Cadeia de custódia digital é o registro contínuo, auditável e juridicamente reconhecido de cada etapa de manuseio de uma evidência eletrônica — do momento em que é identificada até seu descarte definitivo. Sem esse registro, qualquer evidência digital pode ser excluída do processo por vício formal, independentemente de seu peso incriminatório ou exculpatório.
O que é cadeia de custódia e por que ela existe
Em perícia forense, "custódia" significa responsabilidade documentada sobre um objeto de prova. A cadeia é a sequência ininterrupta dessas responsabilidades: cada transferência de posse, cada análise realizada, cada local onde a evidência esteve deve ser registrado com data, hora e identidade do responsável. Na esfera digital, o desafio é amplificado porque evidências eletrônicas são voláteis — um disco ligado à rede pode receber writes em milissegundos; metadados de sistema mudam ao simples ato de abrir um arquivo.
O conceito não é novo. Na criminalística tradicional, a cadeia de custódia existe desde que tribunais passaram a exigir prova pericial. O que mudou com a computação forense foi a escala, a volatilidade e a invisibilidade das alterações. Um arquivo pode ter seu conteúdo preservado e ainda assim ter seus timestamps de acesso reescritos, criando inconsistências que a defesa pode explorar para desacreditar toda a análise.
Fundamento legal no CPP brasileiro: Lei 13.964/2019
O Pacote Anticrime (Lei 13.964/2019) inseriu os artigos 158-A a 158-F no Código de Processo Penal, criando o primeiro regramento legal explícito de cadeia de custódia no direito brasileiro. Antes dessa lei, peritos se apoiavam em normas internas das corporações policiais e em melhores práticas internacionais, sem amparo legal positivado.
O art. 158-A define a cadeia de custódia como o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio, com o objetivo de tornar rastreável seu caminho desde o reconhecimento até o descarte. O parágrafo único do mesmo artigo deixa claro que o item de prova só é admissível se sua integridade puder ser verificada.
Os artigos seguintes detalham as etapas obrigatórias:
- Art. 158-B — lista as dez etapas: reconhecimento, isolamento, fixação, coleta, acondicionamento, transporte, recebimento, processamento, armazenamento e descarte.
- Art. 158-C — obriga o uso de recipiente lacrado e identificado (número, natureza, quantidade, condições, responsável pela coleta, data, hora e local).
- Art. 158-D — trata do registro fotográfico e da documentação do estado original do vestígio.
- Art. 158-E — define a custódia oficial em central de custódia da polícia judiciária ou do Ministério Público.
- Art. 158-F — regula o descarte, que exige autorização judicial e documentação do método utilizado.
A quebra documentada em qualquer dessas etapas é fundamento para arguição de nulidade da prova, conforme reiterada jurisprudência do STJ. Não se trata de formalismo vazio: a lógica é que a prova pericial tem valor probatório elevado justamente porque o processo de sua obtenção é verificável e reproduzível.
As dez etapas da cadeia de custódia aplicadas à forense digital
1. Reconhecimento
A fase de reconhecimento envolve identificar quais dispositivos e sistemas são fontes potenciais de evidência. Em um incidente corporativo, isso inclui laptops, servidores, backups em nuvem, logs de firewall, sistemas SIEM, smartphones e contas de e-mail. O perito deve documentar o inventário inicial sem alterar nada — fotografias do ambiente, anotações de estado de energia e lista de equipamentos com número de série.
2. Isolamento
Isolar significa impedir que novas informações entrem ou saiam da cena enquanto a coleta não for concluída. Para dispositivos de rede, isso pode implicar desconectar cabos Ethernet ou colocar smartphones em modo avião. A decisão de manter ou derrubar energia em um servidor em produção é crítica e deve ser tomada em conjunto com o responsável técnico da organização, ponderando o risco de perda de dados voláteis (RAM, processos em execução) contra o risco de escrita adicional no disco.
