Inscrever-se neste blog
Ache aqui
www.facebook.com/osintbrasil
Compartilhe
- Gerar link
- X
- Outros aplicativos
Manual de Provas Digitais
Fundamentos Tecnológicos da Prova Digital
Para produzir e defender provas digitais com eficácia, o profissional do Direito precisa compreender o substrato tecnológico que as sustenta. Este capítulo cobre os quatro pilares: dados eletrônicos, protocolos de Internet, metadados e função hash.
1.1 — O que são Dados Eletrônicos?
Dados eletrônicos são representações de informações armazenadas ou transmitidas em formato binário (sequências de 0 e 1). Qualquer arquivo — uma mensagem de WhatsApp, uma foto ou um e-mail — é essencialmente uma sequência binária que o dispositivo interpreta e exibe como texto, imagem ou vídeo.
PDF, DOCX, XLSX — armazenam conteúdo e metadados de criação/edição
JPEG, PNG, HEIC — contêm pixels e metadados EXIF (GPS, câmera, data)
Armazenadas em bancos SQLite no dispositivo; exportação requer método forense
Formato MIME; cabeçalho técnico revela servidores de origem e rota de entrega
HTML, CSS e scripts; código-fonte e metadados revelam estrutura e data
MP4, MP3, OGG — contêm timestamps de gravação e geolocalização
1.2 — Como a Internet Funciona: O Essencial para o Perito
A Internet é uma rede de redes que utiliza o protocolo IP (Internet Protocol) para identificar cada dispositivo conectado. Compreender esse funcionamento é essencial para interpretar logs de acesso, rastrear origens e demonstrar a autoria de comunicações digitais.
1.3 — Metadados: os Dados Invisíveis que Provam
Metadados são informações embutidas em arquivos que não aparecem no conteúdo visível, mas descrevem quando, onde, como e por quem o arquivo foi criado ou modificado. Para o perito, são frequentemente mais valiosos que o conteúdo em si.
| Tipo de Arquivo | Metadados Disponíveis | Ferramenta |
|---|---|---|
| Foto JPEG/HEIC | Data/hora real da captura, GPS (lat/long), modelo de câmera, software de edição, orientação | ExifTool, Phil Harvey EXIF |
| Documento DOCX | Autor, data de criação, data da última modificação, versões, comentários ocultos | python-docx, ExifTool |
| Criador, software gerador, data de criação, histórico de revisões | pdfinfo, ExifTool | |
| IP de origem, servidores de passagem (Received headers), data/hora, agente de e-mail | MxToolbox Header Analyzer | |
| Vídeo MP4 | Data de gravação, GPS, duração, codec, modelo do dispositivo | MediaInfo, ExifTool |
| Áudio WhatsApp | Formato Opus/ACC, duração, timestamp do servidor | Cellebrite UFED, Autopsy |
1.4 — Função Hash: a Impressão Digital do Arquivo
A função hash é um algoritmo matemático que transforma qualquer arquivo em uma sequência de caracteres de tamanho fixo e único. O SHA-256 (Secure Hash Algorithm 256 bits) é o padrão adotado pela ISO/IEC 27037 e pelo STJ para garantia de integridade probatória.
- [1] BRAGA, Mariana Stuart Nogueira. Produção de prova digital e cadeia de custódia. Tese (Doutorado) — PUC-SP, 2024. → bdtd.ibict.br
- [2] CAPOZZI, R. A.; FARIA, F.; BATISTA, O. Coleta e preservação de provas em ambientes digitais segundo ISO 27.037 e Lei 13.964. Perícia em Foco, 2024. → doi.org/10.5281/zenodo.13894346
- [3] ISO/IEC 27037:2012 — Guidelines for identification, collection, acquisition and preservation of digital evidence. → academiadeforensedigital.com.br
- [4] SOUZA, Rogério. OSINT no Processo Penal [Aula ao vivo com Alexandre Morais da Rosa]. Criminal Player, 2024. → criminalplayer.com.br
Marco Legal e Admissibilidade da Prova Digital
A validade jurídica de uma prova digital depende do cumprimento simultâneo de três requisitos: autenticidade, integridade e licitude. Este capítulo mapeia a legislação aplicável, os critérios de admissibilidade e os limites impostos pela LGPD.
2.1 — Legislação Aplicável
2.2 — Os Três Pilares de Validade
Comprovação de que a prova é genuína e não foi adulterada. Garantida por hash criptográfico, certificado digital ou ata notarial com suporte técnico.
Garantia de que a evidência não foi modificada desde a coleta. Verificada por comparação de hashes antes e após o manuseio. Exigida pelo art. 158-B do CPP.
