XX — As modalidades do voto
Chapitre XX
AS MODALIDADES DO VOTO
O sistema proposto repousa sobre um voto frequente: eleições, revogações, referendos. Esta seção descreve a infraestrutura técnica que torna tudo isso possível, garantindo ao mesmo tempo o anonimato, a segurança e a praticidade.
20.1 — O cartão de eleitor anônimo
O anonimato do voto é fundamental. O sistema repousa sobre uma arquitetura onde três elementos são separados e nunca ligados:
| Elemento | Conteúdo | Detido por |
|---|---|---|
| Cartão de identidade | Nome, foto, biometria A (impressões digitais) | Cidadão + registro civil |
| Cartão de eleitor | Número aleatório, biometria B (íris), peso censitário cifrado | Cidadão unicamente |
| Registro eleitoral | Números de cartão → votos cifrados | Autoridade eleitoral |
Tableau 20.4 — Arquitetura de separação identidade/voto
Nenhuma base de dados liga identidade ↔ número de cartão. O anonimato é estrutural, não apenas jurídico.
Figure 20.4 — Separação dos dados eleitorais
Processo de atribuição:
- O cidadão se apresenta na prefeitura com seu cartão de identidade
- Verificação: não recebeu já um cartão (registro “recebeu um cartão”, sem o número)
- O agente abre uma caixa contendo mínimo 100 cartões pré-gerados (números aleatórios, não ativados)
- O cidadão pega um ele mesmo ao acaso — o agente nunca toca no cartão, nunca vê o número
- O cidadão passa numa cabine para ativar o cartão, registrar sua biometria B (íris), e receber o documento papel (PIN, PUK, código de propriedade)
- O agente valida “cartão entregue” sem nunca saber qual número
Atualização anual do peso censitário:
- O cidadão vai a um terminal seguro (prefeitura, cabine dedicada)
- Inserção cartão de identidade → o terminal interroga a administração fiscal → recupera o peso calculado
- Inserção cartão de eleitor → o terminal inscreve o peso cifrado no cartão
- O terminal apaga imediatamente a ligação — sem log, máquina air-gapped (sem conexão de rede)
Biometrias distintas: As impressões digitais (cartão de identidade) e a íris (cartão de eleitor) são biometrias diferentes. Impossível ligar os dois cartões pela biometria nas bases de dados.
Perda ou roubo: O cidadão se apresenta com seu cartão de identidade + código de propriedade. O antigo número é colocado na lista negra. Novo cartão com novo número aleatório. Nenhuma ligação identidade ↔ número é jamais armazenada.
20.2 — A cabine física
Para os votos com forte risco de coerção, o voto se faz numa cabine permanente na prefeitura, em horários estendidos (como uma cabine fotográfica). O cidadão vai lá sozinho, insere seu cartão, entra seu PIN, e usa sua biometria.
Voto na cabine:
- Autenticação: cartão de identidade (foto + biometria A), depois cartão de eleitor (biometria B + PIN)
- Escolha do voto (ou branco/cinza) + opção “quero poder revogar”
- O voto cifrado + peso cifrado são transmitidos ao servidor com o número do cartão — nenhuma identidade transita
- O cidadão repart com um código de verificação (prova que seu voto foi contado, não para quem)
Código open source: O software da cabine é publicado. Antes de cada eleição, máquinas sorteadas são auditadas — comparação de hash com o código publicado. Cidadãos informados podem verificar o checksum na cabine.
Esse deslocamento físico tem várias virtudes:
O tempo de reflexão: sem revogação a quente sob a emoção de uma polêmica. O trajeto é uma câmara de descompressão.
A vontade real: se alguém se desloca, é porque realmente quer. É um filtro natural contra a versatilidade.
A proteção contra a coerção: mesmo se um cônjuge abusivo conhece os códigos, não pode entrar na cabine no lugar de sua vítima (biometria) e não pode ver o que ela faz lá. Pode-se dizer “está feito” e fazer o inverso. Ele nunca saberá.
20.3 — As seguranças técnicas da cabine
A cabine é concebida para garantir que o cidadão está sozinho e livre:
Detecção de presença: se o sistema detecta duas pessoas na cabine, ou se a porta permanece aberta, recusa funcionar. Ninguém pode vigiar por cima do ombro.
Detecção de aparelhos eletrônicos: se um telefone, câmera, ou qualquer outro dispositivo de gravação é detectado, o sistema se bloqueia. Não se pode ser forçado a filmar seu voto para provar a alguém o que fez.
Essas proteções técnicas tornam a coerção praticamente impossível. Mesmo sob ameaça, pode-se entrar na cabine e fazer o que se quer. Ninguém pode verificar.
20.4 — O voto online
O sistema proposto multiplica as ocasiões de voto: eleições, revogações, referendos constitucionais, referendos sobre tratados, referendos sobre grandes contratos públicos… Se tudo devesse se fazer em cabine física, os cidadãos passariam sua vida na prefeitura.
A solução: distinguir segundo o risco de coerção.
