A integridade de uma eleição não se prova por declarações, mas com evidência reproduzível. O debate público brasileiro oscila, com frequência, entre dois extremos igualmente improdutivos: de um lado, a desconfiança retórica, e de outro, a confiança institucional irrestrita. Nenhum dos dois substitui o que sistemas críticos exigem: método, segregação de funções e auditoria independente fim a fim. O ponto de partida não se encontra no campo político. Pertence ao jurídico e ao técnico.

Tabela 1 - Evidência Física do Voto nos 30 Países Mais Populosos do Mundo (População 2022)

O Direito Legal de Fiscalizar Não é Decorativo

A Lei nº 9.504/1997 mostra-se inequívoca: os partidos podem fiscalizar todas as fases do processo de votação e apuração, inclusive o processamento eletrônico da totalização (art. 66). Mais do que isso, podem constituir sistema próprio de fiscalização e totalização, inclusive mediante contratação de empresas especializadas em auditoria de sistemas. Esse direito não carrega caráter simbólico. Reveste-se de prerrogativa operacional.

A legislação autoriza não apenas acompanhar, mas estruturar fiscalização técnica independente, com produção de evidência preservável e utilizável juridicamente. Fiscalizar não equivale a assistir. Requer:

• acessar dados

• reprocessar informações

• validar resultados

• documentar divergências

• preservar a cadeia de custódia.

Sem esses elementos, o direito legal existe apenas no papel.

Sistema Crítico Não Pode Depender de Autocontrole

Em engenharia de sistemas críticos, vigora uma regra elementar: quem desenvolve não audita, quem opera não certifica, quem administra não valida o próprio resultado. Essa regra atende pelo nome de segregação de funções. Sistemas eleitorais figuram entre os sistemas críticos de mais elevada sensibilidade institucional. Funcionam sob pressão política, alta exposição pública, risco reputacional sistêmico e impacto direto na legitimidade democrática.

A literatura internacional em segurança da informação aponta que ameaças internas (insider threats) respondem por quase 70% dos incidentes de segurança em grandes organizações. O risco não pressupõe necessariamente má-fé, pode ter origem em falha humana, conflito de interesse, erro de processo ou abuso de credencial. Quando o modelo depende exclusivamente de controles internos e testes organizados pelo próprio responsável pelo sistema, torna-se insuficiente, de acordo com o conhecimento consolidado. Autocontrole não substitui a auditoria independente, em nenhum país.

Testes Públicos Não Substituem Auditoria Fim a Fim

Eventos como os Testes Públicos de Segurança (TPS) do TSE mostram-se relevantes, mas apresentam escopo delimitado: avaliam cenários de ataque sob regras predefinidas e não substituem uma auditoria estruturada, que requer:

• matriz de riscos

• plano de evidências

• cadeia de custódia documental e independente

• reprocessamento externo

• contraditório técnico pleno.

A eleição configura um processo em camadas: desenvolvimento e build dos sistemas, geração de mídias e carga, votação, transmissão, totalização, publicação, e consolidação pós-eleitoral. A auditoria controlada pela entidade auditada revela-se insuficiente para um sistema crítico. A pergunta correta não indaga se “houve ataque”. Interroga se existem mecanismos externos que permitam demonstrar, com evidência independente, que o resultado anunciado corresponde exatamente ao que ocorreu.

Congelamento e Certificação Prévia: A Primeira Linha de Controle

Antes de qualquer teste ou auditoria de resultado, impõe-se uma condição lógica anterior: saber qual programa funcionou efetivamente nas urnas no dia da eleição. Isso exige dois mecanismos encadeados. Primeiro, o congelamento do código, que é o fechamento formal e irrevogável da versão dos programas que entrarão em operação, com registro de hash criptográfico verificável por terceiros, com antecedência ao início da carga das mídias nas urnas. Segundo, a certificação prévia independente, a validação, por entidade externa ao TSE, de que o programa congelado corresponde ao que se auditou, ao que se carregou nas urnas e ao que operou no dia do pleito.

