---------------------------------------------------------------------- ATA DA NONAGÉSIMA PRIMEIRA SESSÃO ORDINÁRIA DO CONSELHO UNIVERSITÁRIO DA UNIVERSIDADE ESTADUAL DE CAMPINAS. Aos vinte e nove dias do mês de março de dois mil e cinco, às 9:00 horas, reuniu-se o Conselho Universitário da Universidade Estadual de Campinas [...] com o comparecimento dos seguintes Conselheiros: [...] Jorge Stolfi [...] [+03:13:45] [...] Passa a seguir ao item 01, que trata de ELEIÇÕES PARA REPRESENTAÇÃO DOCENTE JUNTO AO CONSU, nos termos da Deliberação CONSU A-22/99 ­ Para Aprovação ­ REITORIA ­ Forma de eleição para a representação docente junto ao Conselho Universitário, nos termos do item 4.2 do artigo 1º da Deliberação CONSU A-22/99, para cumprimento de mandato de 02 anos, a partir de 20.06.05 ­ Proposta de Sistema Eletrônico de Votação[*1]. Como já foi mencionado, haverá eleições para representação docente junto ao Conselho Universitário e a deliberação do CONSU estabelece que essa eleição pode ser feita pelo sistema de papel ou eletrônico. Estão propondo que seja feito pelo sistema eletrônico, como já foi feito, e neste caso é preciso compor uma comissão eleitoral. Por alguma razão que não sabe qual é, a deliberação do Conselho Universitário diz que se a eleição for feita usando papel, quem compõe a comissão eleitoral é o Conselho Universitário e se for feito pelo método eletrônico é o Reitor. O Conselheiro JORGE STOLFI com a palavra, diz que a última coisa que queria neste mundo era estrear sua intervenção neste ilustre Conselho com um tema tão delicado e polêmico, mas sua responsabilidade profissional exige que alerte o Magnífico Reitor e os ilustres Conselheiros que nenhum sistema eletrônico de votação é seguro o suficiente para qualquer votação de alguma importância. Todos os sistemas eletrônicos de votação conhecidos têm risco de fraude e violação, que se esses riscos estivessem presentes em sistemas tradicionais de votação com o mesmo teor, seriam considerados inaceitáveis e que só pela relativa novidade dos sistemas eletrônicos de votação que esses problemas têm sido ignorados até agora e estão reaparecendo. A conclusão desses riscos não é opinião pessoal, é consenso de todos os especialistas em votação eletrônica, conclusão de inúmeras comissões governamentais independentes, que pode ser encontrada em qualquer artigo técnico que se refira aos sistemas eletrônicos de votação. As medidas que estão relacionadas na proposta: senhas, criptografia, assinaturas digitais e tudo mais, são eficientes contra ataques de fora, mas não contra ataques de dentro. Uma pessoa estrategicamente colocada na equipe que prepara o sistema ou que o implementa pode facilmente driblar todos esses esquemas de segurança e fraudar o resultado da eleição em todos os pontos de votação, sem deixar vestígios que possam ser detectados na hora ou depois por auditorias. Esse problema ainda tem uma solução que é o comprovante físico de volta[*2] que seja impresso na mesma hora, detalhes sobre isso podem ser encontrados, é uma discussão atual e pertinente, só que infelizmente é uma solução cara que também tem seus riscos e é de difícil implementação. Quanto ao risco de violação do sigilo, esse também é igualmente sério, os mesmos métodos que podem ser usados para mudar o resultado da eleição, podem ser usados para obter a identidade do eleitor e os seus votos. Talvez esse risco seja até mais grave,[*3] o dano só aparece se a fraude acontece. No caso da violação de sigilo a simples possibilidade de a violação acontecer já cria uma situação de intimidação do eleitor e que permite o voto cabresto ou coisas assim, por exemplo, [*4] simplesmente sugere que tem um amigo dentro da comissão que vai revelar o voto, caso não vote naquele determinado candidato. Não é necessário que essa ameaça seja verdadeira basta o simples fato de que na teoria ela é possível, para que a ameaça surta efeito. E contra esse problema infelizmente não há solução conhecida, nem teórica e nem implementada. Não conhece a equipe que é responsável pela implementação desse sistema, tem confiança neles, a mesma confiança que tem em qualquer funcionário que não conhece da UNICAMP. Aliás, colocar seu voto em um sistema feito por pessoas desconhecidas é equivalente