O Dia em Que um Servidor de Imagens Mudou o Rumo de Uma Investigação
Em uma vara criminal de uma capital brasileira, um processo tramitava há quase três anos sem que a autoria material pudesse ser comprovada de forma irrefutável. O réu alegava que seu computador havia sido invadido remotamente e que jamais havia acessado, armazenado ou compartilhado material de abuso sexual infantil. A defesa era tecnicamente elaborada: logs de acesso foram questionados, datas de arquivos foram contestadas e a cadeia de custódia das mídias apreendidas foi atacada ponto a ponto. Foi a perícia em pornografia infantil — conduzida com rigor absoluto sobre metadados EXIF, hashes SHA-256 e análise de artefatos de sistema de arquivos — que desfez o argumento. Os carimbos de tempo gravados na memória do disco, incompatíveis com qualquer acesso remoto alegado, e a presença de fragmentos de arquivos em setores marcados como livres, recuperados por análise bit a bit, colocaram o réu diante de evidências irrefutáveis. Em 2026, com o Brasil registrando mais de 180 mil denúncias de crimes sexuais contra crianças na internet apenas em 2023 (dados da SaferNet Brasil), entender como o perito atua nessa seara é urgente, necessário e eticamente indispensável.
Este guia aborda em profundidade o trabalho técnico, jurídico e ético do perito criminal nas investigações de pornografia infantil na deep web e na internet convencional. Cada etapa — da infiltração digital à emissão do laudo — será detalhada com a precisão que o tema exige e a sobriedade que ele demanda.
Resumo Executivo: O Que Você Vai Aprender
- Fundamento legal central: o ECA, nos Arts. 240 a 241-E da Lei 8.069/1990, criminaliza a produção, posse, compartilhamento e aquisição de material de abuso sexual infantil (MASI), com penas que chegam a 8 anos de reclusão.
- Infiltração digital legalizada: o Art. 241-E e legislação correlata permitem que agentes policiais e peritos atuem de forma infiltrada em redes digitais, respeitando protocolos rígidos de autorização judicial.
- Cadeia de custódia é inegociável: qualquer quebra nos procedimentos do CPP Arts. 158-A a 158-F pode invalidar provas de alto valor probatório em juízo, independentemente da gravidade do crime.
- Ferramentas especializadas: softwares como EnCase, FTK Forensic Toolkit, Cellebrite UFED e Autopsy são usados para recuperação e análise de MASI em mídias digitais.
- Protocolo ético-psicológico: peritos que lidam com MASI necessitam de suporte psicológico institucional obrigatório — a exposição repetida ao conteúdo causa impacto documentado em saúde mental.
- Metadados EXIF e hashes criptográficos são as ferramentas técnicas mais robustas para vincular imagens a dispositivos, autores e datas, sendo frequentemente decisivos em tribunal.
Fundamento Legal: O Que o ECA Determina e o Que Ele Criminaliza
O Estatuto da Criança e do Adolescente (Lei 8.069/1990), em seus Arts. 240 a 241-E, estabelece um arcabouço punitivo robusto especificamente voltado à proteção de crianças e adolescentes no ambiente digital. O Art. 240 criminaliza a produção de material de abuso sexual infantil com pena de 4 a 8 anos de reclusão. O Art. 241 tipifica a venda e exposição desse material. O Art. 241-A avança para abranger o compartilhamento, transmissão e publicação por qualquer meio, incluindo aplicativos de mensagens, redes sociais e plataformas da deep web. O Art. 241-B trata especificamente da posse — até mesmo para uso próprio — de material de abuso sexual infantil, com pena de 1 a 4 anos, independentemente de qualquer intenção de distribuição.
O Art. 241-C criminaliza a simulação de abuso — ou seja, conteúdo gerado artificialmente, inclusive por inteligência artificial, que simule cenas de abuso sexual envolvendo crianças. Esse dispositivo ganhou enorme relevância com o avanço dos deepfakes e das ferramentas de geração de imagem por IA. Em 2024 e 2025, investigações brasileiras já documentaram casos de material sintético gerado por modelos de linguagem e difusão, exigindo que os peritos dominem também técnicas de detecção de imagens artificiais. O Art. 241-D, por sua vez, tipifica o aliciamento (grooming) de crianças por meios digitais. Já o Art. 241-E traz as definições legais que balizam todo o capítulo, esclarecendo o que se entende por “cena de sexo explícito ou pornográfica” envolvendo criança ou adolescente.
