Não é apenas um “computador”! As urnas eletrônicas, símbolo de modernização e segurança do processo eleitoral no Brasil, completam 30 anos em 2026. Desde sua implementação, a tecnologia revolucionou as eleições ao eliminar riscos de fraude e trazer mais confiança aos eleitores.

O uso das urnas eletrônicas foi uma resposta direta às fraudes que marcavam o sistema eleitoral brasileiro desde os tempos do Império. Antes da informatização, irregularidades eram frequentes em diversas etapas do processo, comprometendo a credibilidade dos resultados.

A primeira eleição nacional com o uso das urnas eletrônicas ocorreu em 1996, marcando o início de uma nova era. A frase “Aperte o verde e confirme!” tornou-se icônica, simbolizando a simplicidade e a eficiência do sistema. Desde então, as urnas têm garantido agilidade na apuração e segurança contra manipulações.

Ao longo de três décadas, o sistema eletrônico brasileiro tem sido reconhecido internacionalmente por sua confiabilidade, sendo auditado e testado em diversas ocasiões para assegurar sua integridade.

Em 2001, o TSE firmou uma parceria com a Universidade de São Paulo, (USP) por meio de um convênio técnico com o Laboratório de Arquitetura e Redes de Computadores (Larc) da Escola Politécnica (Poli). Essa colaboração tem como foco três pilares fundamentais: pesquisa tecnológica, desenvolvimento de inovações voltadas para o futuro e auditoria de segurança.

Para entender melhor o que torna o sistema de votação tão resistente a ataques cibernéticos, o Futurecom Digital conversou com o professor do Laboratório de Arquitetura e Redes de Computadores (Larc) do Departamento de Engenharia de Computação e Sistemas Digitais da Escola Politécnica (Poli) da USP, Marcos Simplicio.  

Ele explica que para se obter essa robustez tecnológica  é necessário uma combinação de fatores. “Do ponto de vista técnico, a principal defesa é que as máquinas, especialmente os modelos mais recentes, como o de 2015, utilizam um hardware criptográfico, chamado de módulo de segurança embarcado (MSI). Essencialmente, esse módulo impede que qualquer coisa seja executada dentro da urna que não tenha sido assinada digitalmente pelo TSE”, afirma Simplicio.

Simplicio detalha que, mesmo com acesso físico ao equipamento, como à memória ou ao disco, qualquer tentativa de inserir algo diferente do usual é bloqueada. “A urna verifica que aquilo é estranho, que não tem uma assinatura digital, e simplesmente não roda. Essa é a principal barreira técnica.”

Outro ponto destacado é o fato de as urnas não estarem conectadas à internet, o que elimina a possibilidade de ataques remotos. “Isso evita que alguém consiga bisbilhotar o sistema em busca de vulnerabilidades. Mesmo que alguém ultrapassasse essa barreira e tivesse acesso a uma urna que vai para votação, isso dificultaria bastante qualquer tipo de ataque.”

Evoluções técnicas na urna eletrônica no processo eleitoral

A cada eleição, a urna eletrônica e o processo eletrônico de votação recebem melhorias, num processo dinâmico e contínuo de evolução. Confira!

  • 1996
    • Primeiro modelo: UE96.
    • Teclado numérico semelhante ao de um telefone, com números em braile.
    • Impressora integrada.
    • Utilização por cerca de 30% do eleitorado nacional.
  • 1998
    • Modelo UE98: primeira urna a exibir fotos de todos os candidatos.
    • Impressão de votos descontinuada.
    • Instituição da fiscalização dos dados inseridos nas urnas.
    • Utilização por cerca de 60% do eleitorado nacional.
  • 2000
    • Modelo UE2000: saída de áudio para fones de ouvido e teclado com sensibilidade tátil e audível.
    • Primeira eleição 100% eletrônica no Brasil.
    • Procedimentos para substituição de urnas com mau funcionamento.
  • 2002
    • Modelo UE2002: módulo de impressão de votos externo.
    • Introdução de cerimônias públicas de lacração de sistemas e fiscalização amostral.
    • Implementação da Votação Paralela (Teste de Integridade).
  • 2004
    • Modelo UE2004: introdução do Registro Digital do Voto (RDV).
    • Códigos-fonte abertos para auditoria externa.
  • 2006
    • Modelo UE2006: inclusão de leitores de impressão biométrica.
    • Início dos testes de identificação biométrica.
  • 2008
    • Modelo UE2008: uso do sistema operacional Uenux, baseado em Linux.
    • Teste piloto de identificação biométrica em três municípios.
    • Publicação de boletins de urna na internet.
  • 2010
    • Modelos UE2009 e UE2010: dispositivos de segurança em hardware e substituição de disquetes por memórias USB.
    • Primeiro Teste Público de Segurança (TPS).
  • 2012
    • Modelo UE2011: melhorias no leitor biométrico.
    • Segunda edição do Teste Público de Segurança (TPS).
  • 2014
    • Melhorias no sistema operacional Uenux para identificação biométrica.
  • 2016
    • Melhorias no tratamento de criptografia no Uenux.
    • Inclusão de QR Codes nos Boletins de Urna (BUs) e lançamento do aplicativo Boletim na Mão.
    • Terceira edição do Teste Público de Segurança (TPS).
  • 2018
    • Quarta edição do Teste Público de Segurança (TPS).
    • Auditoria de funcionamento das urnas no dia da eleição.
  • 2020
    • Quinta edição do Teste Público de Segurança (TPS).
    • Eleições realizadas em meio à pandemia de COVID-19, com adiamento para novembro.
    • Inclusão de sintetizador de voz para reforçar acessibilidade.
  • 2022
    • Modelo UE2020: aumento de 18 vezes na capacidade de processamento e tela sensível ao toque no terminal do mesário.
    • Certificação do perímetro criptográfico do hardware.
    • Publicação de arquivos do RDV e logs das urnas na internet.
    • Inclusão de intérprete de Libras para acessibilidade.
  • 2024
    • Sétima edição do Teste Público de Segurança (TPS).
    • Aprimoramento do sintetizador de voz para maior naturalidade.
    • Simplificação da identificação do eleitor na urna.

Uso do sistema operacional próprio baseado em Linux

Desde 2008, as urnas eletrônicas brasileiras operam com um sistema baseado no Linux, uma plataforma de código aberto que facilita a auditoria e permite ajustes específicos para atender às necessidades do processo eleitoral. Desenvolvido pela equipe técnica do Tribunal Superior Eleitoral (TSE), o sistema recebeu o nome de Uenux (Linux na urna eletrônica) e foi configurado exclusivamente para o hardware das urnas, eliminando suporte a dispositivos como teclado, mouse e rede, além de não possuir terminal de comandos.

Simplicio explica que o Linux sofreu algumas adaptações para o hardware específico das urnas. “Além de adaptações para segurança, o programa faz uma verificação de todo o software que sobe dentro da  e verifica assinatura. Se ela não tiver correta, ele simplesmente joga fora”, afirma o professor.

O Uenux é projetado para executar apenas as aplicações necessárias ao processo eleitoral, garantindo uniformidade em todos os modelos de urna, que utilizam a mesma versão do sistema. O kernel do Linux foi expandido pelo TSE para incluir mecanismos de validação de assinatura digital, assegurando que apenas drivers, bibliotecas e aplicativos assinados em cerimônia pública e com assinatura válida sejam executados. Caso contrário, o sistema suspende o funcionamento da urna.

O TSE reforça ainda que a segurança das urnas é reforçada por um sistema embarcado em hardware específico, que, em conjunto com um firmware, implementa funções criptográficas, como algoritmos e geração de chaves. Essa solução, baseada em certificação digital, garante que as urnas executem apenas softwares assinados digitalmente pelo TSE e que o Uenux funcione exclusivamente em equipamentos da Justiça Eleitoral.

Protocolo de segurança para garantir integridade do processo eleitoral

Segundo o TSE, as urnas eletrônicas brasileiras possuem cerca de 30 camadas de segurança

As urnas eletrônicas brasileiras operam sob um rigoroso protocolo de segurança desde o momento em que são ligadas. Inicialmente, apenas o hardware de segurança e a BIOS são ativados.

De acordo com o TSE, a sistema realiza uma verificação das assinaturas digitais da BIOS, do bootloader e do sistema operacional. Na sequência, é feito um teste criptográfico entre o sistema e o hardware. Caso todas as validações sejam aprovadas, a urna é ativada; caso contrário, o equipamento é automaticamente desligado.

