Em busca da melhor metodologia para a cadeia de custódia do vestígio cibernético

“Assim, no caso em questão, a pergunta a ser feita não é se houve ou não falsificação (inclusão ou exclusão) de dados do celular apreendido, (…), mas sim se foi feita a correta manipulação do celular, com os métodos adequados para extração de provas digitais, e a consequente documentação dessa manipulação para fins de extração das provas. A controvérsia envolve, portanto, a etapa do processamento, ou seja, a extração dos dados digitais de dentro do celular” [1].

A cadeia de custódia dos vestígios cibernéticos é um tema que cada dia ganha mais visibilidade na jurisprudência dos nossos tribunais. Em um mundo digital, onde continuamente surgem novos dispositivos com a capacidade de se conectar à rede (web) para coletar, enviar e receber dados, é natural que muitos casos penais sejam resolvidos a partir da análise da “internet das coisas” – expressão cunhada por Kevin Ashton em 1999 [2]. “Esse movimento disruptivo tem a potencialidade de amalgamar o mundo analógico ao virtual e fomentar o surgimento de um novo domínio: o das informações digitais” [3]. Os aparelhos celulares, nesse contexto, são uma forma de extensão da nossa própria mente [4] e da nossa “condição digital” [5] e, os dados ali armazenados, são regularmente utilizados para a solução de demandas judiciais.

As provas digitais possuem características que, muitas vezes, outorgam uma maior segurança para o magistrado quando se faz necessário proferir uma decisão na esfera criminal, espaço em que a relevância dos bens tutelados exige um standard probatório mais elevado quando comparado com feitos de ordem não-penal, na qual predomina o standard da mera preponderância. Sem a pretensão de inventar uma equação matemática para quantificar graus de probabilidade distintos, e abstraindo-se de qualquer juízo subjetivo de mero convencimento, o juiz criminal deve se pautar em uma prova de maior densidade para considerar provada a hipótese fática narrada na denúncia, especialmente quando se prepara para o ato da sentença.

Vantagens

Sem desprezar a utilidade das provas advindas da memória, é fato que as provas digitais garantem: (1) uma maior rastreabilidade e detalhamento das ações ali documentadas, tais como: logs de acesso, e-mails, mensagens instantâneas, transações financeiras, cronologia dos fatos, ou seja, dados valiosos que podem corroborar –  com elevado grau de confiabilidade – para a prova da existência de um fato, desmentir depoimentos em sentido contrário ou minimizar erros humanos advindos de lapsos de memória; (2) uma maior capacidade de armazenamento de informações quando comparada com a nossa memória, podendo incluir documentos, fotos, vídeos, localizações GPS, sendo aplicáveis a uma vasta gama de crimes (financeiros, tráfico, cibernéticos, etc.); (3) uma maior perenidade quando coletadas e preservadas corretamente, por exemplo, mediante o espelhamento de dados e o uso de algoritmos de hash; (4) uma maior eficiência na investigação quando as provas digitais são analisadas com softwares que conseguem otimizar a busca por datas, palavras-chave e identificar padrões de comportamento. Além disso, as novas tecnologias possibilitam o monitoramento de redes e a interceptação de comunicações em tempo real, o que pode ser significativo para determinados tipos de crime.

Recentemente, o Superior Tribunal de Justiça (STJ) proferiu mais uma importante decisão tratando do tema da quebra da cadeia de custódia em relação às provas digitais. Trata-se do Recurso em Habeas Corpus nº 188154 – RJ (2023/0360067-1), relatado pela ministra Daniela Teixeira. A decisão (monocrática) traz importantes reflexões quanto a vulnerabilidade das provas digitais e os procedimentos necessários para sua validação.

Contextualização do caso

No caso em discussão, o recorrente foi acusado de integrar uma organização criminosa envolvida em fraudes bancárias e clonagem de cartões. A defesa alegou a quebra da cadeia de custódia do aparelho celular utilizado como fonte de provas digitais, requerendo a exclusão dessas evidências do processo.

A apreensão do celular ocorreu em 04 de novembro de 2021, seguido por análises preliminares realizadas pelos inspetores de polícia em 09 de novembro de 2021 e 27 de janeiro de 2022. Posteriormente, em fevereiro de 2022, foi feita a extração completa dos dados na Subsecretaria de Inteligência.

