A cadeia de custódia da prova digital passou a ocupar papel central no processo penal brasileiro. Isso porque, no ambiente digital, não basta que um dado exista ou seja apresentado em juízo. É indispensável que se demonstre como esse dado foi coletado, manuseado, armazenado e analisado, de modo a permitir ao juiz avaliar sua confiabilidade.

O tema foi incorporado de forma expressa ao Código de Processo Penal com o chamado Pacote Anticrime. A Lei nº 13.964/2019 incluiu os arts. 158-A a 158-F no CPP, deixando claro que a validade da prova depende do controle de toda a sua trajetória. A cadeia de custódia, portanto, representa o histórico completo da prova, desde o primeiro contato com o vestígio até sua apresentação no processo, assegurando que não houve alteração ao longo do caminho.

Para compreender a lógica da cadeia de custódia, uma analogia simples ajuda. Imagine uma encomenda enviada pelos Correios. É possível acompanhar quem recebeu, por onde passou, quando foi aberta e se chegou intacta. Se essa encomenda chega violada, sem qualquer registro do trajeto, a confiança desaparece. Com a prova digital ocorre exatamente o mesmo. Sem cadeia de custódia documentada, o juiz não tem como saber se o dado apresentado em juízo é, de fato, o mesmo que foi apreendido originalmente.

Embora a cadeia de custódia tenha sido positivada de forma expressa apenas em 2019, o Superior Tribunal de Justiça já consolidou o entendimento de que essas regras se aplicam também a situações anteriores. Isso porque não se trata da criação de um direito novo, mas da reafirmação de um requisito essencial: a confiabilidade da prova. Em outras palavras, mesmo antes da lei, prova mal preservada já era prova frágil. A legislação apenas tornou isso explícito.

A lógica da cadeia de custódia no ambiente digital
Quando se fala em cadeia de custódia, ainda é comum associar o conceito apenas a vestígios físicos, como armas, drogas ou objetos lacrados. No entanto, no mundo digital, a lógica é completamente diferente. O vestígio digital raramente é o equipamento em si. Ele está contido no HD, no SSD, no celular, nos dados, na nuvem, nos arquivos e nos registros internos. Assim, é possível que o equipamento esteja fisicamente intacto, enquanto o conteúdo lógico já foi acessado, alterado ou contaminado sem deixar sinais visíveis. Por isso, a cadeia de custódia digital não protege apenas o objeto físico (o que também é relevante), mas principalmente o conteúdo lógico, o dado.

A prova digital não nasce pronta
Outro ponto essencial é compreender que a prova digital não nasce prova. Primeiro existe o fato, que pode gerar um vestígio digital. Esse vestígio, quando corretamente preservado, transforma-se em evidência.

Somente após análise técnica adequada e submissão ao contraditório é que essa evidência pode ser considerada prova. Uma mensagem de WhatsApp inserida em um PDF ou um e-mail impresso em papel não constituem a prova digital propriamente dita, mas apenas representações. A prova digital verdadeira está no original lógico, nos dados gravados em bytes e nos metadados associados. O que se vê na tela é apenas a forma como o sistema operacional e o sistema de arquivos apresentam esses dados. Cada tecnologia, aplicativos de mensagem, e-mails, discos rígidos, servidores ou nuvem, exige método próprio de extração e preservação.

O ponto central da cadeia de custódia
A cadeia de custódia nasce no exato momento da apreensão, na primeira decisão tomada sobre aquele equipamento ou dado. A partir desse instante, qualquer ação ou omissão impacta diretamente a confiabilidade da prova. O modo como o equipamento é desligado, armazenado, transportado e posteriormente analisado passa a ser juridicamente relevante.

O papel do hash na prova digital
O hash é um mecanismo fundamental na cadeia de custódia, mas seu papel costuma ser mal compreendido. Ele não protege o equipamento físico, mas o conteúdo lógico dos dados.

O hash é um valor matemático gerado por um algoritmo criptográfico a partir do conteúdo de um arquivo ou conjunto de dados, funcionando como uma “impressão digital” daquele conteúdo. Qualquer mínima alteração nos dados, ainda que de um único byte, produz um hash completamente diferente, o que permite verificar se o material permaneceu íntegro ao longo do tempo. Na prova digital, o hash não serve para revelar o conteúdo do arquivo nem para atestar sua autoria, mas para possibilitar a comparação entre o estado original preservado e o material analisado.

Por isso, o hash só cumpre sua função probatória quando é gerado no momento adequado, devidamente documentado e comparado com outro valor correspondente; isoladamente, sem contexto e sem comparação, ele não garante integridade nem confiabilidade da prova.

