Bolsonaro faz comparação enganosa entre aplicativo do PSDB e urnas eletrônicas


Equipamento de voto da Justiça Eleitoral não tem conexão à internet e possui várias camadas de segurança; TSE tem mecanismos de contingência caso urnas quebrem

Por Alessandra Monnerat

Atualizada em 23/11/2021 com nota do TSE.

O presidente Jair Bolsonaro ironizou a suspensão das prévias do PSDB fazendo uma comparação equivocada com o voto em urnas eletrônicas. Tucanos escolheriam no domingo, 21, o próximo candidato do partido à Presidência nas eleições 2022. Filiados votariam de maneira remota por meio de um aplicativo de celular, mas a plataforma falhou. 

Não há comparação possível entre o voto em urnas eletrônicas e em aplicativos de votação. São sistemas totalmente diferentes. Em diversas oportunidades, Bolsonaro já atacou o modelo adotado pelo Tribunal Superior Eleitoral (TSE) e denunciou fraudes inexistentes. 

continua após a publicidade

Em conversa com simpatizantes em Brasília nesta segunda-feira, 22, o presidente respondeu a uma menção ao governador de São Paulo, João Doria (PSDB), dizendo o seguinte: "Já viu a confusão ontem? Eu não vou falar nisso porque não tenho nada a ver com outro partido né, mas deu uma confusão em São Paulo ontem. É o tal do voto eletrônico aí".

Urna eletrônica durante 6º Teste Público de Segurança, em Brasília, 22 de novembro de 2021. Foto: EVARISTO SA / AFP
continua após a publicidade

Filiados ao PSDB relataram dificuldades em votar por meio de um app desenvolvido para o partido pela Fundação de Apoio da Universidade Federal do Rio Grande do Sul (FAURGS). A instituição informou que ainda investiga as causas da instabilidade -- o Estadão apurou que apenas 8% dos mais de 44 mil tucanos que se cadastraram conseguiram votar. Segundo a Faurgs, a segurança do app não foi afetada e o processo de reparação está sendo acompanhado por técnicos que representam as três chapas candidatas -- os governadores João Doria (SP) e Eduardo Leite (RS), além do ex-prefeito de Manaus Arthur Virgílio Neto.

Em nota, o TSE afirmou que não poderia comentar sobre as diferenças entre a urna eletrônica e o sistema do PSDB, porque não sabe o tipo de tecnologia usada pelo partido. "Podemos afirmar, contudo, de forma geral que um sistema de votação online está sujeito a dificuldades de acesso provocadas por instabilidades de rede ou indisponibilidade dos servidores", informou o Tribunal.

"A urna eletrônica, por outro lado, é um dispositivo projetado para a votação off-line", afirma a nota. "A urna não é conectada à rede em momento algum e o seu funcionamento depende apenas da energia elétrica (rede elétrica ou bateria). Dessa forma, a votação pela urna fica disponível durante todo o dia, sem intercorrências. Mesmo que uma urna apresente defeito, ela pode ser rapidamente substituída por um equipamento reserva, com total preservação dos votos previamente depositados."

continua após a publicidade

O TSE ressaltou ainda que o PSDB pediu emprestadas seis urnas eletrônicas para realização das prévias. "Nas urnas disponibilizadas pela Justiça Eleitoral para colher o voto de quem estava no Centro de Convenções o processo funcionou perfeitamente", afirmou o Tribunal.

Urna não é conectada à internet

Comparar o app do PSDB com as urnas eletrônicas é enganoso por vários motivos. Os equipamentos de votação não são conectados à internet em nenhum momento durante as eleições. O sistema operacional das urnas é desenvolvido pela Justiça Eleitoral e não inclui mecanismos necessários para estabelecer conexão com a internet, bluetooth ou rede de acesso remoto. O software só funciona nos equipamentos oficialmente validados.

continua após a publicidade

O único cabo que o equipamento possui é o de energia. Ao final da votação, o flash da urna (uma espécie de cartão de memória) é levado para um sistema próprio que envia esses dados para o Tribunal Superior Eleitoral (TSE) usando criptografia, por meio de uma rede privada da Justiça Eleitoral e com uma série de camadas protetoras que garantem a sua integridade. Os resultados registrados em cada equipamento também são impressos nos boletins de urna da respectiva seção eleitoral imediatamente após o término da votação, o que segundo o TSE torna o processo auditável. 

Desde a adoção do voto eletrônico em 1996, nunca foi comprovada a ocorrência de invasão ao sistema das urnas eletrônicas ou fraude no processo eleitoral brasileiro. A falta de conexão à internet impossibilita ataques externos por redes. Ou seja, para entrar nos equipamentos de votação seria preciso invadi-los um a um; mesmo assim, eles têm camadas de segurança extras para impedir ataques. 

Procedimentos de contingência em caso de falha de urnas

continua após a publicidade

A Justiça Eleitoral conta com vários mecanismos de contingência previstos em lei caso uma urna quebre ou falhe no dia da votação. Nas últimas eleições, em novembro de 2020, 3.381 urnas foram substituídas, o que representa 0,75% do total de 400 mil equipamentos usados. 

O Tribunal Regional Eleitoral do Rio de Janeiro (TRE-RJ) explica neste texto os procedimentos de contingência. O primeiro é um passo simples, que fazemos com aparelhos eletrônicos em nossa casa: desligar e religar a urna. O presidente da seção eleitoral precisa fazer isso na frente dos fiscais eleitorais. "As informações já gravadas na mídia de votação da urna, ou seja, os votos computados e os eleitores que já votaram, não são perdidas", afirma o secretário de Tecnologia da Informação do TRE-RJ, Michel Kovacs. 