a pedir para um mesário que não conhece que preencha a ficha de votação para ele. O problema não é simplesmente se essa equipe merece confiança, mas se adotar um sistema eletrônico de votação, estarão colocando a confiança em todas as administrações futuras, equipes futuras que talvez não mereçam essa confiança. Esse sistema em particular tem inúmeros pontos falhos que são bem conhecidos por especialistas e para começar tem uma equipe única, um software único que vai sendo implementado por uma administração centralizada, de maneira centralizada, é um aplicativo que por mais bem feito que seja com certeza não deve ter passado por um processo de certificação que se espera hoje em dia de softwares eletrônicos[*5]. Ele usa a rede ordinária da UNICAMP, máquinas ordinárias e a segurança dessas máquinas e os locais de votação, se a eleição passada é uma indicação, é totalmente precária e extremamente fácil ter acesso a essas máquinas e trocar o software que está lá dentro por uma imitação. Tem um erro fundamental de projeto nele, pelo menos na discrição[*6] que está nesta proposta, que a própria máquina, o próprio aplicativo que registra o voto também registra a identidade do eleitor, de modo que facilita a tarefa de alguém que esteja interessado em violar a integridade do sistema. E finalmente não tem esse sistema um comprovante físico que permitiria uma recontagem, então sem esse comprovante é impossível alguém apresentar um recurso, julgar ou avaliar um recurso, a única coisa que se pode fazer é conferir se a máquina confirma aquilo que ela mesma registrou. O problema é mais fundo, não basta que um sistema eleitoral eletrônico ou não, seja seguro, o eleitor precisa acreditar que ele seja seguro, precisa acreditar que o sistema não vai ser fraudado, possa respeitar o resultado da eleição e acreditar que seu voto não vai ser violado para que possa votar livremente. Em sistemas eletrônicos, por sua própria natureza, não conseguem transmitir isso, mesmo as pessoas que podem entender e avaliar sistemas de criptografias terão dúvidas, imaginem uma pessoa que não tem nenhum conhecimento de computação e tem que confiar cegamente no que a caixinha está fazendo. Então, propõe aos Conselheiros e ao Reitor que considerem adotar o sistema de eleição de papel. Sabe que é um sistema custoso, contar todos os votos dá bastante trabalho, mas se contarem todo o tempo gasto na implementação do sistema eletrônico, mesmo que seja com o mínimo de segurança necessário para proibir fraudes externas, tem certeza que é bem maior do que o de eleição no papel. [+03:22:20] O Conselheiro MOHAMED HABIB diz que ouvindo a explanação do Diretor do Instituto de Computação, ainda vê que podem dentro desse mesmo sistema, com pequenas adaptações, alcançar um nível de segurança grande. Se hoje há condições para que o próprio eleitor na hora da votação imprima um comprovante do seu voto, há também a possibilidade de implementar um mecanismo para o registro de uma segunda via desse comprovante, então a comissão eleitoral, a instituição, no final do processo teria dois dados: um que consta na apuração dos votos, os números, e o segundo a segunda via daquele material que foi impresso. Não é no papel, mas sim no sistema, caso precise resgatar para fazer a comparação. Isso seria até um desafio para uma instituição como a UNICAMP, inclusive para evoluir nesse sistema eletrônico, para oferecer ao país e para as eleições m iores que acontecem, mecanismos de segurança maior. a Acabaram de passar por uma eleição para vereadores e prefeitos e no ano que vem haverá eleição para presidente, governador e senadores. [+03:24:10] O MAGNÍFICO REITOR diz que sem falar que o presidente foi eleito numa eleição eletrônica. [+03:24:20] O Conselheiro MOHAMED HABIB diz que se esses problemas existem aqui com certeza também existem nessas eleições maiores a nível nacional. Então, por que não aproveitar esse momento em uma Universidade como a UNICAMP para aprimorar o sistema, adicionando este recurso que está sugerindo, que ofereceria uma segurança maior e também daria condições para as demais instituições governamentais como o Tribunal de Justiça Eleitoral aprimorar o sistema. Por outro lado, se recusarem o uso de urnas eletrônicas estarão fechando