É possível alguém “hackear” a eleição do Papa?

by Pedro Paulo on 01/03/2013

Com a gentil permissão do autor, reproduzimos aqui, traduzido para o português o texto do famoso especialista em segurança Bruce Schneier.  Uma versão anterior deste ensaio foi publicada na CNN e é uma expansão do ensaio que Bruce Schneier escreveu no conclave de 2005. O original deste artigo pode ser encontrado no site do autor. Caso você queira saber mais sobre o conclave indicamos este outro site com um resumo.

Conclave 2013

Enquanto o Colégio de Cardeais se prepara para eleger um novo papa, as pessoas que trabalham com segurança tem me perguntado sobre o mecanismo de eleição. Como funciona, e quão difícil seria hackear a votação?

As regras para as eleições papais estão imersas na tradição. João Paulo II modificou-as em 1996, e Bento XVI deixou as regras praticamente intocadas. A “Universi Dominici Gregis sobre a vacância da Sé Apostólica e a eleição do Romano Pontífice” é surpreendentemente detalhada.

Todos os cardeais com menos de 80 são sujeitos ativos para votar. Esperamos, neste conclave, 117 para votar (Nota do Tradutor: a estimativa no dia de hoje é de 115). A eleição tem lugar na Capela Sistina, dirigida pelo Cardeal Camerlengo da Igreja. A cédula é inteiramente baseada em papel, e toda a contagem dos votos é feita à mão. Os votos são secretos, mas todo o resto do procedimento é aberto aos presentes.

Primeiro, há a fase de pré-escrutínio

“Pelo menos duas ou três” cédulas de papel são dadas a cada cardeal, presumivelmente para que um cardeal tenha uma ou outra sobressalente caso de ele cometa um erro. Em seguida, nove gerentes do processo são selecionados aleatoriamente dentre os cardeais: três “escrutinadores” que contam os votos; três “revisores” que verificar os resultados dos escrutinadores, e três “Infirmarii” que recolhem os votos daqueles que estão doentes demais para estar na capela. Diferentes conjuntos de gerentes são escolhidos aleatoriamente para cada votação.

Cada cardeal, incluindo os nove gerentes do processo daquela eleição, escrevem seu escolhido para Papa em uma cédula retangular “na medida do possível com uma letra de que não possa ser identificada como o sua.” Ele, então, dobra o papel longitudinalmente e o segura no ar para que todos vejam.

Quando todos tiverem escrito o seu voto, a fase de escrutínio da eleição começa. Os cardeais se dirigem ao altar um por um. No altar há um cálice grande, com uma patena – uma rodela de metal rasa usada para guardar hóstias durante a Missa – cobrindo o cálice. Cada cardeal coloca sua ficha dobrada sobre a patena. Então ele pega a patena e desliza seu voto dentro do cálice.

Se um cardeal não pode caminhar até o altar, um dos escrutinadores – à vista de todos – faz isso por ele.

Se algum cardeal está demasiado doente para ir à capela, os escrutinadores dão aos Infirmarii uma caixa lacrada com uma ranhura, e os três Infirmarii juntos vão recolher os votos. Se, ainda assim, um cardeal está doente demais para escrever, ele pede a um dos Infirmarii para fazer isso por ele. Na volta a caixa é aberta, e as cédulas são colocados na patena e no cálice, uma de cada vez.

Quando todas as cédulas estão no cálice, o primeiro escrutinador sacode-o várias vezes para misturá-las. Em seguida, o terceiro escrutinador transfere as cédulas, uma por uma, a partir do primeiro cálice para o outro, contando-as no processo. Se o número total de cédulas não está certo, as cédulas são todas queimadas e os votos começam novamente.

Para contar os votos, cada cédula é aberta, e o voto é visto por cada escrutinador, chegando ao terceiro este lê em voz alta. Cada escrutinador escreve o voto numa folha de registro. Isto tudo é feito à vista de todos os cardeais.

