Boa parte da vida hoje cabe na palma da mão. Conversas, fotos, localização, históricos de navegação e registros financeiros ficam guardados no celular, e é cada vez mais comum que uma investigação criminal dependa justamente desses dados. Diante disso, surge uma pergunta aparentemente técnica, mas decisiva: como ter certeza de que a mensagem apresentada em juízo é a mesma que estava no aparelho, sem que ninguém a tenha alterado no caminho? A resposta passa por dois conceitos que saíram dos laboratórios de perícia e chegaram ao centro do debate jurídico, a cadeia de custódia e a função hash.
A cadeia de custódia foi incorporada ao CPP pela lei 13.964/19 e disciplinada nos arts. 158-A a 158-F. Seu objetivo é assegurar que a prova analisada pelas partes e pelo juízo seja exatamente aquela coletada na origem. Entender esse mecanismo deixou de ser tarefa exclusiva de peritos, pois é o que separa, hoje, uma prova confiável de uma prova contestável.
Foi nesse cenário que a Corte Especial do STJ, ao julgar o Inq 1.674/DF (rel. min. Nancy Andrighi, julgado em 6 de maio de 2026), divulgado no Informativo de Jurisprudência 891 do STJ, enfrentou alegação de quebra da cadeia de custódia de vestígios digitais e consolidou diretrizes sobre dois pontos sensíveis: a validade da cópia por espelhamento com função hash e a possibilidade de coleta preliminar de dados pelo agente policial.
O que é a função hash?
A função hash é um algoritmo que converte o conteúdo de um arquivo ou de um dispositivo em um código alfanumérico único. Esse código funciona como verdadeira impressão digital do dado: qualquer alteração posterior, por mínima que seja, resulta em código distinto, denunciando a adulteração. A partir dessa premissa, a Corte Especial afirmou que a cópia por espelhamento de dados, autenticada por função hash, é instrumento hábil para garantir a integridade e a auditabilidade da evidência imaterial.
Figura 1. A função hash gera uma assinatura única do conteúdo; qualquer alteração muda o código.
Um exemplo torna a ideia concreta. Suponha que um perito extraia a conversa de um aplicativo de mensagens e, no instante da cópia, gere um código hash iniciado por 9F2A. Meses depois, às vésperas da audiência, basta recalcular o hash do arquivo. Se o código continuar 9F2A, o conteúdo é idêntico ao que foi coletado. Se mudar, houve alteração. É como lacrar uma caixa com um selo que se rompe ao primeiro toque.
Como funciona o espelhamento na prática
Na rotina forense não se examina o aparelho original. Faz-se uma cópia integral, bit a bit, chamada espelhamento, e o exame recai sobre essa cópia, enquanto o dispositivo original permanece lacrado e preservado. A integridade da cópia é atestada justamente pelo hash, o que permite, a qualquer tempo, conferir se o material analisado continua idêntico ao apreendido.
Figura 2. No espelhamento, o original é preservado e o exame recai sobre a cópia autenticada por hash.
Foi esse o método chancelado pela Corte Especial, em sintonia com o Procedimento Operacional Padrão publicado pelo Ministério da Justiça em 2024, que orienta a duplicação dos dados da mídia original para uma mídia de trabalho. No mesmo sentido, o acórdão remete ao AgRg no RHC 143.169/RJ (rel. p/ acórdão min. Ribeiro Dantas, 5ª turma, julgado em 7 de fevereiro de 2023), que ressaltou a relevância do hash para assegurar a mesmidade da prova digital.
A coleta preliminar pelo agente policial
A Corte Especial também assentou que o agente pode realizar a verificação e a coleta preliminar de dados no aparelho durante o cumprimento de mandado de busca e apreensão, sem a participação imediata de perito oficial. O fundamento está na sistemática do próprio CPP: as fases de reconhecimento e coleta, previstas no art. 158-B, incisos I e IV, antecedem a perícia técnica do art. 159, de modo que sua realização sem perito não configura, por si só, nulidade. O raciocínio acompanha o decidido pela 1ª turma do STF no AgRg no HC 242.158/SP (julgado em 1º de julho de 2024). Como a finalidade da apreensão do aparelho reside nos dados nele armazenados, consolidou-se a compreensão de que a apreensão pressupõe o acesso a esse conteúdo.
Da nulidade à eficácia da prova, e por que isso muda tudo
Talvez a contribuição mais relevante do julgado esteja no plano dogmático. O STJ reafirmou que a discussão sobre a observância da cadeia de custódia não se resolve no campo das nulidades processuais, mas no da eficácia da prova, a ser aferida no caso concreto e à luz dos demais elementos produzidos na instrução. Em consequência, a alegação de quebra da cadeia exige demonstração concreta de adulteração ou de prejuízo, não bastando a mera ausência de documentação formal, e o ônus dessa demonstração recai sobre a defesa.