Se isso não der certo, os mesários devem pedir ajuda aos técnicos do TRE. É possível que a memória externa onde ficam gravados os votos esteja inserida incorretamente; neste caso, o técnico reposiciona o dispositivo e recoloca os lacres da urna. Esse procedimento deve ter as assinaturas do juiz eleitoral, de integrantes do Ministério Público e da Ordem dos Advogados do Brasil, de fiscais dos partidos políticos e das coligações presentes na cerimônia de preparação dos equipamentos de votação.

continua após a publicidade

Também é possível que o técnico descubra que a memória externa da urna está danificada. Nesse caso, é preciso substituí-la por uma memória de contingência. Mesmo assim, os votos não são perdidos, porque essas informações ficam gravadas na memória interna da urna. O cartão defeituoso não é simplesmente descartado: é colocado em um envelope, lacrado e remetido à Justiça Eleitoral.

Se nenhum desses procedimentos funcionar, é preciso substituir a urna. A Justiça Eleitoral deixa reservados equipamentos de contingência no dia da votação. A urna extra não tem nenhuma informação gravada; para usá-la como substituta, basta inserir a memória externa da urna que foi retirada.  "Todas as informações de eleitoras e eleitores que votaram e estavam na memória da urna que apresentou falha são gravadas na urna de contingência, que passa a funcionar de forma idêntica à urna da seção", explica Kovacs. 

Em último caso, a Justiça Eleitoral adota a votação em cédulas de papel. "Nessas situações, os votos registrados na urna eletrônica defeituosa são recuperados pela junta eleitoral, por meio de um sistema da Justiça Eleitoral, para serem contabilizados com aqueles votos registrados em cédulas de papel", informa o TRE-RJ.

Urna tem mecanismos de auditoria e segurança

Veja abaixo os mecanismos de auditoria e segurança listados pelo TSE:

  • Sistema de controle de versões: O código-fonte do software é mantido sob moderno sistema de controle de versões, pelo qual é possível verificar cada modificação feita no código, quem e quando a fez.
  • Revisão de código por pares: associada à ferramenta de controle de versões, para que um programador integre um código em definitivo no software é necessário que outro programador revise e aprove a modificação.
  • Segregação de papéis: as equipes não possuem conhecimento sobre a totalidade do processo eleitoral.
  • Infraestrutura de assinatura do software: o software da urna é assinado com algoritmos redundantes, que envolvem uma autoridade certificadora do hardware (equipamento físico) da urna e uma infraestrutura de chaves usadas por um algoritmo criado e mantido por órgão especializado do Poder Executivo. Cada uma dessas duas estruturas é de responsabilidade de equipes diferentes. Nesse sentido, mesmo tendo o controle do código-fonte, a equipe de desenvolvimento não é capaz de gerar uma versão do software que funcione na urna em modo oficial.
  • Teste frequente do software por diferentes equipes: O software da urna é submetido a exaustiva rotina de testes, em todas as suas etapas de desenvolvimento. Há testes feitos pelos testadores lotados na equipe de desenvolvimento e também por outra equipe do TSE que testa o software da urna integrado aos demais sistemas envolvidos no processo eleitoral. Há também equipes de todos os Tribunais Regionais Eleitorais que testam o software frequentemente. Dessa forma, há muitas pessoas capazes de identificar comportamentos anômalos no software da urna.
  • Teste Público de Segurança: No ano anterior ao da realização das eleições, o TSE convida toda a comunidade a testar o software da urna e verificar a efetividade dos seus mecanismos de segurança. Também é uma oportunidade para que qualquer cidadão verifique como o software funciona, contando com amplo acesso ao seu código-fonte. Quando são identificadas vulnerabilidades ou oportunidades de melhoria, aqueles que apresentaram as contribuições são novamente convidados ao TSE para verificarem as modificações no software.
  • Abertura para entidades parceiras: Há 12 anos o TSE sistematicamente celebra convênios com entidades parceiras, notoriamente reconhecidas pela excelência técnica na área de tecnologia da informação. Entre 2009 e 2019 o parceiro foi o Centro de Tecnologia da Informação Renato Archer (CTI), que é um centro de pesquisas ligado ao Ministério da Ciência, Tecnologia e Inovações. E em 2021 o TSE está firmando acordo com o Laboratório de Arquitetura de Redes de Computadores (Larc) da Universidade de São Paulo (USP). Essas parcerias têm por objetivo uma ampla revisão do software e dos seus mecanismos de segurança, assim como a proposição de evoluções nos sistemas.
  • Seis meses de abertura dos sistemas: Nos seis meses que antecedem as eleições ordinárias, os sistemas eleitorais são amplamente abertos para auditoria nas dependências do TSE. Diversas entidades públicas e privadas podem se credenciar para ter acesso integral aos sistemas, inspecionar o seu código-fonte e verificar o seu comportamento. Os auditores também têm acesso à equipe de desenvolvimento para que sejam sanadas quaisquer dúvidas sobre o software.
  • Cerimônia Pública de Lacração e Assinatura Digital dos Sistemas Eleitorais: Um mês antes da realização das eleições ordinárias, o conjunto de software que será utilizado no processo eleitoral é submetido à Lacração. Trata-se de cerimônia pública, com todos os seus procedimentos verificáveis e auditáveis, na qual o software é copiado do sistema de controle de versões, compilado, assinado digitalmente e empacotado para distribuição aos TREs. Ao final da Lacração o software é imediatamente submetido a testes que validem o seu correto funcionamento, além da possibilidade de verificação de que os binários compilados derivam do código-fonte aberto para inspeção. Após a Lacração, só é possível a alteração do software mediante nova cerimônia pública. O Ministério Público e a Polícia Federal são instituições capacitadas para auditar a Cerimônia e podem também assinar digitalmente todo o software produzido.
  • Teste de integridade (votação paralela). No dia do pleito, um conjunto aleatório de urnas é submetido a um teste de votação monitorada, com o objetivo de verificar se o comportamento da urna se mantém íntegro, ou seja, se os votos nela apurados correspondem àqueles que nela foram depositados. Esse teste é feito em cerimônia pública com ampla fiscalização.
  • Auditoria externa independente. Todo o software da urna pode ser auditado de forma independente durante o seu desenvolvimento e no seu ambiente de uso. Além dos eventos citados anteriormente, os auditores podem verificar hash e assinatura digital dos arquivos por meios próprios, diretamente sobre as mídias das urnas ou as unidades de armazenamento dos computadores desktop. O Ministério Público e a Polícia Federal são instituições capacitadas a auditar o software e o seu processo de desenvolvimento, cabendo a elas inclusive a apuração de responsabilidades criminais. /COM SAMUEL LIMA E VICTOR PINHEIRO

Atualizada em 23/11/2021 com nota do TSE.