A decisão proferida

O cerne da questão, pontuou a ministra Daniela Teixeira, não está atrelado a uma possível adição ou remoção de dados do celular (corretamente) apreendido. Mas sim, no procedimento utilizado para a manipulação e extração:

“Assim, no caso em questão, a pergunta a ser feita não é se houve ou não falsificação (inclusão ou exclusão) de dados do celular apreendido, (…), mas sim se foi feita a correta manipulação do celular, com os métodos adequados para extração de provas digitais, e a consequente documentação dessa manipulação para fins de extração das provas. A controvérsia envolve, portanto, a etapa do processamento, ou seja, a extração dos dados digitais de dentro do celular” [6].

A decisão trilha a discussão a respeito da autenticidade e integridade da prova digital a partir da inexistência da demonstração da história cronológica do manuseio do vestígio, em especial, da maneira como foram extraídos os dados contidos no aparelho. Trata-se da verificação da credibilidade ou fidedignidade das evidências a partir do procedimento utilizado para acessar o aparelho, quando ainda não realizado o seu espelhamento, algo que pode colocar em dúvida a uniformidade probatória. Extrai-se da decisão:

“A violação da documentação da cadeia de custódia acontece quando não há documentação alguma sobre o manuseio dos vestígios (inexistência de documentação) ou há documentação somente parcial das etapas da cadeia de custódia do vestígio, situações em que não há como atestar quem, como e quando o vestígio foi manuseado e se houve ou não o respeito a determinados requisitos. Por consequência, é possível questionar a autenticidade e a integridade da prova produzida a partir deste vestígio. Levanta-se, assim, desconfiança sobre a prova produzida a partir daquele vestígio.

Não se trata, portanto, de falsificação ou contaminação da prova efetivamente constatadas, mas a não documentação exata do que foi feito com o vestígio no caminho entre sua coleta e a produção da prova em juízo” [7].

A quebra da documentação da cadeia de custódia restou reconhecida pela manipulação do celular e extração dos dados (prints de telas) sem o prévio espelhamento do aparelho, com a determinação do desentranhamento do HD e dos “relatórios de análises preliminares do aparelho de celular”. Extrai-se da fundamentação:

“O problema, porém, está no processamento feito antes dessa extração integral pelos inspetores. Logo após a apreensão, em 09 de novembro de 2021 e em 27 de janeiro de 2022, os inspetores manipularam o celular, extraíram dados e provas digitais (prints das telas) e elaboraram relatórios preliminares, mas não há qualquer descrição de que, antes de abrirem o vestígio para fazer essas extrações de dados, realizaram algum tipo de espelhamento ou cópia.

Neste momento houve evidente ‘quebra’ da documentação da cadeia de custódia, pois não se documentou a ‘manipulação do vestígio de acordo com a metodologia adequada às suas características … físicas…’ como exige o art. 158-B, inc. VIII, do CPP.

Para realizar as mencionadas análises preliminares, os inspetores deveriam ter, previamente, realizado cópia ou espelhamento do suporte em que está registrado o arquivo de dados e, principalmente, deveriam ter documentado que realizaram esse procedimento. Porém, essa descrição não foi feita, surgindo a desconfiança na prova produzida e ocasionando a violação da documentação da cadeia de custódia da prova” [8].

Diferente do que ocorre com a maioria das evidências físicas, o vestígio cibernético mostra-se altamente volátil, ou seja, pode ser modificado, sobrescrito ou apagado, mesmo que de forma acidental. O tipo de suporte de armazenamento; o uso do ambiente cibernético; ações antiforenses utilizadas para ocultar, destruir ou corromper os vestígios; falhas de hardware ou do software; condições ambientais desfavoráveis (umidade, interferência eletromagnética, etc.); e, as próprias características intrínsecas de determinada tecnologia (por exemplo, a ação de coleta de lixo ativa em discos SSD ou início de rotina automática de backup em um telefone celular), podem facilmente influenciar no isolamento e preservação do vestígio cibernético. Tratando da “desmaterialização” como uma característica imante das provas digitais, Badaró aduz:

“E é exatamente dessa não materialidade que decorrem os caráteres de volatilidade e fragilidade da própria prova digital, razão pela qual há necessidade de uma maior preocupação com a possibilidade de falsificação ou destruição. Há, na prova digital, uma ‘congênita mutabilidade’ ou ‘fácil alterabilidade’. Em suma, trata-se de fonte de prova que pode ser facilmente contaminada, sendo sua gestão muito delicada, por apresentar um alto grau de vulnerabilidade a erros” [9].