Para o perito, compreender essas distinções não é apenas academicismo jurídico: é operacionalmente essencial. Ao elaborar o laudo, o profissional precisa enquadrar tecnicamente cada arquivo encontrado no dispositivo examinado dentro da tipificação correta. Um arquivo classificado erroneamente pode gerar nulidades processuais ou, ainda pior, subclassificar condutas mais graves. O laudo pericial deve descrever o conteúdo de forma técnica e objetiva — evitando linguagem desnecessariamente explícita — e vincular cada arquivo a um dos tipos penais aplicáveis, com indicação precisa de hash SHA-256, caminho de diretório, data de criação, modificação e último acesso registrados pelo sistema de arquivos.
A Cadeia de Custódia em Investigações de MASI: Regras do CPP
A cadeia de custódia, regulamentada pelos Arts. 158-A a 158-F do Código de Processo Penal, é ainda mais crítica em investigações de abuso sexual infantil do que em outros crimes digitais. Isso porque a defesa, invariavelmente, atacará a integridade dos vestígios digitais — questionando se arquivos foram plantados, alterados ou se a identificação de hashes foi manipulada. O Art. 158-A define que a cadeia de custódia começa no momento em que o vestígio é reconhecido como potencial prova, e deve se estender até a sua destinação final.
As dez etapas obrigatórias previstas pelo CPP — reconhecimento, isolamento, fixação, coleta, acondicionamento, transporte, recebimento, processamento, armazenamento e descarte — devem ser documentadas com precisão milimétrica. Em investigações de MASI, o uso de write-blockers (bloqueadores de escrita) é absolutamente mandatório durante a coleta: conectar uma mídia diretamente a um computador sem esse dispositivo altera automaticamente metadados do sistema de arquivos, comprometendo a integridade dos hashes. Softwares como o FTK Imager ou o dd (em ambientes Linux forenses) são usados para criar imagens bit a bit das mídias, e o hash SHA-256 da imagem gerada deve ser idêntico ao da mídia original — qualquer divergência invalida a evidência.
Um aspecto particular dessas investigações é o armazenamento seguro das imagens forenses. Como as cópias bit a bit de mídias contendo MASI são, em si mesmas, material ilícito, sua custódia exige controles adicionais: servidores isolados, com acesso restrito nominalmente controlado, trilha de auditoria de todos os acessos e, em muitas delegacias especializadas brasileiras, dupla-chave para abertura dos repositórios — por analogia com o controle de munição em armas de fogo. O descarte final, previsto no Art. 158-F do CPP, também deve ser documentado, com certificação de destruição segura das mídias ao término do processo judicial.
A Deep Web e as Redes Tor: Como Funcionam e Por Que São Relevantes para a Perícia
A deep web não é sinônimo de criminalidade — ela representa toda a camada da internet não indexada por motores de busca convencionais, incluindo sistemas bancários, prontuários médicos e intranets corporativas. O que os noticiários frequentemente chamam de deep web, na prática forense, é a dark web: especificamente a rede Tor (The Onion Router) e redes similares como I2P, onde o tráfego é roteado por múltiplas camadas de criptografia e os endereços terminam em .onion. É nesse ambiente que grande parte do compartilhamento organizado de material de abuso sexual infantil ocorre, em fóruns, canais de comunicação criptografados e mercados digitais que exigem criptomoedas como Bitcoin ou Monero para transações.
Do ponto de vista técnico, cada nó da rede Tor opera como um relay — os dados passam criptografados por pelo menos três nós antes de chegar ao destino. Isso dificulta, mas não impossibilita, a identificação de usuários. Investigações como a operação Playpen (conduzida pelo FBI nos Estados Unidos e que gerou cooperação com autoridades brasileiras) demonstraram que vulnerabilidades no navegador Tor, aliadas a técnicas de Network Investigative Techniques (NIT), podem expor endereços IP reais de suspeitos. No Brasil, o Decreto 11.491/2023, que internalizou a Convenção de Budapeste, facilitou a cooperação internacional para obtenção de logs e identificação de suspeitos em outros países — ponto crítico, dado que servidores de MASI raramente estão hospedados em território brasileiro.
Para o perito, a análise de conexões Tor no dispositivo do suspeito inclui verificar a presença do navegador Tor Browser (ou de seus artefatos, mesmo que desinstalado), examinar arquivos de configuração, histórico de bookmarks em formato SQLite, arquivos de cache e entradas no registro do Windows. A ferramenta Autopsy possui módulos específicos para identificação de artefatos do Tor Browser. Quando combinados com análise de metadados EXIF de imagens baixadas — que frequentemente preservam dados de geolocalização, modelo de câmera e data de captura —, esses artefatos podem construir uma linha do tempo forense robusta que posiciona o suspeito em um determinado local e momento em relação ao material encontrado.
Criptomoedas como Rastro Forense
Ao contrário do mito popular, transações em Bitcoin não são anônimas — são pseudônimas. A blockchain pública do Bitcoin registra permanentemente cada transação, associada a endereços de carteira. Quando um suspeito realiza pagamentos em fóruns de MASI usando Bitcoin, a análise forense da blockchain (chain analysis) pode rastrear o fluxo de fundos desde exchanges regulamentadas — onde o suspeito eventualmente converteu moeda fiduciária em cripto — até os endereços de destino. Ferramentas como Chainalysis Reactor e CipherTrace são utilizadas por unidades especializadas da Polícia Federal brasileira e pelo Grupo de Atuação Especial de Combate ao Crime Organizado (GAECO) para esse fim. O Monero, por sua vez, utiliza protocolos de privacidade como Ring Signatures e Stealth Addresses que dificultam substancialmente esse rastreamento, razão pela qual seu uso em redes de MASI cresceu significativamente a partir de 2020.
Infiltração Digital: O Que a Lei Permite e o Que o Perito Pode Fazer
O Art. 241-E do ECA, combinado com dispositivos da Lei 12.850/2013 (Lei de Organizações Criminosas), que trata da infiltração policial em seu Art. 10, cria o arcabouço legal para que agentes públicos atuem de forma infiltrada em redes digitais investigando crimes contra crianças. A infiltração deve ser autorizada judicialmente, ter prazo determinado (renovável), e o agente infiltrado não pode induzir a prática do crime — apenas observar, coletar evidências e documentar condutas espontâneas dos investigados. Esse limite é o da teoria da armadilha (entrapment), cuja violação pode gerar nulidade processual.
O papel do perito na infiltração digital é distinto do do agente policial infiltrado, mas complementar. O perito não atua disfarçado — ele é acionado para documentar tecnicamente as evidências coletadas durante a operação. Quando um agente infiltrado acessa um fórum de MASI e captura screenshots de publicações, o perito é responsável por autenticar essas capturas: verificar se os metadados das imagens de tela são consistentes com o ambiente e data alegados, calcular hashes SHA-256 dos arquivos de captura, verificar a integridade dos logs de conexão gerados pela operação e atestar que não houve manipulação do material entre a coleta e sua juntada ao processo. Em operações mais complexas, o perito pode configurar previamente o sistema do agente para registro forense automático, garantindo que toda a sessão seja gravada com carimbo de tempo verificável.
Um ponto de atenção crucial: segundo entendimento consolidado em tribunais brasileiros — refletido em julgados do STJ como o HC 512.290/SP — a simples posse de material de abuso sexual infantil já configura crime, independentemente de prova de distribuição. Isso significa que, do ponto de vista pericial, encontrar o arquivo no dispositivo é suficiente para caracterizar o Art. 241-B do ECA. O perito não precisa provar que o suspeito enviou o arquivo para terceiros — embora o artefato de compartilhamento, quando presente, agrave a tipificação para o Art. 241-A, com pena maior.