O número total de votos que cada pessoa recebeu é escrito em uma folha de papel separada. Cédulas com mais de um nome (votos múltiplos) serão consideradas nulas, e suponho que o mesmo aconteça com as cédulas com nenhum nome escrito nelas (votos em branco). Cédulas ilegíveis ou ambíguas são muito mais prováveis de acontecer, e suponho que eles serão descartadas também.

Depois, há a fase de “pós-escrutínio” feita a contagem dos votos os escrutinadores determinam se há um vencedor. No entanto nós ainda não terminamos.

Após isto os revisores verificar todo o procedimento: cédulas, folhas de anotação, contagem, soma, tudo. E então, as cédulas são queimadas. É daí que a fumaça vem: branco, se um Papa foi eleito, preto se não – a fumaça preta é criada pela adição de água ou um produto químico especial nas cédulas.

Para ser eleito Papa é necessária uma maioria de dois terços dos votos mais um. Este é o ponto da legislação onde o Papa Bento XVI fez uma mudança. Tradicionalmente, uma maioria de dois terços, sempre foi exigida para a eleição. O Papa João Paulo II mudou as regras para que após cerca de 12 dias de infrutíferas votações, uma maioria simples fosse suficiente para eleger um Papa. Bento XVI reverteu essa regra.

Então agora a pergunta: quão difícil é “hackear” este processo?

Em primeiro lugar o sistema é completamente manual, o que impede qualquer tipo e forma de ataque tecnológico que podem atingir os atuais sistemas de votação mundo afora.

Em segundo lugar, o pequeno número de eleitores – todos se conhecem – isto torna impossível que uma pessoa de fora consiga interferir na votação de qualquer maneira. A capela é esvaziada e trancada antes de cada votação. Ninguém vai se vestir como um cardeal e esgueirar-se na Capela Sistina. Em suma, o processo de verificação dos eleitores é o melhor possível.

Um cardeal não pode colocar múltiplas cédulas quando ele vota. O complicado ritual patena e cálice garante que cada cardeal vote apenas uma vez – seu voto é visível – e também mantém uma mão na haste do cálice que contém os outros votos. Não que eles não tenham pensado sobre isso: Os cardeais estão em “sobrepeliz” durante a votação, a sobrepeliz tem mangas de renda translúcidas sob uma curta capa vermelha, isto faz com que truques manuais sejam muito mais difíceis. Além disso, provavelmente a soma seria errada.

As regras prevêem isto de outra forma: “Se durante a abertura das cédulas os escrutinadores encontrarem duas cédulas dobradas de tal maneira que elas pareçam ter sido feitas por um único eleitor, se esses votos têm o mesmo nome, eles são contados como um voto; se no entanto eles tem dois nomes diferentes, nenhum dos dois votos será computado, no entanto, em nenhum dos dois casos a sessão de votação é anulada “. Isso me surpreendeu, pois parece ser mais provável que isto aconteça apenas por acidente e resulte em que os votos de dois cardeais não sejam contados.

Cédulas de votações anteriores são queimadas, o que torna mais difícil utiliza-las para fraudar a urna. Mas há um detalhe pequeno: “Se, acontece uma segunda votação imediatamente após a primeira, as cédulas da primeira votação serão queimada apenas no final, juntamente com as da segunda votação.” Eu suponho que é assim para que haja apenas uma nuvem de fumaça para as duas votações, mas seria mais seguro queimar cada conjunto de cédulas antes da próxima rodada de votação.

Os escrutinadores são os que estão na melhor posição para modificar votos, mas é muito difícil. A contagem é feita em público, e há várias pessoas verificando cada passo. Seria possível que o primeiro escrutinador, se ele fosse bom em passes de mágica, trocar uma cédula de votação por outra antes de registrá-la. Ou para o terceiro escrutinador trocar as cédulas durante o processo de contagem. Fazer uma cédula grande faria este tipo de ataque mais difícil. Outra opção, seria controlar as cédulas em branco melhor, só distribuir uma para cada cardeal em cada votação. Eu suponho que como um cardeal pode mudar de idéia durante o processo de votação faz sentido a distribuição de mais de uma cédula.