Esse sistema de segurança é respaldado pela Autoridade Certificadora da Justiça Eleitoral, instalada em uma sala-cofre do TSE. A entidade já emitiu mais de 4 milhões de certificados digitais, que garantem a autenticidade e a confiabilidade das urnas. A estrutura dos certificados assegura a separação de funções entre as equipes e as etapas de produção e desenvolvimento, protegendo a integridade tanto nos testes simulados quanto nas eleições oficiais.

“A proteção de hardware segue um princípio semelhante ao dos smartcards utilizados em cartões de crédito. Esses dispositivos tornaram a clonagem de cartões praticamente inviável devido à presença de um chip inteligente (smart card) que incorpora diversas camadas de segurança. Esse hardware é projetado com múltiplas proteções integradas, como criptografia avançada, barreiras físicas contra manipulação e mecanismos que dificultam a extração de dados sensíveis. Assim, a segurança é garantida tanto no armazenamento quanto no processamento das informações, tornando o sistema altamente resistente a tentativas de fraude ou clonagem”, explica Simplicio.

Ele afirma que, em breve, o TSE deve lançar um novo projeto voltado para abordar a segurança das urnas eletrônicas. A previsão é que esse projeto seja divulgado ainda este ano.

Voto eletrônico é adotado em 34 países

Um levantamento do Instituto Internacional para a Democracia e Assistência Eleitoral (International IDEA) revela que pelo menos 34 países utilizam ou já utilizaram sistemas eletrônicos de votação em processos oficiais, como eleições nacionais, regionais ou consultas específicas.

A International IDEA, organização intergovernamental dedicada à promoção da democracia, conta com parceiros como o Programa das Nações Unidas para o Desenvolvimento (UNDP) e o Conselho Europeu. O Brasil tornou-se membro da entidade em 2016, por meio de um acordo firmado entre o TSE e o Ministério das Relações Exteriores (MRE).

O uso de sistemas eletrônicos de votação varia conforme a legislação de cada país, abrangendo diferentes formatos e níveis de aplicação. Entre as nações que já adotaram a tecnologia estão Albânia, Argentina, Austrália, Bélgica, Brasil, Canadá, Coreia do Sul, Estados Unidos, Estônia, França, Índia, México, Paraguai, Peru, Suíça, Venezuela, entre outras.

De acordo com o International IDEA, 17 países utilizam urnas eletrônicas do tipo gravação direta em eleições gerais, como pleitos presidenciais, parlamentares ou referendos. O Brasil integra esse grupo ao lado de nações como Índia, França e Peru. Nessas máquinas, o voto é digitado e registrado digitalmente. Em alguns casos, há sistemas híbridos que também imprimem um comprovante físico do voto.

No Brasil, a impressão do voto foi utilizada nas eleições de 1996 e 2002, mas o processo foi descontinuado devido à alta incidência de falhas técnicas associadas ao mecanismo de impressão. A decisão reforça a busca por maior eficiência e segurança no sistema eleitoral eletrônico do país.

Os três grandes grupos técnicos de votação utilizados no mundo, segundo Marcos Simplicio:

  1. Votação Eletrônica Direta (DRE – Direct Recording Electronic):
    • “Um é o estilo que o Brasil adota, que é a DRE, Direct Recording Electronic. Então você simplesmente salva a versão digital e é isso. É a versão digital que você tem, que dá menos visibilidade do que está sendo salvo.”
    • Esse modelo é amplamente utilizado no Brasil, onde o voto é registrado diretamente em formato digital, sem uma trilha de auditoria individual em papel.
  2. Votação Eletrônica com Trilha de Auditoria em Papel:
    • Tem a versão em que você faz a votação no digital e tem alguma outra trilha de auditoria independente, que é em papel, de alguma forma. Argentina, Índia, Venezuela, por exemplo, têm essa trilha em papel para você conferir depois.”
    • Nesse modelo, o voto é registrado digitalmente, mas também é gerada uma versão em papel que pode ser usada para auditorias.
    • “O que acontece se não bate o papel com o digital? Você fica com o papel, que é mais fácil de manipular, ou com o digital, que não tem o papel. Ou se invalida aquela urna, o que também não é ideal.”
  3. Verificabilidade Fim a Fim (E2E – End-to-End Verifiability):
    • “Essa é um pouco menos comum no mundo. É mais vista no cenário de votação online e é conhecida como verificabilidade fim a fim. Você recebe um dado que pode verificar depois que aquele seu voto individual foi registrado de fato.”
    • Esse modelo permite que o eleitor acompanhe se o seu voto foi registrado corretamente, oferecendo uma trilha de auditoria adicional.