Guia Passo a Passo: Como o Perito Conduz a Análise Técnica
- Recebimento e registro da mídia: O perito recebe a mídia apreendida (HD, pendrive, smartphone, tablet) com documentação completa da apreensão. Verifica a integridade do lacre, fotografa o dispositivo antes de qualquer procedimento e registra número de série, modelo e estado físico. Calcula o hash SHA-256 da mídia original antes de qualquer ação — esse valor é a impressão digital imutável da evidência. Todo o procedimento é documentado conforme o Art. 158-C do CPP.
- Criação da imagem forense bit a bit: Utilizando write-blocker físico (como o Tableau TX1 ou o WiebeTech Forensic UltraDock), o perito conecta a mídia original ao equipamento forense e cria uma imagem bit a bit completa utilizando ferramentas como FTK Imager, dd ou Guymager. A imagem forense captura não apenas os arquivos existentes, mas também o espaço não alocado, setores defeituosos e áreas de slack space — onde arquivos deletados frequentemente ainda residem parcialmente. O hash SHA-256 da imagem é verificado e deve ser idêntico ao da mídia original.
- Análise da imagem em ambiente isolado: Todo o trabalho subsequente é realizado exclusivamente sobre a imagem forense, jamais sobre a mídia original. A imagem é carregada em uma workstation forense isolada da internet, com sistema operacional dedicado (SIFT Workstation ou similar). Ferramentas como EnCase Forensic, FTK ou Autopsy são utilizadas para indexação completa do conteúdo — arquivos ativos, deletados, fragmentos em espaço não alocado e arquivos em diretórios ocultos ou criptografados.
- Identificação e categorização de MASI: O software pericial compara hashes de todos os arquivos encontrados com bases de dados como o Project VIC International e a base CAID (Child Abuse Image Database) do Governo Britânico, integradas às principais ferramentas forenses. Arquivos com hashes conhecidos de MASI são automaticamente identificados — esse método é mais preciso e menos traumático ao perito do que a análise visual direta de cada arquivo. Novos arquivos sem correspondência em base de dados exigem análise visual, que deve ser feita com protocolos de proteção psicológica ao examinador.
- Análise de metadados EXIF e artefatos de sistema: Para cada arquivo identificado como MASI, o perito extrai e documenta metadados EXIF (quando presentes), incluindo data e hora de captura, coordenadas GPS, modelo do dispositivo de captura e software de edição utilizado. Complementarmente, analisa timestamps do sistema de arquivos (criação, modificação, último acesso), entradas no registro do Windows relacionadas a arquivos recentemente acessados (MRU — Most Recently Used), histórico de navegação e artefatos de aplicativos de compartilhamento (como clientes BitTorrent ou aplicativos P2P).
- Documentação, hash final e laudo: Todos os arquivos relevantes são catalogados em tabela no laudo com nome original, caminho completo, tamanho, hash SHA-256 individual, classificação tipológica e referência ao tipo penal correspondente do ECA. O laudo descreve o conteúdo de forma técnica e objetiva, sem reproduzir o material ilícito. O arquivo de laudo e as evidências são lacrados com hash final documentado, e cópias são encaminhadas ao juízo com registro de cadeia de custódia completo.
- Depoimento em audiência: O perito pode ser convocado para esclarecer o laudo em audiência. É comum que a defesa questione a integridade dos hashes, a validade do write-blocker utilizado e a possibilidade de acesso remoto não autorizado ao dispositivo. O perito deve estar preparado para explicar cada etapa em linguagem acessível ao magistrado, sem perder a precisão técnica.
Ferramentas Técnicas Utilizadas na Perícia de MASI
O arsenal técnico do perito nessa área é especializado e constantemente atualizado. O EnCase Forensic (OpenText) é uma das plataformas mais utilizadas em laboratórios da Polícia Federal brasileira: permite análise de mais de 25 sistemas de arquivos diferentes, integração com base de dados de hashes de MASI e geração de relatórios em formato juridicamente aceito. O FTK (Forensic Toolkit) da AccessData/Exterro possui módulo de visualização de imagens com filtro automático por hash conhecido, reduzindo a exposição do perito ao conteúdo. O Cellebrite UFED é o padrão de fato para extração forense de smartphones — suporta extração lógica, física e de sistema de arquivos (file system extraction) em milhares de modelos de dispositivos, incluindo acesso a dados de aplicativos como Telegram, Signal e aplicativos de mensagens efêmeras.
