Resumo
- O sigilo do voto significa que os registros eleitorais não devem revelar as escolhas de candidatos de um membro identificável. Ele não exige sigilo sobre elegibilidade do eleitor, autoridade corporativa, concentração de procurações, controles do sistema, incidentes, participação total ou a base de certificação.
- As eleições de RIR lidam com votações organizacionais, e não de sufrágio universal, mas ainda precisam das propriedades familiares identificadas pela pesquisa sobre segurança eleitoral: confidencialidade da escolha, controle de acesso, proteção de dados, auditabilidade, registros resilientes, monitoramento e verificação independente.
- A APNIC registra a identidade do membro e o direito de voto para auditoria, declarando as cédulas confidenciais; o RIPE NCC usa uma plataforma de votação de terceiros e códigos de acesso separados; o LACNIC oferece uma etapa de auditoria e reclamação do eleitor; as disputas da AFRINIC em 2025 mostram o custo de uma reconciliação pública incompleta.
- Um design de duas camadas separa um livro-razão de autoridade identificada de um domínio de cédula anônima. Um token de elegibilidade unidirecional permite um voto válido sem que funcionários rotineiros, candidatos ou o público possam vincular o membro à escolha.
- As evidências públicas devem incluir regras, totais elegíveis, atestações de configuração e teste, atribuições de funções, declarações de conflito, resumos de incidentes, reconciliação, resultados agregados e certificação independente. Evidências restritas devem permanecer disponíveis para um auditor autorizado e revisor sob acesso controlado.
O sigilo protege a escolha, não a administração
O voto secreto existe para que um eleitor possa escolher sem ter que provar essa escolha a um empregador, candidato, credor, governo ou organizador. Ele reduz a aplicabilidade de ameaças e compra de votos. Também protege a autonomia política após a eleição, quando um lado perdedor pode controlar recursos institucionais.
Os administradores eleitorais às vezes estendem esse princípio muito além da escolha. Eles se recusam a divulgar quem era elegível, como a autoridade foi verificada, quantas procurações uma pessoa detinha, quem configurou o serviço ou por que uma credencial foi rejeitada. O resultado não é um sigilo de voto mais forte. É uma eleição que não pode ser avaliada sem confiar nas pessoas que a conduziram.
O limite pode ser declarado de forma simples. Informações que vinculam um eleitor identificável a uma escolha de candidato são altamente protegidas. Informações necessárias para provar que apenas direitos elegíveis entraram na apuração, cada direito aceito foi contado como pretendido e ninguém poderia alterar o resultado devem ser registradas e, em um nível apropriado, divulgadas.
Alguns registros ficam próximos ao limite. O histórico de participação revela que uma organização votou, mas não como. Em um eleitorado muito pequeno, publicar horários detalhados ou estilo de cédula pode permitir inferências. Uma lista de constituintes de procuração combinada com a campanha pública de um titular pode expor escolhas prováveis. A boa divulgação, portanto, usa agregação, atraso e controles de acesso, em vez de uma recusa geral.
A distinção é importante para os registros regionais da Internet porque os membros são organizações. Uma empresa pode ter razões legítimas para manter sua participação privada; outra pode exigir a confirmação de que seu representante nomeado agiu. O registro deve proteger a escolha secreta enquanto preserva uma trilha auditável de autoridade corporativa.
Infraestrutura pública não são cédulas públicas. É um sistema cujas regras, controles e operação agregada podem ser examinados, com evidências restritas disponíveis para revisores independentes. O sigilo pertence à decisão política do eleitor. Nunca deve se tornar um privilégio geral do administrador.
Identidade e escolha devem ser separadas deliberadamente
Toda eleição de membros começa com identidade. O registro precisa saber que uma organização é elegível, está em situação regular quando necessário e é representada por uma pessoa autorizada. A votação eletrônica pode exigir uma conta, autenticação multifator ou verificação de identidade. Uma eleição em papel pode exigir um registro e uma credencial na mesa.
A cédula deve começar somente após o término dessa decisão de identidade. O sistema identificado emite um direito ou token único. O serviço de votação o aceita, registra a escolha sem a identidade do membro e impede a reutilização. A reconciliação prova que os direitos emitidos, usados, revogados e não utilizados se equilibram. Os funcionários rotineiros não devem possuir uma tabela que una tokens a escolhas.
Essa separação é uma decisão arquitetônica, não uma promessa em um aviso de privacidade. Os logs podem derrotá-la silenciosamente. Carimbos de data/hora exatos, endereços de rede, sequências de cédulas únicas e detalhes do navegador podem permitir a correlação de dois bancos de dados. Os administradores devem coletar apenas o que a segurança exige, tornar o tempo mais grosseiro ou separado quando possível e testar se um usuário privilegiado poderia reconstruir os votos.