Ou seja, o hash não serve para dizer o que o arquivo contém, mas para comprovar se ele permanece exatamente o mesmo. Por isso, lacre físico e hash não se substituem; eles se complementam. O hash só cumpre sua função quando utilizado como mecanismo de comparação entre o conteúdo original preservado e a cópia analisada.

A insuficiência do hash isolado
Não basta a simples apresentação de um hash no laudo pericial. O hash não é um número mágico que legitima a prova por si só. Ele só faz sentido quando se demonstra quando foi gerado, sobre qual material e com qual outro valor foi comparado. O procedimento correto envolve a geração do hash no momento da preservação do conteúdo original e a posterior comparação com o hash da cópia forense. Sem essa comparação, o hash perde sua função probatória e se torna apenas um dado técnico vazio.

As consequências da quebra da cadeia de custódia
A ausência ou falha na cadeia de custódia não gera, automaticamente, nulidade da prova. O entendimento predominante no Superior Tribunal de Justiça é mais técnico e cuidadoso. Cabe ao juiz analisar o caso concreto, verificando se houve prejuízo real, se a falha impede a verificação da integridade ou se compromete o contraditório. Quando a quebra é grave, a prova pode ser desentranhada ou desconsiderada. Quando é parcial, a prova pode apenas perder força probatória.

Exemplos práticos de aplicação
Em situações de quebra grave, como a apreensão de um celular sem lacre, mantido por dias com acesso de diversas pessoas e somente depois submetido à extração de dados, não há como garantir que o conteúdo analisado corresponde ao estado original. Nesses casos, a prova tende a ser considerada inconfiável a ponto de não poder ser utilizada.

Em hipóteses de falha parcial, como um HD corretamente apreendido e periciado, mas com documentação deficiente sobre o momento da geração do hash, a prova não é automaticamente ilícita, mas perde força e exige cautela redobrada em sua valoração.

Há ainda situações em que o problema ultrapassa a técnica e alcança o direito de defesa, como quando a perícia é realizada sem possibilidade de contraditório técnico. Se a defesa é impedida de questionar o método ou formular quesitos de forma injustificada, a consequência pode ser a nulidade da prova.

Por fim, quando o erro é sanável e o material original permanece preservado, o caminho adequado costuma ser a realização de nova perícia ou o esclarecimento do laudo, e não a anulação automática de todo o conteúdo.

O entendimento consolidado do STJ
No AgRg no HC 943.895, o Superior Tribunal de Justiça deixou claro que o manuseio indevido de aparelho celular antes da perícia oficial, com produção de prints diretamente na delegacia, sem protocolo técnico, sem preservação e sem possibilidade de reprodução, configura violação estrutural da cadeia de custódia. Nesses casos, como podemos observar, não se trata de falha formal ou mera redução do valor probatório, mas de prova ilícita, com desentranhamento dos autos.

Conclusão
Documentar cada etapa da cadeia de custódia não é excesso de formalismo. É condição indispensável para que o juiz possa valorar a prova. Sem documentação adequada, a prova até pode existir nos autos, mas não pode ser corretamente avaliada.

Se não há demonstração clara da existência de um arquivo original preservado e analisado com método, não há como atribuir credibilidade ao material apresentado. No processo digital, o juiz não confia no que aparece na tela, mas na comprovação de como aquele dado saiu do seu ambiente original, como foi preservado, copiado, analisado e apresentado em juízo. É esse percurso técnico, documentado pela cadeia de custódia, que permite confiar na prova. Sem ele, não há prova confiável, mas apenas uma narrativa construída a posteriori.

Fale conosco – CyberExperts

A CyberExperts atua com assistência técnica especializada em perícia digital, auxiliando advogados na análise crítica de laudos, na verificação da cadeia de custódia e da integridade dos dados, na identificação de falhas metodológicas e na formulação de quesitos e impugnações técnicas. Nosso trabalho é oferecer suporte técnico qualificado para enfrentar provas digitais frágeis ou ilícitas com rigor técnico e fundamento científico.

José Milagre, CEO da CyberExperts. Mestre e Doutor UNESP – [email protected]

BLOG

Cadeia de custódia das provas digitais: Um guia prático para a defesa técnica em casos que envolvem provas digitais no processo penal

Pesquise no blog

Últimas Publicações

Cadeia de custódia das provas digitais: Um guia prático para a defesa técnica em casos que envolvem provas digitais no processo penal

10 erros que invalidam, anulam ou fragilizam a prova digital no processo penal

Quando o colaborador sai e o problema começa: O papel da perícia digital em equipamentos corporativos

Analista Antifraude: o serviço que está salvando empresas antes do golpe chegar