Não é verdade que seja impossível identificar urnas eletrônicas sem um número de série individual. Esse argumento foi citado pelo Partido Liberal (PL), legenda do presidente Jair Bolsonaro, para pedir a invalidação dos resultados de mais de 250 mil urnas usadas no 2º turno das eleições deste ano -- sobretudo em cidades do interior do Brasil. O partido protocolou uma representação junto ao Tribunal Superior Eleitoral (TSE) na tarde desta terça-feira, 22, apontando que, sem os votos registrados nessas urnas, Bolsonaro teria pouco mais de 51% dos votos válidos no segundo turno.
O Estadão Verifica ouviu especialistas no assunto que apontaram que, de fato, urnas de modelos anteriores do de 2020 receberam um número de série único, e não uma identificação individual, como as urnas do modelo novo. Essa falha ocorreu nos logs das urnas eletrônicas -- um documento disponibilizado pelo TSE no qual se registram todas as atividades desempenhadas pelo equipamento de votação.
Mas a ausência desse número de série não significa que os resultados estejam comprometidos, que não seja possível identificar a autenticidade de um log ou a qual urna o documento pertence por conta disso, como argumenta o relatório técnico contratado pelo partido. Há outras informações no log, mesmo o das urnas mais antigas, que permitem identificá-lo, conferir sua autenticidade e apontar a que urna, zona, seção eleitoral e local de votação ele pertence.
A argumentação do PL já constava num relatório preliminar divulgado pelo partido e tinha sido mencionada pelo presidente da legenda, Valdemar da Costa Neto, em entrevistas nos últimos dias. Em vez de apontar um problema no número de série, contudo, Costa Neto errou ao dizer que o que faltava às urnas mais antigas era um número de patrimônio -- um código atribuído por instituições para controlar suas propriedades.
Em despacho também na tarde desta terça, o presidente do TSE, ministro Alexandre de Moraes, deu um prazo de 24 horas para que o PL inclua no questionamento ambos os turnos das eleições deste ano, sob pena de indeferimento inicial do pedido. Isso porque, apesar de as mesmas urnas terem sido usadas nos dois turnos de votação, o PL questionou apenas os resultado do 2º turno, o que não comprometeria os votos obtidos pelos parlamentares eleitos pelo partido no 1º turno.
Documento
Representação apresentada pelo PL ao TSE
Documento
Despacho do ministro Alexandre de Moraes
Em linhas gerais, o problema apontado pelo engenheiro Carlos Rocha, presidente do Instituto Voto Legal, contratado pelo PL, está em uma das formas de identificação da urna. Os logs de todas as urnas mais antigas usadas nas eleições deste ano anteriores ao modelo de 2020 (modelos UE 2009, UE 2010, UE 2011, UE 2013 e UE 2015), receberam um número único e inválido: 67305985. O que se esperava é que, durante a operação da urna, esse número fosse lido pelo software e preenchido com um valor correto individual, mas isso não ocorreu nas urnas antigas. O bug fez com que todos os equipamentos desses modelos mantivessem o mesmo número inválido, 67305985. Isso significa que essas urnas perderam uma das formas de identificação, mas não todas.
Também não é verdade, como se vem apontando, que essa falha impeça a verificação de autenticidade dos logs das urnas. Não é o número de série que confere autenticidade à urna, e sim sua assinatura digital, que é perfeitamente detectável pelo TSE se houver alguma modificação já no momento da recepção dos dados.
Em pronunciamento, o presidente do PL, Valdemar Costa Neto, disse que se surpreendeu com o resultado do relatório e que ele "não expressa a opinião do PL", mas que o resultado deve ser analisado pelos especialistas do TSE, de forma que seja assegurada e resguardada a lisura do processo eleitoral. O Estadão Verifica procurou o partido para mais esclarecimentos, mas não obteve resposta.
Formas de identificação de uma urna
Para Marcos Simplício, que é professor de Engenharia da Computação da Escola Politécnica da Universidade de São Paulo (USP), pesquisador das áreas de cibersegurança e criptografia e vice-coordenador do convênio USP-TSE que analisa a segurança do sistema de votação, o problema com os números de série das urnas mais antigas existe, mas ele é facilmente solucionado e não chega a comprometer o resultado das eleições.
Ele aponta que há pelo menos três conjuntos de dados identificadores de uma urna: o código de identificação, os dados de zona, local, município e seção, e o código de identificação de carga da urna.
"Desses três conjuntos de dados, um deles está faltando, mas na ausência de uma coisa, eu consigo identificar pelas outras. É como se você tivesse três documentos: o RG, o CPF e um registro no INSS, mas você não tivesse esse INSS em mãos. Isso não compromete a sua identificação porque eu consigo dizer quem você é a partir do seu RG e do seu CPF", exemplifica.
