O i-Voto na Estónia

A ideia de organizar eleições pela Internet começou a ser abordada na Estónia em 2001 e, no decurso dessas primeiras abordagens, a Estónia acabou por ser o primeiro país do mundo a organizar eleições gerais sobre a Internet a partir de um projecto piloto – bem sucedido – para as eleições autárquicas de 2005. Mais tarde, em 2007, as eleições para o Parlamento de Talin, seria também as primeiras eleições de um Parlamento em que os seus deputados haviam sido eleitos através de votação realizadas na Internet. Em 2011 as eleições parlamentares registaram um crescimento significativo no uso da Internet como meio de voto com mais de 24% do total dos voto sendo expressos desta forma.

Em primeiro lugar, há que distinguir entre “e-voto” que pode incluir locais fixos de voto (assembleias de voto) e votos realizados através de forma remota, nomeadamente através da Internet. O voto electrónico e remoto usado na Estónia é designado de “i-voto” precisamente para o distinguir do voto electrónico presencial ou “e-voto”.

O sistema de voto pela Internet usado na Estónia está construído em torno do cartão de identidade estoniano cujo uso é obrigatório para todos os cidadãos deste país báltico e é usado para também para um sistema de assinaturas digitais em uso corrente na Estónia na “Public Key Infrastructure” pública.

Como se pode votar na Estónia:

1. O sistema de “I-voto” estónio pode ser acedido durante o período de voto antecipado que, na Estónia, pode decorrer entre o 6º e o 4º dia anteriores ao dia das eleições.

2. Os eleitores, durante o período de votação antecipada, podem mudar o sentido de voto, tantas vezes quantas o desejarem, sendo contabilizado para o sufrágio apenas o último voto. Mas, se esse cidadão se dirigir a uma assembleia física de voto durante esse período de voto antecipado, pode expressar o seu voto e este irá sobrepor-se ao anterior. Essa capacidade para votar mais do que uma vez, contudo, não pode acontecer no dia das eleições e se o eleitor optar por votar nesse dia esse voto irá sobrepôr-se ao realizado pela Internet. Esta estratégia de permitir multiplos votos pretende protegir o segredo do voto de quem possa ter-se sentido coagido ou intimidado a votar num certo sentido caso em que poderá corrigir depois o seu voto.

3. Apesar de todo o foco no I-Voto continua a ser possível votar em papel e, de facto, a maioria dos votos são, precisamente expressos desta forma quer no próprio dia, quer durante a votação antecipada. Os cidadãos que residem no estrangeiro podem votar nas suas representações diplomáticas ou por via fiscal.

4. Quem vota pela Internet identifica-se com o chamado “smart national ID card” ou com uma aplicação móvel intitulada “mobile ID” (usada a partir de 2011). Logo que expressar o seu voto e for devidamente autenticado, a identidade é removida do voto chega à base de dados central já anonimizado. Algo que acontece a cada voto depois de ser assinado digitalmente e colocado num “envelope virtual” que é depois inserido num segundo “envelope virtual” que contêm a identificação do eleitor e o registo da sessão.

Transparência:

1. Seguindo uma recomendação de observadores internacionais da OSCE e devido a um caso levado ao Supremo Tribunal em 2011 a Estónia implementou em 2013 um sistema de verificação através de uma aplicação móvel que lê um QR code de um écran de um computador onde o voto é expresso após o que o telemóvel mostra o nome e número do candidato em que o voto foi expresso. Isto permite que o eleitor confirme que o seu voto foi registado no servidor.

2. O código-fonte do servidor de I-Voto foi publicado em 2013 no Github sob uma licença “creative commons” permitindo assim o seu livre e público escrutínio. A mesma opção, contudo, não foi tomada quando ao código-fonte dos componentes clientes nem a componentes de referência por forma a não permitir a aparição de clientes falsos que pudessem deturpar os resultados eleitorais.

