Espelhamento forense × cópia: a diferença que pode anular a prova
Por que copiar arquivos de um celular não é o mesmo que espelhamento forense — e como essa distinção sustenta o ataque técnico à prova digital.
"O agente copiou o celular ali mesmo, na hora." Essa frase, comum em autos de prisão e relatórios policiais, soa como diligência — mas esconde um problema técnico que pode comprometer toda a prova digital que dela deriva. Copiar arquivos de um aparelho não é espelhamento forense, e a diferença entre os dois não é terminológica: é a diferença entre uma prova auditável e uma prova cuja integridade ninguém consegue garantir. É exatamente nesse ponto que se constrói um dos ataques técnicos mais eficazes à prova digital.
O que é espelhamento bit a bit
O espelhamento forense (imagem forense) é a cópia integral do dispositivo, bit a bit, feita com método documentado e ferramentas adequadas. Ele não seleciona arquivos: reproduz o conteúdo do armazenamento por inteiro — inclusive áreas não diretamente visíveis ao usuário e, em certos casos, indícios de dados apagados. Três características o definem e o tornam idôneo:
- Uso de bloqueador de escrita (write-blocker), que impede que o ato de copiar altere o original. Trabalha-se sobre a cópia; o aparelho permanece intocado.
- Geração e cotejo de hash — a impressão digital criptográfica calculada sobre a imagem, que permite demonstrar, depois, que nada foi alterado entre a coleta e a apresentação.
- Documentação de cada etapa (quem, quando, com qual ferramenta, em que condições), de modo a tornar o procedimento auditável e reproduzível.
Esse é o método que a norma técnica ISO/IEC 27037:2013 disciplina ao tratar da identificação, coleta, aquisição e preservação de evidências digitais — e ao qual o STJ expressamente se reportou ao fixar os parâmetros de validade da prova digital (HC 1.036.370, Rel. Min. Joel Ilan Paciornik, Quinta Turma, set/2025). O espelhamento bem-feito materializa, no ambiente digital, o princípio da mesmidade: a garantia de que o material analisado é, comprovadamente, o mesmo que foi apreendido.
Por que a cópia comum não basta
Copiar arquivos selecionados, abrir o aplicativo e capturar telas, ou extrair "o que interessa" sem procedimento, não é espelhamento — e não oferece nenhuma das garantias acima. Não há bloqueio de escrita (o simples acesso pode alterar metadados), não há hash a cotejar, não há documentação que permita verificar o que foi copiado e o que ficou de fora. O resultado é um conjunto que ninguém pode auditar: não se sabe se algo foi alterado, omitido ou inserido.
O caso extremo é o print de tela, mero registro do que aparece no visor, sem método e sem metadados — recusado pelo STJ como prova idônea quando colhido sem protocolo técnico, ainda que feito pela própria autoridade policial (AgRg no AREsp 2.441.511/PR, Rel. Min. Daniela Teixeira, Quinta Turma; HC 1.036.370). Mas o problema não se limita ao print. A própria manipulação do aparelho antes da extração técnica contamina a prova: a Quinta Turma reconheceu quebra da cadeia de custódia em caso no qual a autoridade policial manuseou o celular e confrontou o proprietário sobre as conversas antes de encaminhá-lo à perícia (AgRg no HC 943.895/PR, Rel. Min. Joel Ilan Paciornik, j. 3/9/2025, DJEN 8/9/2025). E, no precedente que se tornou referência, o STJ assentou que a falta de documentação mínima dos procedimentos de coleta e preservação torna a prova inadmissível, recaindo sobre o Estado — não sobre a defesa — o ônus de comprovar a integridade e a confiabilidade do material (AgRg no RHC 143.169/RJ, Rel. p/ acórdão Min. Ribeiro Dantas, Quinta Turma).
Em síntese: cópia feita em campo, sem método, é frágil na origem — e, pior, pode contaminar tudo o que vem depois.
Fruto da árvore envenenada
É aqui que a distinção ganha sua maior força jurídica. O art. 157 do CPP declara inadmissíveis as provas ilícitas, determinando seu desentranhamento; e o § 1.º estende a inadmissibilidade às provas dela derivadas — a consagração, no direito brasileiro, da teoria dos frutos da árvore envenenada (fruit of the poisonous tree). A lógica é direta: se a fonte está viciada, o que dela decorre nasce contaminado.