Ostermos de votação online da APNICilustram a tensão necessária. O serviço registra o membro, a pessoa que submete e o número de votos para auditoria, declarando que cada cédula é confidencial. Uma avaliação robusta pergunta onde termina esse registro de auditoria identificado e se as escolhas dos candidatos permanecem fora dele.
Oguia de votação do RIPE NCCdescreve um serviço de terceiros, um link único e dois códigos. A jornada do usuário publicada ajuda os membros a entender o acesso. A garantia independente deve explicar adicionalmente a separação de identidade, código e registro de voto emitido sem expor segredos de segurança.
Nenhum sistema eletrônico pode confiar apenas na frase "votação anônima". As perguntas relevantes são quais registros existem, quem pode acessá-los, como podem ser correlacionados, por quanto tempo permanecem e o que um auditor testou. A separação deliberada permite que a instituição seja rigorosa em relação à elegibilidade e igualmente rigorosa em relação ao sigilo.
Auditabilidade e sigilo são propriedades compatíveis
A discussão do Instituto Nacional de Padrões e Tecnologia sobrepropriedades desejáveis de sistemas de votaçãotrata a auditabilidade, o sigilo da cédula, a resistência à coerção, a usabilidade e a acessibilidade como objetivos de design relacionados. Seusobjetivos de segurançatambém combinam eleições baseadas em evidências com registros que não revelam a intenção de um eleitor identificável.
Essa combinação importa porque o debate público frequentemente apresenta uma falsa escolha. Ou publicamos evidências detalhadas e expomos os eleitores, ou protegemos os eleitores e aceitamos uma caixa preta. O design moderno de auditoria existe precisamente para evitar essa escolha. Ele verifica o processo e o resultado por meio de registros independentes da associação secreta entre pessoa e escolha.
Para um RIR, auditabilidade significa mais do que recontar os totais de candidatos. O auditor deve ser capaz de confirmar a população de membros elegíveis, representantes autorizados, um direito por direito aplicável, peso de voto correto, prevenção bem-sucedida de duplicatas, configuração precisa, tratamento completo de incidentes e apuração matematicamente consistente. Nada disso exige publicar as escolhas de candidatos de um membro.
O sigilo também deve sobreviver à auditoria. Um auditor deve receber apenas os dados identificados mínimos necessários para cada teste. Onde o livro-razão completo de autoridade é necessário, as escolhas dos candidatos devem permanecer em outro domínio controlado. Relatórios devem agregar pequenos grupos. Os papéis de trabalho da auditoria precisam de regras de retenção e exclusão.
As evidências podem ser criptográficas, documentais, procedurais ou físicas. Não se deve presumir que uma prova técnica resolva a autoridade corporativa ou que atas assinadas comprovem que o software se comportou corretamente. A verificação independente se baseia em vários registros com diferentes modos de falha.
A instituição deve declarar seu modelo de confiança. Quais atores poderiam alterar a elegibilidade? Quem poderia mudar a configuração da cédula? Quem detém a autoridade de descriptografia ou apuração? Alguma pessoa pode realizar uma operação crítica? Os requisitos de transmissão mais antigos do NIST, por exemplo, incluem autorização de duas pessoas para o processamento crítico de votos em redes públicas. O controle específico pode variar, mas a concentração de privilégios deve ser visível.
A auditabilidade não enfraquece o sigilo. Quando adequadamente projetada, fornece a evidência de que o sigilo foi preservado enquanto o resultado permaneceu correto.
O livro-razão de autoridade deve ser inspecionável
Antes de existir qualquer voto secreto, há um livro-razão de autoridade. Ele contém membros elegíveis, pesos de voto, contatos designados, procurações, mudanças de status e direitos emitidos. Erros aqui podem excluir um eleitor legal ou admitir um não autorizado. O livro-razão é, portanto, parte da eleição, não uma administração de membros comum temporariamente reutilizada.
O acesso público não precisa expor números de telefone pessoais, documentos de identidade ou detalhes da conta. A instituição pode publicar as regras, o total de organizações elegíveis, categorias de exclusão, registro provisório em um nível organizacional apropriado e um mecanismo de correção. Cada membro deve ver privadamente seu próprio status e representante.
Ocalendário eleitoral extraordinário de 2026 do LACNICpublicou um registro de eleitores e permitiu reclamações muito antes da votação. Essa sequência distribui a detecção de erros. Um membro pode identificar uma omissão enquanto a correção ainda é possível. A Comissão Eleitoral se torna responsável pelas respostas antes da abertura da cédula.
A eleição de substituição da AFRINIC de 2025 também usou estágios provisórios e finais de registro de eleitores. Isso foi uma melhoria importante após as disputas em torno da eleição de junho. No entanto, a publicação por si só é insuficiente se os critérios, o log de alterações ou os motivos de exclusão permanecerem obscuros. Um registro final deve ser acompanhado de totais mostrando adições, remoções e correções da versão provisória.
O auditor precisa do livro-razão restrito completo, incluindo evidências de autoridade, carimbos de data/hora e ações da equipe. A amostragem deve testar se o responsável corporativo registrado tinha poder para designar, se as revogações foram aplicadas, se uma pessoa natural controlava várias organizações e se as alterações tardias seguiram regras comuns.
Os candidatos não devem receber dados de contato privados dos membros simplesmente porque disputam a eleição. Eles podem receber informações agregadas do eleitorado e qualquer registro organizacional público autorizado pelas regras de governança. O acesso à campanha e o acesso à auditoria são propósitos diferentes.
Um livro-razão de autoridade inspecionável dá aos membros confiança de que o voto secreto começa a partir de um eleitorado legal. Sem ele, um serviço de votação perfeito pode contar fielmente os eleitores errados.
A configuração é um registro de interesse público
As cédulas eletrônicas contêm configurações consequentes: nomes e ordem dos candidatos, assentos, seleções máximas, pesos de voto, opções de abstenção, horários de abertura e fechamento, regras de desempate e tratamento de cédulas parciais. Um erro de configuração pode alterar cada voto, mantendo o software tecnicamente seguro.
A especificação da cédula aprovada deve ser assinada antes da abertura por pelo menos dois funcionários autorizados e, idealmente, um oficial eleitoral independente. Os candidatos podem confirmar a ortografia, elegibilidade e atribuição de assentos sem ver credenciais de segurança. Uma cédula de amostra deve ser publicada com antecedência suficiente para corrigir erros.
Os testes pré-eleitorais devem incluir casos comuns e extremos: uma seleção, seleções máximas, tentativa de excesso de votos, abstenção, direito ponderado, token revogado, uso duplicado, limite de fuso horário e interrupção. O relatório pode declarar testes e resultados sem divulgar detalhes exploráveis. Hashes ou atestações assinadas podem identificar a configuração exata aprovada.
Alterações após o teste exigem uma nova versão, motivo, aprovação e reteste. A correção silenciosa é inaceitável porque destrói o vínculo entre a garantia e a cédula ativa. Se a votação já começou, o oficial independente deve determinar se a alteração afeta as cédulas já emitidas e se é necessário reabertura ou nova rodada.
A ordem dos candidatos merece política explícita. Ordem alfabética, aleatória ou rotativa pode ser defensável se anunciada e aplicada de forma consistente. Um administrador não deve escolher a colocação informalmente após ver o campo. O mesmo se aplica a biografias, fotografias e links.
O horário de fechamento também pertence à configuração. O aviso público, a contagem regressiva do portal e o relógio do provedor devem concordar. Qualquer extensão deve alterar todos os três e preservar um registro. A equipe de suporte não deve ter capacidade oculta para aceitar cédulas selecionadas após o fechamento.
Publicar evidências de configuração não diz a ninguém como os membros votaram. Mostra qual pergunta o sistema realmente fez. Em uma eleição responsável, o resultado público deve ser rastreável até uma definição de cédula publicamente autorizada.
A separação de funções é mais valiosa do que garantias
Uma eleição envolve equipe de serviços aos membros, um comitê eleitoral, candidatos, um conselho ou receptor, consultores jurídicos, um provedor de tecnologia, escrutinadores e um auditor. A confiança melhora quando nenhum ator controla a elegibilidade, a configuração da cédula, a apuração e a resolução de reclamações.
A separação de funções deve ser publicada antes do concurso. Os serviços aos membros podem manter registros de contato, mas não devem decidir disputas de candidatos. O comitê eleitoral pode supervisionar a elegibilidade e o procedimento, mas não deve alterar as apurações secretas. O provedor pode operar o serviço, mas não deve certificar sua própria conformidade. O revisor não deve se reportar a um candidato ou funcionário cujo ato é contestado.
Conflitos precisam de divulgação individual. Um membro do comitê pode trabalhar para uma organização membro, conhecer um candidato ou ter participado de uma disputa. O conflito nem sempre exige exclusão; a abstenção pode ser suficiente. O registro deve declarar o relacionamento, a decisão e o substituto.
Candidatos e diretores em exercício não devem deter privilégios administrativos. Funcionários que fazem campanha devem ser removidos das funções eleitorais, e as regras devem definir se a campanha é permitida em uma capacidade oficial. O pessoal do provedor com acesso à produção deve ser identificado ao auditor e sujeito a registro de alterações.
O controle de duas pessoas é útil para atos críticos: abrir ou fechar a cédula fora do cronograma automático, alterar a configuração, exportar uma apuração, descriptografar resultados e manusear recipientes físicos de cédulas. Ele limita erros, bem como má conduta. A evidência é uma ação assinada ou criptograficamente registrada por ambas as funções.
A garantia pública de que todos agiram profissionalmente não pode substituir esse design. Boas pessoas cometem erros e as instituições posteriormente enfrentam disputas. A separação protege os funcionários, tornando alegações infundadas menos plausíveis. Também permite que uma investigação identifique qual domínio poderia ter falhado.
