A Sua Excelência o Senhor Luís Roberto Barroso,
Excelentíssimo Senhor Presidente do Tribunal Superior Eleitoral,
Sabemos bem que a democracia está sob ataque. Um dos artifícios utilizados para diminuir a confiança da sociedade sobre o regime democrático e suas instituições tem sido colocar em dúvida a credibilidade das urnas eletrônicas.
Sabemos que nos últimos anos, muito tem sido feito pelo TSE para fortalecer o processo eleitoral e tornar cada vez mais transparentes e seguras as eleições no país. Quanto ao sistema eleitoral eletrônico, especificamente, é público e notório que nossas urnas eletrônicas possuem mais de 30 barreiras de segurança. No entanto, é natural que existam pontos de maior fragilidade em qualquer sistema, e algumas vulnerabilidades às urnas eletrônicas — facilmente solucionáveis, vale dizer — vêm sendo apontadas, a exemplo:
Da suposta vulnerabilidade a ataques internos (inside job) e modificações possíveis de serem feitos discretamente no algoritmo do código-fonte do software de votação por programadores autorizados pelo TSE com conhecimento, acesso e disposição suficientes;
Do acesso ao código-fonte do software de votação para análise e auditoria ser restrito apenas às instituições e indivíduos autorizados pelo TSE, ao invés de estar livre na internet o acesso a uma cópia oficial, completa e atualizada do código-fonte para ser baixado, analisado e amplamente auditado por todas e quaisquer organizações e pessoas interessadas.
Como é fácil perceber, as críticas e dúvidas referentes a supostas vulnerabilidades das urnas eletrônicas só têm espaço para prosperar devido ao fato de que o acesso a uma cópia do código-fonte do software de votação ainda é restrito. Diante disto, propomos que Vossa Excelência crie mais uma medida de segurança, qual seja, dar completa transparência e livre acesso via internet a uma cópia do código-fonte do software de votação e de todo o conjunto de softwares da urna eletrônica.
Estamos seguros de que tornar pública uma cópia integral do código-fonte dos softwares da urna eletrônica atenderá aos republicanos princípios de que “dados olhos suficientes, todos os erros são óbvios”; e de que “a luz do Sol é o melhor desinfetante”. Desta forma, além de elucidar questionamentos legítimos, tal medida servirá como poderoso antídoto para neutralizar ataques infundados direcionados à integridade dos softwares — e respectivos algoritmos — das urnas eletrônicas brasileiras.
As organizações que compõem a Rede pela Transparência e Participação Social reiteram a Vossa Excelência os protestos de nossa mais alta estima e elevada consideração.
São Paulo, aos 16 de agosto de 2021
Rede pela Transparência e Participação Social
retps.org.br
==========
LINK PEDIDO: https://drive.google.com/file/d/1XauFtd97EVVgUEq32qua2Dl3Nhos3JOS/view?usp=sharing
==========
Pedido enviado para: Tribunal Superior Eleitoral
Nível federativo: Federal
Resposta do órgão público
Prezados Senhores,
Encaminho o Ofício GAB-SPR nº 3754/2021 e 1 anexo.
Solicito a gentileza de confirmar recebimento.
Atenciosamente,
Sérgio Trés
Gabinete da Secretaria-Geral da Presidência
Tribunal Superior Eleitoral
Telefone (61) 3030-7050
==========
LINK OFÍCIO: https://drive.google.com/file/d/1P4gBO_7Ajs9D-9swZTos3tZ_nFrQUuEo/view?usp=sharing
LINK INFORMAÇÃO: https://drive.google.com/file/d/1HsiP3z6d7HEGA2FUJUhFq8sDp7gD__Yi/view?usp=sharing
==========
*** OFÍCIO: ***
Timbre
TRIBUNAL SUPERIOR ELEITORAL
Ofício GAB-SPR nº 3754/2021
Brasília, 24 de setembro de 2021.