3. Fixação
Fixar é documentar o estado original antes de qualquer intervenção. Fotografias em múltiplos ângulos, vídeos do ambiente, captura de tela de dispositivos ligados e anotações manuscritas ou digitais assinadas. Para sistemas ligados, a captura da memória RAM (dump de memória) deve ser feita antes do desligamento, pois é a única forma de preservar processos em execução, conexões de rede abertas e chaves de criptografia na memória.
4. Coleta com integridade técnica
A coleta de mídias físicas deve ser realizada com write-blocker de hardware (como o Tableau T35u ou o WiebeTech Forensic UltraDock). O write-blocker intercepta qualquer tentativa de escrita do sistema operacional do perito — incluindo atualizações automáticas de timestamps — garantindo que a mídia original permaneça inalterada durante a criação da imagem forense.
A imagem forense bit a bit replica cada setor do disco, incluindo espaço não alocado, arquivos deletados e fragmentos residuais em slack space — dados que análises lógicas (cópia comum de arquivos) jamais capturariam. Ferramentas padrão da indústria para essa etapa incluem:
- dd (e variantes como dc3dd e dcfldd) — utilitário Unix de linha de comando, gratuito, com suporte a hashing integrado nas versões forenses.
- FTK Imager (AccessData) — interface gráfica amplamente utilizada, gera imagens em formatos E01 (EnCase), AFF e raw, com verificação de hash automática ao final da aquisição.
- EnCase (OpenText) — plataforma comercial usada em delegacias e grandes escritórios de advocacia; gera formato proprietário E01 com hash SHA-256 embutido nos metadados do contêiner.
- Autopsy — plataforma open source baseada no The Sleuth Kit; adequada tanto para aquisição como para análise, com suporte a plugins para análise de artefatos de sistemas Windows, macOS e Linux.
Imediatamente após a aquisição, o perito calcula e documenta os hashes SHA-256 (e opcionalmente MD5 como verificação secundária) tanto da imagem gerada quanto da mídia original. Os dois valores devem ser idênticos.
5. Acondicionamento
Cada evidência física é acondicionada em embalagem antiestática (bag ESD), lacrada com lacre numerado e etiquetada com: número único de evidência, hash SHA-256, nome do perito responsável, data e hora da coleta, nome do caso e qualquer observação sobre o estado físico. Dispositivos com conectividade (smartphones, tablets, laptops com Wi-Fi ativo) devem ser acondicionados em gaiola de Faraday para impedir que recebam comandos remotos de limpeza (remote wipe) durante o transporte.
6. Transporte e recebimento
O transporte deve ser feito em embalagem rígida, longe de fontes de calor, campos magnéticos e umidade. Cada transferência de posse é documentada com termo de transferência bilateral — quem entrega e quem recebe assina, com data, hora e finalidade. A ausência de um único termo de transferência cria uma lacuna na cadeia que pode ser explorada em contraditório.
7. Processamento e análise
O processamento analítico é realizado exclusivamente sobre cópias verificadas das imagens forenses — nunca sobre a mídia original. Ao abrir uma sessão de análise, o perito recalcula o hash da cópia de trabalho e confirma que é idêntico ao registrado na coleta. Todas as ferramentas utilizadas, suas versões e configurações são registradas no relatório pericial, permitindo reprodução independente da análise.
Conforme o NIST SP 800-86 (Guide to Integrating Forensic Techniques into Incident Response), a análise forense deve ser documentada de forma que um perito independente, com acesso às mesmas imagens e ferramentas, chegue às mesmas conclusões — requisito de reprodutibilidade científica que os tribunais brasileiros têm cada vez mais exigido.
8. Armazenamento
Evidências originais ficam em central de custódia com controle de acesso restrito, log de entradas e saídas e condições ambientais controladas (temperatura e umidade). O período de guarda deve contemplar os prazos prescricionais do ilícito investigado, que no direito penal brasileiro pode chegar a 20 anos para crimes com pena máxima superior a 12 anos (art. 109, I, CP).