Há tanta checagem e rechecagem que é praticamente impossível que um escrutinador anote errado os votos. E, uma vez que os escrutinadores são sorteados aleatoriamente em cada votação, a probabilidade de haver um conluio é extremamente baixo. Talvez uma forma de ataque fosse burlar o sistema de seleção de escrutinadores, que não está bem definido no documento. Manipular a seleção de escrutinadores e revisores parece um primeiro passo necessário para manipular a eleição.

Se existe alguma fragilidade possível no processo seria na contagem.

Não há nenhuma razão real para fazer uma precontagem, isto dá ao escrutinador que faz a transferência uma chance de trocar cédulas legítimas com outras que ele já havia colocado na manga. Agitar o cálice para randomizar as cédulas é inteligente, mas colocar as cédulas em uma bola de arame giratória seria mais seguro – embora menos reverente.

Eu gostaria também de acrescentar a exigência de usar algum tipo de luva branca para evitar que um escrutinador esconda um lápis ou caneta sob a ponta de suas unhas. No entanto a exigência de escrever por extenso o nome do candidato forneça já algum tipo de resistência contra este ataque.

Provavelmente, o maior risco é a complacência. O que pode parecer bonito na sua tradição e ritual durante a primeira votação, poderia facilmente tornar-se pesado e chato depois da vigésima votação, e há a tentação de pegar um ou outro atalho para economizar tempo. Se os cardeais fizerem isto, o processo eleitoral se torna mais vulnerável.

Na mudança do processo em 1996 se permitiu que os cardeais vão à capela para as votações e voltem para seus dormi voltam da capela para suas salas de dormitório, em vez de ser bloqueado na capela o tempo todo, como foi feito anteriormente. Isso torna o processo um pouco menos seguro, mas muito mais confortável.

É claro que, um dos Infirmarii podia fazer o que quisesse ao transcrever o voto de um dos cardeais doentes. Não há nenhuma maneira de evitar isso. No entanto se o cardeal enfermo estiver mais preocupado com isto, que com a privacidade, ele poderia pedir a todos os três Infirmarii que testemunhassem o que foi escrito na cédula.

Há também enormes empecilhos sociais, religiosos na verdade – para aquele que quiser fraudar o voto. A eleição ocorre em uma capela e em um altar. Os cardeais fazem um juramento ao colocar seus votos – mais um dissuasor. O cálice e patena são os instrumentos utilizados para celebrar a Eucaristia, o mais sagrado ato da Igreja Católica. E os escrutinadores são explicitamente exortados a não formar qualquer tipo de conspiração, ou fazer planos para influenciar a eleição, sob pena de excomunhão.

Outro importante risco de segurança no processo é a espionagem do mundo exterior. A eleição deve ser um processo completamente fechado, sem nenhum tipo de informação para o exterior, exceto o vencedor. No mundo de hoje com alta tecnologia, isto é muito difícil. As regras declaram explicitamente que “a capela deve ser protegida contra dispositivos de gravação e transmissão, com a ajuda de pessoas confiáveis com capacidade técnica comprovada.” Isso foi muito mais fácil em 2005 que vai ser em 2013.

Quais são as lições deste processo?

Primeiro, sistemas abertos conduzidos dentro de um grupo conhecido tornam a fraude eleitoral muito mais difícil. Cada passo do processo eleitoral é observado por todos, e todos se conhecem, isto torna muito difícil que alguém consiga encobrir alguma coisa.

Segundo, as eleições pequenas e restritas são mais fáceis de proteger. Este tipo de processo funciona para eleger um Papa ou um presidente de clube, mas fica rapidamente difícil numa eleição de grande escala. A única maneira de sistemas manuais funcionarem num grupo maior seria através de um mecanismo de pirâmide, com pequenos grupos reportando seus resultados obtidos manualmente para cima até chegar às autoridades centrais de tabulação.

E terceiro: Quando um processo de eleição é deixado para amadurecer ao longo de um par de milhares de anos, você consegue algo surpreendentemente bom.


Poderoso Copão

Comments on this entry are closed.

Previous post:

Next post: