PROPENAL.LAB Jurisprudência Digital
Investigação Criminal MCI & STF Jogos 2024 Cadeia de Custódia Blocos 1-3 Completos

Crimes Cibernéticos — Material Completo

Compêndio atualizado até abril de 2026 com os três blocos completos para segunda fase (Promotor / Juiz): Bloco 1 — Fundamentos Normativos, Tipologia Penal e Competência; Bloco 2 — Prova Digital, Cadeia de Custódia, Interceptação, Espelhamento e IA; Bloco 3 — Cooperação Internacional, ECA Digital, LGPD, Lacunas e Peças Processuais.

Bloco 1 — Tipos & Competência Bloco 2 — Provas Digitais Bloco 3 — Cooperação & Lacunas

I. MCI e Responsabilidade Civil (STF 2025)

Novo Regime de Responsabilidade (Temas 533 e 987)

Julgamento em 27/06/2025 declarou a inconstitucionalidade parcial do Art. 19.

Regra: Dever de Cuidado

Remoção imediata (sem ordem judicial) para crimes graves (racismo, terrorismo, crimes contra criança, violência contra mulher).

Notificação Extrajudicial

Suficiente para: Nudes (Art. 21), Contas Falsas, Crimes comuns e Replicação de conteúdo já julgado.

II. Marco Legal dos Jogos (Lei 14.852/2024)

Definição & Exclusão

  • Inclui: Software audiovisual interativo, consoles, mobile.
  • Exclui: "Bets" (Apostas de Quota Fixa), Loterias e Jogos de Azar.

Microtransações (Art. 17)

Obrigatório garantir consentimento dos responsáveis para compras por crianças. Sem consentimento = Negócio Nulo.

III. ECA Digital

Dever de Remoção Imediata

Crimes sexuais contra vulneráveis (Arts. 240, 241-A ECA) exigem remoção imediata pelas plataformas, sob pena de responsabilidade por falha sistêmica.

IV. Investigação Criminal e Provas Digitais

Tema 1 STF ADI 4.906 (2024) STF ADI 5.642 (2024)

Acesso a Dados Cadastrais Sem Ordem Judicial

Tese: É constitucional norma que permite a Delegados e MP requisitar dados cadastrais (qualificação, filiação, endereço) de investigados sem autorização judicial.

Distinção Vital:
  • Dados Cadastrais (Art. 10 §3 MCI): Informações objetivas. Não cobertos por sigilo de comunicação. Acesso direto permitido.
  • Dados de Comunicação/Conexão: Exigem Reserva de Jurisdição (Ordem Judicial).

Fundamento: Lei de Lavagem (Art. 17-B) e CPP (Art. 13-A — Crimes contra liberdade pessoal).

Tema 2 STJ RHC 199.047 (Out/2025)

Ronda Virtual e Redes P2P

Tese: Uso de software (ex: CRC) para identificar IPs compartilhando pornografia infantil em redes P2P é lícito e dispensa ordem judicial prévia.

Fundamento: Ambiente virtualmente público (fonte aberta). Não se confunde com infiltração (Art. 190-A ECA) pois não há ocultação de identidade nem interação com suspeito.

Tema 3 STF HC 222.141 (2024)

Preservação Cautelar pelo MP (Limites)

Tese: O MP pode requerer cautelarmente ("congelamento") apenas registros de conexão (data, hora, IP). Pedidos de preservação de CONTEÚDO (fotos, contatos, histórico) sem ordem judicial geram NULIDADE da prova.

Superação do entendimento anterior do STJ que era mais permissivo.

Tema 4 STF ADC 51 (2023) STJ AgRg RMS 74.604 (2025)

Jurisdição e Cooperação Internacional

Tese: Empresas estrangeiras com atuação no Brasil submetem-se à lei nacional. Autoridades podem requisitar dados diretamente à subsidiária brasileira, dispensando carta rogatória ou MLAT.

Fundamento: Art. 11 MCI e Art. 18 Convenção de Budapeste. Local do servidor é irrelevante.

Tema 5 STJ REsp 2.170.872 (2025)

Porta Lógica e Provedores

Tese: Provedores de conexão e aplicação DEVEM guardar a Porta Lógica de Origem. Essencial para identificar usuários sob CGNAT (IP compartilhado). A requisição não precisa especificar o minuto exato do ilícito (intervalo razoável basta).

Tema 6 STJ AgRg AREsp 2.318.334 (2024)

Espelhamento de WhatsApp Web

Tese: Técnica válida, equivalente à infiltração de agentes (não interceptação simples). É medida extraordinária/subsidiária, exigindo ordem judicial específica, quando a interceptação direta é impossível (criptografia).

Tema 7 — STJ REsp 2.172.296 (2025)

Revenge Porn & Responsabilidade

Se não puder remover o conteúdo (criptografia), o provedor DEVE mitigar o dano (banir/suspender conta). Inércia gera responsabilidade solidária.

Tema 8 — STJ REsp 2.147.711 (2024)

Remoção Global

Ordem judicial BR pode ter alcance transfronteiriço (global) se o conteúdo tiver impacto mundial, sem ofender soberania externa.

Tema 9 — STJ RMS 68.119

Geo-fencing

Válido para identificar IPs em área geográfica de crime. INVÁLIDO se pedir conteúdo (fotos/emails) de universo indeterminado de pessoas.

Tema 10 — STJ AgRg AREsp 2.655.165

Magistrado & Redes Sociais

Juiz pode consultar redes sociais públicas do réu para fundamentar cautelar. Não viola sistema acusatório (diligência art. 156 CPP).