Para análise de redes e tráfego, o Wireshark e o NetworkMiner permitem reconstrução de sessões de rede capturadas durante operações monitoradas judicialmente. O Autopsy (de código aberto, mantido pela Basis Technology) é amplamente utilizado em perícias de menor orçamento e possui plugins específicos para identificação de artefatos Tor Browser e análise de histórico de aplicativos P2P. Para verificação de hashes, o HashCheck e o HashMyFiles (NirSoft) são ferramentas complementares utilizadas para verificação rápida de integridade. Segundo artigo publicado na Academia de Forense Digital, a validação cruzada entre ao menos duas ferramentas independentes é considerada boa prática em investigações de MASI, especialmente quando a cadeia de custódia é contestada pela defesa.
A norma ISO/IEC 27037 (coleta e preservação de evidências digitais) e a ISO/IEC 27042 (análise e interpretação de evidências) fornecem o framework metodológico que os peritos devem seguir para que seus laudos resistam ao escrutínio de assistentes técnicos da defesa. A adoção dessas normas é especialmente importante em processos onde a defesa contrata seu próprio especialista em tecnologia — o que é crescentemente comum em casos de réus com maior poder aquisitivo.
O Que a Perícia NÃO Consegue Provar Sozinha
Um equívoco frequente — tanto por parte da acusação quanto da mídia — é tratar o laudo pericial como prova absoluta e suficiente por si mesma. A perícia técnica pode demonstrar com elevada certeza que determinados arquivos existiam em um dispositivo, em determinado caminho de diretório, acessados em determinada data. O que ela não pode provar diretamente é quem estava operando o dispositivo no momento do acesso. Em um ambiente doméstico compartilhado, onde múltiplas pessoas têm acesso ao mesmo computador ou à mesma rede Wi-Fi, a vinculação do arquivo ao suspeito específico depende de provas complementares: depoimentos, análise de padrão de uso (qual conta de usuário Windows estava ativa, qual perfil de navegador foi utilizado), registros de biometria (em dispositivos com sensor de digital ou reconhecimento facial) e correlação com outros elementos do inquérito.
A perícia também não consegue provar, por si só, a ciência do suspeito sobre o conteúdo de arquivos compactados ou criptografados que nunca foram abertos. Se o arquivo foi recebido como parte de um pacote comprimido e os timestamps indicam que o arquivo .zip nunca foi expandido, a ausência de evidência de abertura é tecnicamente relevante — embora não seja excludente automática de responsabilidade, pois a posse do arquivo comprimido já pode configurar o tipo penal dependendo das circunstâncias. Esse é um terreno onde a interação entre o perito e o órgão de acusação deve ser cuidadosa e tecnicamente precisa, evitando interpretações que extrapolem o que os dados efetivamente demonstram.
Finalmente, a perícia não consegue recuperar com segurança absoluta arquivos que foram submetidos a processos de destruição segura (secure wipe) com múltiplas passagens de sobrescrita, especialmente em SSDs com funcionalidade TRIM ativa. Ao contrário de HDDs convencionais, onde dados sobrescritos apenas uma vez ainda podem apresentar remanência magnética recuperável por técnicas avançadas, SSDs com TRIM ativo — padrão em praticamente todos os dispositivos modernos — redistribuem blocos de memória de forma que inviabiliza a recuperação após a sobrescrita. O perito deve ser honesto sobre essa limitação no laudo, ao invés de afirmar categoricamente que “nenhum arquivo foi destruído” — afirmação que pode ser tecnicamente incorreta e eticamente problemática.