A Sua Senhoria o Senhor
Rede pela Transparência e Participação Social - RETPS
São Paulo - SP
Assunto: Solicitação. Acesso. Código-fonte. Software de votação.
Prezado Senhor,
Cumprimentando-o cordialmente, em atenção à petição eletrônica registrada em 16.08.2021, encaminho, em anexo, a Informação AGEL nº 71/2021 (1760816), que elenca as medidas que vêm sendo adotadas pela Justiça Eleitoral na busca do contínuo aperfeiçoamento e do aumento da transparência do processo eleitoral brasileiro.
Atenciosamente,
ALINE REZENDE PERES OSORIO
Secretária-Geral da Presidência
logotipo Documento assinado eletronicamente em 24/09/2021, às 18:08, horário oficial de Brasília, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.
QRCode Assinatura
A autenticidade do documento pode ser conferida em
https://sei.tse.jus.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0&cv=1791432&crc=48D3699D, informando, caso não preenchido, o código verificador 1791432 e o código CRC 48D3699D.
2021.00.000007365-2 Documento no 1791432 v9
==========
*** INFORMAÇÃO: ***
Timbre
TRIBUNAL SUPERIOR ELEITORAL
Informação AGEL nº 71/2021
Referência: Despacho GAB-DG (1757409) e Despacho GAB-SPR (1756700)
Assunto: Publicação do código-fonte do software da urna eletrônica na Internet.
Senhor Assessor-Chefe de Gestão Eleitoral,
1. Em atendimento aos Despacho GAB-DG (1757409) e Despacho GAB-SPF (1756700), bem como em resposta à Petição da Rede pela Transparência e Participação Social (1754546), esclarece-se que a publicação do código-fonte dos sistemas integrantes da urna eletrônica é uma medida que já se encontra em estudos neste tribunal, em atendimento ao contínuo aperfeiçoamento e aumento da transparência do processo eleitoral brasileiro, os quais vêm acontecendo gradualmente ao longo dos anos, conforme pode-se conferir a seguir:
2. Desde a implantação do voto eletrônico, em 1996, a Justiça Eleitoral busca continuamente aprimorar a segurança na coleta e na apuração dos votos, além de estabelecer mecanismos que facilitem a auditoria e a verificação da lisura do processo eletrônico de votação.
3. Em 1998, 2 (dois) anos após as primeiras eleições com o uso das urnas eletrônicas, estabeleceu-se a fiscalização da carga da urna eletrônica por amostragem e a vedação à alteração da tabela de candidatos incluída nas urnas a partir dos 30 (dias) antecedentes à data da eleição (art. 31 da Resolução TSE nº 20.105/1998).
Art. 31. O Sistema Eletrônico de Votação será utilizado nas capitais e nos municípios indicados pelo Tribunal Superior Eleitoral.
(...)
§ 2º É garantida aos fiscais ou delegados partidários a ampla fiscalização na carga das Tabelas de candidatos e eleitores nas Urnas Eletrônicas, sendo admitida a conferência, por amostragem, em até 3% das máquinas.
§ 3º No período compreendido entre 30 (trinta) dias antes e até à data da eleição, não serão alteradas as Tabelas de Candidatos incluídas na Urna Eletrônica; na hipótese de substituição de candidato à eleição majoritária, computar-se-á para o substituto os votos dados ao anteriormente registrado (Código Eleitoral, art. 101, § 2º).
4. Em 2000, todos os eleitores brasileiros votaram por meio da urna eletrônica, concluindo-se a etapa de implantação do voto eletrônico iniciada em 1996. A justificativa eleitoral também foi realizada com o uso da urna eletrônica. Com a ampliação do voto eletrônico, disciplinada por meio da Resolução TSE 20.563/2000, estabeleceu-se os procedimentos de substituição da urna eletrônica (art. 36), em caso de falha no equipamento, e a preparação das urnas de contingência (art. 8, §1º).
Art. 36. Na hipótese de falha na urna eletrônica e sendo possível, o presidente solicitará sua substituição por outra à equipe designada pelo juiz eleitoral, a qual romperá os lacres do disquete e do cartão de memória de votação, abrirá os respectivos compartimentos da urna eletrônica defeituosa e da substituta, retirará o disquete e o cartão de memória com os dados da votação e os colocará na substituta que se, ao ligar, estiver operando corretamente, deverá ser lacrada, e os lacres assinados pelo juiz eleitoral ou pelo presidente da mesa, mesários e fiscais de partidos políticos ou coligações que o desejarem.
§ 1º A urna eletrônica substituta deverá estar previamente preparada e lacrada pelo juiz eleitoral, quando da solenidade de carga e lacre das urnas.
§ 2º Caso o procedimento de contingência de substituição da urna eletrônica não tenha êxito, o disquete e o cartão de memória de votação deverão ser retornados à urna eletrônica defeituosa, que será novamente lacrada para o envio junto aos demais materiais de votação à junta eleitoral, ao final da votação. A urna substituta ficará sob a guarda da equipe designada pelo juiz eleitoral.
§ 3º Na impossibilidade de substituição da urna defeituosa, o presidente da mesa passará ao processo de votação por cédulas.
§ 4º A votação não sofrerá interrupção, ainda que ocorra alguma eventualidade que prejudique o regular processo eletrônico de votação.
Art. 8º.
(...)
§ 1º As urnas eletrônicas, destinadas a substituir as que apresentarem defeito durante a votação, deverão ser também preparadas e lacradas.
5. Em 2002, a Lei 10.408/02 determinou a impressão do voto a partir da eleição de 2004. Por decisão do TSE, o voto impresso foi realizado de maneira experimental nas eleições de 2002 no DF, no ES e em alguns municípios de cada uma das demais unidades da federação. Nesse contexto, buscando ampliar as formas de fiscalização, estimular e facilitar a participação das entidades fiscalizadoras, implantou-se novos procedimentos de auditoria, tais como:
Cerimônia de Lacração e Assinatura Digital (art. 20 da Resolução TSE nº 20.997/2002);
Art. 20. No último dia da auditoria dos programas, esses serão compilados em sessão pública, na presença dos representantes credenciados que o desejarem, após o que serão lacradas cópias dos programas-fonte e dos programas-executáveis, que ficarão sob a guarda da Secretaria de Informática do Tribunal Superior Eleitoral.
Parágrafo único. Havendo necessidade de modificação dos programas, após a lacração referida no caput, realizar-se-á outra, respeitado o mesmo procedimento.
tabela de correspondência entre urna e seção eleitoral (art. 24 da Resolução TSE nº 20.997/2002) e a previsão de sua entrega aos partidos políticos (art. 25, §3º da Resolução TSE nº 20.997/2002);
Art. 24. Todo e qualquer procedimento de carga deverá ser imediatamente comunicado ao Tribunal Regional Eleitoral, mediante a transmissão da tabela de correspondência contida no flash card de carga e os respectivos comprovantes de carga emitidos pela urna eletrônica, arquivados no cartório eleitoral.
Art. 25.
(...)
§ 3º Os tribunais regionais eleitorais, até à véspera da eleição, entregarão tabelas de correspondência entre urna e seção eleitoral, contendo número identificador da carga e data e hora da carga de cada uma das seções eleitorais, aos partidos políticos e às coligações que o solicitarem, desde que estes forneçam, com 48 (quarenta e oito) horas de antecedência, o meio magnético adequado.
registro em ata de todo o processo de carga, lacre e conferência das urnas (art. 26 da Resolução TSE nº 20.997/2002);
Art. 26. De todo o procedimento de carga, lacre e conferência das urnas eletrônicas deverá ser lavrada ata circunstanciada, que será assinada pelo/a juiz/juíza eleitoral, pelo/a representante do Ministério Público e pelos fiscais e delegados dos partidos políticos ou coligações presentes.
substituição do cartão de memória da urna, em caso de falha, sem a necessidade de substituição da urna (art. 23 da Resolução TSE nº 20.997/2002);
Art. 23.