A coleta deve respeitar os direitos fundamentais. Dados públicos: coletáveis sem autorização. Dados privados: exigem ordem judicial fundamentada.
2.3 — Jurisprudência dos Tribunais Superiores
O STJ declarou ilícita a prova obtida por espelhamento de conversas de WhatsApp sem autorização judicial, equiparando o procedimento a interceptação telemática (Lei 9.296/1996). A prova obtida contamina todas as demais derivadas — teoria dos frutos da árvore envenenada.
A 5ª Turma não aceita como prova prints de celular extraídos sem metodologia adequada de preservação. O tribunal exige comprovação de autenticidade e integridade por método técnico reconhecido. → STJ, mai. 2024
A 6ª Turma afastou prisão até conclusão de perícia sobre prints de WhatsApp usados como prova, reforçando a exigência de comprovação técnica de integridade antes de medidas restritivas. → STJ, mar. 2026
O STJ firmou que a defesa tem direito de acesso à íntegra dos elementos investigativos digitais apreendidos, não apenas aos fragmentos selecionados pela acusação. Decisão fundamental para a investigação defensiva. → ConjUR, jan. 2025
2.4 — LGPD e Coleta de Evidências
A Lei Geral de Proteção de Dados (Lei 13.709/2018) não proíbe o uso de dados pessoais como prova judicial. O art. 7º, VI da LGPD autoriza o tratamento de dados para "exercício regular de direitos em processo judicial, administrativo ou arbitral". Contudo, impõe limites à coleta.
- ✓Permitido: Coletar dados públicos de redes sociais, registros empresariais, diários oficiais e fontes abertas para investigação lícita
- ✓Permitido: Usar dados obtidos em processo judicial para defesa de direitos, desde que limitado ao necessário (princípio da finalidade)
- ✗Proibido: Coletar dados pessoais sensíveis de terceiros sem ordem judicial ou consentimento
- ✗Proibido: Acessar contas privadas, e-mails ou mensagens sem autorização judicial
- ✗Proibido: Compartilhar evidências digitais com terceiros além dos estritamente necessários ao processo
- [1] STJ — 5ª Turma. Quinta Turma não aceita como provas prints de celular extraídos sem metodologia adequada. Portal STJ, 2 maio 2024. → stj.jus.br
- [2] STJ — 6ª Turma. Sexta Turma afasta prisão até conclusão de perícia sobre prints de WhatsApp. Portal STJ, 9 mar. 2026. → stj.jus.br
- [3] CONJUR. Acesso à íntegra de elementos investigativos digitais pela defesa — STJ RHC 184.003/SP. 23 jan. 2025. → conjur.com.br
- [4] KIST, D. J. Prova digital no processo penal. Editora Mizuno, 2024. → Google Books
Procedimentos de Coleta em Espécie
Cada plataforma digital exige um procedimento específico de coleta. Este capítulo detalha os métodos corretos para mensageiros, redes sociais, e-mails e fontes abertas (OSINT), com foco em preservação da integridade e aceitabilidade judicial.
3.1 — Aplicativos de Mensageria
- 1
Exportação nativa com backup
WhatsApp → Conversa → Menu → Exportar conversa (sem mídia ou com mídia). Gera arquivo .txt com timestamp de cada mensagem. Limitação: não tem validade forense por si só — deve ser complementado por ferramenta técnica.
- 2
Extração forense via dispositivo
Ferramentas como Cellebrite UFED, Oxygen Forensics ou MSAB XRY extraem o banco de dados SQLite do WhatsApp (msgstore.db), preservando metadados, mensagens deletadas e mídias com timestamps originais. Requer acesso físico ao dispositivo e, em regra, autorização judicial.
- 3
Captura técnica de tela com certificação
Use plataformas como Verifact, e-Not Provas ou Uniproof para capturar a conversa em ambiente controlado. A plataforma registra hash SHA-256, metadados da página, data/hora e gera laudo PDF com carimbo ICP-Brasil.
Telegram e Signal
Ambos permitem exportação nativa de histórico em JSON (Telegram) ou TXT (Signal). Para produção forense válida, a exportação deve ser feita por ferramenta certificada que calcule hash do arquivo exportado e registre o procedimento.
