.

“Os acadêmicos seguem a vertente de pesquisa mundial, que é categórica em concordar sobre a necessidade da adoção do registro em papel como única forma de garantir a integridade do voto frente a um eventual ataque no software interno da urna”, diz Mario Gazziro.

Outro argumento é a facilidade de conferência imediata por leigos. “O registro em papel dá transparência ao processo eleitoral pois ele pode ser observado a olho nu pelo eleitor. As pessoas não conseguem observar elétrons correndo em fios, mas a maioria das pessoas consegue ler os números dos candidatos escritos em um papel”, diz Diego Aranha.

Ambos rechaçam o argumento do TSE de que os votos podem ser conferidos eletronicamente num arquivo chamado Registro Digital do Voto (RDV). Além de praticamente inacessíveis ao cidadão comum, esse tipo de arquivo também poderia, em tese, ser violado de forma oculta.

Eles também dizem que fraudes com papel poderiam ser reduzidas com a impressão de um QR Code único em cada voto. Na conferência, feita por meio de uma máquina de escaneamento digital, um voto clonado ou falso seria descartado. E um que foi eventualmente subtraído seria substituído, para fins de contagem, por sua cópia armazenada digitalmente no RDV.