O público não precisa conhecer detalhes de segurança pessoal. Deve conhecer os cargos, responsabilidades, conflitos, aprovações e verificações independentes. As cédulas secretas são mais fortes quando a autoridade ao seu redor é visivelmente dividida.
Os incidentes devem ser públicos sem se tornarem acusações
Toda eleição tem anomalias: mensagens devolvidas, autenticação falhada, um documento de autoridade questionado, uma interrupção, um eleitor alegando não recebimento ou um candidato contestando uma regra. Ocultá-las convida rumores; publicar alegações não verificadas pode prejudicar pessoas e a eleição.
Um registro de incidentes oferece um caminho intermediário. Cada entrada registra hora, categoria, estágio afetado, ação de preservação, tomador de decisão, status e solução. Versões públicas agregam ou suprimem identidade. Incidentes graves recebem um relatório mais completo após os fatos serem estabelecidos.
A materialidade deve orientar a resposta. Um e-mail com falha corrigido antes da votação pode não exigir efeito nos resultados. Uma credencial admitida para um membro precisa de uma decisão de validade e, se já usada, uma forma de avaliar o impacto que preserve a privacidade. Uma interrupção de serviço que afete muitos eleitores pode justificar uma extensão. Um defeito de configuração que afete todas as cédulas pode exigir uma nova eleição, independentemente da margem.
A eleição da AFRINIC de junho de 2025 foi suspensa após disputas sobre documentos de autoridade e posteriormente anulada. As comunicações oficiais se referiram particularmente a Procurações e a uma investigação, mas não publicaram inicialmente uma contagem completa de credenciais questionadas, cédulas associadas e materialidade em nível de assento. A ausência de reconciliação permitiu que narrativas concorrentes ocupassem a lacuna.
O relato público de incidentes deve distinguir alegação, fato verificado, conclusão e solução. A investigação policial de possível falsificação é diferente da interpretação de um funcionário eleitoral de um formulário anunciado. O poder de um tribunal é diferente do de um escrutinador. Combiná-los sob a palavra "irregularidade" obscurece a responsabilidade.
A preservação vem antes da retórica. Proteja o instrumento, o registro de autoridade, o log de acesso, o status da cédula, a nota de testemunha e as comunicações relevantes. Não vincule uma escolha secreta a menos que um processo excepcional legal o exija e existam salvaguardas. Notifique o membro afetado e o revisor.
Uma eleição ganha confiança não alegando zero incidentes, mas mostrando que os incidentes puderam ser detectados, limitados e resolvidos sob regras conhecidas.
A reconciliação prova a completude sem revelar escolhas
Ao final, os totais devem conectar o livro-razão de autoridade à apuração. Comece com membros elegíveis e peso de voto. Mostre representantes registrados, procurações validadas, direitos emitidos, direitos revogados, direitos usados, direitos não utilizados, tentativas rejeitadas e cédulas aceitas. Em seguida, mostre cédulas válidas, em branco ou abstenções e cédulas inválidas de acordo com as regras.
As equações devem se equilibrar. Se 1.000 direitos estavam ativos e 600 cédulas foram aceitas, 400 devem ser comprovadamente não utilizadas ou contabilizadas de outra forma. Sistemas ponderados precisam de totais tanto de membros quanto de unidades de voto. Eleições com múltiplas cadeiras devem explicar por que o total de marcas de candidatos difere das cédulas.
A APNIC publica uma página de verificação de voto com números de recibo para votos submetidos sob seus termos online. O LACNIC oferece um intervalo de auditoria aos eleitores após resultados provisórios. Esses mecanismos permitem que os participantes confirmem a inclusão sem divulgar a escolha. O design do recibo deve resistir à coerção: pode provar participação ou inclusão, não a escolha do candidato.
A reconciliação deve ser concluída antes da certificação e revisada de forma independente. As diferenças podem ser inocentes, como um direito revogado ainda contado em uma exportação de emissão. No entanto, devem ser resolvidas. Uma diferença inexplicada maior que a margem decisiva é claramente material; uma diferença menor ainda pode revelar uma falha de controle que exija correção.
O relatório público pode fornecer totais e método. O auditor recebe identificadores detalhados para testar a unicidade. Os candidatos podem observar estágios definidos ou receber o relatório assinado, mas não devem inspecionar credenciais pessoais ou registros de nível de voto sem autoridade.
As eleições em papel usam a mesma lógica: cédulas impressas, distribuídas, anuladas, não utilizadas, depositadas e contadas; selos aplicados e rompidos; caixas transferidas. A terminologia eletrônica não deve obscurecer que existe custódia equivalente em logs, chaves e exportações.
A reconciliação é a ponte entre um conjunto secreto de escolhas e um resultado público. Sem ela, o resultado é meramente um número afirmado pelo operador. Com ela, os membros podem ver que o número surgiu do eleitorado autorizado, embora ninguém possa ver como cada membro escolheu.