Aplicada à prova digital, a consequência é severa. Quando a extração inicial é feita sem método — comprometendo a integridade do vestígio informático —, não apenas aquele elemento se torna imprestável: também as provas que dele derivam podem ser excluídas. Foi exatamente o que decidiu o STJ ao inadmitir os dados extraídos de computadores sem documentação e as provas deles decorrentes, em aplicação analógica do art. 157, § 1.º, do CPP (AgRg no RHC 143.169/RJ). Um espelhamento defeituoso na raiz, portanto, não fragiliza um único arquivo: pode derrubar a cadeia probatória que sobre ele se construiu.
Convém à defesa antecipar os limites da tese. O próprio art. 157, § 1.º, ressalva a fonte independente (a prova que teria sido obtida de qualquer modo, por via autônoma), e a jurisprudência reconhece a descoberta inevitável — exceções que a acusação invocará para preservar as provas derivadas. O ataque técnico é mais forte, então, quando demonstra que não havia outra fonte autônoma idônea: que a prova derivada depende, de fato, daquela cuja extração foi viciada.
Como a distinção vira ataque na peça
Operacionalmente, o trabalho é objetivo. Diante de uma prova digital, pergunta-se: foi espelhamento ou cópia? Houve bloqueio de escrita? O hash foi gerado e cotejado? O procedimento está documentado e é auditável? O aparelho foi manuseado antes da perícia? Cada resposta negativa é um ponto de ataque, e o conjunto delas permite sustentar — conforme a gravidade — a inadmissibilidade da prova (e das derivadas, pelo art. 157, § 1.º) ou, ao menos, o esvaziamento do seu valor probatório. A peça que apenas alega "irregularidade" perde; a que aponta, item a item, onde o método faltou, é a que tem força.
Conclusão
Confundir cópia com espelhamento forense é renunciar à diferença que torna o ataque tecnicamente viável. O espelhamento bit a bit, com bloqueio de escrita, hash cotejado e documentação auditável, é o que distingue uma prova digital confiável de uma sequência de arquivos sem origem demonstrável. Quando essa distinção é ignorada na coleta, ela se converte, na defesa, em fundamento — da inadmissibilidade do elemento à exclusão de tudo o que dele derivou. O método não é detalhe da prova: é a sua condição.
Referências jurisprudenciais e técnicas
- STJ, AgRg no RHC 143.169/RJ, Rel. orig. Min. Messod Azulay Neto, Rel. p/ acórdão Min. Ribeiro Dantas, Quinta Turma, j. 7/2/2023, DJe 2/3/2023 (ausência de documentação torna a prova inadmissível; derivadas excluídas — art. 157, § 1.º, do CPP; ônus do Estado).
- STJ, HC 1.036.370, Rel. Min. Joel Ilan Paciornik, Quinta Turma, set/2025 (prints inadmissíveis; ISO/IEC 27037:2013; hash; quatro atributos da evidência digital).
- STJ, AgRg no HC 943.895/PR, Rel. Min. Joel Ilan Paciornik, Quinta Turma, j. 3/9/2025, DJEN 8/9/2025 (manuseio do aparelho antes da perícia compromete a integridade da prova).
- STJ, AgRg no AREsp 2.441.511/PR, Rel. Min. Daniela Teixeira, Quinta Turma (prints de WhatsApp, mesmo pela polícia, violam a cadeia de custódia).
- STJ, AgRg no AgRg no HC 1.041.340/RS, Quinta Turma (direito de acesso à íntegra das extrações; arquivos selecionados são insuficientes).
- Base normativa: art. 157, caput e § 1.º, do CPP (provas ilícitas e derivadas — teoria dos frutos da árvore envenenada; ressalvas da fonte independente e da descoberta inevitável); ISO/IEC 27037:2013 (aquisição e preservação de evidência digital).
Números, turmas e datas conferidos em fontes públicas; a redação dos acórdãos mais recentes pode variar conforme a publicação oficial. Antes de citar em peça, confira o inteiro teor e o DJe atualizado no sítio do STJ.
Advocacia criminal
Tem uma questão jurídica que precisa de análise técnica?
O conteúdo deste blog é informativo e educativo. Para análise do seu caso específico, fale diretamente pelo WhatsApp para verificar a possibilidade de atendimento.