Continuando a novela do pedido de acesso ao código fonte do programa IRPF da Receita Federal, tenho várias novidades.

Recapitulando

Pedi código fonte, mas Receita Federal disse que programas evidenciariam medidas de segurança que aumentariam o risco de acesso indevido aos sistemas que mantêm as bases de dados fiscais que eles devem manter sigilosos. Argumentei e recorri até onde pude.

Novo pedido à CGU

Registrei em 2012-10-02, com protocolo 00075.000922/2012-95, pedido de informação à CGU para que confirmasse que há registro do recurso à Comissão Mista de Reavaliação de Informações referente ao processo 16853.006392-2012-61/MF, pois não recebi qualquer confirmação ou protocolo, e esse tipo de recurso é enviado por email. Até agora, nada de resposta.

Recapitulando mais um pouco

Se for verdade que os programas como IRPF2007 contêm essas informações, o código fonte que recuperamos e publicamos teria tornado as bases de dados vulneráveis. Botei a Receita Federal na parede: se não corrigiram as vulnerabilidades expostas, têm sido negligentes; se corrigiram, a desculpa para não publicar esse programa já não mais se aplica. Desconversaram, respondendo que o programa não contém informação fiscal. Questionei o SERPRO também, e eles desmentiram a alegação da Receita Federal, de que os programas contêm esse tipo de informação. Recorri, informando sobre a divergência e questionando a distorção.

Novo recurso em 2ª Instância

Em 2012-10-02, recebi resposta ao recurso em 1ª instância do outro pedido de informação que enviei à Receita Federal. O recurso foi indeferido, sem reconhecerem que responderam perguntas diferentes das que formulei. Ainda negaram conhecimento da divergência do SERPRO. Então, encaminhei a resposta do SERPRO e reformulei as perguntas no recurso em 2ª instância, que acabo de registrar:

Recorro à autoridade máxima na Receita Federal na esperança de que não se torne cúmplice e futuro réu em razão da recusa em responder sem distorções o presente e de alegações falsas nas notas técnicas a mim encaminhadas no processo 16853.006392/2012-61, desmentidas no processo 99928.000064/2012-68, anexo.

Evidenciando a incompatibilidade das respostas fornecidas pela Receita Federal com as questões da inicial, esclareço as questões com termos da própria Receita Federal, solicitando respostas compatíveis e justificativas para eventuais divergências das respostas no anexo.

  • É verídica a alegação de que o código fonte do programa IRPF2007, preservado em http://ur1.ca/ah4ki como distribuído pela Receita Federal e em http://ur1.ca/a2vat na forma de código fonte recuperado mecanicamente, contém “evidências sobre regras de segurança da [Receita Federal], que propiciariam o aumento significativo do risco de acesso indevido aos sistemas de recepção e validação de arquivos transmitidos a esse órgão, expondo a vulnerabilidades toda a base de dados sigilosa sob sua guarda”?

  • Em caso positivo, que medidas a Receita Federal tem adotado, desde que tomou conhecimento da publicação do código fonte e portanto das evidências “que propiciariam aumento significativo do risco de acesso indevido”, para evitar a “expo[sição] a vulnerabilidades [de] toda a base de dados sigilosa sob sua guarda”?

  • Dentre os programas desenvolvidos pela Receita Federal (ou à sua ordem) e disponibilizados a terceiros desde 2007, quais contêm em seu código fonte “evidências sobre regras de segurança da instituição, que propiciariam o aumento significativo do risco de acesso indevido aos sistemas de recepção e validação de arquivos transmitidos a esse órgão, expondo a vulnerabilidades toda a base de dados sigilosa sob sua guarda”? Quais são as justificativas técnicas para a inclusão de informação tão sensível em cada um desses programas?

Será que agora vai? Se o secretário de Receita Federal indeferir, entra no rol de réus da falsidade ideológica, perjúrio e crimes de responsabilidade e contra a administração pública que vêm sendo cometidos nesses processos.

Novo pedido de documentação à Receita Federal

Aproveitei hoje pra dar mais corda pra ver até onde a Receita Federal se enrola. Quando pedi acesso à documentação sobre formatos de arquivo do IRPF e complementares, apontaram para a documentação do leiaute e para a ajuda dos programas auxiliares. Apontei alguns campos não documentados, mas insistiram que a documentação era aquela. Mais recentemente, fui procurar na ajuda dos programas auxiliares, e não tem nada lá. Tão querendo me enganar, é? Hoje dei entrada em novo pedido à Receita Federal, protocolo 16853.007273/2012-26:

Em resposta ao pedido de informação 16853.006392/2012-61, em que solicitei:

Documentação completa sobre os formatos de arquivo de declarações fiscais quaisquer regulamentados pela Receita Federal do Brasil, suficiente para (i) a verificação dos dados transmitidos e (ii) o desenvolvimento de programas geradores de declaração alternativos aos oferecidos pela Receita Federal do Brasil, dentre elas as de Imposto de Renda de Pessoa Física para os exercícios 2009 (conforme programa de testes já disponibilizado) e os dois anos anteriores.

recebi a seguinte informação:

Em regra, tais formatos encontram-se localizados no item “Ajuda” dos aplicativos disponibilizados pela RFB. No que tange aos leiautes da DIRPF -- Declaração de Imposto de Renda Pessoa Física e da DIRF -- Declaração de Imposto Retido na Fonte-, informamos que ambos se encontram disponibilizados em nosso sítio institucional, mais especificamente nos endereços eletrônicos:

<http://www.receita.fazenda.gov.br/principal/informacoes/infodeclara/declaraDIRF.htm>
<http://www.receita.fazenda.gov.br/download/programaspf.htm>

No arquivo LeiauteIRPF2012.doc, não encontrei especificação sobre a forma de cálculo dos campos NR_CONTROLE e NR_HASH, entre outros, nos tipos de registro em que devem estar presentes.