V. Conceitos Fundamentais e Legislação

LGPD e Autodeterminação Informativa

Direito do indivíduo de controlar seus dados. Fundamento constitucional (Art. 5º LXXIX).

Hierarquia de Proteção
  • Dados Cadastrais: Menor proteção (Acesso administrativo permitido).
  • Dados de Conteúdo: Reserva de Jurisdição Absoluta.

Glossário Técnico

Porta Lógica de Origem
"Extensão" do IP. Necessária para individualizar usuários em conexões compartilhadas (CGNAT/IPv4).
Criptografia Ponta a Ponta
Dados cifrados no emissor e decifrados só no receptor. Impede interceptação tradicional.
Ronda Virtual vs Infiltração
Ronda = Monitoramento passivo em ambiente público (sem ordem). Infiltração = Agente oculto em grupo fechado (com ordem).

Principais Dispositivos Legais

  • CF/88: Art. 5º X, XII (Sigilo), LXXIX (Dados).
  • MCI (12.965/14): Arts. 10 §3º, 11, 13, 15, 22.
  • CPP: Art. 13-A, 13-B, 70 §4º-§5º, 158-A a 158-F.
  • Lei Lavagem (9.613/98): Art. 17-B.
  • Org. Criminosas (12.850/13): Arts. 8º, 10-A, 15.
  • Convenção Budapeste: Arts. 16, 18, 29, 35.
  • Lei 14.155/21: Arts. 154-A, 155 §4º-B, 171 §2º-A.
  • Lei 9.296/96: Interceptação telefônica/telemática.
BLOCO 1

Fundamentos Normativos, Tipologia Penal e Competência

Panorama legislativo completo, mapa dos tipos penais, regras de competência, lavagem de dinheiro, organização criminosa e crimes contra a administração pública em ambiente digital.

Seção I — Panorama Legislativo: Marcos Normativos

Evolução Cronológica

2012 Lei 12.737 — "Lei Carolina Dieckmann"

Introduziu o art. 154-A (invasão de dispositivo informático) e o art. 154-B (condição de procedibilidade). Acrescentou o parágrafo único ao art. 298 (equiparação do cartão de crédito/débito a documento particular) e o §1º ao art. 266 (interrupção de serviço telemático).

A ação penal é pública condicionada à representação, salvo quando o crime é praticado contra a administração pública direta ou indireta — hipótese em que se torna pública incondicionada.

2014 Lei 12.965 — Marco Civil da Internet

Diploma civil-regulatório indispensável à persecução penal digital. O art. 10 estabelece dever de guarda de registros; arts. 13 e 15 fixam prazos de retenção (1 ano para provedores de conexão, 6 meses para provedores de aplicação); art. 22 disciplina a requisição judicial.

O art. 19 foi declarado parcialmente inconstitucional pelo STF no RE 1.037.396/SP (Tema 987, 26/06/2025), passando-se a exigir remoção proativa de conteúdo manifestamente ilícito.

2017 Lei 13.441 — Infiltração Policial na Internet (ECA)

Acrescentou arts. 190-A a 190-E ao ECA, autorizando infiltração de agentes de polícia na internet para investigar crimes contra a dignidade sexual de menores (arts. 240, 241, 241-A, 241-B, 241-C, 241-D). Prazo máximo de 90 dias (renovável até 720 dias). Agente protegido pela inexigibilidade de conduta diversa, exceto excessos.

2021 Lei 14.155 — Reformas Estruturais

A mais importante alteração do CP em matéria de crimes cibernéticos. Agravou o art. 154-A de 3m–1a para 1–4 anos (simples) e 2–5 anos (qualificado). Criou o furto mediante fraude eletrônica (art. 155, §4º-B: 4–8 anos) e a fraude eletrônica (art. 171, §2º-A: 4–8 anos). Alterou o art. 70, §4º, CPP fixando competência pelo domicílio da vítima para estelionato eletrônico.

2023 Decreto 11.491 — Convenção de Budapeste

Principal tratado internacional sobre crimes cibernéticos, promulgado no Brasil. Fonte de tipos penais harmonizados, marco de cooperação jurídica e criação de rede 24/7 (art. 35). Fundamenta a competência da Justiça Federal (art. 109, V, CF) conforme decidido no CC 197.032/AM.

2024-2025 Convenção de Hanói (ONU)

Primeiro tratado global de justiça penal em 20+ anos. Adotada pela AGNU em dez/2024, aberta para assinatura em Hanói em 25/10/2025 (65 países, incluindo Brasil). Amplia catálogo de tipos e mecanismos de cooperação. Brasil assinou mas não ratificou (abr/2026).

2025 Lei 15.211 — ECA Digital

Sancionada em 17/09/2025, vigência em 17/03/2026. Proíbe "dark patterns" voltados a menores, exige verificação de idade e deveres de notificação de conteúdos ilícitos envolvendo menores. Não cria tipos penais novos, mas fortalece deveres cujo descumprimento pode gerar responsabilização penal indireta.

Infralegal

Resoluções ANPD

Res. 15/2024: Regulamento de Comunicação de Incidente de Segurança (RCIS) — comunicação à ANPD e titulares em até 3 dias úteis.

Res. 32/2026: Reconheceu adequação do regime de proteção de dados da UE, viabilizando transferências internacionais sem cláusulas adicionais.

Infralegal

Portarias MJSP

Portaria MJSP 30/06/2025: Regulamenta uso de IA e tecnologias avançadas em investigações criminais, fixando requisitos de legalidade, necessidade, proporcionalidade e controle judicial.

Portaria SENASP 624/2025: Criou a Rede Nacional de Combate a Crimes Cibernéticos (Rede Ciber).

Destaque Lei 12.850/2013

Organizações Criminosas — Técnicas Especiais

O art. 3º elenca os meios de obtenção de prova: colaboração premiada (I), captação ambiental (II), ação controlada (III), acesso a registros e dados cadastrais (IV), interceptação (V), afastamento de sigilos (VI), infiltração de agentes (VII), cooperação entre órgãos (VIII) e infiltração policial na internet (art. 10-A, inserido pelo Pacote Anticrime).

O art. 15 permite que delegados e MP requisitem diretamente dados cadastrais (qualificação, filiação, endereço) de provedores, operadoras, instituições financeiras e administradoras de cartão — sem autorização judicial.

Seção II — Mapa dos Tipos Penais por Bem Jurídico

A Crimes contra a Liberdade Individual e Privacidade

Art. 154-A CP — Invasão de dispositivo informático: tipo central dos crimes cibernéticos próprios. Pena: 1–4 anos + multa (tipo simples); 2–5 anos (qualificado). Ação pública condicionada à representação, salvo se contra a administração pública (incondicionada).

Art. 147 CP — Ameaça por meios digitais (WhatsApp, redes sociais). Art. 147-A CP — Perseguição/stalking (Lei 14.132/2021), incluindo modalidade cibernética.

SIM-swap: Enquadra-se nos arts. 154-A e 171, §2º-A, por falta de tipo autônomo.

B Crimes contra o Patrimônio

Art. 155, §4º-B — Furto mediante fraude eletrônica: pena 4–8 anos. Aplicável quando cometido por dispositivo eletrônico/informático, com ou sem violação de mecanismo de segurança, ou com uso de programa malicioso. §§4º-C e 4º-D: majorantes de 1/3 a 2/3 (servidor estrangeiro) e 1/3 ao dobro (idoso/vulnerável).

Art. 171, §2º-A — Fraude eletrônica: pena 4–8 anos. Aplica-se quando a fraude utiliza informações fornecidas pela vítima/terceiro induzido a erro por redes sociais, telefone, e-mail fraudulento ou meio análogo. §§2º-B e 3º replicam majorantes.

Art. 158 — Extorsão (ransomware): pena 4–10 anos + multa.

Art. 298, parágrafo único — Falsificação de cartão (carding/skimming): pena 1–5 anos.

C Crimes contra a Honra (meios digitais)

Arts. 138, 139 e 140 CP — Calúnia, difamação e injúria por meios digitais. Competência: Justiça Estadual (Súmula 140/STJ), salvo se envolver União ou entidade federal (art. 109, IV, CF). A internacionalidade meramente potencial (site acessível no exterior) não atrai automaticamente a Justiça Federal.

D Crimes contra a Administração Pública

Art. 313-A CP — Peculato eletrônico: crime próprio de funcionário público autorizado. Inserir/facilitar inserção de dados falsos, alterar ou excluir dados corretos. Pena: 2–12 anos + multa. Crime material. Competência federal se sistema de órgão federal.

Art. 313-B CP — Modificação não autorizada de sistema de informações: crime próprio. Pena: 3 meses–2 anos + causa de aumento.

Art. 325, §1º, I e II CP — Violação de sigilo funcional qualificada: permitir/facilitar acesso não autorizado a sistema ou utilizar indevidamente acesso restrito. Pena: 2–6 anos.

Quando o crime é cometido por terceiro (não funcionário), aplica-se o art. 154-A (ação incondicionada por art. 154-B). Concurso com arts. 266 e 313-A possível se houver participação de funcionário.

E Crimes contra o Sistema Financeiro e Economia Popular

Art. 2º, IX, Lei 1.521/51 — Pirâmide financeira digital (incluindo criptomoedas). Competência estadual em princípio (STJ, CC 170.392/SP), salvo lesão ao SFN.

Lei 7.492/86 — Crimes contra o sistema financeiro. O STJ equiparou plataformas de criptomoedas a instituições financeiras para responsabilidade civil (REsp 2.259.000, 4ª Turma, jun/2025), mas a equiparação penal é controvertida.

F Crimes do ECA (Pornografia Infantil Online)

Arts. 241, 241-A, 241-B, 241-C, 241-D ECA — Produção, distribuição, posse e simulação de pornografia infantil. Internet com acessibilidade transnacional: competência da Justiça Federal (STF, RE 628.624, Tema 393). Meio restrito (WhatsApp, chat privado): competência pode ser Justiça Estadual (STJ, CC 150.564/MG), salvo prova de transnacionalidade.

G/H Organização Criminosa e Lavagem de Dinheiro

Art. 2º, Lei 12.850/2013 — Organização criminosa: associação de 4+ pessoas, estruturada, com divisão de tarefas, para infrações com pena máxima superior a 4 anos. Pena: 3–8 anos. Grupos de fraude eletrônica em escala preenchem tipicamente esses requisitos.

Art. 1º, Lei 9.613/98 — Lavagem de dinheiro: crime autônomo. Qualquer infração penal pode ser antecedente (desde 2012). Condenação viável mesmo com crime antecedente prescrito (STJ, APn 927, Corte Especial, fev/2026). Competência segue o crime antecedente, salvo evasão de divisas (federal).

Seção III — Competência nos Crimes Cibernéticos

1. Regra Geral — Local da Consumação (art. 70, caput, CPP)

O juízo competente é o do local onde o crime se consumou. No estelionato, o STJ entendia que a consumação ocorria no local da obtenção da vantagem ilícita (teoria do resultado).

2. Exceção — Domicílio da Vítima (art. 70, §4º, CPP — Lei 14.155/2021)

Para crimes de fraude eletrônica (art. 171, §2º-A) e estelionato por depósito/transferência/cheque, a competência é fixada pelo domicílio da vítima. O §5º acrescenta: se impossível determinar o domicílio, competência do local do prejuízo.

⚠ Assimetria crítica para provas: Para o furto mediante fraude eletrônica (art. 155, §4º-B), o legislador NÃO incluiu regra especial — competência segue a regra geral (local da subtração). Essa assimetria entre estelionato e furto eletrônico é ponto frequente em provas discursivas. (STJ, CC 185.343, 3ª Seção, Info 738)

3. Competência da Justiça Federal (art. 109 CF)

Art. 109, IV — Crimes em detrimento da União: Crime cibernético que atinge sistema de órgão federal (Receita, INSS, STJ). Art. 154-A contra administração pública federal → ação incondicionada + competência federal.
Art. 109, V — Tratado + Transnacionalidade: Hipótese mais relevante. O STJ (CC 197.032/AM, 3ª Seção, jun/2023) fixou: compete à Justiça Federal julgar ransomware quando: (i) delito previsto em convenção internacional (Budapeste) E/OU (ii) prova de internacionalidade (servidores no exterior, criptomoedas para carteiras estrangeiras, agentes de fora do país). Basta uma condição alternativa.
Pornografia infantil (Tema 393/STF): Competência federal se acessível transnacionalmente (RE 628.624). Estadual se comunicação privada restrita (STJ, CC 150.564/MG).
Súmula 122/STJ — Conexão: Crimes conexos de competência federal e estadual são reunidos na Justiça Federal. Aplicado na Operação fraude de R$ 813 milhões via Pix (PF, out/2025; STJ, jan/2026).

Crimes contra a Honra Online

Competência estadual em regra. Internacionalidade meramente potencial (acesso por sites internacionais) não atrai Justiça Federal. Exige-se internacionalidade concreta.

Ameaça/Stalking Digital

Competente o juízo do local onde a vítima tomou conhecimento (crime formal). Se Lei Maria da Penha: juízo de violência doméstica do domicílio da vítima.

Seção IV — Lavagem de Dinheiro e Crimes Cibernéticos

Autonomia do Crime de Lavagem

STJ, APn 927, Corte Especial, fev/2026: condenação viável mesmo com crime antecedente prescrito, desde que haja prova de origem ilícita e atos concretos de ocultação. Manutenção de valores em contas offshore sem declaração evidencia permanência (crime permanente).

Justa Causa Duplicada

STJ, RHC 106.107/BA: denúncia deve demonstrar: (i) indícios da lavagem; (ii) indícios da infração antecedente, com descrição dos bens e participação individual. Referência genérica não basta (HC 1.032.908, 6ª Turma, mar/2026 — trancamento).

Competência

Se crime antecedente é estadual → lavagem estadual. Exceções: evasão de divisas (art. 109, VI, CF); conexão com crime federal (Súmula 122/STJ); criptomoedas remetidas ao exterior (tendência, sem tese vinculante). Info 673/STJ: criptomoedas não atraem Justiça Federal se ausentes evasão ou lesão à União.

Autolavagem

STJ, 5ª Turma, mar/2026: simples depósito de valores ilícitos na própria conta bancária não configura lavagem, exigindo-se ato adicional de ocultação ou dissimulação. Relevante para fraude eletrônica com transferência via Pix.

Seção V — Organização Criminosa e Crimes Digitais

Enquadramento: Lei 12.850/2013 exige: (i) 4+ pessoas; (ii) estrutura ordenada; (iii) divisão de tarefas; (iv) vantagem de qualquer natureza; (v) infrações com pena máxima superior a 4 anos ou caráter transnacional. Pena: 3–8 anos, majorada de 1/6 a 2/3 em diversas hipóteses.

Individualização: STJ (HC 1.032.908, 6ª Turma, 16/03/2026): denúncia que imputa organização criminosa + estelionato + lavagem deve individualizar a conduta de cada acusado. Mera menção ao nome sem descrição concreta = inépcia → trancamento.

Divergência 5ª × 6ª Turma — Espelhamento do WhatsApp Web

5ª Turma (Info 810, mai/2024): Espelhamento válido como ação controlada/infiltrada virtual (arts. 8º, 10, 10-A, Lei 12.850), desde que haja autorização judicial + organização criminosa + proporcionalidade.
6ª Turma (mar/2026): Espelhamento é NULO — mais invasivo que interceptação, pois permite envio, edição e exclusão de mensagens pelo agente. Extrapola limites da Lei 12.850.

Aguarda pacificação pela 3ª Seção (abr/2026).