Sem congelamento formal e certificação prévia independente, toda auditoria posterior opera sobre uma premissa não verificada: a de que o sistema executado correspondia ao sistema declarado. Em engenharia de software, essa premissa não se assume, demonstra-se. A cadeia de custódia do software eleitoral configura, portanto, condição de validade de qualquer auditoria subsequente. Não ocupa posição de etapa opcional. Apresenta-se como pré-requisito lógico e técnico de todo o processo de verificação.

Risco Sistêmico Reconhecido por Órgão de Controle

O Tribunal de Contas da União, no Relatório TC 014.328/2021-6, identificou riscos estruturais relevantes, incluindo fragilidades de governança e auditabilidade no sistema eleitoral. Independentemente de interpretação política, a identificação formal de riscos sistêmicos por órgão de controle externo impõe uma conclusão metodológica direta: sistemas críticos com risco identificado exigem controle independente proporcional ao risco. Não se trata de atacar o sistema eleitoral. Mostra-se necessário mitigar vulnerabilidades conhecidas.

O Isolamento Internacional do Modelo Brasileiro

Persiste uma pergunta empírica que raramente ingressa no debate doméstico: entre as maiores democracias do mundo, quantas adotam sistema de votação eletrônica sem qualquer comprovante físico verificável pelo eleitor? A resposta, com base nos dados do ICTs in Elections Database do International IDEA, apresenta-se direta e pouco confortável. Dos 30 países mais populosos do mundo, que somam aproximadamente 6,1 bilhões de pessoas, representando cerca de 76% da população global, 93,7% habitam países que utilizam cédula em papel ou alguma forma de VVPAT (Voter-Verified Paper Audit Trail): registro físico do voto, impresso pela máquina, verificável pelo eleitor e preservado para auditoria independente. Apenas dois países nesse grupo operam exclusivamente com urna eletrônica sem comprovante impresso: Brasil (7º lugar) e Bangladesh (8º lugar). Juntos, respondem por 6,3% da população total do grupo.

Entre os dez países mais populosos do mundo, o Brasil ocupa posição singular nessa condição. Índia, China, Estados Unidos, Indonésia, Paquistão, Nigéria, Rússia e México, todos adotaram alguma forma de evidência física verificável pelo eleitor e por auditores independentes. A distinção não remete a tecnologia mais ou menos avançada. Reside numa questão de metodologia de verificação. Países com sistemas eleitorais reconhecidos internacionalmente como robustos, Alemanha, Japão, Reino Unido, Coreia do Sul,Taiwan recorrem à cédula em papel precisamente porque ela produz evidência física independente do sistema eletrônico que a processa.

O consenso técnico internacional não admite ambiguidade: a rastreabilidade física do voto configura componente de integridade, não resíduo de atraso tecnológico.

Auditoria Pós-Eleitoral: A Pergunta Científica

Após a proclamação do resultado, existe uma única pergunta técnica relevante:

O número anunciado corresponde aos votos efetivamente registrados?

Diversas democracias respondem a essa pergunta por meio de auditorias pós-eleitorais baseadas em critérios estatísticos mensuráveis, como as Risk-Limiting Audits (RLAs). Instituições de referência como o MIT Election Data and Science Lab, a National Academies of Sciences, a Verified Voting Foundation e o International IDEA reconhecem tais auditorias como componente essencial de sistemas eleitorais robustos.

Auditar não representa ataque ao sistema eleitoral. Representa garantia de integridade dos resultados.

Sem material verificável independente, como trilhas auditáveis externas ou o comprovante físico de cada voto, a auditoria de resultado torna-se dependente do próprio sistema auditado, o que compromete sua eficácia.

Confiança Institucional se Constrói com Prova, Não com Declaração

Confiança pública não nasce de comunicados oficiais. Nasce de mecanismos verificáveis. Quando partidos estruturam auditoria independente, produzem três efeitos concretos: exercem direito legal expressamente previsto em lei, reduzem a assimetria informacional entre a Administração Eleitoral e os eleitores, candidatos e partidos, e elevam o padrão técnico do debate institucional.