3.2 — Redes Sociais
| Plataforma | Método de Coleta Recomendado | Atenção |
|---|---|---|
| Verifact ou e-Not Provas para publicações, stories e comentários. Stories desaparecem em 24h — capture imediatamente. | Stories são voláteis. Capture a URL da publicação e o código-fonte HTML. | |
| Capture a publicação com URL permanente. Use Wayback Machine para arquivar. Registre hash da captura. | Configurações de privacidade podem tornar o conteúdo inacessível após a coleta. | |
| TikTok | Capture o vídeo com URL, data de publicação e metadados. Use yt-dlp para download com metadados preservados. | Vídeos podem ser deletados rapidamente após denúncia. |
| X (Twitter) | URL permanente do tweet + captura técnica. Archive.today para arquivamento independente. | Tweets deletados podem ser recuperados pelo Archive.org se indexados. |
| Captura técnica da publicação profissional com data/hora e perfil do autor. Útil em processos trabalhistas. | Perfis podem ser editados ou deletados. Capture imediatamente. |
3.3 — Correio Eletrônico (E-mail)
E-mails são frequentemente apresentados como prova sem os cabeçalhos técnicos completos, o que reduz drasticamente seu valor probatório. O cabeçalho (header) do e-mail contém a rota de entrega, os servidores pelos quais a mensagem passou e o IP de origem.
Outlook: Abrir e-mail → Arquivo → Propriedades → Cabeçalhos de internet
Thunderbird: Exibir → Código-fonte da mensagem
O campo
Received: revela todos os servidores de passagem, com timestamps. O campo X-Originating-IP revela o IP de origem do remetente.
3.4 — OSINT: Coleta em Fontes Abertas
A investigação por fontes abertas (Open Source Intelligence) é a coleta sistemática de dados publicamente disponíveis. É lícita quando os dados são acessíveis sem autenticação e o uso tem finalidade investigativa legítima.
CNPJ (Receita Federal), Junta Comercial, Cartório de Imóveis (CRI Online), Diário Oficial, cadastros de processos judiciais (PJe, e-SAJ, CNJ).
Wayback Machine (archive.org) para páginas deletadas. Cache do Google para conteúdo recentemente removido. Archive.today para arquivamento em tempo real.
site:facebook.com "[nome]" | filetype:pdf "[CPF]" | site:in.gov.br "[CNPJ]" — operadores avançados para localizar informações públicas indexadas.
ViewDNS.info e who.is revelam registrantes de domínios, histórico de IPs e servidores de hospedagem. Útil para rastrear sites fraudulentos.
- [1] CORTEZ, Raphaela J. R. Prova digital no processo penal brasileiro: o uso de dados de geolocalização na segurança pública e na investigação criminal. Dissertação — UFRN, 2023. → repositorio.ufrn.br
- [2] CNJ. Preservação e rastreabilidade das provas digitais garantem segurança jurídica. → cnj.jus.br
- [3] CONJUR. A fragilidade do print screen e a higidez da cadeia de custódia no processo penal digital. 28 jan. 2026. → conjur.com.br
- [4] COLÉGIO NOTARIAL DO BRASIL. e-Not Provas: autenticação de provas online. 2026. → notariado.org.br
Preservação e Cadeia de Custódia Digital
A cadeia de custódia é o registro cronológico e documentado de todo o ciclo de vida da evidência — desde a coleta até a apresentação em juízo. É o mecanismo que garante rastreabilidade e resistência ao contraditório.
4.1 — Conceito e Base Legal
A cadeia de custódia foi positivada no Código de Processo Penal pelos artigos 158-A a 158-F, inseridos pela Lei 13.964/2019 (Pacote Anticrime). Embora a redação original mencione vestígios materiais, a doutrina e a jurisprudência aplicam o instituto às evidências digitais, que têm natureza ainda mais volátil.
4.2 — As Etapas da Cadeia de Custódia Digital
- 1
Reconhecimento e isolamento
Identificar a evidência sem a contaminar. Para dispositivos físicos: ativar modo avião ou isolar em bolsa de Faraday para impedir apagamento remoto. Para conteúdo web: não interagir (curtir, comentar) antes da captura.
- 2
Coleta e captura
Registrar a evidência com ferramenta técnica certificada. Documentar: data, hora, URL ou localização física, condições de acesso, quem realizou a coleta.
- 3
Hash e verificação de integridade
Calcular SHA-256 do arquivo original imediatamente após a captura. Registrar o hash no laudo. Qualquer acesso posterior deve ser precedido de nova verificação.
- 4
Acondicionamento e armazenamento
Armazenar em mídia redundante (HD externo + nuvem criptografada AES-256). Manter cópia imutável (write-protected) como backup forense. Controlar ambiente: temperatura, umidade, campo eletromagnético.