Cabine física obrigatória:
- As eleições (eleger pessoas)
- As revogações (desfazer pessoas)
- Os referendos constitucionais (questões fundamentais)
Esses votos recaem sobre pessoas ou questões existenciais. O risco de coerção é máximo: um empregador pode querer saber para quem você vota, um cônjuge violento pode exigir uma prova. A cabine física com detecção de presença e bloqueio dos aparelhos eletrônicos permanece indispensável.
Voto online possível:
- Os referendos sobre contratos públicos
- Os referendos ordinários (leis, tratados comerciais, questões locais)
Esses votos recaem sobre projetos ou textos. O risco de coerção é mais fraco: ninguém vai ameaçar sua esposa para que vote por tal fornecedor de bonde. E mesmo se alguém tentasse obrigar, o risco pessoal é menor — a vítima pode ceder sem trair suas convicções profundas.
As garantias do voto online:
- Autenticação por cartão de eleitor + PIN + código SMS ou aplicação dedicada
- Criptografia de ponta a ponta — o servidor só vê o voto cifrado e o peso cifrado
- Possibilidade de “revotar” durante o período de voto — somente o último voto conta. Isso permite a uma pessoa sob restrição votar sob vigilância, depois revotar sozinha mais tarde
- Código de verificação — o cidadão pode verificar que seu voto foi contado
- Auditoria pública do código fonte
O direito de votar em cabine permanece aberto. Mesmo para um referendo ordinário, todo cidadão pode escolher votar em cabine física em vez de online. É uma opção, não uma obrigação.
O volume se torna gerenciável. Com o voto online para os referendos ordinários, o sistema pode funcionar sem afogar os cidadãos. Os deslocamentos físicos são reservados às questões onde a proteção máxima é necessária.
20.5 — Estudo de caso (exemplo empírico): O voto eletrônico estoniano (i-Voting, 2005-presente)
A Estônia é o único país do mundo a ter generalizado o voto online para as eleições nacionais [132][133]. Desde 2005, todo cidadão pode votar de seu computador graças a seu cartão de identidade eletrônico. Em 2023, 51% dos votos nas eleições legislativas foram expressos online [134].
O que funcionou
Adoção massiva progressiva. De 2% dos votos em 2005 a 51% em 2023. A confiança se construiu eleição após eleição. O sistema não foi imposto brutalmente — foi adotado progressivamente pelos cidadãos [132].
Infraestrutura de identidade digital sólida. O i-Voting repousa sobre o ID-kaart (cartão de identidade eletrônico) e o Mobile-ID. 98% dos estonianos têm uma identidade digital. O voto é apenas uma aplicação entre outras (banco, impostos, saúde) [133].
Possibilidade de revotar. O eleitor pode modificar seu voto tantas vezes quanto quiser durante o período de voto antecipado. Somente o último voto conta. É uma proteção contra a coerção: pode-se votar sob vigilância, depois revotar sozinho mais tarde [132].
Verificação individual. Desde 2013, cada eleitor pode verificar via seu smartphone que seu voto foi corretamente registrado [134].
Custo marginal fraco. Uma vez a infraestrutura instalada, o custo por voto é negligenciável. Sem necessidade de cabines físicas suplementares, de pessoal eleitoral, de apuração manual.
Acessibilidade. As pessoas com mobilidade reduzida, os expatriados, os cidadãos em deslocamento podem votar sem restrição logística.
O que é problemático
Vulnerabilidades identificadas. Pesquisadores demonstraram falhas potenciais: malware no computador do eleitor, ataques sobre os servidores de coleta, manipulação possível do lado do servidor [133]. Nenhum ataque bem-sucedido foi provado, mas o risco teórico existe.
Confiança inverificável. O cidadão ordinário não pode auditar o sistema. Deve confiar nos especialistas e nas autoridades. O código é publicado, mas poucas pessoas podem realmente verificá-lo.
Concentração do risco. Um ataque bem-sucedido sobre o sistema central poderia afetar o conjunto da eleição, contrariamente às seções de voto físicas descentralizadas.
Sem recibo papel. Contrariamente ao voto físico, não há traço material. Uma recontagem independente é impossível.
Risco de coerção residual. Apesar do revoto, um coagidor sofisticado poderia vigiar até o fim do período de voto. O risco é reduzido, não eliminado.
O que mantemos do modelo estoniano
- A possibilidade de revotar como proteção contra a coerção
- A verificação individual de que o voto foi registrado
- A infraestrutura de identidade digital como pré-requisito
- A adoção progressiva que constrói a confiança
- O código fonte público para a auditabilidade
O que melhoramos
- Distinção por risco de coerção: nosso sistema reserva o voto online aos referendos ordinários. As eleições (pessoas) e referendos constitucionais permanecem em cabine física — a Estônia permite o voto online para tudo
- Cabine física reforçada: detecção de presença, bloqueio dos aparelhos eletrônicos — proteções que a Estônia não pode oferecer para o voto em casa
- Separação identidade/voto: nosso sistema usa dois cartões distintos (identidade e eleitor) com biometrias diferentes. A Estônia usa o mesmo cartão para tudo
O que não reproduzimos
- O voto online para as eleições de pessoas: o risco de coerção é muito elevado
- A confiança no voto em casa: mesmo com o revoto, a cabine física permanece superior para as questões maiores
- A ausência de traço material: nosso sistema mantém backups e mecanismos de auditoria