Punir mais, investigar menos: déficit técnico da legislação penal e prova digital

O Anuário Brasileiro de Segurança Pública de 2025 (FBSP, 2025) registrou crescimento de 408% das fraudes virtuais entre 2018 e 2024. A resposta legislativa seguiu a lógica mais previsível do punitivismo, o agravamento da pena da fraude eletrônica. Essa reação corresponde ao que Hassemer e Muñoz Conde (2020, p.26) descrevem como direito penal simbólico. Isto é, reformas que respondem ao clamor punitivo sem articulação com os instrumentos concretos da persecução penal, resultando em um sistema que agrava a resposta penal justamente em crimes cuja prova continua precária.

O problema tem raízes anteriores e vem sendo reiterado por sucessivas mudanças legislativas. Desde a reforma processual penal de 2008, passando pelo Marco Civil da Internet, pela Lei 13.964/2019 e pela EC 115/2022, o ordenamento brasileiro acumulou marcos normativos sobre o ambiente digital. Nenhum deles, no entanto, instituiu um regime realmente coerente para a produção, extração e custódia da prova digital nos crimes em que ela é decisiva para comprovação da materialidade. O padrão mais recente e emblemático desse padrão se manifestou com o agravamento de penas da fraude eletrônica.

O que o legislador desconhece sobre a prova que exige

O ponto de partida do problema é técnico, mas as suas consequências são puramente jurídicas. Como observam Raffaella Brighi e Michele Ferrazzano (2021, p. 14-18), o dado digital é uma representação binária que exige operações técnicas de transformação e interpretação, capazes de produzir resultados distintos conforme o método empregado. Sem interpretação técnica, dados permanecem sem significado probatório. Daí a conclusão de Geraldo Prado "o corpo de delito informático é complexo porque dependente do próprio método de sua verificação" (2023, p. 318).

Essa circularidade entre método e resultado não é um detalhe; ela ajuda a explicar por que a fraude eletrônica continua marcada por elevada impunidade, apesar da severidade das penas cominadas. Quando o legislador agrava a pena sem disciplinar o método de verificação do corpo de delito digital, produz um aumento que não melhora a capacidade persecutória do Estado.

A situação se agrava porque a prova digital da fraude eletrônica não é apenas imaterial e volátil, como já observou Denise Provasi Vaz (2012, p. 67-70), ela é também bifurcada, compondo-se de dados e de metadados. Nesse sentido, o Professor Geraldo Prado alertou sobre a verificação do estado dos dispositivos digitais e o controle do processo de extração dos dados "não são consideradas ações que para fins probatórios possam ser levadas a cabo sem controle e sem a descrição da técnica fiável de migração do dado eletrônico, seja ele som ou imagem, ou ambos, com a correta datação e constatação de que o equipamento de origem está aferido e igualmente fiável também no tocante aos metadados" (2023, p. 340).

O vazio normativo da cadeia de custódia e dos metadados em espécie

Embora a Lei 13.964/2019 tenha regulamentado a cadeia de custódia nos arts. 158-A a 158-F do CPP, esse movimento foi insuficiente. Como destaca Fernando Miró Llinares, os crimes cibernéticos ocorrem em um espaço de comunicação social distinto do espaço físico, o que exige revisão criminológica da explicação do delito e adaptação das normas jurídicas para sua prevenção (2011, p. 07:3). Em paralelo, Marta Saad, Helena Costa Rossi e Pedro Henrique Partata apontam que as características da prova digital "impõem rigorosos critérios de cadeia de custódia da prova digital", pois "as suas características distintivas informam que são vulneráveis a erros conscientes ou não e exigem, via de regra, intervenção técnica para a sua coleta" (2024, p. 6). Percebe-se que a lei de 2019, orientada ao vestígio pericial físico, não deu essa resposta à necessidade de um standard técnico mínimo implícito (CAPANEMA, p. 259-260).

Esse vazio se torna especialmente grave quando se trata de metadados em espécie, embutidos nos próprios arquivos digitais. Imagens no formato JPEG ou HEIC carregam metadados EXIF que incluem coordenadas GPS, data e hora, modelo do dispositivo e configurações da câmera; arquivos de áudio em MP3 carregam metadados ID3 com informações de criação; documentos PDF e arquivos Adobe carregam metadados XMP com histórico completo de edições e autoria. Em investigações de fraude eletrônica, prints de comprovantes falsos, deep fakes e documentos adulterados circulam justamente nesses formatos. No entanto, esses metadados são trivialmente alteráveis; qualquer software de edição de imagem, por exemplo, pode modificar datas EXIF sem deixar rastro visível. Ainda assim, o CPP brasileiro não prevê qualquer protocolo para verificar "ligação clara entre a informação apresentada e a fonte legalmente adquirida da qual provém" (HEILIK, 2019, p. 16-17).