- 5
Transferência e controle de acesso
Registrar cada pessoa que acessou o material: nome, data, hora, finalidade. Manter livro de custódia ou log digital assinado. Cada transferência deve ser documentada.
- 6
Processamento e análise
Trabalhar sempre em cópia forense, nunca no arquivo original. Documentar cada operação realizada com timestamp. Usar ferramentas reconhecidas (Autopsy, FTK, Cellebrite).
- 7
Apresentação em juízo
Juntar o laudo técnico com hash verificável. O hash original deve ser verificável publicamente (blockchain) ou por autoridade certificadora. A parte contrária pode requerer verificação ao vivo.
4.3 — Ata Notarial: uso correto e limitações
A ata notarial, lavrada por tabelião de notas com base no art. 384 do CPC/2015, tem fé pública e é aceita nos tribunais como prova da existência de determinado conteúdo na internet em determinada data. Porém, tem limitações técnicas importantes.
Fé pública do tabelião; sem necessidade de perícia complementar para conteúdos simples; amplamente aceita nos tribunais brasileiros; disponível remotamente via e-Not Provas (R$ 4-7).
O tabelião registra o que vê na tela, não valida a autenticidade técnica do conteúdo. Não preserva metadados. Não gera hash do arquivo. Para conteúdo contestado, a ata pode ser insuficiente sem perícia complementar.
4.4 — Bolsa de Faraday e Isolamento de Dispositivos
1. Ativar modo avião imediatamente — impede sincronização e apagamento remoto
2. Caso indisponível, colocar em bolsa de Faraday — bloqueia todos os sinais (GSM, Wi-Fi, Bluetooth, GPS, NFC)
3. Fotografar o estado do dispositivo antes de qualquer ação
4. Documentar IMEI, número de série, marca, modelo e versão do sistema operacional
5. Manter em ambiente controlado até perícia formal com autorização judicial
- [1] YAMADA, Vitor Leandro. A Cadeia de Custódia como Requisito de Valoração e Não de Admissibilidade da Prova Digital no Processo Civil. UNIR, nov. 2024. → ri.unir.br
- [2] REVISTACSP (CNMP). A cadeia de custódia de provas digitais: efeitos jurídicos e práticos na atuação do estado. → ojs.cnmp.mp.br
- [3] CAPOZZI, R. A.; FARIA, F.; BATISTA, O. Cadeia de custódia segundo ISO 27.037 e Lei 13.964. Perícia em Foco, 2024. → zenodo.org
- [4] CONJUR. Cartórios de notas de São Paulo lançam serviço de provas digitais. 13 jan. 2026. → conjur.com.br
Atuação em Juízo e Perícia Forense
A etapa final do ciclo probatório é a apresentação e defesa da prova em contraditório. Este capítulo orienta o advogado sobre como juntar evidências digitais, formular quesitos ao perito e auditar provas da parte contrária.
5.1 — Apresentação da Prova Digital na Petição
- ✓Junte o laudo técnico como documento principal — não o arquivo bruto sem contextualização
- ✓Inclua o hash SHA-256 de cada arquivo no corpo da petição e no laudo, com declaração de equivalência
- ✓Descreva a metodologia utilizada na coleta — ferramenta, versão, data, operador responsável
- ✓Ofereça verificação ao vivo — indique que o hash pode ser conferido pelo juízo ou perito a qualquer momento
- ✓Antecipe questionamentos da parte contrária e inclua réplica técnica no próprio laudo
- ✗Não junte prints avulsos sem laudo complementar — são rejeitados por ausência de valor probatório
- ✗Não omita a cadeia de custódia — a ausência de documentação do manuseio invalida a prova
5.2 — Quesitos ao Perito Judicial
O art. 176 do CPC e o art. 422 do CPP garantem ao advogado o direito de formular quesitos ao perito. Perguntas técnicas precisas elevam a qualidade do contraditório e forçam o perito a se posicionar sobre pontos críticos.
| # | Quesito | Objetivo |
|---|---|---|
| Q1 | O arquivo apresentado possui hash SHA-256 calculado e documentado imediatamente após a coleta? | Verificar cadeia de custódia |
| Q2 | Os metadados do arquivo (data, hora, GPS) foram extraídos e estão coerentes com o conteúdo apresentado? | Verificar autenticidade |
| Q3 | Há indícios de edição, recorte ou manipulação no arquivo, seja de conteúdo, metadados ou estrutura binária? | Verificar integridade |
| Q4 | A coleta foi realizada de forma a preservar o arquivo original sem contaminação? Qual ferramenta foi utilizada? | Avaliar metodologia |
| Q5 | O endereço IP de origem das comunicações foi verificado e corresponde ao dispositivo atribuído ao investigado? | Verificar autoria |
| Q6 | A cadeia de custódia foi mantida desde a coleta até o depósito em juízo, com registro de todos os manuseios? | Verificar rastreabilidade |
| Q7 | As ferramentas utilizadas na análise estão homologadas e são reconhecidas pela comunidade forense? | Avaliar confiabilidade |
5.3 — Contraditório Digital: Como Contestar a Prova da Parte Contrária
Solicite ao juízo o arquivo original e calcule o SHA-256. Compare com o hash declarado no laudo. Divergência prova adulteração ou substituição do arquivo.