Seção VI — Crimes contra a Administração Pública em Ambiente Digital

Tipo Conduta Pena Sujeito Ativo
Art. 313-A Inserir/facilitar inserção de dados falsos, alterar ou excluir dados em sistema da administração 2–12a + multa Funcionário público autorizado
Art. 313-B Modificação não autorizada do próprio sistema de informações 3m–2a + c/a Funcionário público
Art. 325, §1º Facilitar acesso não autorizado a sistema ou utilizar indevidamente acesso restrito 2–6a Funcionário público
Art. 154-A Invasão de sistema governamental por terceiro (não funcionário) 1–4a / 2–5a Qualquer pessoa (ação incondicionada)

Seção VII — Quadro Sinótico Geral

Tipo Penal Pena Ação Penal Competência
Art. 154-A — Invasão de dispositivo 1–4a (simples)
2–5a (qualif.)		 Condicionada (regra)
Incondicionada (adm. pública)		 Estadual (regra); Federal se contra órgão da União
Art. 155, §4º-B — Furto fraude eletrônica 4–8a + multa Incondicionada Local da subtração (art. 70 CPP)
Art. 158 — Extorsão / Ransomware 4–10a + multa Incondicionada Federal se transnacional (CC 197.032); Estadual demais
Art. 171, §2º-A — Fraude eletrônica 4–8a + multa Condicionada (regra); Incondicionada (adm/idoso/vulnerável) Domicílio da vítima (art. 70, §4º CPP)
Art. 266, §1º — Interrupção serviço / DDoS 1–3a (dobrada calamidade) Incondicionada Local da interrupção
Art. 298, p.ú. — Falsificação cartão 1–5a + multa Incondicionada Local da falsificação ou uso
Art. 313-A — Peculato eletrônico 2–12a + multa Incondicionada Federal se sistema federal
Art. 2º, Lei 12.850 — Org. Criminosa 3–8a Incondicionada Federal se transnacional ou conexão (S. 122)
Art. 1º, Lei 9.613 — Lavagem 3–10a + multa Incondicionada Segue antecedente; federal se evasão/conexão
Arts. 241/241-A ECA — Pornografia infantil 3–6a + multa Incondicionada Federal se transnacional (Tema 393); Estadual se restrito
BLOCO 2

Prova Digital, Cadeia de Custódia e Meios de Obtenção

Cadeia de custódia, Tema 977/STF, interceptação, espelhamento, prints de WhatsApp, geolocalização reversa, infiltração virtual, citação eletrônica e inteligência artificial.

Seção I — Cadeia de Custódia da Prova Digital

Arts. 158-A a 158-F do CPP (Pacote Anticrime)

O art. 158-A define a cadeia de custódia como "o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio". O art. 158-B elenca 10 etapas obrigatórias: reconhecimento, isolamento, fixação, coleta, acondicionamento, transporte, recebimento, processamento, armazenamento e descarte.

No contexto digital, isso compreende: registro do IMEI, lacramento do dispositivo, geração do hash de integridade (preferencialmente SHA-256, não apenas MD5) no momento da extração, e documentação completa da metodologia (ferramenta, versão, tipo de extração).

Hash de Integridade

Código alfanumérico único gerado por algoritmo criptográfico. "Impressão digital" do arquivo: se um bit mudar, o hash muda totalmente. MD5 é vulnerável a colisões; padrão atual: SHA-256 ou superior.

Extração Lógica vs. Física

Lógica: copia apenas o que o SO disponibiliza (rápida, superficial). Física: copia bit a bit, incluindo dados apagados e áreas não alocadas. Defesa pode requerer extração física se acusação se baseia apenas em lógica.

ISO/IEC 27037

Norma internacional para evidência digital. Quatro atributos: auditabilidade, repetibilidade, reprodutibilidade e justificabilidade. Pode e deve ser citada em peças processuais.

Jurisprudência STJ — Sistema de Teses sobre Cadeia de Custódia Digital

Tese 5.1 — Quebra NÃO gera nulidade automática: A mera inobservância dos arts. 158-A a 158-F não acarreta automaticamente imprestabilidade. Análise do caso concreto. Ônus de quem alega. (5ª Turma, AREsp 1.847.296, 2023)
Tese 5.2 — Sem registro documental = inadmissível: Quando a polícia não documenta minimamente os procedimentos de preservação, a prova é inadmissível. Não se presume veracidade das alegações estatais. (5ª Turma, AgRg no HC 828.054/RN, Info 811, mai/2024)
Tese 5.3 — Falta de hash, lacre e registro = inadmissibilidade: Ausência dos procedimentos básicos para garantir idoneidade resulta em quebra e inadmissibilidade. (5ª Turma, AgRg no RHC 143.169/RJ, Info 774, 2023)
Tese 5.4 — Arquivos corrompidos = inadmissíveis: Corrupção parcial compromete a integralidade e inviabiliza utilização. (6ª Turma, AgRg no RHC 184.003/SP, jan/2025; Info 883, mar/2026)
Tese 5.5 — Acesso policial pré-perícia pode invalidar: Quando a autoridade acessa o celular antes da perícia técnica, comprometendo integridade, provas devem ser excluídas. (5ª Turma, HC 943.895/PR, 2025)
Tese 5.6 — Nulidade sem acesso da defesa às mídias: Quando a defesa não consegue acessar as mídias originais para contraditório efetivo, laudo é nulo. (6ª Turma, RHC 218.358/PI, nov/2025)
Tese 5.7 — Dúvida sobre custódia impõe perícia: Diante de dúvida razoável, juiz deve determinar perícia antes de decidir. (6ª Turma, Info 883, REsp 2.235.157/SP, mar/2026)
Tese 5.8 — Prints de PARTICULAR são válidos: Regime diferenciado quando provas obtidas por particular (não agente estatal), desde que: (i) sem indícios de manipulação; (ii) confirmadas em juízo; (iii) sem prejuízo demonstrado. Ônus de provar manipulação recai sobre quem impugna. (5ª Turma, nov/2025; Info 883, mar/2026)
Síntese (3 faixas): (a) Provas estatais sem documentação → inadmissíveis; (b) Provas estatais com falhas pontuais → análise caso a caso; (c) Provas de particular → válidas, salvo prova de manipulação. Em todos os cenários, corrupção parcial contamina o conjunto, e dúvida fundada exige perícia.