A verificação não deve se tornar um recibo de voto
Os eleitores querem razoavelmente uma prova de que sua cédula chegou. Um sistema pode fornecer um número de recibo ou permitir que o participante verifique a inclusão. O design se torna perigoso se a prova revelar o candidato selecionado de uma forma que outra pessoa possa verificar.
Um coercitor que pode exigir um recibo específico de candidato pode impor ameaças ou pagamento. Um responsável corporativo pode obrigar um representante a demonstrar obediência. O voto secreto então existe apenas contra estranhos sem alavancagem.
A verificação segura geralmente responde a perguntas limitadas: o direito autorizado foi usado; a cédula criptografada submetida aparece em um conjunto público; a apuração inclui todos os registros válidos; ou uma prova independente verifica a computação. Ela não deve permitir que o eleitor revele uma escolha única em texto simples.
A verificabilidade de ponta a ponta oferece abordagens sofisticadas, mas a complexidade deve ser compatível com a eleição. Os membros precisam de instruções utilizáveis, revisão de implementação independente e recuperação quando a verificação falha. Um recurso que poucos eleitores entendem pode criar falsa garantia.
Onde plataformas comerciais mais simples são usadas, o registro deve declarar exatamente o que o recibo prova. "Seu voto foi registrado" pode significar que a sessão foi concluída, não que a apuração final o incluiu. O provedor e o auditor devem definir estágios. Mensagens de sucesso ambíguas não são evidência.
Os registros de verificação precisam de revisão de privacidade. Publicar todos os números de recibo é útil apenas se não puderem ser vinculados às identidades dos membros por meio da ordem de emissão ou carimbos de data/hora. A randomização, o agrupamento e a separação podem reduzir a correlação. Eleições pequenas podem exigir supressão mais forte.
O objetivo correto é confiança sem transferibilidade. O eleitor pode detectar omissão e buscar revisão, enquanto um terceiro não pode usar a mesma evidência para conhecer ou impor a escolha. Esse limite deve ser testado explicitamente, em vez de presumido a partir da linguagem de criptografia.
As evidências públicas devem ser organizadas em camadas
Nem todos os registros eleitorais pertencem a um site. Um modelo de divulgação em camadas protege dados pessoais e segurança, preservando a prestação de contas. A camada pública deve incluir regras de governança, calendário, totais do eleitorado, campo de candidatos, atribuições de funções, conflitos, identidade do provedor, atestação de testes, resumo de incidentes, reconciliação, resultados agregados, reclamações e certificação.
A camada de membros deve mostrar a elegibilidade da organização, o eleitor autorizado, o status da procuração, o status de participação na cédula e o histórico de correção. Não deve exibir a escolha do candidato. O acesso deve usar o canal seguro normal do membro.
A camada do auditor pode incluir registros de autoridade identificados, logs detalhados, configuração, ações privilegiadas, evidências do provedor, comunicações amostradas e arquivos de incidentes. O acesso é limitado, registrado e com prazo determinado. O auditor relata descobertas e limitações publicamente.
A camada do adjudicador pode exigir material adicional para uma disputa específica, incluindo documentos pessoais ou evidências técnicas seladas. As partes recebem apenas o que a justiça exige, com ordens de proteção ou confidencialidade quando apropriado. A curiosidade do candidato não é base para acesso.
O provedor retém materiais sensíveis à segurança sob contrato, mas o registro deve garantir que as evidências permaneçam disponíveis se o relacionamento terminar. A localização, retenção, exclusão e notificação de violação de dados devem ser acordadas antes da votação.
O modelo de camadas evita duas falhas comuns. A publicação total pode expor eleitores e sistemas. O sigilo total pode tornar os funcionários os únicos juízes de seu próprio desempenho. O propósito determina o acesso.
O plano de divulgação deve ser aprovado antes que os dados existam. Decidir após uma disputa convida à transparência seletiva. Os membros devem saber quais fatos se tornarão públicos, quais informações pessoais são coletadas e quem pode inspecionar registros restritos.
A infraestrutura pública é responsável porque as evidências se movem para o revisor certo, não porque cada byte está aberto.
A certificação independente precisa de uma declaração fundamentada
A certificação não é uma assinatura cerimonial sob uma tabela de resultados. É a decisão de que as regras autorizadas foram aplicadas, incidentes materiais foram resolvidos e os candidatos anunciados podem assumir o cargo. O certificador deve declarar a base.
Um certificado fundamentado identifica a eleição, os instrumentos de governança, os totais elegíveis e participantes, o período de votação, o sistema ou método, a reconciliação, a auditoria realizada, as reclamações recebidas, as limitações não resolvidas e a determinação final. Deve declarar se os resultados são provisórios enquanto houver contestações pendentes.