Tabelas de Referência Técnica e Legal
| Artigo do ECA | Conduta Tipificada | Pena Mínima | Pena Máxima | Relevância Pericial |
|---|---|---|---|---|
| Art. 240 | Produzir, reproduzir, dirigir, fotografar, filmar MASI | 4 anos | 8 anos | Análise de câmeras, metadados EXIF, geolocalização de captura |
| Art. 241 | Vender ou expor à venda MASI | 4 anos | 8 anos | Logs de transações, comunicações comerciais, criptomoedas |
| Art. 241-A | Oferecer, trocar, disponibilizar, transmitir, distribuir MASI | 3 anos | 6 anos | Artefatos P2P, logs de upload, registros de compartilhamento |
| Art. 241-B | Adquirir, possuir ou armazenar MASI para uso próprio | 1 ano | 4 anos | Arquivos em espaço alocado e não alocado, cache de navegador |
| Art. 241-C | Simular participação de criança em cena de sexo (inclui deepfakes) | 1 ano | 3 anos | Análise de autenticidade de imagem, detecção de IA generativa |
| Art. 241-D | Aliciar, assediar, instigar criança por meio digital (grooming) | 1 ano | 3 anos | Análise de conversas, apps de mensagem, perfis falsos |
| Ferramenta | Fabricante | Uso Principal | Plataforma | Custo Aproximado |
|---|---|---|---|---|
| EnCase Forensic | OpenText | Análise completa de mídias, geração de laudo | Windows | USD 3.500–5.000/ano |
| FTK (Forensic Toolkit) | Exterro | Indexação, análise de e-mails, filtro por hash | Windows | USD 2.000–4.000/ano |
| Cellebrite UFED | Cellebrite | Extração forense de smartphones e tablets | Windows + hardware | USD 5.000–15.000 |
| Autopsy | Basis Technology | Análise de imagens forenses, artefatos Tor | Windows/Linux | Gratuito (open source) |
| FTK Imager | Exterro | Criação de imagens forenses, verificação de hash | Windows | Gratuito |
| Wireshark | Wireshark Foundation | Análise de tráfego de rede capturado | Windows/Linux/macOS | Gratuito (open source) |
O Protocolo Ético e Psicológico: A Dimensão Humana da Perícia em MASI
Nenhum guia técnico sobre perícia em pornografia infantil seria completo sem abordar o impacto humano sobre os profissionais que trabalham nessa área. Estudos internacionais, como o conduzido pela International Association of Computer Investigative Specialists (IACIS), indicam que investigadores e peritos expostos regularmente a MASI apresentam taxas significativamente elevadas de Transtorno de Estresse Pós-Traumático Secundário (TEPTS) — também chamado de trauma vicário. Uma pesquisa publicada no Journal of Police and Criminal Psychology identificou que mais de 30% dos investigadores de crimes contra crianças relatam sintomas clinicamente relevantes de TEPTS após dois anos de trabalho na área, na ausência de suporte psicológico estruturado.
No Brasil, a Portaria DG/DPF nº 50/2014 da Polícia Federal estabeleceu diretrizes para o acompanhamento psicológico de servidores que trabalham com material de abuso sexual infantil. Entretanto, peritos do setor privado — que atuam como assistentes técnicos ou peritos ad hoc — frequentemente não têm acesso a esse suporte institucional. Organismos como o Consultor Jurídico (ConJur) têm publicado artigos sobre a necessidade de regulamentação mais abrangente dessa proteção ao perito extrajudicial. O protocolo técnico de uso de ferramentas com filtro automático por hash — que evita a visualização direta de todo o material —, aliado a sessões regulares de debriefing psicológico, representa o padrão mínimo eticamente aceitável para qualquer laboratório que conduza esse tipo de perícia.
Do ponto de vista deontológico, o perito tem a obrigação de manifestar suspeição ou impossibilidade de atuar quando identificar que sua imparcialidade ou capacidade técnica está comprometida — seja por razões psicológicas, seja por conflito de interesse. Essa previsão está implícita nos princípios gerais do CPC aplicáveis à perícia (Arts. 466 e seguintes) e nos códigos de ética das associações profissionais de perícia digital. Agir com transparência sobre limitações é, paradoxalmente, uma das marcas do perito mais qualificado: o profissional experiente sabe exatamente onde termina o que os dados podem provar — e onde começa a especulação.