Seção II — Acesso a Dados em Dispositivos Apreendidos (Tema 977/STF)

STF Plenário ARE 1.042.075 25/06/2025

Tese Tripartite do Tema 977

Tese 1 — Apreensão: A mera apreensão do celular (art. 6º CPP ou flagrante) não está sujeita à reserva de jurisdição. Polícia pode apreender sem ordem judicial.
Tese 2 — Acesso aos dados (regra geral): O acesso ao conteúdo exige consentimento expresso do titular ou prévia decisão judicial fundamentada (art. 5º, X e XII, CF).
Tese 3 — Exceção: encontro fortuito: Aparelho encontrado em cena de crime, abandonado, sem titular identificado → acesso pode ser realizado sem consentimento nem decisão judicial, desde que justificado posteriormente e com preservação dos dados.

Precedentes Complementares (STJ)

Celular de vítima morta entregue por familiar: acesso lícito sem autorização judicial (5ª Turma). Celular em estabelecimento prisional: acesso ao WhatsApp permitido sem autorização (5ª Turma) — objeto ilícito com expectativa de privacidade radicalmente reduzida. Chip descartado em via pública: acesso lícito — expectativa de privacidade cessou com descarte voluntário (6ª Turma).

Seção III — Interceptação de Comunicações (Lei 9.296/96)

Requisitos Legais

A Lei 9.296/96 autoriza interceptação de comunicações telefônicas e telemáticas (WhatsApp, e-mail, apps de mensagem) mediante: (a) ordem judicial fundamentada; (b) fins de investigação criminal ou instrução processual penal; (c) indícios razoáveis de autoria/participação em crime punido com reclusão; (d) subsidiariedade (prova não obtida por outros meios); (e) prazo máximo de 15 dias, renovável.

Renovações Sucessivas — Lícitas

STF, RE 625.263, Tema 661 (2022): são lícitas as sucessivas renovações desde que individualmente fundamentadas. Não há limite máximo de renovações. Prazo conta do efetivo início da escuta.

Dados Estáticos vs. Fluxo

Estáticos (backups, fotos, histórico): proteção pelo art. 5º, X, CF → autorização judicial, mas NÃO regime da Lei 9.296. Fluxo (conversas em tempo real): regime integral da Lei 9.296 (prazo 15 dias + renovação). Distinção fundamental para WhatsApp.

Preservação Cautelar ("Congelamento")

STJ (6ª Turma, fev/2022): MP pode solicitar congelamento de dados telemáticos sem autorização judicial, pois não implica acesso ao conteúdo, apenas conservação. Fundamento: art. 13, §2º, Marco Civil + art. 16, Convenção de Budapeste.

Seção IV — Espelhamento do WhatsApp Web: A Grande Divergência

Divergência Ativa (abr/2026)

6ª Turma — NULIDADE

RHC 99.735/SC (nov/2018, Rel. Min. Laurita Vaz): espelhamento permite envio, edição e exclusão de mensagens pelo agente → comprometimento da confiabilidade. Sem previsão legal específica. Analogia com interceptação inadequada. Reafirmado em mar/2026.

5ª Turma — VALIDADE

AgRg no AREsp 2.318.334/MG (Info 810, mai/2024): espelhamento válido como ação controlada/infiltrada virtual, nos termos dos arts. 8º, 10 e 10-A da Lei 12.850. Requisitos: autorização judicial + organização criminosa + proporcionalidade + prazo.

Para a prova: Promotor → tese da 5ª Turma (validade). Juiz → expor divergência, fundamentar cada corrente, indicar critérios. Em ambos: mencionar que aguarda 3ª Seção.

Seção V — Prints de WhatsApp como Prova (2026)

Cenário 1 — Válido

Prints por Particular, Sem Manipulação

Válidos como meio de prova. Exigência rigorosa de cadeia de custódia aplica-se ao Estado. Ônus de provar manipulação recai sobre quem impugna. (5ª Turma, nov/2025; Info 883, mar/2026)

Cenário 2 — Inadmissível

Prints por Autoridade sem Protocolo

Sem hash, lacre, IMEI, documentação de metodologia → inadmissíveis. (AgRg no HC 828.054/RN, Info 811, 2024)

Cenário 3 — Exige Perícia

Dúvida Fundada sobre Autenticidade

Perícia obrigatória antes de fundamentar decisão gravosa. (6ª Turma, Info 883, mar/2026 — afastou preventiva até perícia)

Cenário 4 — Métodos Seguros

Formas de Preservação

Ata notarial (fé pública); Blockchain (Verifact, OriginalMy — carimbo imutável + hash); Extração forense (Cellebrite, IPED, Oxygen Forensic). Hierarquia de confiabilidade crescente.

Seção VI — Geolocalização, Busca Reversa e Tema 1148/STF

Geolocalização Reversa — Vedada (STJ)

STJ, RHC 157.274/PR, 6ª Turma, Info 730 (2022): vedada a geolocalização reversa genérica — solicitar ao Google dados de todos os aparelhos em determinada área/período. Desproporcional por atingir pessoas indeterminadas sem relação com o crime.