A independência é relativa e deve ser divulgada. Uma comissão eleitoral nomeada pelo conselho pode ainda agir de forma independente sob um mandato protegido. Um provedor comercial é independente da equipe, mas tem interesse em defender seu serviço. Um auditor pago pelo registro pode ser credível se a seleção, o escopo e os direitos de relatório impedirem interferência.
O certificador precisa de acesso. Um papel descrito como observador, mas com acesso negado a registros de autoridade ou logs do provedor, não pode fornecer garantia forte. O relatório deve declarar evidências indisponíveis, testes não realizados e dependência de representações. A franqueza sobre as limitações é mais valiosa do que uma declaração absoluta sem suporte de trabalho.
As reclamações devem ser resolvidas ou expressamente reservadas. Se uma questão pendente não puder alterar o resultado, o certificador pode explicar a materialidade. Se puder, a nomeação final deve aguardar ou um mecanismo condicional legal deve ser aplicado. A instituição não deve criar urgência anunciando vencedores antes da revisão.
O uso pelo LACNIC de resultados provisórios e uma data de certificação posterior dependendo das reclamações demonstra a sequência adequada. Preserva informações públicas sobre a contagem, permitindo que a auditoria autorizada termine.
A certificação converte registros técnicos e administrativos em autoridade institucional. Merece a mesma transparência de uma resolução do conselho: quem decidiu, sob qual poder, com quais evidências e com quais limitações.
Os fornecedores não absorvem a responsabilidade institucional
Os serviços de votação de terceiros podem melhorar a separação e a especialização. A APNIC usou BigPulse; o RIPE NCC usa Assembly Voting; a AFRINIC usou provedores externos em suas eleições de 2025. Um fornecedor pode reduzir o acesso da equipe às escolhas e fornecer infraestrutura testada.
A terceirização não transfere a responsabilidade constitucional do registro. A associação escolhe o provedor, configura a cédula, fornece a elegibilidade, comunica-se com os eleitores e aceita o resultado. Deve entender e auditar o serviço suficientemente para defender esses atos.
Os contratos devem cobrir confidencialidade, minimização de dados, acesso privilegiado, subcontratados, mudanças no sistema, notificação de incidentes, disponibilidade, logs, testes independentes, exportação de evidências, retenção, exclusão e cooperação com contestações. As reivindicações do fornecedor de tecnologia proprietária não podem impedir a garantia do resultado.
O registro deve publicar o nome do fornecedor, a justificativa da seleção em um nível apropriado e a garantia obtida. Relatórios sensíveis à segurança podem ser resumidos. As limitações conhecidas devem moldar a eleição: se a plataforma não pode suportar revogação ou separação forte, as regras devem levar isso em conta, em vez de sugerir uma capacidade.
Os conflitos e o acesso da equipe do fornecedor importam. Quais funcionários podem visualizar identidades de membros, redefinir credenciais, alterar configurações ou exportar resultados? As ações críticas são controladas por duas pessoas? Os acessos são registrados e revisados por alguém fora da equipe do fornecedor?
Os planos de continuidade devem abordar a falha do fornecedor. O registro precisa de backups verificados da configuração e dos dados de autoridade, uma regra para estender a votação e uma forma de preservar as cédulas emitidas sem criar duplicatas. Trocar de serviço no meio da eleição é um ato extremo que requer direção independente.
Uma marca familiar não é evidência pública. O envolvimento do fornecedor é um controle em um design institucional maior. Os membros elegem seu conselho de registro, não a empresa de software, e o registro permanece responsável por cada autoridade que delega.
A votação remota expande a superfície de ameaça e a superfície de evidência
O acesso eletrônico cria riscos: tomada de conta, phishing, malware, negação de serviço, privilégio interno e correlação de identidade com escolha. Também cria evidências indisponíveis em um processo informal em papel: configuração assinada, logs de acesso, prevenção de duplicatas, monitoramento do sistema e reconciliação precisa.
OPerfil de Infraestrutura Eleitoral do NISTenquadra a tecnologia eleitoral por meio da gestão de riscos em sistemas de registro de eleitores e votação. Os RIRs não precisam copiar um padrão eleitoral nacional integralmente, mas as funções são relevantes: identificar ativos e riscos, proteger acesso e dados, detectar anomalias, responder sob autoridade definida e recuperar preservando evidências.
As contas dos membros merecem proteção mais forte antes da eleição, não inscrição de emergência na abertura. Autenticação multifator, confirmação de contato e avisos de phishing devem ser rotineiros. As mensagens eleitorais devem usar domínios previsíveis e permitir que os membros verifiquem os links por meio do portal.
O monitoramento não deve se tornar vigilância do eleitor. As equipes de segurança podem detectar falhas repetidas, acesso impossível e ataques de serviço sem analisar as escolhas dos candidatos. Endereços de rede e dados do dispositivo devem ser restritos e retidos apenas conforme necessário. A avaliação de privacidade deve explicar o equilíbrio.