Tampouco encontrei informação, naquele arquivo, sobre registros das declarações auxiliares de Carnê Leão, Livros Caixas, Ganhos de Capital, etc, nem nos arquivos de documentação acessíveis a partir da “Ajuda” dos programas correspondentes.

Caso a informação esteja presente nesse arquivo ou nos programas, solicito indicação mais precisa de sua localização, bem como a reprodução dessa informação em anexo ao presente processo.

Caso contrário, reitero o pedido de acesso a essas informações.

Novo pedido de informação à Receita Federal

Também pressionei-os sobre as tais “evidências sobre regras de segurança” presentes no código fonte já disponível ao público, em novo pedido 16853.007274/2012-71:

No processo 16853.006392/2012-61, afirmou-se que o código fonte de programas relacionados ao IRPF conteriam “evidências sobre regras de segurança da [Receita Federal], que propiciariam o aumento significativo do risco de acesso indevido aos sistemas de recepção e validação de arquivos transmitidos a esse órgão, expondo a vulnerabilidades toda a base de dados sigilosa sob sua guarda.”

Embora essa alegação tenha sido desmentida pelo SERPRO no processo 99928.000064/2012-68, ofereço à Receita Federal a possibilidade de contraditório para confirmá-la e fundamentá-la, apoiando-se tão somente em informação já disponível ao público.

Nesse sentido, pergunto quais são as “evidências sobre regras de segurança da [Receita Federal], que propiciariam o aumento significativo do risco de acesso indevido aos sistemas de recepção e validação de arquivos transmitidos a esse órgão, expondo a vulnerabilidades toda a base de dados sigilosa sob sua guarda” no código fonte do IRPF2007v1.0, publicado em http://ur1.ca/a2vat após recuperação mecanicânica a partir da versão executável disponibilizada pela Receita Federal, em http://ur1.ca/ah4ki preservada.

Antecipando possíveis objeções, argumento que não teria cabimento considerar as evidências públicas das regras de então sigilosas hoje, tendo elas vindo a público quando da disponibilização, pela própria Receita Federal, do programa IRPF2007v1.0, cujo código fonte pôde ser mecanicamente recuperado; ademais, tendo o SERPRO e a Receita Federal tomado conhecimento da publicação do código fonte contendo tais evidências há tantos anos, qualquer “risco de acesso indevido aos sistemas” por elas “propiciado” haveria de ter sido remediado imediatamente, do contrário “toda a base de dados sigilosa” estaria “expo[sta] a vulnerabilidades” desde então.

Novo pedido de código fonte, agora ao SERPRO

Finalmente, me dei conta de que, se o SERPRO está obrigado a prestar informação que detém sobre os programas que desenvolveu, essa obrigação pode ser usada para solicitar próprio o código fonte, então registrei pedido ao SERPRO com protocolo 99928.000083/2012-94:

Solicito a publicação, na forma de código fonte, das versões mais recentes dos programas IRPF2007 e IRPF2012, bem como da versão 1.0 do IRPF2007, todas desenvolvidas pelo SERPRO para a Receita Federal. Seria nula qualquer disposição contratual contrária à lei que obriga o SERPRO a conceder acesso à informação não sigilosa de que dispõe.

Esses programas fazem uso de bibliotecas de titularidade de terceiros, publicadas por terceiros na forma de código fonte e, em alguns casos, código objeto. Solicito a disponibilização, pelo próprio SERPRO, do código fonte correspondente ao código objeto utilizado de cada uma dessas bibliotecas, mesmo que eles estejam ainda disponíveis diretamente a partir de terceiros. Isso é particularmente importante no caso de algumas bibliotecas usadas no IRPF2007: a disponibilização do código fonte por redistribuidores do código objeto, como SERPRO e Receita Federal, é condição imposta pelas respectivas licenças.

Solicito ainda os endereços originais na Internet em que foram obtidos o código fonte e o código objeto de cada uma dessas bibliotecas, quando for o caso e se ainda estiverem ali disponíveis.

Creio importante mencionar que, em solicitação à Receita Federal, no processo 16853.006392/2012-61, os programas solicitados não foram classificados como sigilosos; a recusa em publicá-los deu-se por supostamente conterem “evidências sobre regras de segurança da instituição, que propiciariam o aumento significativo do risco de acesso indevido aos sistemas de recepção e validação de arquivos transmitidos a esse órgão, expondo a vulnerabilidades toda a base de dados sigilosa sob sua guarda”, alegação que o SERPRO já desmentiu e com muita propriedade desqualificou no processo 99928.000064/2012-68.

Não achei que era o caso de dizer no pedido que isso vai ajudar como prova judicial em eventuais processos criminais contra os mentirosos da Receita Federal. Afinal, o pessoal da Receita Federal agora pode alegar que não pode ser obrigado a produzir essas provas contra si mesmos, mas o SERPRO não tem mentira pra esconder. Será que agora vai?

Até blogo...

Atualização 2012-10-15

Ainda não foi :-(