Caso Anonimizado: Operação Contra Rede de Compartilhamento em Aplicativo de Mensagens
Durante uma investigação conduzida por uma delegacia especializada em crimes cibernéticos no Sudeste brasileiro, inteligência policial identificou um grupo em aplicativo de mensagens criptografadas com mais de 200 membros, onde MASI era compartilhado sistematicamente. A operação de infiltração, autorizada judicialmente com fundamento no Art. 241-E do ECA e no Art. 10 da Lei 12.850/2013, permitiu que um agente policial ingressasse no grupo e documentasse durante 45 dias o fluxo de compartilhamento, os administradores ativos e os membros mais prolíficos em publicações. Doze mandados de busca e apreensão foram cumpridos simultaneamente em três estados.
A equipe pericial recebeu 27 dispositivos diferentes — HDs externos, smartphones, tablets e pendrives. Em um dos smartphones, a extração física via Cellebrite UFED revelou que o aplicativo havia sido desinstalado às 14h37 do dia anterior à busca — porém os arquivos de banco de dados SQLite do aplicativo, contendo histórico de mensagens e referências a arquivos de mídia, permaneciam no armazenamento interno do dispositivo, em diretório de dados do aplicativo marcado como deletado pelo sistema operacional mas não sobrescrito. A recuperação desses fragmentos, com hash SHA-256 verificado, permitiu reconstruir parte do histórico de compartilhamento do suspeito, incluindo nomes de arquivos e timestamps de envio. Metadados EXIF de três imagens recuperadas continham coordenadas GPS que localizavam a produção do material em cidade diferente da residência do suspeito — dado que abriu uma linha paralela de investigação. Todos os onze suspeitos foram indiciados; sete responderam a ação penal com laudo pericial como principal elemento probatório.
FAQ: Perícia em Pornografia Infantil — Perguntas Frequentes
O perito é obrigado a visualizar todo o conteúdo de MASI durante a análise?
Não obrigatoriamente. O uso de ferramentas com banco de dados de hashes conhecidos — como o Project VIC — permite identificar automaticamente arquivos de MASI sem que o perito precise visualizá-los diretamente. Na prática, apenas arquivos não reconhecidos pelas bases de dados precisam de análise visual, reduzindo significativamente a exposição. Mesmo assim, protocolos de proteção psicológica devem ser ativados antes dessas análises, e a visualização deve ser realizada em dupla quando possível — com dois peritos documentando juntos — para fins de corroboração e suporte mútuo.
Um arquivo deletado pode ser usado como prova?
Sim. A exclusão de um arquivo pelo sistema operacional tipicamente remove apenas a referência do arquivo no sistema de arquivos (MFT no NTFS, por exemplo), marcando o espaço como disponível para reutilização — mas os dados físicos permanecem até que sejam sobrescritos. A recuperação de arquivos em espaço não alocado é prática forense consolidada, e os tribunais brasileiros aceitam consistentemente esse tipo de evidência quando acompanhada de laudo técnico que demonstre a integridade do processo de recuperação e a ausência de contaminação da imagem forense.
A criptografia no dispositivo impede a perícia?
A criptografia representa um obstáculo significativo, mas não absoluto. Smartphones com Android e iOS modernos utilizam criptografia de disco completo ativada por padrão, e sem a senha ou PIN do dispositivo, o acesso ao conteúdo é tecnicamente muito difícil. Ferramentas como Cellebrite Premium e GrayKey (GrayShift) conseguem, em alguns casos, realizar extração de dispositivos bloqueados por meio de exploração de vulnerabilidades do sistema operacional — mas seu uso é restrito a agências governamentais autorizadas. Para HDs e mídias externas com VeraCrypt ou BitLocker, a análise de memória RAM (cold boot attack) ou a recuperação de chaves em arquivos de hibernação são técnicas que podem ser empregadas quando o dispositivo foi apreendido ligado.
O Marco Civil da Internet se aplica a investigações de MASI?
