Módulo 01 — Fundamentos
Fundamentos das Ciências Forenses
Toda perícia começa com uma pergunta simples: dá para confiar neste arquivo, nesta foto, neste documento? Este módulo apresenta a base das ciências forenses para quem não é da área: o que faz um perito criminal, a diferença entre vestígio e evidência, o que a lei brasileira exige na cadeia de custódia e como o hash SHA-256 comprova a integridade de uma prova digital.
O que são ciências forenses?
Ciências forenses são as disciplinas científicas aplicadas a fatos de interesse da Justiça. Quando um processo precisa saber se um documento foi adulterado, se uma imagem passou por edição ou de onde partiu um golpe, é o método científico que sustenta a resposta, não a opinião de quem analisa. Química, medicina legal, balística e computação forense fazem parte desse conjunto.
A palavra "forense" vem do latim forensis, relativo ao foro: o espaço público onde os romanos debatiam seus casos. O sentido permanece até hoje. Conhecimento forense é aquele produzido para ser apresentado e questionado em juízo.
Na prática, o raciocínio vale tanto para uma cena de crime física quanto para um golpe aplicado pelo WhatsApp. Alguém coleta os vestígios, examina com método e explica o resultado de um jeito que qualquer outro especialista consiga repetir o procedimento e conferir as conclusões. Essa possibilidade de verificação independente é o que separa uma prova técnica de um palpite.
O que é perícia criminal e o que faz um perito
Perícia criminal é a aplicação das ciências forenses a uma investigação. O perito examina os vestígios e registra o trabalho em um laudo pericial: um documento técnico que descreve o que foi encontrado, qual método foi usado no exame e a que conclusões ele levou.
O laudo não acusa nem absolve. Ele apresenta fatos técnicos, e a decisão cabe ao juiz. Para servir ao processo, o trabalho pericial precisa ser reprodutível: outro perito, partindo dos mesmos vestígios e do mesmo método, deve chegar ao mesmo resultado. Um laudo que não explica o próprio método tem pouco valor em juízo, por mais categórica que seja a conclusão.
Na perícia digital o princípio é o mesmo. Um print de conversa, um arquivo ou um link suspeito são examinados com critérios objetivos, e cada etapa do exame fica documentada para que o resultado possa ser conferido depois por quem quer que seja.
Vestígio, evidência e prova: qual a diferença?
Três palavras que circulam como sinônimos têm pesos bem diferentes em uma investigação:
- Vestígio é qualquer marca ou objeto encontrado que pode ter relação com o fato. É um dado bruto, ainda não examinado. Uma foto recebida pelo WhatsApp, um PDF que chegou por e-mail ou um link suspeito são vestígios enquanto ninguém os analisar com método.
- Evidência é o vestígio depois do exame, quando a análise técnica demonstra que ele tem relação com o caso. A mesma foto, se o exame revelar marcas de edição nos metadados e inconsistências nos pixels, vira evidência de adulteração.
- Prova é a evidência levada ao processo, onde passa pelo contraditório: a outra parte pode questioná-la, e o juiz decide o peso que ela terá na decisão.
O que separa um vestígio de uma evidência não é o objeto em si, é a qualidade e a documentação do exame. Sem registro de como, quando e por quem a análise foi feita, qualquer resultado pode ser contestado. Essa exigência de rastreabilidade leva direto ao tema da próxima lição: a cadeia de custódia.
Cadeia de custódia: o que é e o que diz a lei
Cadeia de custódia é o registro de tudo o que acontece com um vestígio desde a coleta até a apresentação em juízo: quem coletou, quando, como foi transportado e armazenado, e quem teve acesso a ele em cada etapa.
Esse histórico existe porque a defesa sempre pode alegar que a prova foi trocada ou alterada no caminho. Se o registro tem lacunas, a alegação ganha força, e uma prova tecnicamente sólida pode perder valor no processo.
Hash SHA-256: a impressão digital do arquivo
No ambiente digital, o pilar técnico da cadeia de custódia é o hash criptográfico. O algoritmo mais usado em perícia é o SHA-256 (Secure Hash Algorithm, 256 bits). Aplicado a qualquer arquivo, seja um PDF, uma imagem, uma planilha ou uma conversa exportada, ele produz um código de 64 caracteres que representa exatamente aquele conteúdo naquele instante.
A propriedade que importa aqui é o efeito avalanche: alterar um único byte do arquivo produz um hash completamente diferente. Não existe variação sutil nem mudança proporcional; o código muda por inteiro, qualquer que seja o tamanho do arquivo. Por isso comparar hashes é a forma mais direta de verificar a integridade de um arquivo.
Veja o efeito avalanche acontecer
Um contrato em PDF, seu hash SHA-256 — e o que acontece quando um único caractere muda.
"… o CONTRATANTE pagará o valor de R$ 12.000,00, em parcela única, até o quinto dia útil …"
Hash íntegro — o arquivo é idêntico ao registrado. ✓ integridade confirmada
O SHA-256 está em toda parte: sistemas operacionais conferem downloads com ele, plataformas de nuvem validam cada transferência, assinaturas digitais incluem o hash do conteúdo assinado e cartórios eletrônicos o usam para garantir a imutabilidade dos registros.