O presidente Jair Bolsonaro ironizou a suspensão das prévias do PSDB fazendo uma comparação equivocada com o voto em urnas eletrônicas. Tucanos escolheriam no domingo, 21, o próximo candidato do partido à Presidência nas eleições 2022. Filiados votariam de maneira remota por meio de um aplicativo de celular, mas a plataforma falhou. 

Não há comparação possível entre o voto em urnas eletrônicas e em aplicativos de votação. São sistemas totalmente diferentes. Em diversas oportunidades, Bolsonaro já atacou o modelo adotado pelo Tribunal Superior Eleitoral (TSE) e denunciou fraudes inexistentes. 

Em conversa com simpatizantes em Brasília nesta segunda-feira, 22, o presidente respondeu a uma menção ao governador de São Paulo, João Doria (PSDB), dizendo o seguinte: "Já viu a confusão ontem? Eu não vou falar nisso porque não tenho nada a ver com outro partido né, mas deu uma confusão em São Paulo ontem. É o tal do voto eletrônico aí".

Urna eletrônica durante 6º Teste Público de Segurança, em Brasília, 22 de novembro de 2021. Foto: EVARISTO SA / AFP

Filiados ao PSDB relataram dificuldades em votar por meio de um app desenvolvido para o partido pela Fundação de Apoio da Universidade Federal do Rio Grande do Sul (FAURGS). A instituição informou que ainda investiga as causas da instabilidade -- o Estadão apurou que apenas 8% dos mais de 44 mil tucanos que se cadastraram conseguiram votar. Segundo a Faurgs, a segurança do app não foi afetada e o processo de reparação está sendo acompanhado por técnicos que representam as três chapas candidatas -- os governadores João Doria (SP) e Eduardo Leite (RS), além do ex-prefeito de Manaus Arthur Virgílio Neto.

Em nota, o TSE afirmou que não poderia comentar sobre as diferenças entre a urna eletrônica e o sistema do PSDB, porque não sabe o tipo de tecnologia usada pelo partido. "Podemos afirmar, contudo, de forma geral que um sistema de votação online está sujeito a dificuldades de acesso provocadas por instabilidades de rede ou indisponibilidade dos servidores", informou o Tribunal.

"A urna eletrônica, por outro lado, é um dispositivo projetado para a votação off-line", afirma a nota. "A urna não é conectada à rede em momento algum e o seu funcionamento depende apenas da energia elétrica (rede elétrica ou bateria). Dessa forma, a votação pela urna fica disponível durante todo o dia, sem intercorrências. Mesmo que uma urna apresente defeito, ela pode ser rapidamente substituída por um equipamento reserva, com total preservação dos votos previamente depositados."

O TSE ressaltou ainda que o PSDB pediu emprestadas seis urnas eletrônicas para realização das prévias. "Nas urnas disponibilizadas pela Justiça Eleitoral para colher o voto de quem estava no Centro de Convenções o processo funcionou perfeitamente", afirmou o Tribunal.

Urna não é conectada à internet

Comparar o app do PSDB com as urnas eletrônicas é enganoso por vários motivos. Os equipamentos de votação não são conectados à internet em nenhum momento durante as eleições. O sistema operacional das urnas é desenvolvido pela Justiça Eleitoral e não inclui mecanismos necessários para estabelecer conexão com a internet, bluetooth ou rede de acesso remoto. O software só funciona nos equipamentos oficialmente validados.

O único cabo que o equipamento possui é o de energia. Ao final da votação, o flash da urna (uma espécie de cartão de memória) é levado para um sistema próprio que envia esses dados para o Tribunal Superior Eleitoral (TSE) usando criptografia, por meio de uma rede privada da Justiça Eleitoral e com uma série de camadas protetoras que garantem a sua integridade. Os resultados registrados em cada equipamento também são impressos nos boletins de urna da respectiva seção eleitoral imediatamente após o término da votação, o que segundo o TSE torna o processo auditável. 

Desde a adoção do voto eletrônico em 1996, nunca foi comprovada a ocorrência de invasão ao sistema das urnas eletrônicas ou fraude no processo eleitoral brasileiro. A falta de conexão à internet impossibilita ataques externos por redes. Ou seja, para entrar nos equipamentos de votação seria preciso invadi-los um a um; mesmo assim, eles têm camadas de segurança extras para impedir ataques. 

Procedimentos de contingência em caso de falha de urnas

A Justiça Eleitoral conta com vários mecanismos de contingência previstos em lei caso uma urna quebre ou falhe no dia da votação. Nas últimas eleições, em novembro de 2020, 3.381 urnas foram substituídas, o que representa 0,75% do total de 400 mil equipamentos usados. 

O Tribunal Regional Eleitoral do Rio de Janeiro (TRE-RJ) explica neste texto os procedimentos de contingência. O primeiro é um passo simples, que fazemos com aparelhos eletrônicos em nossa casa: desligar e religar a urna. O presidente da seção eleitoral precisa fazer isso na frente dos fiscais eleitorais. "As informações já gravadas na mídia de votação da urna, ou seja, os votos computados e os eleitores que já votaram, não são perdidas", afirma o secretário de Tecnologia da Informação do TRE-RJ, Michel Kovacs. 

Se isso não der certo, os mesários devem pedir ajuda aos técnicos do TRE. É possível que a memória externa onde ficam gravados os votos esteja inserida incorretamente; neste caso, o técnico reposiciona o dispositivo e recoloca os lacres da urna. Esse procedimento deve ter as assinaturas do juiz eleitoral, de integrantes do Ministério Público e da Ordem dos Advogados do Brasil, de fiscais dos partidos políticos e das coligações presentes na cerimônia de preparação dos equipamentos de votação.