9. Descarte
O descarte de evidências exige autorização judicial e documentação do método utilizado — degaussing certificado, trituração física ou sobrescrita múltipla conforme DoD 5220.22-M. Um termo de descarte, assinado pelo responsável e pela autoridade que autorizou, encerra formalmente a cadeia de custódia.
Timestamping e documentação eletrônica
A cadeia de custódia digital moderna incorpora carimbos de tempo (timestamps) criptograficamente verificáveis. Protocolos como RFC 3161 permitem que um servidor de carimbo de tempo confiável (TSA) assine digitalmente um hash com seu certificado, provando que aquele dado existia antes de determinado momento. Em litígios envolvendo contratos eletrônicos, comunicações corporativas ou registros de sistemas, o timestamp forense pode ser o elemento decisivo para estabelecer ordem cronológica dos eventos.
A ISO/IEC 27037:2012 recomenda que toda evidência digital coletada seja acompanhada de registro de tempo sincronizado com fonte NTP confiável e que divergências de relógio entre sistemas sejam documentadas e explicadas no laudo — porque logs com horários incorretos não invalidam a evidência, mas precisam de contextualização para não induzir o julgador a erro.
Erros que invalidam a prova digital
A experiência em perícias corporativas e judiciais revela padrões recorrentes de falhas que comprometem a admissibilidade da evidência:
- Análise do original sem write-blocker: qualquer ferramenta de análise que monte o disco diretamente pode acionar o sistema de arquivos e modificar timestamps de acesso (atime). O perito não percebe, mas o laudo da defesa vai identificar.
- Hash calculado após a análise, não antes: calcular o hash somente ao final do processamento não prova nada sobre o estado na coleta. O hash deve ser o primeiro ato após a aquisição.
- Lacuna documental entre etapas: a ausência de um termo de transferência cria um período em que não há registro de quem tinha posse. A defesa pode sustentar que a evidência foi alterada nesse intervalo.
- Smartphone sem gaiola de Faraday: durante o transporte, o dispositivo permanece conectado à rede e pode receber comandos de remote wipe, perder dados de sincronização ou ter aplicativos atualizados automaticamente — modificando evidências sem ação do perito.
- Cópia lógica em vez de imagem bit a bit: cópia de arquivos preserva conteúdo, mas descarta espaço não alocado, arquivos deletados não recuperados e metadados de sistema. Para fins judiciais, a imagem forense é o padrão.
- Quebra do sigilo por acesso não registrado: se alguém acessa a central de custódia sem registro, cria-se uma oportunidade teórica de adulteração. Qualquer acesso deve ser logado, mesmo que seja apenas para verificação visual do lacre.
Cadeia de custódia em resposta a incidentes corporativos
Diferente da investigação policial, a resposta a incidentes corporativos enfrenta a tensão entre preservar evidências e restaurar a operação. Um servidor comprometido pode precisar ser reinstalado em horas para que a empresa volte a funcionar — mas se o comprometimento evoluir para processo judicial, a evidência destruída pode ser determinante.
A solução técnica é a imagem forense antes da reinstalação: com write-blocker e ferramenta adequada, o perito cria uma cópia completa do disco em duas a seis horas (dependendo do tamanho), preserva a evidência com hash verificado e libera o servidor para recuperação. O custo desse procedimento é desprezível comparado ao risco de não ter prova em um processo de responsabilização de insider threat ou de ação regressiva contra um fornecedor negligente.
O NIST SP 800-86 categoriza as fontes de evidência digital em quatro tipos, por ordem de volatilidade: (1) memória RAM e processos em execução; (2) configurações de rede ativas e conexões abertas; (3) conteúdo de disco não volátil; (4) logs e registros remotos. A coleta deve seguir essa ordem — do mais volátil ao menos volátil — para minimizar a perda de dados antes da imagem do disco.
Documentação do laudo pericial e admissibilidade
O laudo pericial que acompanha a cadeia de custódia deve conter, no mínimo: descrição dos equipamentos e mídias coletados com identificadores únicos; método de aquisição e ferramentas utilizadas com versão; hashes SHA-256 da mídia original e da imagem forense calculados no momento da coleta; registro de todos os profissionais que tiveram acesso à evidência e em que momento; achados da análise com referência às evidências que os sustentam; metodologia utilizada e normas seguidas (CPP arts. 158-A a 158-F; ISO/IEC 27037; NIST SP 800-86).
