O TSE abriu nesta segunda-feira (1º) o Teste Público de Segurança (TPS), o Teste da Urna 2025. Esse teste é sempre apresentado pelo TSE como uma das principais vitrines da transparência do processo eleitoral brasileiro.
No entanto, ao comparar o teste e as práticas do TSE com as práticas de auditoria usadas em democracias consolidadas, surge uma pergunta incômoda — mas necessária: O Teste Público de Segurança (TPS) nas urnas do TSE realmente garante segurança também na apuração dos votos?
Ou ele se limita à fase de captação dos votos na urna eletrônica?
Nesta postagem externamos de forma clara e fundamentada O QUE O TSE TESTA (E O QUE NÃO TESTA), e também deixar claro porque a chamada “Sala de Vidro” do TSE NÃO É AUDITORIA TÉCNICA, e por fim, comparar o modelo de apuração de votos brasileiro com o de outros países realmente democráricos, mostrando o que eles fazem — e que o Brasil ainda não faz.
1. O QUE O TSE REALMENTE TESTA (E O QUE NÃO TESTA)
O Teste Público de Segurança da Urna (TPS) é um evento público no qual investigadores, especialistas externos e entidades fiscalizadoras podem tentar explorar vulnerabilidades de diversos sistemas que compõem a urna eletrônica.
O que o TPS realmente testa: Softwares (programas) internos da urna, firmware da urna (que inicia o sistema operacional da Urna), geração, carga e verificação de mídias, assinaturas digitais, cadeia de preparação das urnas, sistemas auxiliares de auditoria.
Esses testes são invasivos e legitimamente técnicos. É aqui que o Brasil se destaca internacionalmente: a captação do voto, isto é, o momento em que o eleitor vota, É AMPLAMENTE AUDITÁVEL.
MAS HÁ UM PROBLEMA: O TESTE PÚBLICO DO TSE NÃO TESTA A TOTALIZAÇÃO DOS VOTOS 🗳.
Não há testes de auditoria no SISTOT (Sistema de Totalização de Votos), nem acesso ao código executável do sistema de apuração, nem simulação de ataques aos servidores que recebem e consolidam os boletins de urna.
Isso significa que o teste público do TSE audita a coleta do voto — mas não a sua contagem central no TSE.
2. A “SALA DE VIDRO” DO TSE NÃO É AUDITORIA — É OBSERVAÇÃO TÃO SOMENTE.
O TSE oferece às entidades fiscalizadoras a chamada Sala de Vidro, onde é possível: acompanhar visualmente a recepção dos arquivos vindos das urnas; observar operações de servidores; visualizar logs e telas de monitoramento; acompanhar processos administrativos da totalização.
Apesar do nome, a Sala de Vidro não permite auditoria técnica, pois nela NÃO é possível: testar vulnerabilidades nos servidores; realizar varreduras forenses; validar o código executável do totalizador; simular ataques ou manipulações; examinar a base de dados da totalização.
Ou seja, é um mecanismo de transparência procedimental, não de verificação técnica. A diferença é profunda: observar a apuração não é o mesmo que auditar a apuração.
3. COMO O TSE JUSTIFICA QUE HÁ SEGURANÇA NA APURAÇÃO?
O TSE sustenta que a apuração é segura com os seguintes argumentos:
1. Imutabilidade do Boletim de Urna (BU): A urna imprime um BU físico ao final da votação, que é distribuído a fiscais e afixado na seção. Segundo o TSE, isso permitiria detectar qualquer alteração na totalização.
2. Assinaturas digitais: Cada urna assina digitalmente os arquivos enviados à totalização, e o sistema só aceita arquivos válidos, segundo o TSE.
3. Publicação dos resultados seção por seção: O TSE disponibiliza BUs digitais e registros de votação, possibilitando aos partidos recontarem os votos por conta própria.
4. Cadeia de confiança institucional: A apuração segue procedimentos padronizados, com logs, observadores e assinaturas de código.
O modelo apresentado pelo TSE é um modelo de controle administrativo do próprio TSE, mas não de testes técnicos independentes.
Apesar dos mecanismos descritos pelo TSE, permanece uma fragilidade estrutural:
A segurança da totalização depende quase exclusivamente da confiança no TSE, pois não há auditoria externa e independente do Sistema de Totalização de Votos (SISTOT).
Esse é um ponto que diferencia o Brasil da maioria das democracias avançadas. Hoje, nenhum especialista externo pode testar o SISTOT; validar o código realmente utilizado na apuração; realizar testes de penetração nos servidores; verificar o banco de dados da totalização; confirmar se o código aberto para inspeção é o mesmo que está sendo executado.
Assim, enquanto A CAPTAÇÃO DO VOTO É AUDITÁVEL, a APURAÇÃO CENTRALIZADA NÃO É.
E é justamente aí que se concentram alguns dos maiores riscos potenciais em sistemas informatizados.
5. COMO OUTROS PAÍSES AUDITAM A CONTAGEM CENTRALIZADA (E O QUE O BRASIL NÃO FAZ)
A seguir, uma síntese comparativa prática e direta.
ESTADOS UNIDOS: auditoria técnica independente do software de totalização; auditoria estatística pós-eleição (Risk-Limiting Audit – RLA); e recontagem física obrigatória quando há dúvidas.
→ O Brasil não faz: auditoria técnica do SISTOT, auditoria estatística, nem recontagem física.
ALEMANHA: contagem eletrônica centralizada foi proibida pela Corte Constitucional; votos devem ser verificáveis sem conhecimento técnico especializado; e recontagem física é a regra.
FRANÇA: contagem manual, pública e descentralizada; atas físicas são a fonte primária da apuração.
JAPÃO: voto registrado fisicamente (papel é o documento oficial); auditorias externas periódicas do sistema de totalização.
CANADÁ: auditorias externas independentes do sistema central; auditoria estatística pós-eleição; possibilidade de recontagem física.
AUSTRÁLIA: verificabilidade criptográfica ponta a ponta; auditorias conduzidas por universidades; sistema matematicamente verificável pelo eleitor.
→ Lições: é possível ter voto eletrônico com verificabilidade avançada, sem sacrificar o sigilo.
O Brasil possui um dos sistemas mais auditáveis na captação, mas um dos menos auditáveis na apuração central.
O debate sobre o Sistema de Totalização de Votos (SISTOT) não é um debate contra a urna eletrônica. É um debate sobre auditabilidade da etapa mais sensível do processo democrático: a contagem final dos votos.
Comentários