Pendente Tema 1148/STF

RE 1.301.250 — Quebra de Sigilo de Pessoas Indeterminadas

Discute limites para decretação judicial de quebra de sigilo de dados telemáticos em relação a pessoas indeterminadas. Julgamento suspenso por vista do Min. Dias Toffoli em 25/09/2025. Placar parcial: 4×2 favorável à constitucionalidade com requisitos. Min. Alexandre de Moraes: medida só autorizada diante de indícios de envolvimento de suspeitos identificáveis. Retomada prevista para abril/2026.

Dados Telemáticos Estáticos — Sem Delimitação Temporal

STJ, RMS 62.894/PE, 5ª Turma (2022): para acesso a dados estáticos (e-mails armazenados, registros de localização já produzidos), não é necessária delimitação temporal na ordem judicial. Restrição temporal é exigência da interceptação em fluxo (Lei 9.296/96).

Seção VII — Infiltração Virtual e Ação Controlada

Infiltração Virtual (art. 10-A, Lei 12.850)

Agentes de polícia atuam de forma encoberta na internet. Requisitos: autorização judicial + prazo de 6 meses (renovável) + organização criminosa + necessidade/proporcionalidade + subsidiariedade. Vedada provocação (Súmula 145/STF).

Ação Controlada (art. 8º, Lei 12.850)

Retardar intervenção policial para momento mais eficaz. Exige apenas comunicação prévia ao juiz (não autorização). Admitida no ambiente virtual: monitoramento de transações cripto, entregas controladas digitais, postergação de prisões.

Infiltração ECA (Lei 13.441/2017)

Regime especial para crimes contra dignidade sexual de menores. Prazo: 90 dias (renovável até 720 dias). Relatório circunstanciado a cada 90 dias. Atuação restrita à coleta de provas. Lex specialis em relação à Lei 12.850.

Limites Constitucionais

Agente não pode praticar crimes que excedam o necessário. Excludente: inexigibilidade de conduta diversa (art. 13, p.ú., Lei 12.850) — não abrange excessos dolosos. Vedada instigação de crimes que não teriam ocorrido sem provocação.

Seção VIII — Acesso a Dados sem Ordem Judicial: Hipóteses Legítimas

Hipótese Fundamento Observação
Dados cadastrais (qualificação, filiação, endereço) Art. 15, Lei 12.850; Art. 10, §3º, MCI Delegado e MP requisitam diretamente. STJ Corte Especial (mar/2025, 6×5) confirmou obrigatoriedade.
Encontro fortuito de celular Tema 977/STF, Tese 3 Aparelho abandonado em cena de crime. Acesso com justificativa posterior + preservação.
Chip descartado em via pública STJ, 6ª Turma Expectativa de privacidade cessou com descarte voluntário.
Celular de vítima morta (entregue por familiar) STJ, 5ª Turma Familiar exerce consentimento em nome da vítima.
Celular em presídio STJ, 5ª Turma Objeto ilícito; expectativa de privacidade radicalmente reduzida.
Preservação cautelar ("congelamento") Art. 13, §2º, MCI; Art. 16, Budapeste Não implica acesso ao conteúdo — apenas conservação.
Limites inafastáveis: Conteúdo de comunicações e registros de conexão/acesso sempre exigem ordem judicial (art. 10, §1º, MCI; art. 22, MCI). Violação = nulidade absoluta (prova ilícita, art. 5º, LVI, CF; art. 157, CPP). Habilitação de chip policial em substituição ao do investigado: ilegal (STJ, 5ª Turma, 2022) — interceptação disfarçada.

Seção IX — Citação e Intimação por WhatsApp

Pendente Tema 1345/STJ

Corte Especial — Recurso Repetitivo Afetado (jan/2026)

Questão: "definir se é válida a citação em ações cíveis por meio de aplicativo de mensagens ou de redes sociais". Suspensão nacional de processos com a mesma controvérsia. Julgamento previsto para 1º semestre de 2026, não concluído até abr/2026.

Processo penal: art. 351 CPP exige citação pessoal. STJ (HC 641.877/DF, mar/2021): admissível em caráter excepcional se comprovada identidade, titularidade da linha e ciência inequívoca.

Limite: STJ (fev/2026): intimação por WhatsApp não é válida para decretar prisão civil do devedor de alimentos — quanto mais gravosa a consequência, mais rigorosa a certeza na comunicação.

Seção X — Inteligência Artificial na Investigação e no Processo Penal

Marco Jurisprudencial STJ 5ª Turma 08/04/2026

Relatório de IA Generativa Rejeitado como Prova

Primeira decisão do STJ sobre IA como prova. Relatório produzido por IA generativa, sem validação técnico-científica e sem crivo da perícia, não possui confiabilidade para sustentar acusação penal. Motivo: ausência de confiabilidade epistemológica — "alucinações", impossibilidade de distinguir dados reais de fabricados, falta de auditabilidade e reprodutibilidade (arts. 158 e 159 CPP). Trancamento da ação penal quando prova de IA era principal elemento acusatório.

Resolução CNJ 615/2025

IA no Judiciário

IA pode auxiliar redação de decisões, mas responsabilidade é exclusiva do magistrado. Vedado uso de IA para avaliar probabilidade de reiteração delitiva, scores de periculosidade ou risco de fuga para fundamentar prisão preventiva.

Lei 15.123/2025

Deepfake e Violência contra Mulher

Agravante de metade na pena do art. 147-B CP (violência psicológica contra mulher) se cometido com IA ou recurso que altere imagem/som da vítima. Pena pode alcançar 3 anos, ultrapassando limite dos JECrims.