3. Os observadores da OSCE e alguns ativistas estónios pressionaram também para que o componente de verificação universal do voto fosse reforçada algo que aconteceu em 2017 através de um misto de Encriptação homomórfica, uma forma de encriptação que dá possibilidade a tipos específicos de computação serem realizados com cifrotexto, a fim de se obter um resultado encriptado que é o cifrotexto do resultado das operações realizadas no texto. Com esta forma de encriptação, um agente poderia somar dois números encriptados e outro poderia desencriptar o resultado sem que nenhum consiga descobrir o valor dos números individualmente. Por esta razão a propriedade homomórfica de vários sistemas criptográficos pode ser usada para criar sistemas de votação seguros. A verificação do voto não é uma parte obrigatória do processo e é conduzida por um auditor de dados especializado sendo feita em paralelo com a extração dos votos encriptados para texto simples extraídos dos pacotes encriptados que são desencriptados usando uma chave na posse da comissão eleitoral e removendo as assinaturas digitais que envolvem esses envelopes e identificam os eleitores.

Críticas ao sistema de I-Voto da Estónia:

1. O sistema estónio de I-Voto não tem estado, contudo, imune a críticas. Alguns investigadores independentes têm lançado críticas e, como resposta, foi criado pelo governo, em 2019, um grupo de trabalho para melhorar a “verificabilidade, segurança e transparência” do processo eleitoral electrónico que produziu um relatório com 25 propostas de melhoria.

2. Alguns peritos informáticos sublinham que qualquer sistema que transmite votos de forma electrónica não pode ser totalmente seguro. Estas críticas foram especialmente agudas quando em 2014, uma equipa internacional de especialistas em segurança informática apresentou os resultados de um estudo sobre o sistema estónio e declarou que conseguiria invadir o sistema e mudar os resultados finais sendo capaz de apagar todos os vestígios da intrusão sendo que para tal precisariam de instalar malware nos servidores do sistema e aconselhando o governo estónio a parar o sistema de voto electrónico remoto. A Comissão Eleitoral estónia reviu estas conclusões reduzindo a sua gravidade alegando que as vulnerabilidades alegamente descobertas não podiam ser replicadas no mundo real ou que já tinham sido entretanto corrigidas e que, consequentemente, não havia nenhuma razão para suspender o sistema de I-Voto. Na resposta a estas críticas foi também invocada a ligação de alguns destes peritos a um partido estónio de que é um crítico acérrimo deste sistema de votação.

3. Em 2013 a “Free Software Foundation Europe” (FSFE) criticou a publicação parcial do código-fonte e pelo uso de licenças de “não livre” nesta publicação e num modo que não permite a sua distribuição em derivados ou uso comercial algo que, segundo a FSFE, contraria o modelo de “Software Livre” sobretudo daquele desenvolvido com fundos públicos. A fundação sugeriu também o uso de soluções que dependam menos de administradores de sistemas e que, pelo contrário, assentem mais num modelo criptográfico de confiança. A FSFE sugeriu também mais foco na parte mais frágil do sistema: o computador do eleitor dando para tal uma série de recomendações como a mudança da licença, a abertura total do código-fonte e sobretudo da parte que corre nos computadores clientes dos eleitores por forma a garantir a segurança e privacidade do voto.

4. Em 2011 um perito informático de nome Paavo Pihelgas criou um cavalo de tróiaa que seria – teoricamente – capaz de mudar o voto sem que o utilizador de tal se apercebesse. Usou este conceito como base de uma queixa à comissão eleitoral estónia mas um tribunal descartou o caso porque os seus direitos enquanto eleitor não tinham sido violados dado que ele se tinha colocado conscientemente nessa situação”. Mais tarde, em 2015, um ativista do “Partido Pirata Estónio”, Märt Põde, alegou ter conseguido realizar um voto inválido alterando o número do candidato e trocando-o por um número inválido. O activista usou isso como argumento para que a parte cliente da aplicação devia ser publicada e ensinada nas escolas públicas como parte de um ensino público para a segurança informática.