(...)
§ 2º Os cartões de memória de contingência, que poderão ser utilizados em caso de insucesso na substituição da urna que apresentar defeito, deverão ser acondicionados, um a um, em envelopes invioláveis, cujos lacres serão assinados pelo/a juiz/juíza eleitoral, pelo/a representante do Ministério Público e pelos fiscais e delegados dos partidos políticos ou coligações presentes.
fiscalização por amostragem torna-se obrigatória independente da solicitação do partido político (art. 25 da Resolução TSE nº 20.997/2002).
Art. 25. Aos fiscais e delegados de partidos políticos e de coligações é garantida a fiscalização do procedimento de carga das urnas eletrônicas, sendo admitida a conferência por amostragem, em até 3% das máquinas preparadas, por local de carga, escolhidas aleatoriamente.
(...)
§ 2º Independentemente de solicitação de partido político ou coligação, o/a juiz/juíza eleitoral determinará a conferência de pelo menos uma urna eletrônica em cada estado e no Distrito Federal, devendo ser conferido se constam todos os candidatos e se seu número, nome, partido e foto estão corretos, bem como se constam todos os eleitores da seção.
(...)
6. Ainda em 2002, inovou-se com a implantação da auditoria de verificação do funcionamento das urnas eletrônicas (art. 79 da Resolução TSE nº 20.997/2002), a votação paralela, regulamentada pela Resolução TSE nº 21.127/2002, Resolução TSE nº 21.201/2002 e Resolução TSE nº 21.221/2002, um procedimento de auditoria de fácil compreensão para qualquer cidadão. A votação paralela, atualmente denominada Teste de Integridade, ocorre no mesmo dia e horários da eleição e é realizada com as urnas preparadas para as seções eleitorais sorteadas em sessão pública, em cada uma das unidades da federação, na véspera da eleição. Nas urnas eletrônicas sorteadas, registram-se os votos contidos em cédulas previamente preenchidas de conhecimento público. O procedimento ocorre ao longo de todo o dia de votação e é filmado e auditado por empresa privada ou órgão externo à Justiça Eleitoral. Ao final da votação, compara-se o resultado apurado pela urna eletrônica como o resultado da contagem das cédulas.
Art. 79. Poderá ser realizada, por amostragem, auditoria de verificação do funcionamento das urnas eletrônicas, através de votação paralela, na presença de fiscais dos partidos políticos e das coligações, conforme for disciplinado pelo Tribunal Superior Eleitoral.
7. Nas eleições de 2004, a impressão do voto foi substituída pelo registro digital do voto (RDV), conforme disposto na Lei 10.740/03. O RDV armazena cada um dos votos do eleitor, exatamente como digitado na urna eletrônica, para todos os cargos em disputa. Destaca-se que o RDV não relaciona o voto com o eleitor, portanto, não é possível identificar o eleitor, mantendo-se a premissa constitucional do voto secreto. O RDV, assim como os demais dados e arquivos da urna eletrônica, está disponível para verificação pelos partidos políticos.
8. Destaca-se, ainda nas eleições 2004, a ampliação da fiscalização dos softwares incluindo a fase de desenvolvimento (art. 15 da Resolução TSE nº 21.633/2004) e a possibilidade de os partidos políticos, a Ordem dos Advogados do Brasil e o Ministério Público, com suas chaves privadas, assinarem digitalmente os programas e conferirem nas zonas eleitorais distribuídas pelo Brasil se os programas instalados nas urnas são os mesmos assinados no TSE durante a Cerimônia de Lacração e Assinatura Digital (art. 18 da Resolução TSE nº 21.633/2004).