A resposta a incidentes deve preservar os votos secretos. A redefinição de uma credencial não deve revelar ou alterar um voto anterior. A restauração de um backup deve impedir a dupla contagem. Os logs devem ser copiados sob controles de integridade antes que os administradores façam alterações.
Os relatórios de segurança cibernética geralmente permanecem confidenciais por boas razões. Resumos públicos ainda podem declarar as ameaças consideradas, os controles aplicados, os testes concluídos, os incidentes detectados e o risco residual aceito. O silêncio não é segurança.
A votação remota pode apoiar evidências mais rigorosas do que uma caixa de papel observada por alguns participantes. Para perceber essa vantagem, é necessário projetar logs para auditoria, evitando seu uso para reconstruir votos.
Um modelo de auditoria em duas camadas para eleições de registro
A primeira camada é autoridade e operação. É identificada e restrita. Verifica a elegibilidade do membro, autoridade corporativa, peso de voto, concentração de procurações, emissão de tokens, controle de acesso, configuração, incidentes e uso único. O auditor pode rastrear cada direito desde a origem legal até um limite de aceitação anônima.
A segunda camada é cédula e resultado. É anônima e verificável independentemente. Confirma que as cédulas aceitas eram imutáveis, todas foram incluídas, as regras de apuração estavam corretas e os totais publicados correspondem aos registros protegidos. Não permite a reversão comum da cédula para o membro.
As camadas se encontram por meio da reconciliação, não de uma tabela permanente de identidade-escolha. Totais, compromissos criptográficos ou verificações controladas de tokens mostram que cada direito usado corresponde a uma cédula. As exceções são investigadas no limite sem expor escolhas não afetadas.
O relatório público espelha o modelo. Os relatórios de autoridade divulgam totais do eleitorado, categorias de validação e concentração. Os relatórios de resultado divulgam participação, cédulas válidas, totais de candidatos e resultado da auditoria. Os relatórios de incidentes dizem qual camada foi afetada e se existia risco de cruzamento.
A governança envolve ambos. As funções publicadas definem quem pode acessar cada camada. Conflitos e ações críticas são registrados. Um revisor independente ouve reclamações. A certificação declara que ambas as camadas e sua reconciliação passaram nos testes definidos.
Este modelo funciona tanto para votação eletrônica quanto em papel. A mesa de autoridade verifica o eleitor e emite um papel validado sem registrar sua marca. A urna e a contagem protegem as cédulas anônimas. Os papéis emitidos, anulados, não utilizados e contados se reconciliam. A tecnologia muda os instrumentos, não o princípio.
O modelo também esclarece as soluções. Um erro isolado de autoridade pode afetar um direito. Uma falha de integridade na camada da cédula pode afetar toda a apuração. Um vínculo quebrado entre as camadas pode tornar o escopo incerto. As soluções devem seguir o domínio afetado e a materialidade, e não a pressão política.
Duas camadas tornam o sigilo e a prestação de contas aliados. Evidências fortes de autoridade mantêm o acesso inválido fora; a forte separação da cédula mantém as escolhas válidas privadas; a reconciliação independente dá ao público uma razão para confiar no resultado.
Pequenos eleitorados precisam de controles de inferência mais fortes
As eleições de registro são frequentemente muito menores do que as eleições públicas. Um resultado pode ser relatado por região, categoria de membro, método de votação ou status de procuração porque essas categorias são importantes para a governança. Cada detalhamento adicional pode tornar uma escolha secreta mais fácil de inferir, particularmente quando uma categoria contém uma ou duas organizações.
A divulgação, portanto, deve ser testada quanto ao risco de composição. Suponha que o público saiba que um membro em um país votou, que o membro nomeou uma procuração pública e que os totais de candidatos mudaram por um valor ponderado correspondente. Nenhum desses fatos sozinho revela uma escolha; juntos podem. Carimbos de data/hora exatos podem criar o mesmo problema quando os participantes anunciam quando votaram.
O plano de relatório público deve estabelecer tamanhos mínimos de célula, combinar categorias raras e atrasar detalhes sensíveis de participação. Sistemas ponderados exigem cuidado especial porque um direito distinto pode agir como uma impressão digital. Os recibos devem ser aleatórios e não ordenados. Os relatórios de incidentes devem evitar afirmar que o único membro em uma categoria apoiou ou rejeitou um instrumento de forma que implique sua cédula.
Os auditores restritos ainda podem inspecionar os dados completos. A agregação pública limita a inferência, não a prestação de contas. O auditor confirma os cálculos regionais e de categoria, verifica se a supressão foi aplicada de forma consistente e relata se qualquer divulgação oficial criou um caminho credível para a reidentificação.