Também é possível que o técnico descubra que a memória externa da urna está danificada. Nesse caso, é preciso substituí-la por uma memória de contingência. Mesmo assim, os votos não são perdidos, porque essas informações ficam gravadas na memória interna da urna. O cartão defeituoso não é simplesmente descartado: é colocado em um envelope, lacrado e remetido à Justiça Eleitoral.

Se nenhum desses procedimentos funcionar, é preciso substituir a urna. A Justiça Eleitoral deixa reservados equipamentos de contingência no dia da votação. A urna extra não tem nenhuma informação gravada; para usá-la como substituta, basta inserir a memória externa da urna que foi retirada.  "Todas as informações de eleitoras e eleitores que votaram e estavam na memória da urna que apresentou falha são gravadas na urna de contingência, que passa a funcionar de forma idêntica à urna da seção", explica Kovacs. 

Em último caso, a Justiça Eleitoral adota a votação em cédulas de papel. "Nessas situações, os votos registrados na urna eletrônica defeituosa são recuperados pela junta eleitoral, por meio de um sistema da Justiça Eleitoral, para serem contabilizados com aqueles votos registrados em cédulas de papel", informa o TRE-RJ.

Urna tem mecanismos de auditoria e segurança

Veja abaixo os mecanismos de auditoria e segurança listados pelo TSE:

  • Sistema de controle de versões: O código-fonte do software é mantido sob moderno sistema de controle de versões, pelo qual é possível verificar cada modificação feita no código, quem e quando a fez.
  • Revisão de código por pares: associada à ferramenta de controle de versões, para que um programador integre um código em definitivo no software é necessário que outro programador revise e aprove a modificação.
  • Segregação de papéis: as equipes não possuem conhecimento sobre a totalidade do processo eleitoral.
  • Infraestrutura de assinatura do software: o software da urna é assinado com algoritmos redundantes, que envolvem uma autoridade certificadora do hardware (equipamento físico) da urna e uma infraestrutura de chaves usadas por um algoritmo criado e mantido por órgão especializado do Poder Executivo. Cada uma dessas duas estruturas é de responsabilidade de equipes diferentes. Nesse sentido, mesmo tendo o controle do código-fonte, a equipe de desenvolvimento não é capaz de gerar uma versão do software que funcione na urna em modo oficial.
  • Teste frequente do software por diferentes equipes: O software da urna é submetido a exaustiva rotina de testes, em todas as suas etapas de desenvolvimento. Há testes feitos pelos testadores lotados na equipe de desenvolvimento e também por outra equipe do TSE que testa o software da urna integrado aos demais sistemas envolvidos no processo eleitoral. Há também equipes de todos os Tribunais Regionais Eleitorais que testam o software frequentemente. Dessa forma, há muitas pessoas capazes de identificar comportamentos anômalos no software da urna.
  • Teste Público de Segurança: No ano anterior ao da realização das eleições, o TSE convida toda a comunidade a testar o software da urna e verificar a efetividade dos seus mecanismos de segurança. Também é uma oportunidade para que qualquer cidadão verifique como o software funciona, contando com amplo acesso ao seu código-fonte. Quando são identificadas vulnerabilidades ou oportunidades de melhoria, aqueles que apresentaram as contribuições são novamente convidados ao TSE para verificarem as modificações no software.
  • Abertura para entidades parceiras: Há 12 anos o TSE sistematicamente celebra convênios com entidades parceiras, notoriamente reconhecidas pela excelência técnica na área de tecnologia da informação. Entre 2009 e 2019 o parceiro foi o Centro de Tecnologia da Informação Renato Archer (CTI), que é um centro de pesquisas ligado ao Ministério da Ciência, Tecnologia e Inovações. E em 2021 o TSE está firmando acordo com o Laboratório de Arquitetura de Redes de Computadores (Larc) da Universidade de São Paulo (USP). Essas parcerias têm por objetivo uma ampla revisão do software e dos seus mecanismos de segurança, assim como a proposição de evoluções nos sistemas.
  • Seis meses de abertura dos sistemas: Nos seis meses que antecedem as eleições ordinárias, os sistemas eleitorais são amplamente abertos para auditoria nas dependências do TSE. Diversas entidades públicas e privadas podem se credenciar para ter acesso integral aos sistemas, inspecionar o seu código-fonte e verificar o seu comportamento. Os auditores também têm acesso à equipe de desenvolvimento para que sejam sanadas quaisquer dúvidas sobre o software.
  • Cerimônia Pública de Lacração e Assinatura Digital dos Sistemas Eleitorais: Um mês antes da realização das eleições ordinárias, o conjunto de software que será utilizado no processo eleitoral é submetido à Lacração. Trata-se de cerimônia pública, com todos os seus procedimentos verificáveis e auditáveis, na qual o software é copiado do sistema de controle de versões, compilado, assinado digitalmente e empacotado para distribuição aos TREs. Ao final da Lacração o software é imediatamente submetido a testes que validem o seu correto funcionamento, além da possibilidade de verificação de que os binários compilados derivam do código-fonte aberto para inspeção. Após a Lacração, só é possível a alteração do software mediante nova cerimônia pública. O Ministério Público e a Polícia Federal são instituições capacitadas para auditar a Cerimônia e podem também assinar digitalmente todo o software produzido.
  • Teste de integridade (votação paralela). No dia do pleito, um conjunto aleatório de urnas é submetido a um teste de votação monitorada, com o objetivo de verificar se o comportamento da urna se mantém íntegro, ou seja, se os votos nela apurados correspondem àqueles que nela foram depositados. Esse teste é feito em cerimônia pública com ampla fiscalização.
  • Auditoria externa independente. Todo o software da urna pode ser auditado de forma independente durante o seu desenvolvimento e no seu ambiente de uso. Além dos eventos citados anteriormente, os auditores podem verificar hash e assinatura digital dos arquivos por meios próprios, diretamente sobre as mídias das urnas ou as unidades de armazenamento dos computadores desktop. O Ministério Público e a Polícia Federal são instituições capacitadas a auditar o software e o seu processo de desenvolvimento, cabendo a elas inclusive a apuração de responsabilidades criminais. /COM SAMUEL LIMA E VICTOR PINHEIRO

Atualizada em 23/11/2021 com nota do TSE.