Devemos ter em mente que, no ambiente digital, “o que se manipula são dados (bits), em geral intangíveis, imateriais e longe do alcance dos modelos analógicos de percepção e de conhecimento da realidade” [10], fato que impõe o uso de uma metodologia precisa e uniforme que propicie a maior fidedignidade possível – com o emprego sempre das melhores técnicas – na análise do vestígio cibernético.

Para tanto, faz-se necessária a construção de uma padronização que alcance as mais variadas fases da cadeia de custódia do vestígio cibernético e que esteja atualizada de acordo com a melhor técnica. Nesse intuito, considerando a inexistência de uma metodologia consagrada para o tratamento do tema, o STJ tem se mostrado um ator importante na construção de balizas que, respeitando as garantias constitucionais, possibilitem o aprimoramento desse meio probatório. Recentemente, a esse respeito, destacamos as seguintes decisões: STJ, AgRg no HC nº 828.054/RN, relator ministro Joel Ilan Paciornik, 5ª Turma, julgado em 23/4/2024, DJe de 29/4/2024; STJ, AgRg no RHC nº 143.169/RJ, relator ministro Messod Azulay Neto, relator para acórdão ministro Ribeiro Dantas, 5ª Turma, julgado em 7/2/2023, DJe de 2/3/2023.

De maneira geral e, no intuito de colaborar com o tema (ainda) em construção, consignamos que a cadeia de custódia de vestígios cibernéticos deve observar a documentação [11] e o registro das seguintes fases:

(1) reconhecimento e individualização – identificação de um elemento como de potencial interesse para a produção da prova pericial;

(2) isolamento – preservação do ambiente imediato e mediato que se mostre relacionado aos vestígios e local de crime;

(3) fixação – descrição detalhada do vestígio acompanhada de fotografias, filmagens, croqui, etc.;

(4) coleta do vestígio em ato único, mediante apreensão e espelhamento do seu conteúdo em suporte diverso da origem, possibilitando-se o compartilhamento da cópia entre a perícia, a polícia judiciária o Ministério Público e a Defesa, com a utilização de software adequado [1][2] e mediante o cálculo de algoritmo hash [12][13]. É o que adverte Luigi Cuomo:

“Para não dispersar meios de prova tão voláteis e para garantir a autenticidade dos dados, é recomendável que a análise das trilhas informáticas seja realizada não no original do suporte apreendido, mas em um duplicado devidamente gerado. A duplicação das informações é ainda mais necessária se considerarmos que o investigado pode ter a necessidade de realizar uma nova análise dos dados confiada a um perito técnico, que deve realizar suas avaliações em um ambiente informático ainda genuíno e não irremediavelmente contaminado” [3].

(5) acondicionamento de cada vestígio, com anotação da data, hora, local e nome de quem realizou a coleta [14];

(6) transporte do vestígio, garantindo a preservação das suas caraterísticas originais;

(7) recebimento na central de custódia;

(8) processamento e análise do vestígio, fazendo-se uso da cópia espelhada, preservando-se o conteúdo original em sua autenticidade e integridade;

(9) armazenamento em local adequado para eventual contraperícia, descarte ou transporte;

(10) descarte após decisão judicial.

A decisão no RHC 188.154/RJ reforça a importância da discussão a respeito da cadeia de custódia na produção de provas cibernéticas, ressaltando o entendimento de que a ausência de procedimentos rigorosos e documentação adequada compromete a integridade das evidências, resultando em sua inadmissibilidade no processo penal. Este caso estabelece um precedente significativo, sublinhando a necessidade de seguir-se as melhores práticas para a preservação da autenticidade e integridade das provas cibernéticas, com o intuito de garantir-se o seu valor epistêmico para a reconstrução histórica dos fatos.

[1] Trecho do voto proferido pela min. Daniela Teixeira no RHC nº 188.154/RJ, j. 22/7/2024.