Extraia os metadados com ExifTool. Inconsistências — data de criação posterior à data do evento, software incompatível com a suposta origem — são indícios de manipulação.
Para vídeos e imagens, ferramentas como Deepware Scanner e FotoForensics detectam manipulação por IA. Laudos de deepfake têm sido aceitos em tribunais brasileiros.
Requeira os registros completos de custódia: quem coletou, quando, com qual ferramenta, quem teve acesso. A ausência de qualquer etapa documenta quebra da cadeia.
5.4 — Casos de Alta Complexidade
• Verificação de licença das ferramentas: Ferramentas como Cellebrite UFED, FTK e Oxygen Forensics têm versões com capacidades distintas. Exija comprovação de que a versão utilizada é compatível com o dispositivo analisado.
• Questionar a integridade da imagem forense: Em apreensões físicas, solicite o hash da imagem bit-a-bit do dispositivo. A imagem forense deve ser idêntica ao original.
• Acesso à íntegra dos dados apreendidos: Conforme STJ RHC 184.003/SP (dez. 2024), a defesa tem direito à íntegra do material digital apreendido, não apenas ao que a acusação selecionou para juntar.
• Dados de inteligência vs. prova judicial: Relatórios produzidos por serviços de inteligência não têm, por si sós, valor probatório — precisam ser convertidos em prova válida com cadeia de custódia documentada.
Expert em OSINT no Processo Penal — Comunidade Criminal Player
Atuou ao lado do Juiz Alexandre Morais da Rosa em aulas sobre OSINT, investigação digital e metadados para a maior comunidade de advocacia criminal do Brasil. Mais de 20 anos de experiência em inteligência de fontes abertas, operações sob NDA e suporte técnico a escritórios de advocacia, empresas e setor militar.
- [1] CONJUR. Acesso à íntegra de elementos investigativos digitais pela defesa — STJ RHC 184.003/SP. 23 jan. 2025. → conjur.com.br
- [2] REVISTATOPICOS. Inteligência artificial forense e a validade das provas digitais. Jun. 2026. → revistatopicos.com.br
- [3] ACADEMIA DE FORENSE DIGITAL. ISO 27037 — Identificação, coleta, aquisição e preservação de evidência digital. 2024. → academiadeforensedigital.com.br
- [4] SOUZA, Rogério; ROSA, Alexandre Morais da. OSINT no Processo Penal — vulnerabilidades da internet na investigação criminal. Aula ao vivo, Criminal Player, 2024. → criminalplayer.com.br
- Geral SYDOW, Spencer Toth. Provas Digitais no Processo Penal. São Paulo: Thomson Reuters Brasil, 2020.
- Geral LOPES JR., Aury. Direito Processual Penal. 20. ed. Saraiva, 2023.
- Geral PRADO, Geraldo. A cadeia de custódia da prova no processo penal. São Paulo: Marcial Pons, 2019.
- Geral CNJ. Preservação e rastreabilidade das provas digitais garantem segurança jurídica. → cnj.jus.br
- Geral CRIMINAL PLAYER — ROGÉRIO SOUZA. Acervo completo de aulas e materiais sobre OSINT e investigação digital. → criminalplayer.com.br/rogerio-souza
- Gerar link
- X
- Outros aplicativos
Manual de Fontes Abertas
Postagens mais visitadas
14 Melhores Ferramentas de Open Source Intelligence (OSINT) em 2026 | OSINT Brasil
- Gerar link
- X
- Outros aplicativos
13 Melhores Ferramentas de OSINT (Inteligência de Fontes Abertas) para 2025
- Gerar link
- X
- Outros aplicativos
10 passos para apagar a sua pegada digital
- Gerar link
- X
- Outros aplicativos
🇧🇷 Ferramentas OSINT mais usadas por policiais no Brasil
- Gerar link
- X
- Outros aplicativos
47988618255 Investigação Defensiva
- Gerar link
- X
- Outros aplicativos

Comentários
Postar um comentário