Vantagens e desvantagens de cada modelo:

  • DRE (Brasil):
    • “A puramente eletrônica tem muito de transparência. Como é que eu sei que a urna registrou o meu voto? Então tem muito de confiança de que a urna está fazendo o registro correto.”
    • A segurança depende de mecanismos como assinaturas digitais e auditorias do software oficial.
  • Trilha em Papel:
    • “Dá um pouco mais de materialidade para o eleitor, mas também tem problemas. O papel é mais fácil de manipular, e se houver divergência entre o papel e o digital, pode gerar complicações.”
  • Verificabilidade Fim a Fim:
    • “É uma coisa que a gente tem discutido bastante com o TSE. É para dar uma trilha de auditoria adicional, mas também não é perfeita.”

Segundo o professor, os três modelos refletem diferentes abordagens para equilibrar segurança, transparência e praticidade no processo de votação.

As barreiras de segurança do sistema eletrônico das urnas

De acordo com o TSE, as urnas eletrônicas brasileiras possuem cerca de 30 camadas de segurança que, em conjunto, tornam praticamente impossível qualquer tentativa de violação. Essas barreiras garantem que qualquer ataque ao sistema resulte no travamento imediato do equipamento, impedindo a geração de resultados válidos.

Para alterar informações na urna, um invasor precisaria superar todas essas camadas de proteção de forma simultânea, durante o curto período de votação. Essa tarefa é considerada inviável, já que, mesmo que uma barreira fosse ultrapassada, o sistema acionaria um efeito dominó, travando a urna e invalidando qualquer tentativa de manipulação.

Segundo o TRE-SP, a quantidade de camadas de segurança pode variar conforme o tipo de abordagem, incluindo não apenas barreiras tecnológicas, mas também procedimentos e a segregação de funções dentro da Justiça Eleitoral. Isso significa que nem todas as camadas são exclusivamente digitais, mas integram um sistema robusto que combina tecnologia e protocolos operacionais para garantir a integridade do processo eleitoral.

Auditoria e transparência no processo eleitoral

O sistema de votação brasileiro disponibiliza diversas possibilidades de auditoria e fiscalização, abrangendo as etapas anteriores, durante e posteriores às eleições. Esses procedimentos são abertos não apenas a órgãos oficiais, mas também à participação de qualquer cidadão interessado em acompanhar as etapas de conferência.

Antes da eleição

  • Abertura do código-fonte: Disponibilização do código para análise.
  • Teste Público de Segurança (TPS): Avaliação da robustez do sistema.
  • Teste de confirmação do TPS: Verificação dos resultados do TPS.
  • Cerimônia de assinatura digital e lacração dos sistemas: Garantia de integridade dos softwares.
  • Cerimônia de geração de mídias: Criação dos dispositivos que serão usados nas urnas.
  • Cerimônia de preparação das urnas: Configuração e verificação dos equipamentos.
  • Verificação dos sistemas eleitorais: Conferência dos sistemas instalados no TSE e nos destinados à transmissão dos Boletins de Urna (BUs).

No dia da eleição

  • Teste de Integridade: Auditoria do funcionamento das urnas eletrônicas.
  • Teste de autenticidade dos sistemas eleitorais: Confirmação da legitimidade dos softwares.
  • Zerésima: Impressão que comprova a ausência de votos na urna antes do início da votação.
  • Registro Digital do Voto (RDV): Garantia de que os votos são registrados de forma segura.
  • Boletim de Urna (BU): Documento com o resultado da votação em cada urna.
  • Boletim na Mão: Disponibilização do BU para conferência pelos eleitores.

Depois da eleição

  • Publicação de arquivos na internet: Divulgação de dados e relatórios para consulta pública.
  • Entrega dos dados, arquivos e relatórios: Encerramento do processo com a disponibilização oficial das informações.

Essas etapas reforçam a transparência e a confiabilidade do sistema eleitoral, permitindo que o processo seja auditado em todas as suas fases.