[2] Em entrevista para a Finep – Inovação e Pesquisa, Ashton explicou o significado do termo “Internet das Coisas” (IoT, na sigla em inglês): “O fato de eu ter sido provavelmente a primeira pessoa a dizer “Internet das Coisas” não me dá nenhum direito de controle sobre como os outros usam a frase, obviamente. Mas o que eu quis dizer à época, e ainda considero isso válido, se baseia na ideia de que estamos presenciando o momento em que duas redes distintas – a rede de comunicações humana (exemplificada na internet) e o mundo real das coisas – precisam se encontrar. Um ponto de encontro onde não mais apenas “usaremos um computador”, mas onde o “computador se use” independentemente, de modo a tornar a vida mais eficiente. Os objetos – as “coisas” – estarão conectados entre si e em rede, de modo inteligente, e passarão a “sentir” o mundo ao redor e a interagir”. Disponível em: http://finep.gov.br/noticias/todas-noticias/4446-kevin-ashton-entrevista-exclusiva-com-o-criador-do-termo-internet-das-coisas, com acesso em 31/7/2024.

[3] AVELAR, Daniel Ribeiro Surdi de. A fiabilidade e o disclosure da prova digital. In. Consultor Jurídico (Conjur), veiculado em 09/12/2023, disponível em: https://www.conjur.com.br/2023-dez-09/a-fiabilidade-e-o-disclosure-da-prova-digital/, com acesso em 31/08/2024.

[4] A respeito da “Teoria da Mente Estendida”, sugerimos a leitura: AVELAR, Daniel Ribeiro Surdi de. Software espião e monitoramento secreto de dispositivos de dados e comunicação. In. Consultor Jurídico (Conjur), veiculado em 29/06/2024, disponível em: https://www.conjur.com.br/2024-jun-29/software-espiao-e-monitoramento-secreto-de-dispositivos-de-dados-e-comunicacao/ e com acesso em 31/07/2024.

[5] SUÁREZ, Juan Luis. La condición digital. Madrid: Editorial Trotta, 2023, p. 20

[6] Trecho da decisão proferida pela min. Daniela Teixeira no RHC nº 188.154/RJ, j. 22/07/2024.

[7] Trecho da decisão proferida pela min. Daniela Teixeira no RHC nº 188.154/RJ, j. 22/07/2024.

[8] Id. Conforme já assestado pelo STJ: “(…). É ônus do Estado comprovar a integridade e confiabilidade das fontes de prova por ele apresentadas. É incabível, aqui, simplesmente presumir a veracidade das alegações estatais, quando descumpridos os procedimentos referentes à cadeia de custódia. No processo penal, a atividade do Estado é o objeto do controle de legalidade, e não o parâmetro do controle; isto é, cabe ao Judiciário controlar a atuação do Estado-acusação a partir do direito, e não a partir de uma autoproclamada confiança que o Estado-acusação deposita em si mesmo. (…). (AgRg no RHC n. 143.169/RJ, relator Ministro Messod Azulay Neto, relator para acórdão Ministro Ribeiro Dantas, Quinta Turma, julgado em 7/2/2023, DJe de 2/3/2023.). No mesmo caminho: “Não havendo documentação da cadeia de custódia, e não sendo possível sequer ligar o dado probatório à ocorrência do delito o mesmo não deverá ser admitido no processo. A parte que pretende a produção de uma prova digital tem o ônus de demonstrar a sua integridade e autenticidade, por meio da documentação da cadeia de custódia. Sem isso, sequer é possível constatar sua relevância probatória”. (BADARÓ, Gustavo. A cadeia de custódia da prova digital. In. Direito Probatório. Gustavo Osna; Ingo W. Sarlet; Janaína R. Matida; Luis A. Reichelt; Marco Félix Jobim; Vitor de Paula Ramos (org). Londrina: Thoth Editora, 2023, p. 83).,

[9] BADARÓ, Gustavo. A cadeia de custódia da prova digital. … p. 175.

[10] SOUZA, Bernardo de Azevedo; MUNHOZ, Alexandre; CAVALHO, Romullo. Manual prático de provas digitais. São Paulo: Thomson Reuters Brasil, 2023, p. 8.

[11] “Realmente, a documentação da cadeia de custódia é essencial no caso de análise de dados digitais, porque permite assegurar a autenticidade e integralidade dos elementos de prova e submeter tal atividade investigativa à posterior crítica judiciária das partes, excluindo que tenha havido alterações indevidas do material digital”. (BADARÓ, Gustavo. A cadeia…, p. 180).

