Em meio a discussões sobre a confiabilidade das eleições, a urna eletrônica brasileira, usada em todo o país, reúne mecanismos de segurança física e digital que, de acordo com o Tribunal Superior Eleitoral (TSE), garantem o sigilo do eleitor e permitem auditorias em todas as etapas da votação.
Urna eletrônica é um microcomputador isolado
A urna é um microcomputador de uso específico, desenhado apenas para receber e contar votos. O equipamento opera com um sistema baseado em Linux, configurado para rodar somente os programas da Justiça Eleitoral.
Um ponto central é o isolamento. A urna não tem placa de rede, Wi-Fi, Bluetooth ou conexão com a internet. Sem hardware de comunicação e com o sistema preparado para bloquear qualquer acesso externo, ela fica imune a ataques remotos de hackers.
Na prática, o fluxo do voto funciona assim:
- Sem conexão: o equipamento trabalha de forma autônoma na seção eleitoral, sem qualquer link com redes externas durante a votação.
- Gravação do voto: ao confirmar o voto, o eleitor vê uma barra de progresso por instantes. Nesse momento, o registro é salvo simultaneamente em duas mídias internas, aumentando a redundância.
- Embaralhamento (RDV): o voto não fica armazenado na ordem em que foi digitado. Ele é gravado de forma aleatória no Registro Digital do Voto (RDV), o que impede associar horário de votação a um eleitor específico.
Segundo a Justiça Eleitoral, o RDV funciona como uma espécie de 'urna de papel balançada' em formato digital. Assim, permite recontagem dos votos preservando o anonimato de cada eleitor.
Camadas digitais de segurança
A segurança da urna se apoia em dois atributos verificados o tempo todo: a integridade (se o software não foi alterado) e a autoria (se o programa é, de fato, o oficial do TSE).
Para garantir esses requisitos, o sistema adota uma estratégia de 'segurança em camadas', com vários mecanismos sobrepostos:
- Criptografia e assinatura digital: todos os programas que rodam na urna são assinados digitalmente pelo TSE e por entidades fiscalizadoras. Se o equipamento detectar um arquivo sem assinatura válida, o software não carrega.
- Hardware de segurança: um chip blindado dentro da urna guarda as chaves criptográficas. Ao ser ligada, a máquina usa esse componente para conferir se os programas são autênticos. Qualquer alteração de código faz o equipamento travar e impede a inicialização.
- Hashes (resumos digitais): durante a fase de lacração, técnicos geram códigos únicos para cada programa instalado. Partidos, Ministério Público e fiscais podem comparar esses hashes com os presentes na urna e verificar se o sistema é o mesmo aprovado pelo TSE.
Na visão de especialistas em segurança da informação que acompanham o processo eleitoral, esse conjunto reduz a possibilidade de invasão ou troca de software sem que a alteração seja detectada nas conferências.
Barreiras físicas e controle de uso
Além das proteções digitais, a urna conta com barreiras físicas projetadas para evitar manipulações indevidas.
- Lacres da Casa da Moeda: todas as portas de acesso físico, como USB e cartões de memória, recebem lacres especiais. Eles mudam de cor ou deixam marcas visíveis se alguém tenta removê-los, o que permite identificar violações.
- Logística controlada: as urnas saem dos tribunais regionais eleitorais lacradas e funcionam apenas na data e no horário programados para a eleição. Fora desse período, o equipamento não entra em modo de votação.
De acordo com o TSE, todo o transporte e a guarda das urnas seguem procedimentos padronizados, com registro e possibilidade de acompanhamento por representantes de partidos e entidades fiscalizadoras.
Auditoria antes, durante e depois da votação
O sistema brasileiro prevê mecanismos de auditoria em três momentos: pré-eleição, dia da votação e pós-eleição. A Justiça Eleitoral afirma que esses procedimentos permitem conferir o funcionamento da urna e o resultado apurado.
Pré-eleição
- Abertura do código-fonte: por um ano antes do pleito, o código dos sistemas fica disponível para análise de partidos, universidades, Polícia Federal, OAB e outras instituições.
- Teste Público de Segurança (TPS): equipes externas são convidadas a tentar explorar falhas na urna. Segundo o TSE, até hoje não houve caso em que um ataque conseguisse alterar o resultado da votação.
Dia da eleição
- Zerésima: antes de receber eleitores, cada urna imprime um relatório que comprova que não há votos registrados.
- Teste de integridade: urnas sorteadas são submetidas a uma votação paralela, filmada, em que votos em cédulas de papel são digitados na máquina. Ao final, a contagem manual é comparada ao resultado eletrônico.
Pós-eleição
- Boletim de urna (BU): ao encerrar a votação, a urna imprime o resultado daquela seção. O documento é público e qualquer pessoa pode fotografá-lo e confrontar com os números divulgados pelo TSE.
- Logs de auditoria: o equipamento registra, em arquivos assinados digitalmente, todas as operações realizadas durante o dia de votação, o que possibilita rastrear o funcionamento do sistema.
Especialistas destacam que a combinação do BU impresso em cada seção com a divulgação dos dados na internet permite checagens independentes por partidos, observadores e cidadãos.
Mitos comuns sobre a urna eletrônica
- Inserção de código malicioso na fabricação: os componentes chegam aos tribunais sem software instalado. O programa oficial é gravado apenas pela Justiça Eleitoral e precisa ter assinaturas digitais válidas para funcionar. Mesmo que alguém tentasse inserir um vírus na fábrica, o hardware de segurança impediria a execução por falta de assinatura legítima.
- Voto impresso seria mais seguro: na avaliação de especialistas e da própria Justiça Eleitoral, a contagem manual de cédulas em papel aumenta a chance de erros e interferências humanas. O Registro Digital do Voto atua como um 'voto impresso digital', permitindo recontagens e verificações sem os riscos associados ao manuseio físico de milhões de cédulas.
- Alteração de votos na transmissão: a transmissão dos resultados usa uma rede própria e criptografada da Justiça Eleitoral, e não a internet comum. Para mudar dados nesse percurso, seria necessário quebrar a criptografia e gerar novas assinaturas digitais em frações de segundo. Na avaliação de especialistas em segurança, isso é virtualmente impossível com a tecnologia disponível hoje.
Para o TSE, o conjunto formado pelo isolamento da urna, pelas camadas de proteção digital e física e pelos diversos mecanismos de auditoria pública compõe um sistema que permite verificar e confiar no resultado das eleições.