Os candidatos também precisam de limites. Uma campanha pode querer uma lista de membros que não votaram para mobilizar a participação. Em um pequeno eleitorado corporativo, essa informação cria pressão e, combinada com relatórios posteriores, pode expor o comportamento político. Se as atualizações de participação forem publicadas, devem ser amplas, programadas e disponíveis para todos. O status de participação individual pertence ao membro e ao escritório eleitoral.
As próprias organizações podem anunciar suas escolhas. O discurso político voluntário é diferente de uma prova gerada pelo sistema. O registro não deve projetar um recibo que permita a um empregador ou organizador obrigar tal divulgação. Nem deve tratar um endosso público como consentimento para expor a cédula real.
A revisão de inferência não é um argumento para não publicar nada. O silêncio total deixa os membros incapazes de testar a concentração e a participação. É um argumento para estatísticas deliberadas: divulgar o que apoia a legitimidade, suprimir o que vincula uma organização identificável a uma escolha e permitir que um revisor independente examine as evidências não suprimidas.
Pequenas eleições tornam esse limite mais exigente, não menos. Sua infraestrutura deve ser pública o suficiente para verificar e privada o suficiente para que cada membro ainda possa mudar de ideia dentro da cédula sem ser observado.
A publicação também deve ser consciente do risco cumulativo. Um registro inofensivo divulgado antes da votação pode se tornar identificador quando combinado posteriormente com um relatório detalhado de incidentes e carimbos de data/hora do provedor. Alguém deve revisar a sequência completa planejada de divulgações, não aprovar cada item isoladamente. Quando novos fatos surgem, os lançamentos anteriores não podem ser retirados da memória pública, portanto, relatórios posteriores podem precisar de agregação mais ampla. O certificador ainda pode afirmar que as evidências subjacentes foram inspecionadas e consideradas consistentes.
Essa prática preserva o valor de um relato público contínuo sem permitir que a transparência em um estágio derrote o sigilo em outro.
A mesma revisão deve cobrir as informações divulgadas por contratados e observadores. Um registro pode agregar cuidadosamente enquanto um provedor publica estatísticas exatas de serviço ou uma testemunha posta fotografias mostrando quem estava em uma mesa de votação. Contratos e instruções aos observadores devem definir o limite de confidencialidade sem impedir relatórios legítimos. Quando ocorre uma divulgação acidental, os funcionários devem avaliar o risco de inferência, notificar os membros afetados quando necessário e ajustar os lançamentos posteriores.
O sigilo da cédula é mantido por todo o ambiente eleitoral, não apenas pelo banco de dados que mantém as escolhas. O controle coordenado da divulgação é, portanto, parte da prestação de contas da infraestrutura, e não uma razão para excluir o escrutínio.
Publique o suficiente para tornar a confiança opcional
Os membros sempre depositarão alguma confiança nos funcionários eleitorais, provedores e auditores. Nenhum relatório permite que cada eleitor inspecione pessoalmente cada sistema. A boa governança reduz a quantidade de confiança cega e torna explícita a dependência restante.
Antes da votação, publique as regras, o processo do eleitorado, o calendário, a definição da cédula, as funções, os conflitos, o provedor, o aviso de privacidade, o plano de auditoria e a rota de reclamação. Durante a votação, publique o status do serviço e incidentes materiais sem divulgar informações de participação que possam distorcer a campanha, a menos que a regra autorize. Após o fechamento, publique a reconciliação, os resultados provisórios, as conclusões da auditoria, as reclamações e a certificação fundamentada.
Forneça a cada membro a confirmação privada da elegibilidade e participação. Dê ao auditor acesso controlado às evidências completas. Impeça candidatos, funcionários e fornecedores de cruzar para os dados de seleção sem autoridade legal extraordinária. Registre todos os acessos excepcionais.
As disputas da AFRINIC de 2025 ilustram por que a distinção importa. O sigilo não exigia silêncio sobre quantos documentos de autoridade foram questionados, quantos direitos associados foram emitidos ou por que a anulação ampla foi proporcional. A publicação desses fatos não teria divulgado as escolhas dos candidatos. Sua ausência dificultou a garantia institucional.
O princípio se aplica em todo o sistema de RIR. Os campos de auditoria identificados e as cédulas confidenciais da APNIC, o procedimento de acesso de terceiros do RIPE NCC, o intervalo de verificação do LACNIC e os padrões públicos de segurança eleitoral fornecem componentes viáveis. Os registros podem adaptá-los à lei associativa e à votação dos membros sem fingir que administram eleições nacionais.
Um voto secreto não é uma sala escura. É uma escolha protegida que se move através de uma instituição iluminada. As luzes devem revelar portas, guardas, registros, transferências, incidentes e a autoridade que declara o resultado. Nunca devem revelar qual marca privada pertenceu a qual membro.
Quando a infraestrutura é pública nesse sentido, a confiança se torna uma conclusão apoiada por evidências, em vez de um favor que os administradores pedem ao eleitorado. Essa é a legitimidade que o voto secreto deve servir.