[12] Trata-se de recomendação constante de recentes decisões do STJ: STJ, AgRg no HC n. 828.054/RN, relator Ministro Joel Ilan Paciornik, Quinta Turma, julgado em 23/4/2024, DJe de 29/4/2024; STJ, AgRg no RHC n. 143.169/RJ, relator Ministro Messod Azulay Neto, relator para acórdão Ministro Ribeiro Dantas, Quinta Turma, julgado em 7/2/2023, DJe de 2/3/2023.

[13] “Um algoritmo de hash é um conjunto de cálculos que pega qualquer quantidade de dados (entrada) e cria um valor de comprimento fixo (saída), conhecido como hash, que atua como um número de referência exclusivo para os dados originais (Liu, 2011; Sachowski, 2018). Os valores de hash têm comprimento fixo e são formados por uma combinação exclusiva de dígitos hexadecimais (que podem ser os números 0-9 ou as letras a-f). Esses valores de hash funcionam como impressões digitais, pois são exclusivos dos dados originais aos quais fazem referência (Liu, 2011). Os valores de hash desempenham um papel fundamental na verificação de evidências digitais porque são extremamente sensíveis a qualquer alteração nos dados originais, mesmo que alterem apenas um bit. O processo de criação de um valor de hash a partir de uma quantidade variável de dados é conhecido como hashing. Para verificar se os dados originais foram preservados durante a geração de imagens, é criado um valor de hash para a unidade original e sua imagem. Se os valores de hash forem iguais, o investigador verificou que as cópias original e duplicada são a mesma coisa. Em outras palavras, o examinador forense digital pode agora procurar evidências digitais na cópia duplicada como se estivesse procurando no dispositivo digital original (por exemplo, telefone celular). Se, durante o processo de geração de imagens, ocorrer alguma alteração na unidade original, os valores de hash serão diferentes, indicando que a imagem não é uma cópia exata da unidade original. Os valores de hash funcionam como uma impressão digital para arquivos eletrônicos (por exemplo, imagens, documentos) e mídias de armazenamento (por exemplo, disco rígido)”. (HOLT, Thomas J.; BOSSLER, Adam M.; SEIGFRIED-SPELLAR, Kathryn C. Cybercrime and digital forensics. An introduction. New York: Routledge, 2018, p. 580).

[14] “A necessidade de documentação da cadeia de custódia é fundamental para assegurar o potencial epistêmico das fontes de prova reais. As coisas, por existirem independente e extraprocessualmente, deverão ser coletadas e levadas ao processo por algum meio de prova correspondente, como a juntada de documentos, o laudo pericial ou mesmo a inspeção judicial. Para tanto, será necessário manter um registro rigoroso de todas as pessoas que tiveram sob o seu poder físico os elementos de prova, desde sua coleta até a sua apresentação em juízo”. (BADARÓ, Gustavo. A cadeia…, p. 180).

[1] “O sistema deve operar de maneira não invasiva, por exemplo, com o auxílio de um bloqueio de escrita, que permite não comprometer a integridade dos dados contidos no suporte, como a variação de um simples horário de acesso aos arquivos. O procedimento descrito é adequado para evitar que, durante a fase de aquisição, possam ocorrer (mesmo inadvertidamente) operações de escrita nos arquivos a importar ou modificações acidentais da disposição lógica das informações nos vários setores do suporte informático de armazenamento. Do ponto de vista investigativo e operacional, trata-se de salvaguardar as necessidades de: a) adquirir as provas sem modificar o sistema informático em que se encontram; b) garantir que as provas transportadas para outro suporte sejam perfeitamente idênticas às originais; c) analisar os dados sem realizar qualquer alteração que possa falsear o resultado” (CUOMO, Luigi. La proa digitale. In. Prova Scientifica e Processo Penale. Gionanni Canzio e Luca Lupária (org). Milano: Wolters kluwer – DECAM, 2008 (E-book).

[2] “A extração de cópia dos dados de um suporte de armazenamento deve ocorrer mediante software aplicativos que certifiquem a conformidade com o original e permitam aos investigadores analisar os dados reproduzidos em cópia bit a bit sem afetar as informações originais: a operação técnica deve ser realizada com a criação de uma imagem digital (bitstream-image), que permite a cristalização dos dados em uma cópia-clone imutável do conteúdo do suporte informático”. CUOMO, Luigi. La proa digitale. …

[3] CUOMO, Luigi. La proa digitale. …