Um laudo que referencia explicitamente as normas aplicadas e demonstra conformidade com cada etapa da cadeia de custódia tem muito menor probabilidade de ser contestado com sucesso. A conformidade normativa documentada inverte o ônus: cabe à defesa demonstrar onde especificamente a cadeia foi rompida, não apenas alegar a possibilidade abstrata de adulteração.
Perguntas frequentes
- O que é cadeia de custódia digital?
- Cadeia de custódia digital é o conjunto de procedimentos documentados que registra cada etapa de manuseio de uma evidência eletrônica — desde sua identificação até o descarte —, garantindo que nenhuma alteração não autorizada ocorreu. No Brasil, o conceito está positivado nos arts. 158-A a 158-F do CPP, incluídos pela Lei 13.964/2019 (Pacote Anticrime).
- Por que a cadeia de custódia é obrigatória no processo penal brasileiro?
- O art. 158-A do CPP define que a cadeia de custódia é condição para a rastreabilidade dos meios de obtenção da prova. Sem ela, a defesa pode arguir nulidade da evidência por violação ao contraditório e à ampla defesa, tornando a prova inadmissível — independentemente de seu conteúdo incriminatório.
- Como o hashing SHA-256 protege a integridade de uma evidência digital?
- O algoritmo SHA-256 gera uma impressão digital de 256 bits única para qualquer arquivo ou imagem forense. Se um único bit for modificado, o hash muda completamente. Peritos documentam o hash no laudo antes e depois de cada manipulação; hashes idênticos provam que a evidência não foi alterada entre as etapas da cadeia.
- O que é um write-blocker e quando é necessário?
- Write-blocker é um dispositivo de hardware ou software que intercepta comandos de escrita entre o sistema do perito e a mídia original, permitindo leitura sem risco de gravar dados. Seu uso é mandatório na coleta de discos rígidos, SSDs e pen drives sempre que a evidência original precisa ser preservada em estado bit a bit.
- Quais erros mais comuns invalidam a prova digital no Brasil?
- Os erros mais frequentes são: coleta direta sem write-blocker; ausência de hash no momento da coleta; lacuna documental entre etapas; acondicionamento inadequado; quebra do sigilo da cadeia por acesso não registrado; descarte sem autorização judicial.
- Quais normas internacionais orientam a cadeia de custódia de evidências digitais?
- A ISO/IEC 27037:2012 define diretrizes para identificação, coleta, aquisição e preservação de evidências digitais. O NIST SP 800-86 estabelece boas práticas técnicas de aquisição e análise. Ambas complementam os requisitos do CPP brasileiro e são referenciadas em laudos periciais como parâmetro de conformidade.
Como a Decripte conduz perícia forense com cadeia de custódia
A Decripte realiza perícias forenses digitais com cadeia de custódia completa e laudo judicial para organizações de todos os portes — de MEIs e startups a empresas com mais de 100.000 colaboradores. Cada caso segue estritamente os arts. 158-A a 158-F do CPP, a ISO/IEC 27037 e o NIST SP 800-86, com documentação auditável em cada etapa e hashes SHA-256 registrados desde a aquisição.
Se a sua organização passou por um incidente — ransomware, vazamento de dados, fraude interna, acesso não autorizado — o tempo entre o incidente e a coleta forense é crítico. Evidências voláteis se perdem com cada reinicialização; arquivos de log têm retenção limitada; dispositivos móveis podem ser apagados remotamente. Quanto mais cedo a cadeia de custódia é estabelecida, maior a chance de a evidência ser admitida e o responsável identificado.
Entre em contato para um diagnóstico gratuito de resposta a incidentes ou para iniciar uma perícia forense: conheça o plano de resposta a incidentes ou acesse nosso formulário de contato para falar com um especialista.