Parcialmente. O Marco Civil da Internet (Lei 12.965/2014) estabelece a obrigação de provedores de conexão guardarem logs por 6 meses e provedores de aplicações por 1 ano. Em investigações de MASI, esses logs são frequentemente requisitados por ordem judicial para identificar o IP utilizado pelo suspeito em determinado momento. Entretanto, a natureza especialmente grave do crime frequentemente justifica medidas processuais mais céleres — e a jurisprudência do STJ reconhece que o prazo de guarda pode ser insuficiente em investigações complexas, admitindo quebra de sigilo de dados mesmo quando os logs estão parcialmente indisponíveis, desde que haja outros elementos de prova.
O que é o Project VIC e como ele é usado no Brasil?
O Project VIC International é uma organização sem fins lucrativos que mantém um banco de dados global de hashes de imagens e vídeos de abuso sexual infantil conhecidos. Quando uma nova imagem é confirmada como MASI por autoridade competente, seu hash SHA-1 e MD5 são inseridos na base — sem armazenar o conteúdo em si, apenas a impressão digital matemática do arquivo. Ferramentas como Cellebrite, EnCase e FTK integram essa base, permitindo identificação automática. No Brasil, a Polícia Federal possui acesso à base do Project VIC por meio de acordos de cooperação, e o uso dos hashes em laudo é admitido pelos tribunais como evidência técnica de identificação de conteúdo ilícito. Mais informações podem ser encontradas em publicações especializadas como as disponíveis em Jus.com.br.
A LGPD se aplica ao processamento de dados em investigações de MASI?
A LGPD (Lei 13.709/2018) prevê exceções expressas para atividades de segurança pública, defesa nacional e investigação penal, conforme seu Art. 4º, inciso III. Isso significa que o processamento de dados pessoais no contexto de investigações criminais autorizadas judicialmente não está sujeito às mesmas obrigações gerais da LGPD aplicáveis ao setor privado. Entretanto, o perito deve atentar para o tratamento de dados pessoais de vítimas — especialmente menores — que apareçam no material analisado: a identificação de vítimas e o compartilhamento dessas informações deve ser restrito ao estritamente necessário para a investigação, com controles de acesso rígidos, e em conformidade com as diretrizes do Art. 7º da LGPD aplicáveis aos casos não excepcionados.
O Perito como Guardião Técnico dos Direitos das Vítimas
A perícia em pornografia infantil é, provavelmente, a modalidade mais tecnicamente exigente e humanamente pesada da forense digital. Ela exige do profissional não apenas domínio de ferramentas, metodologias e legislação — mas também uma compreensão profunda das implicações éticas de cada decisão técnica. Cada hash verificado, cada metadado extraído, cada artefato de sistema documentado representa uma oportunidade de dar voz técnica a vítimas que frequentemente não podem falar por si mesmas. Ao mesmo tempo, o rigor metodológico não pode ser comprometido pela gravidade emocional do caso: a cadeia de custódia imperfeita que leva à absolvição de um agressor real é uma falha técnica com consequências humanas devastadoras.
O Brasil avança na estruturação de unidades especializadas — as Delegacias de Repressão a Crimes Cibernéticos (DRCCs) estaduais e a Unidade de Repressão a Crimes Cibernéticos da Polícia Federal (URCC) — mas ainda há lacunas significativas em capacitação técnica, equipamentos e, especialmente, em suporte psicológico estruturado para os profissionais da linha de frente. Iniciativas como as da Academia de Forense Digital e certificações internacionais como a CFCE (Certified Forensic Computer Examiner) contribuem para elevar o padrão técnico dos profissionais brasileiros que atuam nessa área crítica.
Para advogados, magistrados e promotores que lidam com esse tipo de processo, compreender os limites e as capacidades da perícia técnica é igualmente fundamental. Um laudo pericial bem elaborado não é apenas um documento técnico — é a tradução para a linguagem jurídica de uma realidade digital complexa, que determinará se uma criança vítima de abuso terá seu agressor responsabilizado ou se esse agressor retornará à liberdade por falhas processuais que poderiam ter sido evitadas. Essa responsabilidade compartilhada — entre peritos, magistrados, promotores e legisladores — é o fundamento sobre o qual repousa a efetividade da proteção integral à criança e ao adolescente garantida pela Constituição Federal e pelo ECA.
🎨 Imagem gerada por IA (Google Imagen 3)