O laudo de extração do celular chega ao processo com uma assinatura hash SHA-256 e, na leitura apressada, a integridade da prova digital parece comprovada. É exatamente nesse ponto que muitas defesas param de investigar. A resposta curta para a pergunta do título é não: o hash calculado depois da coleta não garante a integridade dos dados desde a apreensão. Ele apenas certifica que nada mudou a partir do instante em que foi gerado. Entender essa diferença, e saber onde procurá-la no laudo, separa a defesa que aceita a prova como veio da defesa que sabe medir a confiabilidade real do que está nos autos.
A janela cega que o hash tardio não cobre
O hash é uma função matemática que transforma qualquer conjunto de dados em uma sequência fixa de caracteres, uma espécie de impressão digital do arquivo. Qualquer alteração mínima no conteúdo, uma letra trocada, um espaço a mais, gera um hash completamente diferente. Por isso ele é a ferramenta padrão para detectar modificações em evidências digitais.
Só que essa impressão digital tem uma limitação estrutural: ela registra o estado dos dados no momento do cálculo, e somente a partir dele. Se o aparelho foi apreendido em uma data, a extração ocorreu semanas depois e o hash foi calculado em outro momento ainda, todo o intervalo anterior ao cálculo fica fora de qualquer auditoria. Nesse período o dispositivo pode ter sido manuseado, arquivos podem ter sido acessados, conteúdo pode ter sido inserido ou removido. O hash tardio não detecta nada disso, porque ele não existia quando essas alterações poderiam ter ocorrido.
A consequência processual é direta. A integridade afirmada no laudo passa a se sustentar em presunção, não em verificação técnica. E a defesa que não percebe isso valida, com o próprio silêncio, uma prova frágil que poderia ser enfrentada com fundamento normativo sólido.
O que as normas exigem
Na etapa de preservação da ISO 27037 é recomendado que o dado adquirido seja selado usando funções de verificação ou assinaturas digitais para garantia de integridade. Não é detalhe burocrático: é a única forma de eliminar a janela cega. Quando o hash nasce junto com a cópia forense, qualquer alteração posterior se torna detectável. Quando nasce depois, o período entre a coleta e o cálculo permanece indocumentado.
As ferramentas forenses consolidadas, como Cellebrite, FTK e EnCase, calculam o hash automaticamente durante a extração justamente por isso. Um laudo produzido com metodologia adequada traz o hash vinculado à data e hora da própria extração, gerado pela ferramenta, e não um cálculo manual feito em momento posterior.
O Código de Processo Penal reforça essa lógica. O art. 158-A define cadeia de custódia como o conjunto de procedimentos para manter e documentar a história cronológica do vestígio. História cronológica pressupõe controle desde o primeiro contato com a evidência. Um hash calculado tardiamente cria um buraco nessa cronologia, e a documentação que deveria ser contínua passa a começar no meio do caminho.
Como a defesa examina isso no laudo
O exame começa pela comparação de datas: o laudo precisa indicar quando a extração foi realizada e o especialista audita quando o hash foi calculado. Quando essas informações coincidem e o hash foi gerado pela própria ferramenta forense, a integridade está, em tese, tecnicamente sustentada a partir da extração.
Quando o hash simplesmente não existe no laudo, a fragilidade é ainda mais profunda: sem assinatura de referência, não há como auditar se o conteúdo apresentado hoje corresponde ao que foi extraído. O fundamento para enfrentar essa situação está no POP da SENASP e ISO 27037, e o argumento tende a ganhar força quando a defesa demonstra tecnicamente o que a ausência impede de verificar.
Vale também separar conceitos que costumam ser tratados como sinônimos. O hash verifica integridade, ou seja, se o conteúdo foi alterado. Ele não verifica integralidade, que é a completude dos dados, se nada foi omitido ou excluído do material entregue. São análises diferentes, com ferramentas diferentes, e a defesa que domina essa distinção formula quesitos muito mais precisos.
Considerações finais
O hash no laudo não é um carimbo de confiança automática. É um ponto de auditoria. A pergunta que a defesa precisa levar para cada laudo de extração não é se existe hash, mas se o hash nasceu junto com a aquisição. Quando a resposta é negativa, a integridade afirmada nos autos é uma presunção sem lastro técnico, e presunções podem ser enfrentadas com método, norma e fundamento. Essa leitura crítica transforma um detalhe que passa despercebido na maioria dos processos em oportunidade concreta de defesa.
Dominar a prova digital não é opcional. É o diferencial que muda o resultado do processo. Faça parte do Tribunal Digital.