Art. 15. Aos partidos políticos, à Ordem dos Advogados do Brasil e ao Ministério Público é garantido acesso antecipado aos programas de computador desenvolvidos pelo Tribunal Superior Eleitoral ou sob sua encomenda a serem utilizados nas eleições municipais de 2004, para fins de fiscalização e auditoria .
§ 1º Para proceder à fiscalização e à auditoria, poderão ser utilizados pelos partidos políticos, pela Ordem dos Advogados do Brasil e pelo Ministério Público, programas específicos para análise de códigos, desde que sejam programas normalmente comercializados no mercado, conhecidos como “software de prateleira”.
(...)
Art. 18. No último dia da auditoria dos programas, esses serão compilados em sessão pública, na presença dos representantes credenciados que o desejarem, após o que serão lacradas cópias dos programas-fonte e dos programas-executáveis, que ficarão sob a guarda da Secretaria de Informática do Tribunal Superior Eleitoral.
§ 1º A lacração das cópias de que trata o caput será precedida de assinatura digital do Tribunal Superior Eleitoral e dos partidos políticos indicados nos termos do § 3º do art. 16, desta Instrução.
§ 2º Os programas poderão ser conferidos pelos partidos políticos mediante certificado digital emitido por autoridade certificadora participante da Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil).
§ 3º Havendo necessidade de modificação dos programas, após a lacração referida no caput, dar-se-á conhecimento do fato aos representantes dos partidos políticos, da Ordem dos Advogados do Brasil e do Ministério Público, para que os programas sejam novamente analisados e lacrados, observando-se todos os procedimentos previstos anteriormente.
9. Em 2007, regulamentou-se as eleições parametrizadas (Resolução TSE nº 22.685/2007), atualmente Eleições Comunitárias, possibilitando que entidades civis utilizem urnas eletrônicas em diversos pleitos eleitorais, como, por exemplo, eleições de reitores de universidades ou representantes de conselhos profissionais, como o CREA ou a OAB.
10. Nas eleições de 2008, o grande destaque foi a migração dos sistemas operacionais das urnas eletrônicas, proprietários, para o sistema operacional Linux, de código aberto, conforme disposto na Resolução TSE nº 22.674/2007. O Linux foi modificado para o uso nas urnas eletrônicas gerando o UEnux, totalmente adaptado às necessidades da urna eletrônica quanto à segurança e à confiabilidade necessárias para o pleito eleitoral. Destaca-se que o uso do UEnux, derivado de um sistema de código aberto, também conferiu mais transparência aos softwares da urna eletrônica.
11. Para as eleições de 2010, merece menção a realização da primeira edição do Teste Público de Segurança (TPS) em 2009. O TPS busca a colaboração de acadêmicos e profissionais das diversas áreas do conhecimento, individualmente, em equipes ou representando uma instituição, para o aperfeiçoamento do sistema eletrônico de votação. Outras edições do TPS foram realizadas em 2012, 2016, 2017 e 2019. A partir de 2016, por meio da Resolução TSE nº 23.444/2015, o TPS passou a integrar o calendário eleitoral e é realizado, preferencialmente, no ano anterior ao pleito eleitoral.
12. Ainda no tocante às eleições 2010, é relevante citar o uso, pela primeira vez, do hardware de segurança das urnas eletrônicas que permite o funcionamento da urna somente com o software assinado na Cerimônia de Lacração e Assinatura Digital, ampliando a cadeia de segurança do software. Se houver a tentativa de utilizar um software não autorizado, o hardware de segurança bloqueia o funcionamento da urna. Antes do hardware de segurança, essa verificação era feita somente pelo software.
