É falso que uma funcionária do Tribunal Superior Eleitoral (TSE) tenha afirmado que o sistema de votação eletrônico do Brasil é inconfiável e inauditável. Essa alegação se espalhou nas redes sociais junto de uma entrevista da advogada Maria Aparecida Cortiz. Ela integrou um grupo independente de fiscalização das urnas eletrônicas, mas nunca fez parte do quadro de funcionários do Tribunal. segundo o TSE informou ao Estadão Verifica.
O TSE contesta os apontamentos de Cortiz de que as urnas eletrônicas são vulneráveis, afirma que o sistema eleitoral é seguro e pode ser auditado antes, durante e depois das eleições. As alegações da advogada sugerem que há falhas de segurança na transmissão do código-fonte aos tribunais regionais, mas uma série de recursos de segurança e auditoria na validação dos programas usados nas urnas eletrônicas mitigam os riscos de fraude nesse processo.
Com mais de 4,6 mil compartilhamentos, uma mensagem no Twitter ainda apela para um tom alarmista ao disseminar o boato. "Bomba: funcionária do TSE relata a vulnerabilidade do sistema eleitoral brasileiro há código fonte frágil e não há como auditar", diz o conteúdo falso. A frase sugere que o depoimento de Cortiz é uma fato inédito, mas na verdade o discurso foi extraído de uma entrevista publicada no YouTube em 2014. O material também obteve milhares de visualizações no Telegram.
Procurada, Maria Cortiz não retornou os contatos da reportagem até o fechamento da matéria.
A preparação do código-fonte no TSE
Na entrevista, Maria Cortiz cita que fiscaliza o que seria a primeira etapa do processo eleitoral: a transmissão do código-fonte do TSE para as cortes regionais. O código-fonte é um conjunto de instruções que rege o funcionamento de um programa de informática. Em seguida, a advogada relata ter denunciado vulnerabilidades e que o sistema não é auditável.
Em outro trecho da entrevista, Cortiz aprofunda sua argumentação. Ela aponta que a transmissão do código aos tribunais regionais (TREs) pode ocorrer com conexão à internet. Segundo a advogada, um ataque nesta etapa poderia resultar no carregamento de um programa adulterado nas urnas eletrônicas; ela diz ainda que um trabalho de um estudante da Universidade de Brasília (UnB) detectou falhas de segurança. Porém, o TSE e um especialista independente consultado pelo Estadão Verifica dizem que a assinatura digital do sistema minimiza esse risco.
A entrega do código-fonte aos estados ocorre por uma rede interna criptografada da Justiça Eleitoral. A criptografia funciona como um cadeado: o conteúdo de uma rede ou arquivo é cifrado por um conjunto de códigos e só pode ser acessado por quem tem a 'chave' específica para decodificar esse sistema. Antes que o programa seja disponibilizado aos tribunais regionais, no entanto, o TSE também protege o software das urnas eletrônicas com assinaturas digitais.
O recurso de segurança permite identificar se o código-fonte é o mesmo produzido pela corte e cria uma barreira para a execução de programas estranhos. "Por mais que algum código fosse alterado durante a transmissão ou que algum TRE quisesse usar uma outra versão do código, a urna não executa um programa sem assinatura do TSE", explica Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS).
O processo de assinatura digital é realizado em uma cerimônia pública de lacração do sistema, com a participação do Ministério Público e outros observadores credenciados. Uma vez que o sistema é lacrado, não são mais permitidas alterações no código-fonte. Na mesma etapa, também são gerados os resumos digitais, ou hashes, entregues às entidades fiscalizadoras. A ferramenta permite verificar a compatibilidade dos arquivos do sistema com a versão lacrada pelo tribunal.
Validação nos tribunais regionais
Os TREs são responsáveis por carregar as mídias com os programas executáveis nas urnas eletrônicas e preparar os aparelhos para as eleições. O procedimento também ocorre em cerimônias públicas, geralmente realizadas em cartórios eleitorais ou outros recintos designados pela Justiça Eleitoral.
O primeiro passo é gravar os dados eleitorais e os aplicativos das urnas eletrônicas em um cartão de memória chamado de "flash card" e uma espécie de pendrive de formato exclusivo, denominado "memória de resultado". Esse procedimento ocorre por meio de um aplicativo da Justiça Federal chamado GEDAI. Os dispositivos são então utilizados para inserir os programas nas máquinas, que possuem um módulo de segurança para verificar se a assinatura digital dos programas carregados é compatível com a criptografia do TSE. Se houver alguma anomalia, a urna não executa os programas e trava.