Quando omitem essa iniciativa, abrem mão de produzir evidência própria e passam a depender exclusivamente da narrativa do administrador do sistema. Em ambiente polarizado, essa omissão não fortalece a confiança, ao contrário, fragiliza-a.

2026: Método ou Narrativa

As eleições de 2026 ocorrerão sob intenso escrutínio político e institucional. O debate não se resolverá por retórica. Será decidido pela presença, ou ausência, de governança formal, segregação clara de funções, congelamento e certificação prévia dos programas, auditoria independente fim a fim, evidência preservada com cadeia de custódia e capacidade técnica de reprocessamento externo.

O conhecimento técnico consolidado confirma que a auditoria independente não configura opinião, decorre logicamente de direito legal expresso e risco formalmente reconhecido. Ou o processo produz prova técnica independente, ou dependerá de confiança em um grupo restrito de servidores públicos, de modo unilateral. Os dados demonstram que a quase totalidade das maiores democracias do mundo adotaram o caminho técnicamente correto. O Brasil surge como exceção fora das melhores práticas.

Conclusão

Integridade eleitoral não se defende com fé institucional, nem se questiona com suspeita genérica. Defende-se com método, evidência, auditoria independente e governança transparente. O debate brasileiro precisa evoluir da narrativa para a técnica. E a técnica, em sistemas críticos, deve começar meses antes do dia da eleição, no momento em que os programas se congelam, se certificam e se entregam à fiscalização independente. Quando 93,7% da população dos 30 maiores países do mundo vivem sob sistemas com evidência física verificável, a pergunta relevante não indaga se o Brasil deveria convergir para esse padrão. Interroga-se por que ainda insiste no caminho errado.

Referências

Requisitos Essenciais para Garantir a Integridade dos Resultados Eleitorais

Esta bibliografia consolida fundamentos técnicos, estatísticos e normativos amplamente reconhecidos na literatura internacional sobre auditabilidade, verificabilidade e integridade eleitoral.

1. Comprovante em Papel do Voto (Cédula ou VVPAT)

• National Academies of Sciences, Engineering, and Medicine (2018). Securing the Vote: Protecting American Democracy. Washington, DC: The National Academies Press.

• Rivest, R. L., & Wack, J. (2006). On the Notion of Software Independence in Voting Systems. MIT & NIST.

• U.S. Election Assistance Commission (2021). Voluntary Voting System Guidelines (VVSG) 2.0.

• NIST (Auditability Working Group). Report of the Auditability Working Group.

• Mercuri, R. (2001). Testimony on electronic voting systems and voter-verifiable paper audit trails.

2. Verificação do Voto pelo Eleitor

• Lindeman, M., & Stark, P. B. (2012). A Gentle Introduction to Risk-Limiting Audits. IEEE Security & Privacy.

• Appel, A. W., & Stark, P. B. (2018). Evidence-Based Elections: Create a Meaningful Paper Trail, Then Audit. Georgetown Law Technology Review.

• Council of Europe (2017). Recommendation CM/Rec(2017)5 on standards for e-voting.

3. Contagem Pública dos Votos

• International IDEA. ICTs in Elections Database.

• International IDEA (2023). Use of E-Voting Around the World.

4. Auditoria Pós-Eleição (Recontagem de Papel / RLAs)

• MIT Election Data and Science Lab. (s.d.). Post-Election Audits. Este artigo/guia aborda em profundidade a teoria, os tipos e a prática de auditorias pós-eleitorais, incluindo RLAs, como complemento direto às referências de Stark, Lindeman, Goodman, e outros.

• Lindeman, M., & Stark, P. B. (2012). Risk-Limiting Audits: Theory and Practice.

• Goodman, S., et al. (2012). Risk-Limiting Post-Election Audits: Why and How.

• Stark, P. B. (2010). Super-Simple Simultaneous Single-Ballot Risk-Limiting Audits.

• National Academies (2018). Securing the Vote.