O presidente Jair Bolsonaro ironizou a suspensão das prévias do PSDB fazendo uma comparação equivocada com o voto em urnas eletrônicas. Tucanos escolheriam no domingo, 21, o próximo candidato do partido à Presidência nas eleições 2022. Filiados votariam de maneira remota por meio de um aplicativo de celular, mas a plataforma falhou. 

Não há comparação possível entre o voto em urnas eletrônicas e em aplicativos de votação. São sistemas totalmente diferentes. Em diversas oportunidades, Bolsonaro já atacou o modelo adotado pelo Tribunal Superior Eleitoral (TSE) e denunciou fraudes inexistentes. 

Em conversa com simpatizantes em Brasília nesta segunda-feira, 22, o presidente respondeu a uma menção ao governador de São Paulo, João Doria (PSDB), dizendo o seguinte: "Já viu a confusão ontem? Eu não vou falar nisso porque não tenho nada a ver com outro partido né, mas deu uma confusão em São Paulo ontem. É o tal do voto eletrônico aí".

Urna eletrônica durante 6º Teste Público de Segurança, em Brasília, 22 de novembro de 2021. Foto: EVARISTO SA / AFP

Filiados ao PSDB relataram dificuldades em votar por meio de um app desenvolvido para o partido pela Fundação de Apoio da Universidade Federal do Rio Grande do Sul (FAURGS). A instituição informou que ainda investiga as causas da instabilidade -- o Estadão apurou que apenas 8% dos mais de 44 mil tucanos que se cadastraram conseguiram votar. Segundo a Faurgs, a segurança do app não foi afetada e o processo de reparação está sendo acompanhado por técnicos que representam as três chapas candidatas -- os governadores João Doria (SP) e Eduardo Leite (RS), além do ex-prefeito de Manaus Arthur Virgílio Neto.

Em nota, o TSE afirmou que não poderia comentar sobre as diferenças entre a urna eletrônica e o sistema do PSDB, porque não sabe o tipo de tecnologia usada pelo partido. "Podemos afirmar, contudo, de forma geral que um sistema de votação online está sujeito a dificuldades de acesso provocadas por instabilidades de rede ou indisponibilidade dos servidores", informou o Tribunal.

"A urna eletrônica, por outro lado, é um dispositivo projetado para a votação off-line", afirma a nota. "A urna não é conectada à rede em momento algum e o seu funcionamento depende apenas da energia elétrica (rede elétrica ou bateria). Dessa forma, a votação pela urna fica disponível durante todo o dia, sem intercorrências. Mesmo que uma urna apresente defeito, ela pode ser rapidamente substituída por um equipamento reserva, com total preservação dos votos previamente depositados."

O TSE ressaltou ainda que o PSDB pediu emprestadas seis urnas eletrônicas para realização das prévias. "Nas urnas disponibilizadas pela Justiça Eleitoral para colher o voto de quem estava no Centro de Convenções o processo funcionou perfeitamente", afirmou o Tribunal.

Urna não é conectada à internet

Comparar o app do PSDB com as urnas eletrônicas é enganoso por vários motivos. Os equipamentos de votação não são conectados à internet em nenhum momento durante as eleições. O sistema operacional das urnas é desenvolvido pela Justiça Eleitoral e não inclui mecanismos necessários para estabelecer conexão com a internet, bluetooth ou rede de acesso remoto. O software só funciona nos equipamentos oficialmente validados.

O único cabo que o equipamento possui é o de energia. Ao final da votação, o flash da urna (uma espécie de cartão de memória) é levado para um sistema próprio que envia esses dados para o Tribunal Superior Eleitoral (TSE) usando criptografia, por meio de uma rede privada da Justiça Eleitoral e com uma série de camadas protetoras que garantem a sua integridade. Os resultados registrados em cada equipamento também são impressos nos boletins de urna da respectiva seção eleitoral imediatamente após o término da votação, o que segundo o TSE torna o processo auditável. 

Desde a adoção do voto eletrônico em 1996, nunca foi comprovada a ocorrência de invasão ao sistema das urnas eletrônicas ou fraude no processo eleitoral brasileiro. A falta de conexão à internet impossibilita ataques externos por redes. Ou seja, para entrar nos equipamentos de votação seria preciso invadi-los um a um; mesmo assim, eles têm camadas de segurança extras para impedir ataques. 

Procedimentos de contingência em caso de falha de urnas

A Justiça Eleitoral conta com vários mecanismos de contingência previstos em lei caso uma urna quebre ou falhe no dia da votação. Nas últimas eleições, em novembro de 2020, 3.381 urnas foram substituídas, o que representa 0,75% do total de 400 mil equipamentos usados. 

O Tribunal Regional Eleitoral do Rio de Janeiro (TRE-RJ) explica neste texto os procedimentos de contingência. O primeiro é um passo simples, que fazemos com aparelhos eletrônicos em nossa casa: desligar e religar a urna. O presidente da seção eleitoral precisa fazer isso na frente dos fiscais eleitorais. "As informações já gravadas na mídia de votação da urna, ou seja, os votos computados e os eleitores que já votaram, não são perdidas", afirma o secretário de Tecnologia da Informação do TRE-RJ, Michel Kovacs. 

Se isso não der certo, os mesários devem pedir ajuda aos técnicos do TRE. É possível que a memória externa onde ficam gravados os votos esteja inserida incorretamente; neste caso, o técnico reposiciona o dispositivo e recoloca os lacres da urna. Esse procedimento deve ter as assinaturas do juiz eleitoral, de integrantes do Ministério Público e da Ordem dos Advogados do Brasil, de fiscais dos partidos políticos e das coligações presentes na cerimônia de preparação dos equipamentos de votação.

Também é possível que o técnico descubra que a memória externa da urna está danificada. Nesse caso, é preciso substituí-la por uma memória de contingência. Mesmo assim, os votos não são perdidos, porque essas informações ficam gravadas na memória interna da urna. O cartão defeituoso não é simplesmente descartado: é colocado em um envelope, lacrado e remetido à Justiça Eleitoral.

Se nenhum desses procedimentos funcionar, é preciso substituir a urna. A Justiça Eleitoral deixa reservados equipamentos de contingência no dia da votação. A urna extra não tem nenhuma informação gravada; para usá-la como substituta, basta inserir a memória externa da urna que foi retirada.  "Todas as informações de eleitoras e eleitores que votaram e estavam na memória da urna que apresentou falha são gravadas na urna de contingência, que passa a funcionar de forma idêntica à urna da seção", explica Kovacs. 

Em último caso, a Justiça Eleitoral adota a votação em cédulas de papel. "Nessas situações, os votos registrados na urna eletrônica defeituosa são recuperados pela junta eleitoral, por meio de um sistema da Justiça Eleitoral, para serem contabilizados com aqueles votos registrados em cédulas de papel", informa o TRE-RJ.

Urna tem mecanismos de auditoria e segurança

Veja abaixo os mecanismos de auditoria e segurança listados pelo TSE:

  • Sistema de controle de versões: O código-fonte do software é mantido sob moderno sistema de controle de versões, pelo qual é possível verificar cada modificação feita no código, quem e quando a fez.
  • Revisão de código por pares: associada à ferramenta de controle de versões, para que um programador integre um código em definitivo no software é necessário que outro programador revise e aprove a modificação.
  • Segregação de papéis: as equipes não possuem conhecimento sobre a totalidade do processo eleitoral.
  • Infraestrutura de assinatura do software: o software da urna é assinado com algoritmos redundantes, que envolvem uma autoridade certificadora do hardware (equipamento físico) da urna e uma infraestrutura de chaves usadas por um algoritmo criado e mantido por órgão especializado do Poder Executivo. Cada uma dessas duas estruturas é de responsabilidade de equipes diferentes. Nesse sentido, mesmo tendo o controle do código-fonte, a equipe de desenvolvimento não é capaz de gerar uma versão do software que funcione na urna em modo oficial.
  • Teste frequente do software por diferentes equipes: O software da urna é submetido a exaustiva rotina de testes, em todas as suas etapas de desenvolvimento. Há testes feitos pelos testadores lotados na equipe de desenvolvimento e também por outra equipe do TSE que testa o software da urna integrado aos demais sistemas envolvidos no processo eleitoral. Há também equipes de todos os Tribunais Regionais Eleitorais que testam o software frequentemente. Dessa forma, há muitas pessoas capazes de identificar comportamentos anômalos no software da urna.
  • Teste Público de Segurança: No ano anterior ao da realização das eleições, o TSE convida toda a comunidade a testar o software da urna e verificar a efetividade dos seus mecanismos de segurança. Também é uma oportunidade para que qualquer cidadão verifique como o software funciona, contando com amplo acesso ao seu código-fonte. Quando são identificadas vulnerabilidades ou oportunidades de melhoria, aqueles que apresentaram as contribuições são novamente convidados ao TSE para verificarem as modificações no software.
  • Abertura para entidades parceiras: Há 12 anos o TSE sistematicamente celebra convênios com entidades parceiras, notoriamente reconhecidas pela excelência técnica na área de tecnologia da informação. Entre 2009 e 2019 o parceiro foi o Centro de Tecnologia da Informação Renato Archer (CTI), que é um centro de pesquisas ligado ao Ministério da Ciência, Tecnologia e Inovações. E em 2021 o TSE está firmando acordo com o Laboratório de Arquitetura de Redes de Computadores (Larc) da Universidade de São Paulo (USP). Essas parcerias têm por objetivo uma ampla revisão do software e dos seus mecanismos de segurança, assim como a proposição de evoluções nos sistemas.
  • Seis meses de abertura dos sistemas: Nos seis meses que antecedem as eleições ordinárias, os sistemas eleitorais são amplamente abertos para auditoria nas dependências do TSE. Diversas entidades públicas e privadas podem se credenciar para ter acesso integral aos sistemas, inspecionar o seu código-fonte e verificar o seu comportamento. Os auditores também têm acesso à equipe de desenvolvimento para que sejam sanadas quaisquer dúvidas sobre o software.
  • Cerimônia Pública de Lacração e Assinatura Digital dos Sistemas Eleitorais: Um mês antes da realização das eleições ordinárias, o conjunto de software que será utilizado no processo eleitoral é submetido à Lacração. Trata-se de cerimônia pública, com todos os seus procedimentos verificáveis e auditáveis, na qual o software é copiado do sistema de controle de versões, compilado, assinado digitalmente e empacotado para distribuição aos TREs. Ao final da Lacração o software é imediatamente submetido a testes que validem o seu correto funcionamento, além da possibilidade de verificação de que os binários compilados derivam do código-fonte aberto para inspeção. Após a Lacração, só é possível a alteração do software mediante nova cerimônia pública. O Ministério Público e a Polícia Federal são instituições capacitadas para auditar a Cerimônia e podem também assinar digitalmente todo o software produzido.
  • Teste de integridade (votação paralela). No dia do pleito, um conjunto aleatório de urnas é submetido a um teste de votação monitorada, com o objetivo de verificar se o comportamento da urna se mantém íntegro, ou seja, se os votos nela apurados correspondem àqueles que nela foram depositados. Esse teste é feito em cerimônia pública com ampla fiscalização.
  • Auditoria externa independente. Todo o software da urna pode ser auditado de forma independente durante o seu desenvolvimento e no seu ambiente de uso. Além dos eventos citados anteriormente, os auditores podem verificar hash e assinatura digital dos arquivos por meios próprios, diretamente sobre as mídias das urnas ou as unidades de armazenamento dos computadores desktop. O Ministério Público e a Polícia Federal são instituições capacitadas a auditar o software e o seu processo de desenvolvimento, cabendo a elas inclusive a apuração de responsabilidades criminais. /COM SAMUEL LIMA E VICTOR PINHEIRO

Atualizada em 23/11/2021 com nota do TSE.

O presidente Jair Bolsonaro ironizou a suspensão das prévias do PSDB fazendo uma comparação equivocada com o voto em urnas eletrônicas. Tucanos escolheriam no domingo, 21, o próximo candidato do partido à Presidência nas eleições 2022. Filiados votariam de maneira remota por meio de um aplicativo de celular, mas a plataforma falhou. 

Não há comparação possível entre o voto em urnas eletrônicas e em aplicativos de votação. São sistemas totalmente diferentes. Em diversas oportunidades, Bolsonaro já atacou o modelo adotado pelo Tribunal Superior Eleitoral (TSE) e denunciou fraudes inexistentes. 

Em conversa com simpatizantes em Brasília nesta segunda-feira, 22, o presidente respondeu a uma menção ao governador de São Paulo, João Doria (PSDB), dizendo o seguinte: "Já viu a confusão ontem? Eu não vou falar nisso porque não tenho nada a ver com outro partido né, mas deu uma confusão em São Paulo ontem. É o tal do voto eletrônico aí".

Urna eletrônica durante 6º Teste Público de Segurança, em Brasília, 22 de novembro de 2021. Foto: EVARISTO SA / AFP

Filiados ao PSDB relataram dificuldades em votar por meio de um app desenvolvido para o partido pela Fundação de Apoio da Universidade Federal do Rio Grande do Sul (FAURGS). A instituição informou que ainda investiga as causas da instabilidade -- o Estadão apurou que apenas 8% dos mais de 44 mil tucanos que se cadastraram conseguiram votar. Segundo a Faurgs, a segurança do app não foi afetada e o processo de reparação está sendo acompanhado por técnicos que representam as três chapas candidatas -- os governadores João Doria (SP) e Eduardo Leite (RS), além do ex-prefeito de Manaus Arthur Virgílio Neto.

Em nota, o TSE afirmou que não poderia comentar sobre as diferenças entre a urna eletrônica e o sistema do PSDB, porque não sabe o tipo de tecnologia usada pelo partido. "Podemos afirmar, contudo, de forma geral que um sistema de votação online está sujeito a dificuldades de acesso provocadas por instabilidades de rede ou indisponibilidade dos servidores", informou o Tribunal.

"A urna eletrônica, por outro lado, é um dispositivo projetado para a votação off-line", afirma a nota. "A urna não é conectada à rede em momento algum e o seu funcionamento depende apenas da energia elétrica (rede elétrica ou bateria). Dessa forma, a votação pela urna fica disponível durante todo o dia, sem intercorrências. Mesmo que uma urna apresente defeito, ela pode ser rapidamente substituída por um equipamento reserva, com total preservação dos votos previamente depositados."

O TSE ressaltou ainda que o PSDB pediu emprestadas seis urnas eletrônicas para realização das prévias. "Nas urnas disponibilizadas pela Justiça Eleitoral para colher o voto de quem estava no Centro de Convenções o processo funcionou perfeitamente", afirmou o Tribunal.

Urna não é conectada à internet

Comparar o app do PSDB com as urnas eletrônicas é enganoso por vários motivos. Os equipamentos de votação não são conectados à internet em nenhum momento durante as eleições. O sistema operacional das urnas é desenvolvido pela Justiça Eleitoral e não inclui mecanismos necessários para estabelecer conexão com a internet, bluetooth ou rede de acesso remoto. O software só funciona nos equipamentos oficialmente validados.

O único cabo que o equipamento possui é o de energia. Ao final da votação, o flash da urna (uma espécie de cartão de memória) é levado para um sistema próprio que envia esses dados para o Tribunal Superior Eleitoral (TSE) usando criptografia, por meio de uma rede privada da Justiça Eleitoral e com uma série de camadas protetoras que garantem a sua integridade. Os resultados registrados em cada equipamento também são impressos nos boletins de urna da respectiva seção eleitoral imediatamente após o término da votação, o que segundo o TSE torna o processo auditável. 

Desde a adoção do voto eletrônico em 1996, nunca foi comprovada a ocorrência de invasão ao sistema das urnas eletrônicas ou fraude no processo eleitoral brasileiro. A falta de conexão à internet impossibilita ataques externos por redes. Ou seja, para entrar nos equipamentos de votação seria preciso invadi-los um a um; mesmo assim, eles têm camadas de segurança extras para impedir ataques. 

Procedimentos de contingência em caso de falha de urnas

A Justiça Eleitoral conta com vários mecanismos de contingência previstos em lei caso uma urna quebre ou falhe no dia da votação. Nas últimas eleições, em novembro de 2020, 3.381 urnas foram substituídas, o que representa 0,75% do total de 400 mil equipamentos usados. 

O Tribunal Regional Eleitoral do Rio de Janeiro (TRE-RJ) explica neste texto os procedimentos de contingência. O primeiro é um passo simples, que fazemos com aparelhos eletrônicos em nossa casa: desligar e religar a urna. O presidente da seção eleitoral precisa fazer isso na frente dos fiscais eleitorais. "As informações já gravadas na mídia de votação da urna, ou seja, os votos computados e os eleitores que já votaram, não são perdidas", afirma o secretário de Tecnologia da Informação do TRE-RJ, Michel Kovacs. 

Se isso não der certo, os mesários devem pedir ajuda aos técnicos do TRE. É possível que a memória externa onde ficam gravados os votos esteja inserida incorretamente; neste caso, o técnico reposiciona o dispositivo e recoloca os lacres da urna. Esse procedimento deve ter as assinaturas do juiz eleitoral, de integrantes do Ministério Público e da Ordem dos Advogados do Brasil, de fiscais dos partidos políticos e das coligações presentes na cerimônia de preparação dos equipamentos de votação.

Também é possível que o técnico descubra que a memória externa da urna está danificada. Nesse caso, é preciso substituí-la por uma memória de contingência. Mesmo assim, os votos não são perdidos, porque essas informações ficam gravadas na memória interna da urna. O cartão defeituoso não é simplesmente descartado: é colocado em um envelope, lacrado e remetido à Justiça Eleitoral.