Na prática, em vez de ter três conjuntos de dados, essas urnas têm dois, que ainda permitem identificá-las e conferir sua autenticidade. O Estadão Verifica testou se era possível identificar uma das urnas mais antigas, sem o número de série, apenas pelos outros dados presentes no log, e teve sucesso.
Professor do Departamento de Sistemas da Computação da Universidade Estadual de Campinas (Unicamp), Paulo Lício de Geus, por outro lado, chama a atenção que essa falha é um indicativo de mau funcionamento do software da urna e a consequência é que se pode inferir a existência de outros problemas.
"O problema não é se é possível identificar uma urna individualmente por outros meios, para satisfação do curioso. O problema é que, numa auditoria deste tipo, o auditor deve ser capaz de vincular o equipamento físico com a função a ele atribuída, no caso de serem múltiplas unidades. Isso tem que ser feito de maneira inquestionável utilizando o único mecanismo disponível para tal, que é a identificação gerada pelo fabricante", diz.
Há mais problemas?
Para Marcos Simplício, da USP, ainda é preciso entender o que provocou o bug para poder corrigi-lo e entender se há mais coisas por trás. Contudo, diz, a relevância do problema com os números de série é muito baixa e, a priori, a consequência dele para o resultado da eleição é nula.
"Estão tentando transformar um problema que existe, mas é extremamente pequeno, em algo gigantesco. Não é um problema grave, a priori. Pode ter outras coisas por trás, por isso seria bom entender o que aconteceu para saber se o problema é só esse. Mas, batendo o olho, é um problema simples, de consequência nula", diz.
Segundo ele, pode, sim, haver outros problemas, mas, até agora, não foram encontrados bugs significativos que comprometam o resultado da eleição. Um conjunto de outros especialistas tentou encontrar cenários em que esse pequeno problema implicasse em outras coisas maiores, mas nada foi encontrado.
Marcos Simplício alerta, ainda, que qualquer software tem problemas e não há sistemas 100% livres de falhas. Mas isso não significa que eles não devam ser usados, porque nem todos os bugs são comprometedores. "Para mim, um bug que invalidaria a eleição seria uma alteração na mídia de votação, a mídia que guarda os votos lançados em uma urna e que pode ser inserida em outra, se aquela urna der problema", explicou. "Se esse bug existisse e alguém alterasse essa mídia, inserisse na urna e ela lesse normalmente e carregasse votos fraudados, aí sim seria um problema".
Um dos participantes dos Testes Públicos de Segurança do TSE, no qual especialistas tentam identificar vulnerabilidades nas urnas, Simplício explicou que não teve sucesso em tentar criar um bug desse tipo. "Nós já testamos esse bug, tentamos fazer esse tipo de modificação aqui na USP e não conseguimos. A urna recusou, apontou que a assinatura digital não batia", explica.
Há mais de um código-fonte sendo usado?
O problema nos números de série levanta outras questões mais sérias, aponta Paulo Lício de Geus. Uma dessas perguntas é se há mais de um software, ou mais de um código-fonte, sendo usado na mesma eleição: um para urnas mais antigas e outro pra urnas mais novas. Por enquanto, não há provas disso.
Pesquisadores da USP que têm acesso ao código fonte descartam as teorias de que haveria dois códigos-fontes distintos: "Em todos os testes que fizemos até agora, nenhum deles trouxe qualquer indicativo de que haveria mais de um código-fonte executando na urna. Por exemplo, já levantaram que diferenças em sequências de mensagens no log seriam indicativo de dois códigos. Não é: usando o mesmo código, conseguimos reproduzir as diferenças observadas nos dois modelos de urna aos quais que temos acesso na USP (2015 e 2020)", diz Simplício.
Sigilo do voto foi quebrado?
Durante a entrevista coletiva concedida pelo PL, o engenheiro Carlos Rocha, que liderou o relatório contratado pelo PL, apontou que outro problema encontrado diz respeito ao sigilo do voto. Ele afirmou que houve cerca de 200 ocorrências em que a identidade do eleitor foi exposta -- ou pelo nome completo ou pelo número do título -- no momento em que as urnas eletrônicas travaram e foram reiniciadas. "Esse ponto é muito sensível, porque o sigilo da votação é um direito constitucional. Então, na hora que a gente identifica uma ocorrência que viola o sigilo do ato de votar, esse é um tema que traz muita preocupação", disse.
Esse ponto foi tema de uma checagem da Agência Aos Fatos no final da última semana. Segundo o TSE, os nomes dos eleitores que aparecem nos logs de algumas urnas registra apenas o momento em que houve a falha, e não em que o eleitor votou, ou seja, não há quebra de sigilo do voto.