13. Em 2018, a auditoria de funcionamento no dia da votação por meio da verificação da autenticidade e integridade dos sistemas foi disciplinada pela Resolução TSE nº 23.574/2018. Essa auditoria consiste em mais uma forma de verificar que os programas instalados na urna eletrônica correspondem aos programas assinados na Cerimônia de Lacração e Assinatura Digital. Assim como as urnas destinadas à votação paralela, as urnas para a auditoria de integridade são sorteadas na véspera da eleição em sessão pública. A auditoria de integridade é realizada na seção eleitoral com a urna pronta e instalada, antes do início da votação. Com a presença dos fiscais dos partidos políticos e demais interessados, a assinatura digital dos programas instalados na urna é comparada com a assinatura digital dos programas lacrados.
Art. 67-D. Na seção eleitoral cuja urna eletrônica será auditada, o juiz eleitoral determinará a realização dos seguintes procedimentos, por pessoa ou pessoas por ele designadas, cuidando para que sejam realizados, necessariamente, antes da emissão do relatório Zerésima pela urna:
I - exame do Comprovante de Carga, para verificar que se trata da urna da seção eleitoral sorteada;
II - rompimento do lacre do compartimento da Mídia de Resultado;
III - retirada da Mídia de Resultado nela inserida;
IV - verificação das assinaturas e dos resumos digitais pelo programa do TSE ou pelo programa de verificação apresentado pelo interessado, ou ambos.
§ 1º Caso o programa de verificação de assinatura e do resumo digital a ser utilizado seja distinto do desenvolvido pelo TSE, o interessado deverá providenciar, até a véspera da auditoria, cópia do programa em mídia apropriada, de acordo com orientações técnicas fornecidas pela Justiça Eleitoral.
§ 2º O relatório de resumos digitais poderá ser impresso em até 3 (três) vias, mantendo-se, obrigatoriamente, uma cópia para compor a ata da auditoria e colocando-se as demais à disposição dos fiscais dos partidos políticos e dos representantes da Ordem dos Advogados do Brasil e do Ministério Público para eventual futura conferência dos resumos digitais com aqueles publicados no sítio do TSE.
§ 3º Todas as vias do relatório de resumos digitais deverão ser assinadas pelo juiz eleitoral, pelo presidente da mesa receptora e pelos representantes das entidades presentes.
§ 4º A realização da auditoria deverá ser consignada na ata da mesa receptora da seção eleitoral.
14. Em 2019, atendendo aos propósitos que sempre pautaram as ações da Justiça Eleitoral, ou seja, a inovação, a transparência e a segurança aliadas à ampliação da participação da sociedade no aprimoramento do sistema eletrônico de votação, instituiu-se a Comissão Código-Fonte, por meio da Portaria TSE nº 444/2019 (1070600), alterada pelas Portarias 472/2019 (1076277), 698/2019 (1139860), 977/2019 (1211391), 283/2020 (1321888) e 453/2020 (1358473), que estabeleceu as diretrizes para a publicação do código-fonte do Ecossistema da Urna. Portanto, os estudos para a ampliação da publicação e da divulgação do código-fonte, de maneira gradual, estão avançados.
15. Para as Eleições 2022, certamente, novos mecanismos de auditoria e transparência serão divulgados, reforçando o compromisso da Justiça Eleitoral em, continuamente, desde a implantação do voto eletrônico, ampliar a transparência e as formas de auditoria dos sistemas eleitorais.
15.1 Nesse sentido, cita-se o projeto de antecipação do período de inspeção do código-fonte dos sistemas eleitorais pelas entidades fiscalizadoras, previsto na Resolução TSE nº 23.603/2019, de 6 meses para 1 ano antes da eleição.
É a informação.
DÉBORA NERY SILVA
Analista Judiciário(a)
logotipo Documento assinado eletronicamente em 14/09/2021, às 09:47, horário oficial de Brasília, conforme art. 1º, §2º, III, b, da Lei 11.419/2006.
QRCode Assinatura
A autenticidade do documento pode ser conferida em
https://sei.tse.jus.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0&cv=1760816&crc=D2B7AFE8, informando, caso não preenchido, o código verificador 1760816 e o código CRC D2B7AFE8.
2021.00.000007365-2 Documento no 1760816 v20
==========