os olhos de possíveis erros que poderiam acontecer no sistema em nível maior. Então, sugere ao CONSU o desafio de continuar com a eleição eletrônica, mas aprimorando o sistema, colocando esses recursos de segurança maior inclusive como um passo para oferecer isso para a sociedade "a posteriori". [+03:25:25] O MAGNÍFICO REITOR diz que não deveriam entrar em um debate sobre aspectos técnicos de eleição eletrônica. Chama atenção para o fato de que a UNICAMP já faz esse sistema de eleição de representantes docentes pelo método eletrônico desde 1999 e nunca houve uma ocorrência inadequada do ponto de vista de sigilo. Lembra que a última Comissão foi composta pelos Professores Akebo Yamakami, Mário Jino e Jacques Wainer que inclusive fez uma apresentação sobre os prós, os contras, e disse que não era 100% seguro, que poderia haver certos problemas, mesmo assim o Conselho Universitário escolheu conviver com a possibilidade de certos problemas, tendo em vista as simplificações existentes e o tipo de eleição. Afinal, como já foi mencionado, para eleger o Presidente do Brasil se faz uma eleição onde ninguém leva para casa um papel. Então, acha que não deveriam entrar nesse debate aqui porque não é o lugar para fazer essa discussão. Tem correntes de pensamento na área de informática e de computação, como o Professor Stolfi destacou, que dizem que não é possível fazer uma eleição segura do jeito que é hoje, tem outras que dizem que sim, tem uma disputa no mundo sobre este assunto que inclui também a empresa que fabrica a urna e a que fabrica a cédula. Não conseguirão aqui no Conselho Universitário chegar a uma conclusão tecnicamente perfeita sobre este assunto. O Conselho Universitário estabeleceu isso numa deliberação justamente considerando os imponderáveis, a possibilidade de haver problemas com a eleição do tipo eletrônica, estabeleceu que em cada uma deve ser escolhido o tipo. Então, aprovar hoje ou ter aprovado dois anos atrás não quer dizer que para sempre será assim, porque a deliberação diz que a cada eleição deve ser escolhida a forma. A eleição eletrônica é organizada pelo Centro de Computação da UNICAMP na parte técnica e ela tem um método de funcionar, se o Conselho decidir que será feita em papel, será feita em papel, não dá para mudar o sistema e fazer em dois meses que seja imprimido o comprovante. Então, quem achar que não é suficientemente seguro ou não tem suficiente confiança no sistema eletrônico vota contra, é totalmente legítimo que se decida assim. O fato é que já fizeram dessas eleições e nunca houve uma ocorrência de natureza inadequada, apenas uma vez nos primeiros minutos da eleição porque o programa não deixava votar de um certo jeito, mas o problema foi solucionado. E o fato de fazer assim economiza bastante tempo de professores da UNICAMP que teriam que ficar sentados contando voto. Não está de maneira nenhuma querendo empurrar ou forçar o Conselho Universitário a adotar o sistema eletrônico, só está dizendo que a UNICAMP já fez três ou quatro vezes e nunca houve uma dificuldade. Há várias objeções a esse sistema, o Professor Stolfi acabou de elencar várias, e há dúvidas também, como há dúvidas sobre várias outras coisas, mas é aqui o lugar de decidir. Acha estéril ficar debatendo, não adianta falar em mudar o sistema. Quem achar que do jeito que é não está bom, vota contra. Então, como há dúvidas em relação ao sistema eletrônico, pergunta ao Plenário quem é a favor que a eleição seja realizada pelo sistema tradicional, isto é, com cédula e urna, que obtém um voto favorável. A seguir pergunta quem é a favor que a eleição seja realizada pelo sistema eletrônico, que obtém 47 votos favoráveis e 02 abstenções[*7], portanto é aprovado o sistema eletrônico. [+03:32:30] [...] ---------------------------------------------------------------------- [*1] Na pauta, este item se iniciava com uma breve carta do Magnífico Reitor recomendando o uso de votação eletrônica. [*2] queria dizer "de voto". [*3] neste ponto queria dizer "no caso de fraude, ...". [*4] neste ponto queria dizer "se alguém ...". [*5] neste ponto queria dizer "... de votação". [*6] obviamente "descrição". [*7] Houve 1 voto contrário, o meu. ----------------------------------------------------------------------