Após carregar o ecossistema de aplicativos, os tribunais simulam uma votação em uma quantidade de urnas definidas por amostragem, para avaliar se o sistema está funcionando corretamente. Caso tudo esteja em ordem, os compartimentos das urnas eletrônicas que recebem o flashcard e a memória de resultado são fechados com lacres físicos.
De acordo com o TSE, os lacres fabricados pela Casa da Moeda têm propriedades que acusam imediatamente a violação. Na sequência, as máquinas são armazenadas pelas cortes regionais em um local definido e transportadas até as seções eleitorais na véspera do pleito. A nota do tribunal ainda ressalta que os sistemas da urna são programados para funcionar apenas no momento da votação.
Auditoria
No vídeo, Maria Cortiz diz que o sistema eleitoral é fraco e não auditável. A mensagem analisada pelo Estadão Verifica amplifica a narrativa da advogada e afirma que "Não há como auditar. Nada pode provar se o voto que aparece na tela é o mesmo que foi registrado!". Mas não é bem assim. O TSE defende que há uma série de mecanismos que permitem auditar o processo eleitoral antes, durante e depois da votação.
Além das cerimônias públicas de lacração, que permitem certificar a integridade do software ao carregar a mídia das urnas eletrônicas, os códigos-fontes de aplicativos da urna são abertos à auditoria de autoridades e entidades civis credenciadas. O período de inspeção dos programas da próxima eleição foi aberto pelo tribunal em outubro de 2021.
Como mostra reportagem do Projeto Comprova, alguns especialistas ainda apontam limitações no acesso à inspeção do código-fonte. Uma delas é a restrição da auditoria às dependências da corte. Segundo os professores Paulo Matias, da Universidade Federal de São Carlos (UFSCar), e Diego F. Aranha, da Universidade de Aarhus, na Dinamarca, são necessárias muitas horas de trabalho para analisar o código-fonte, e o ideal seria que examinadores pudessem fazê-lo de qualquer lugar.
Para o professor Jéferson Campos Nobre, que participou da inspeção do código-fonte neste ano, atualmente é possível fazer uma análise efetiva do código. Ele afirmou ao Estadão Verifica que foi autorizado a inspecionar o código por vários dias e reconheceu que o tribunal tem iniciativas para aprimorar o acesso.
Outros recursos de auditoria citados pelo TSE são os boletins de urna. Trata-se de um relatório impresso ao final da votação que informa o número de votos por candidato em cada seção eleitoral. A soma dos dados dos boletins são comparados com os resultados da totalização de votos feita pelo TSE.
Além disso, a corte diz que é possível fazer a recontagem do processo eleitoral por meio do Registro Digital do Voto, que organiza os votos computados na urna eletrônica de forma embaralhada para garantir o sigilo. A mídia de votação, que grava as operações realizadas na urna e é instalada durante as cerimônias de lacração, fica intocada por um período determinado pela Justiça para auxiliar na auditoria.
O caso do estudante da UnB
Outro argumento citado por Cortiz na entrevista é que um estudante da Universidade de Brasília teria identificado uma vulnerabilidade em um aplicativo da urna chamado Inserator. Em 2015, durante debate na Comissão Parlamentar de Inquérito dos Crimes Cibernéticos na Câmara dos Deputados, a advogada afirmou que essa falha poderia permitir a instalação de programas e arquivos fraudulentos nas urnas eletrônicas. Técnicos do TSE presentes na sessão contestaram as alegações, segundo matéria publicada no site da Casa Legislativa.
O secretário de tecnologia do TSE Giuseppe Janino argumentou que o Inserator fazia parte de um sistema utilizado pelo tribunal até 2004, mas que não poderia permitir uma fraude. Ele afirma que o software foi detectado porque a máquina disponibilizada na auditoria do código-fonte feita por Cortiz continha o programa em um histórico de fontes anteriores.
"O Inserator fazia parte de um sistema que gerava certificados digitais, antes da lacração dos sistemas. Não faz parte da urna", disse Janino, conforme relatado pela Agência Câmara de Notícias. A advogada, no entanto, rebateu que o servidor não tinha como comprovar que o Inserator não foi utilizado. Até o momento, porém, não há relatos comprovados de fraudes em eleições brasileiras que utilizaram o voto eletrônico.