A razão dessa escolha é importante. Vigora no processo penal o princípio da instrumentalidade das formas, segundo o qual a irregularidade só produz consequência quando causa prejuízo. Como o hash permite verificar, de forma objetiva, se a prova foi ou não alterada, uma falha meramente documental não significa que o conteúdo tenha sido corrompido. Daí o tribunal exigir prova concreta de adulteração e não presumir a má-fé dos agentes. Evita-se, com isso, o formalismo que anularia provas íntegras apenas por lacunas de registro, e a discussão se concentra no que de fato importa, ou seja, se a prova foi adulterada.
A licitude da origem como contraponto
A validação técnica do espelhamento e do hash, contudo, não blinda toda e qualquer prova digital. Na mesma quadra temporal, a 5ª turma do STJ, no AgRg no HC 1.041.047-GO (rel. min. Maria Marluce Caldas, julgado em 22 de abril de 2026), também constante do Informativo de Jurisprudência 891, reafirmou que, quando a origem é ilícita, a prova derivada também o é. No caso, reconhecida a ilegalidade da prisão em flagrante por ausência das hipóteses do art. 302 do CPP, os dados extraídos do celular foram considerados nulos por aplicação da teoria dos frutos da árvore envenenada (art. 157 do CPP), e o tribunal assentou que nem o consentimento do investigado nem a autorização judicial posterior afastam a ilicitude, salvo fonte independente.
O fundamento aqui é diverso e igualmente relevante. A Constituição veda o uso de provas obtidas por meios ilícitos (art. 5º, inciso LVI), e a teoria dos frutos da árvore envenenada estende essa proibição às provas que derivam da ilegalidade original. A lógica é dupla, pois protege direitos fundamentais e desestimula práticas estatais irregulares. Por isso a perfeição técnica da coleta não cura o vício de origem: uma extração tecnicamente impecável, mas decorrente de uma prisão ilegal, continua imprestável, salvo se houver fonte independente capaz de romper o nexo com a ilegalidade.
Dois casos, duas lições
Os dois precedentes funcionam como estudos de caso complementares. No Inq 1.674/DF, a coleta foi tecnicamente correta, com espelhamento e hash, e a alegação genérica de quebra da cadeia não prosperou, porque faltou demonstrar adulteração concreta. A lição é que, contra a técnica bem aplicada, a impugnação puramente formal tende a fracassar.
No AgRg no HC 1.041.047/GO, a abordagem ocorreu no dia seguinte ao fato, sem situação de flagrante. Reconhecida a ilegalidade da prisão, os dados extraídos do celular foram anulados, ainda que a extração em si pudesse ser tecnicamente válida. A lição inversa é que, contra a ilicitude da origem, nem o melhor procedimento técnico salva a prova.
Vale ainda imaginar uma situação corriqueira: um print de tela de conversa, enviado por um particular, sem o aparelho de origem e sem o cálculo do hash. Ali não há como atestar a integridade nem reconstruir a cadeia de custódia, o que enfraquece o valor probatório do material, mesmo sem qualquer ilegalidade estatal envolvida.
Perguntas frequentes sobre prova digital
O que é prova digital?
É qualquer elemento armazenado ou transmitido em meio eletrônico, como mensagens, e-mails, fotos, registros de localização e arquivos, utilizado para esclarecer um fato no processo.
A polícia pode acessar meu celular durante uma busca?
Pode apreender o aparelho e, segundo o STJ, realizar uma coleta preliminar dos dados durante o cumprimento do mandado. O acesso ao conteúdo, porém, depende de autorização judicial, e provas derivadas de uma apreensão ilegal podem ser anuladas.
O que impede que uma mensagem seja adulterada antes de chegar ao processo?
É justamente o papel do hash e da cadeia de custódia. O hash registra uma assinatura única do conteúdo, e a cadeia documenta cada etapa, do recolhimento ao exame, permitindo verificar se houve alteração.
Uma conversa de aplicativo vale como prova?
Pode valer, desde que a integridade e a origem sejam confiáveis. Um print isolado tem valor frágil; uma extração forense com hash e cadeia de custódia documentada é muito mais robusta.
Se a prova veio de uma abordagem ilegal, ela conta?
Em regra, não. Provas que derivam de uma ilegalidade são contaminadas e tendem a ser excluídas, salvo se houver fonte independente que as sustente sem ligação com o ato ilícito.
Conclusão
A leitura conjunta dos precedentes desenha o estado atual do debate sobre prova digital. De um lado, contra a técnica corretamente executada, marcada pelo espelhamento e pela autenticação por hash, a impugnação meramente formal raramente prospera, e a controvérsia se desloca para a eficácia da prova. De outro, contra a ilicitude da origem, a contaminação derivada permanece como vetor de exclusão probatória, independentemente da perfeição técnica da coleta.
Para a advocacia criminal, a consequência é uma reorientação de estratégia. A defesa que pretende impugnar prova digital precisa demonstrar, concretamente, a adulteração ou o prejuízo à integridade do material, ou então atacar a licitude da fonte que originou a coleta. Integridade técnica e licitude da origem tornaram-se os dois eixos sobre os quais se decide, hoje, a admissibilidade e a força da prova eletrônica no processo penal.