Nesse cenário, normas técnicas como a ISO/IEC 27037:2013 e protocolos operacionais voltados à perícia digital — RFC 3227 da Polícia Federal e o POP SENASP, nº 5 (2024) — procuram fixar diretrizes de identificação, coleta, aquisição e preservação de evidência digital. Esses instrumentos convergem em um ponto central: a verificação do hash criptográfico, uma assinatura digital que funciona como uma espécie de "DNA do arquivo" (DOMINGOS, 2015, p.197). O cálculo criptográfico do hash deveria ser realizado antes e depois de qualquer operação de extração e manuseio, de modo a comprovar que nenhum bit foi alterado. Porém, na ausência de previsão legal expressa, esse protocolo depende da diligência técnica das partes e do juízo para aplicar as normas por analogia, cominação, interpretação aberta à tecnologia, entre outros, o que reduz significativamente a segurança jurídica no ordenamento pátrio (ROSSI, 2026, p.204-212).

Esse estado de coisas reproduz, no campo da prova digital, o problema que Geraldo Prado já identificara há mais de uma década em relação às interceptações telefônicas. Em sistemas de gravação e armazenamento de interceptações, a separação entre áudio, metadados e banco relacional pode gerar inconsistências que exigem verificação técnica rigorosa, porque podem "influenciar na interpretação do conjunto probatório, tendo em vista a natureza persuasiva das provas" (PRADO, 2014, p. 82).

IA generativa, metadados de proveniência e o novo desafio epistêmico

Ao problema clássico da integridade dos metadados soma-se um desafio novo: o uso de conteúdo gerado ou modificado por IA generativa como prova penal. Daniela Dora Eilberg (2024, p.30) já antecipava essa dimensão ao identificar que os marcos tecnológicos da investigação criminal incluem hoje a "IAG — IA Generativa" como categoria de desafio própria, ao lado da computação em nuvem e da Internet das Coisas (IoT).

O ponto crítico está no seguinte: ferramentas de IA generativa produzem arquivos que podem conter metadados indicativos de sua origem artificial. O padrão C2PA (Coalition for Content Provenance and Authenticity), desenvolvido por Adobe, Microsoft, BBC e outros, permite inserir metadados criptograficamente assinados em arquivos de imagem, vídeo e áudio, documentando sua origem e histórico de modificações, incluindo a indicação de que o conteúdo foi gerado ou alterado por IA. Assim, quando uma prova digital apresenta metadados C2PA, indica origem em IA, cuja autenticidade exige verificação reforçada, mas o CPP brasileiro ainda não oferece qualquer regime para enfrentar essa contestação.

Uma vez que a prova serve ao Processo e não às Partes (LIMA, 2026, p. 1401), o problema atinge tanto a acusação quanto a defesa. A acusação deve apresentar prova digital, que fora elaborada ou manuseada com auxílio de IA, juntamente aos metadados C2PA indicativos de sua origem; a defesa, por sua vez, deve ter instrumentos legais para exigir a análise de proveniência de provas digitais apresentadas pela acusação sem tal verificação. Saad, Rossi e Partata (2024, p. 2) já apontavam que a legislação "deve prever requisitos mínimos para a obtenção de provas digitais, a balizar as decisões judiciais", concluindo afirmativamente que a "obtenção de provas digitais demanda uma disciplina jurídica própria no processo penal brasileiro". Esse imperativo, já inequívoco para a prova digital em geral, torna-se ainda mais urgente quando os metadados de IA integram o campo probatório.

O que a ausência produz: contaminação epistêmica como resultado sistêmico

A consequência prática desse conjunto de omissões é que ele pode culminar na contaminação epistêmica: não a incapacidade de se obter elementos de informação, mas a incapacidade de produzir provas que resistam ao escrutínio de admissibilidade. Como Geraldo Prado sintetizou com precisão cirúrgica: "não existe uma cadeia de custódia da prova digital pela metade. A auditabilidade da prova digital que viabilize a sua rastreabilidade (...) revela-se condição sine qua non de validade jurídica do ato probatório" (2023, p. 325).

A solução não passa, necessariamente, por nova lei. O art. 158 do CPP já exige o exame de corpo de delito para todos os crimes que deixam vestígios. O dado digital é um vestígio. Os arts. 158-A a 158-F já estabelecem os contornos gerais da cadeia de custódia. O art. 157 já interdita a valoração da prova obtida em violação às normas constitucionais ou legais. O que falta é que doutrina e jurisprudência construam, a partir dessas bases, um regime específico de cadeia de custódia digital que exija: (a) verificação de hash antes e após qualquer extração de dados e metadados; (b) declaração pericial sobre o padrão de metadados em espécie aplicável ao arquivo examinado (EXIF, ID3, XMP, IPTC, C2PA); (c) registro do software de extração forense utilizado e sua versão certificada; (d) protocolo específico para identificação de conteúdo gerado ou modificado por IA.

O legislador que agrava penas sem responder a nenhuma dessas questões não combate a fraude eletrônica, administra a aparência de que a combate. Do mesmo modo, um processo penal que aceita provas digitais sem integridade demonstrada abdica de sua função cognitiva. Sem verificação empírica da acusação, a condenação deixa de ser um ato de conhecimento e passa a ser apenas uma forma de arbítrio (FERRAJOLI, 2014, p. 41).