Como detectar adulteração na prática
Suponha que você recebeu um contrato em PDF e suspeita que uma cláusula foi alterada depois da assinatura:
- Quem gerou o documento registra o SHA-256 no momento da assinatura.
- Você calcula o SHA-256 da versão recebida.
- Códigos idênticos, caractere por caractere, significam que o arquivo não sofreu nenhuma modificação.
- Códigos diferentes significam que houve alteração. Essa divergência é evidência técnica.
A mesma verificação resolve outros casos comuns: um laudo médico com diagnóstico suspeito, uma nota fiscal com valor diferente do emitido pelo sistema, uma conversa de WhatsApp exportada como prova digital em um processo, uma certidão recebida por e-mail com dados estranhos.
As 8 etapas do vestígio segundo o CPP
Deslize para percorrer a cadeia — cada elo é um registro obrigatório.
Isolamento
Preservar o local para evitar contaminação do vestígio antes da coleta.
No digitalNão abrir o arquivo original: abrir já altera os metadados.
Coleta
O vestígio é recolhido por profissional habilitado, com registro de quem e quando.
No digitalHash SHA-256 calculado antes de qualquer processamento.
Acondicionamento
Embalagem individual que preserve as características do que foi coletado.
No digitalCópia forense íntegra; o original nunca é manipulado.
Transporte
Deslocamento registrado, sem quebra de lacre entre origem e destino.
No digitalHash conferido após cada transferência de posse.
Recebimento
Transferência formal de posse: quem entregou, quem recebeu e em que estado.
No digitalO novo hash bate com o registrado? Posse aceita.
Processamento
O exame pericial propriamente dito, com método documentado e reprodutível.
No digitalSempre sobre a cópia forense, nunca sobre o original.
Armazenamento
Guarda em condições controladas enquanto o processo estiver em curso.
No digitalHash reconferível a qualquer momento do processo.
Descarte
Liberação ou destruição autorizada — também registrada, fechando a cadeia.
No digitalO registro do descarte encerra a trilha de custódia.
Introdução à perícia digital
A perícia digital, também chamada de forense computacional, aplica o método forense a celulares, computadores, arquivos e à internet. Seu objeto é a evidência digital: um e-mail, os metadados de uma foto, o registro de acesso a um sistema, um link de phishing.
Vestígios digitais têm uma característica que muda tudo: são frágeis e podem ser alterados sem deixar rastro visível. Abrir um arquivo da forma errada modifica seus metadados. Copiar uma foto para outra pasta altera a data de criação. Por isso a coleta cuidadosa e a cadeia de custódia pesam ainda mais aqui do que na perícia física, em que os vestígios materiais resistem melhor ao tempo.
A demanda por perícia digital cresceu junto com os crimes virtuais no Brasil: golpes pelo WhatsApp e pelo Pix, documentos PDF adulterados, perfis falsos, deepfakes. Em todos esses casos o trabalho começa no mesmo ponto, que é identificar e preservar os vestígios antes que se percam ou sejam alterados.
Essa triagem inicial é o que o MetaScope coloca ao alcance de qualquer pessoa: examinar imagens, documentos e links com critérios técnicos e registrar a integridade dos arquivos antes de decidir se o caso justifica uma perícia formal.
Esse campo tem produzido soluções para diferentes frentes da computação forense aplicada ao contexto jurídico brasileiro — de reconstrução de cenas físicas a análise de mídias digitais. Um [portfólio de ferramentas desenvolvidas para esse contexto](https://www.investigacaoforense.com/portfolio) pode ajudar a identificar qual tipo de análise se encaixa melhor em cada situação.
Perguntas frequentes
Print de WhatsApp e prova digital têm validade jurídica?
Têm, desde que a cadeia de custódia seja respeitada e o exame seja reprodutível. Laudos produzidos com método documentado são aceitos em processos cíveis, trabalhistas e criminais. O juiz avalia a qualidade técnica e a rastreabilidade do exame, não apenas a conclusão final. Um print isolado, sem preservação de integridade, tem valor probatório bem menor do que o mesmo print acompanhado de hash e registro de origem.
Qualquer pessoa pode solicitar uma perícia?
Sim. Qualquer parte de um processo pode requerer a perícia ao juízo, e também pode contratar um assistente técnico particular para revisar um laudo oficial ou produzir um parecer independente.
E se o suspeito apagar o arquivo original?
O hash preservado antes do apagamento continua valendo: ele prova que aquele conteúdo existiu naquele estado. Se outro arquivo for apresentado depois, o hash será diferente, e a divergência é em si uma evidência técnica relevante.
O MetaScope substitui um laudo pericial?
Não. O MetaScope é uma ferramenta de triagem e preservação de vestígios digitais: identifica sinais técnicos e documenta a integridade dos arquivos. O laudo com validade jurídica plena exige um perito habilitado e segue rito processual próprio.