Se nenhum desses procedimentos funcionar, é preciso substituir a urna. A Justiça Eleitoral deixa reservados equipamentos de contingência no dia da votação. A urna extra não tem nenhuma informação gravada; para usá-la como substituta, basta inserir a memória externa da urna que foi retirada.  "Todas as informações de eleitoras e eleitores que votaram e estavam na memória da urna que apresentou falha são gravadas na urna de contingência, que passa a funcionar de forma idêntica à urna da seção", explica Kovacs. 

Em último caso, a Justiça Eleitoral adota a votação em cédulas de papel. "Nessas situações, os votos registrados na urna eletrônica defeituosa são recuperados pela junta eleitoral, por meio de um sistema da Justiça Eleitoral, para serem contabilizados com aqueles votos registrados em cédulas de papel", informa o TRE-RJ.

Urna tem mecanismos de auditoria e segurança

Veja abaixo os mecanismos de auditoria e segurança listados pelo TSE:

  • Sistema de controle de versões: O código-fonte do software é mantido sob moderno sistema de controle de versões, pelo qual é possível verificar cada modificação feita no código, quem e quando a fez.
  • Revisão de código por pares: associada à ferramenta de controle de versões, para que um programador integre um código em definitivo no software é necessário que outro programador revise e aprove a modificação.
  • Segregação de papéis: as equipes não possuem conhecimento sobre a totalidade do processo eleitoral.
  • Infraestrutura de assinatura do software: o software da urna é assinado com algoritmos redundantes, que envolvem uma autoridade certificadora do hardware (equipamento físico) da urna e uma infraestrutura de chaves usadas por um algoritmo criado e mantido por órgão especializado do Poder Executivo. Cada uma dessas duas estruturas é de responsabilidade de equipes diferentes. Nesse sentido, mesmo tendo o controle do código-fonte, a equipe de desenvolvimento não é capaz de gerar uma versão do software que funcione na urna em modo oficial.
  • Teste frequente do software por diferentes equipes: O software da urna é submetido a exaustiva rotina de testes, em todas as suas etapas de desenvolvimento. Há testes feitos pelos testadores lotados na equipe de desenvolvimento e também por outra equipe do TSE que testa o software da urna integrado aos demais sistemas envolvidos no processo eleitoral. Há também equipes de todos os Tribunais Regionais Eleitorais que testam o software frequentemente. Dessa forma, há muitas pessoas capazes de identificar comportamentos anômalos no software da urna.
  • Teste Público de Segurança: No ano anterior ao da realização das eleições, o TSE convida toda a comunidade a testar o software da urna e verificar a efetividade dos seus mecanismos de segurança. Também é uma oportunidade para que qualquer cidadão verifique como o software funciona, contando com amplo acesso ao seu código-fonte. Quando são identificadas vulnerabilidades ou oportunidades de melhoria, aqueles que apresentaram as contribuições são novamente convidados ao TSE para verificarem as modificações no software.
  • Abertura para entidades parceiras: Há 12 anos o TSE sistematicamente celebra convênios com entidades parceiras, notoriamente reconhecidas pela excelência técnica na área de tecnologia da informação. Entre 2009 e 2019 o parceiro foi o Centro de Tecnologia da Informação Renato Archer (CTI), que é um centro de pesquisas ligado ao Ministério da Ciência, Tecnologia e Inovações. E em 2021 o TSE está firmando acordo com o Laboratório de Arquitetura de Redes de Computadores (Larc) da Universidade de São Paulo (USP). Essas parcerias têm por objetivo uma ampla revisão do software e dos seus mecanismos de segurança, assim como a proposição de evoluções nos sistemas.
  • Seis meses de abertura dos sistemas: Nos seis meses que antecedem as eleições ordinárias, os sistemas eleitorais são amplamente abertos para auditoria nas dependências do TSE. Diversas entidades públicas e privadas podem se credenciar para ter acesso integral aos sistemas, inspecionar o seu código-fonte e verificar o seu comportamento. Os auditores também têm acesso à equipe de desenvolvimento para que sejam sanadas quaisquer dúvidas sobre o software.
  • Cerimônia Pública de Lacração e Assinatura Digital dos Sistemas Eleitorais: Um mês antes da realização das eleições ordinárias, o conjunto de software que será utilizado no processo eleitoral é submetido à Lacração. Trata-se de cerimônia pública, com todos os seus procedimentos verificáveis e auditáveis, na qual o software é copiado do sistema de controle de versões, compilado, assinado digitalmente e empacotado para distribuição aos TREs. Ao final da Lacração o software é imediatamente submetido a testes que validem o seu correto funcionamento, além da possibilidade de verificação de que os binários compilados derivam do código-fonte aberto para inspeção. Após a Lacração, só é possível a alteração do software mediante nova cerimônia pública. O Ministério Público e a Polícia Federal são instituições capacitadas para auditar a Cerimônia e podem também assinar digitalmente todo o software produzido.
  • Teste de integridade (votação paralela). No dia do pleito, um conjunto aleatório de urnas é submetido a um teste de votação monitorada, com o objetivo de verificar se o comportamento da urna se mantém íntegro, ou seja, se os votos nela apurados correspondem àqueles que nela foram depositados. Esse teste é feito em cerimônia pública com ampla fiscalização.
  • Auditoria externa independente. Todo o software da urna pode ser auditado de forma independente durante o seu desenvolvimento e no seu ambiente de uso. Além dos eventos citados anteriormente, os auditores podem verificar hash e assinatura digital dos arquivos por meios próprios, diretamente sobre as mídias das urnas ou as unidades de armazenamento dos computadores desktop. O Ministério Público e a Polícia Federal são instituições capacitadas a auditar o software e o seu processo de desenvolvimento, cabendo a elas inclusive a apuração de responsabilidades criminais. /COM SAMUEL LIMA E VICTOR PINHEIRO

Atualizamos nossa política de cookies

Ao utilizar nossos serviços, você aceita a política de monitoramento de cookies.