Res. TSE 23.732/2024

Deepfakes Eleitorais

Proibição expressa de deepfakes em propaganda eleitoral. Aviso obrigatório quando IA utilizada na produção de conteúdo. Descumprimento → cassação de registro ou diploma.

Portarias MJSP

IA em Investigações

Portaria MJSP 30/06/2025 e Portaria 1.122/2026: requisitos de legalidade, necessidade, proporcionalidade. Exigem documentação do processo algorítmico para permitir contraditório pela defesa.

Seção XI — Criptografia Ponta-a-Ponta (ADI 5.527 / ADPF 403)

Pendente STF Plenário

Constitucionalidade do Bloqueio de Aplicativos Criptografados

ADI 5.527 (Rel. Min. Rosa Weber): votou pela interpretação conforme, afastando bloqueio como sanção. Criptografia é instrumento legítimo de proteção; fragilização colocaria em risco todos os usuários.

ADPF 403 (Rel. Min. Edson Fachin): impossibilidade de bloqueio; aplicação de multa contra WhatsApp por descumprimento de ordem tecnicamente impossível.

Mérito pendente (abr/2026). Não definido se Estado pode exigir backdoors. Para a prova: discutir tensão segurança pública vs. privacidade; meios alternativos (metadados, infiltração, ação controlada).

Seção XII — Responsabilidade de Plataformas (Reflexos Penais do Tema 987)

O RE 1.037.396/SP (Tema 987, 26/06/2025) impacta a persecução penal: facilita preservação de provas (provedores atuam proativamente); cria deveres de cooperação cujo descumprimento pode configurar obstrução; fortalece argumento de omissão imprópria (art. 13, §2º, CP) quando plataforma se omite diante de conteúdos criminosos manifestos (pornografia infantil, incitação a crimes).

Provedores podem, por iniciativa própria, remover conteúdos que violem a lei ou seus termos de uso — não configura censura prévia. Isso reforça a importância do congelamento cautelar, pois evidências podem ser removidas antes da investigação.

Seção XIII — Quadro Comparativo: Meios de Obtenção de Prova Digital

Meio Natureza Requisitos Limite Principal
Interceptação (Lei 9.296) Captação em fluxo em tempo real Ordem judicial + reclusão + subsidiariedade + 15 dias Comunicação encerrada = dado estático
Acesso a dados estáticos (Tema 977) Registros já armazenados Autorização judicial (regra) ou encontro fortuito Não se aplica Lei 9.296 (sem prazo 15 dias)
Espelhamento WhatsApp Monitoramento contínuo via QR Code Autor. judicial + org. criminosa (5ª T.); vedado (6ª T.) Divergência 5ª × 6ª Turma (3ª Seção pendente)
Infiltração virtual (art. 10-A) Agente encoberto no ambiente digital Autor. judicial + 6 meses + org. criminosa Vedação de provocação (Súmula 145/STF)
Infiltração ECA (Lei 13.441) Agente infiltrado para crimes contra menores Autor. judicial + 90 dias (até 720) + relatório Restrita à coleta de provas
Ação controlada (art. 8º) Retardamento da intervenção policial Comunicação prévia ao juiz (não autorização) Vedação de omissão com risco à vida
Dados cadastrais (art. 15) Requisição direta pelo delegado/MP Nenhuma autorização judicial Apenas qualificação, filiação, endereço
Preservação cautelar Conservação de dados nos servidores Solicitação MP/delegado, sem ordem judicial Não implica acesso ao conteúdo
BLOCO 3

Cooperação Internacional, ECA Digital, LGPD e Lacunas

Convenções de Budapeste e Hanói, MLATs, CLOUD Act, ECA Digital em profundidade, LGPD e interface penal, projetos de lei, lacunas legislativas, questões dissertativas comentadas e modelos de fundamentação.

Seção I — Cooperação Jurídica Internacional

Convenção de Budapeste (Decreto 11.491/2023)

Três funções: (a) tipos penais harmonizados que fundamentam competência federal (art. 109, V, CF); (b) cooperação jurídica internacional — assistência mútua para preservação e revelação de dados (arts. 29-35), produção de prova e extradição; (c) rede 24/7 (art. 35) — ponto de contato brasileiro é a Polícia Federal (Diretoria de Combate a Crimes Cibernéticos).

Segundo Protocolo Adicional (2022): Permite ordens de produção diretamente a provedores estrangeiros, sem MLAT. Brasil não aderiu (abr/2026) — lacuna relevante que mantém dependência de MLATs bilaterais lentos.

Convenção de Hanói (ONU, 2024-2025)

Primeiro tratado global de justiça penal em 20+ anos. Aberta para assinatura em 25/10/2025 (65 países). Vai além de Budapeste: tipifica ransomware como conduta autônoma; mecanismos de cooperação mais ágeis; garantias de direitos humanos. Brasil assinou mas não ratificou — ratificação exigirá aprovação do Congresso (art. 49, I, CF).

MLATs Bilaterais

Brasil possui MLATs com EUA (Dec. 3.810/2001 — mais relevante), Canadá, França, Itália, Portugal e outros. Autoridade central brasileira: DRCI (Ministério da Justiça). Prazo médio: 6-18 meses — frequentemente incompatível com volatilidade da prova digital.

CLOUD Act e Soberania Brasileira

CLOUD Act (EUA, 2018): autoridades americanas podem acessar dados em servidores de qualquer país. Brasil não possui executive agreement com EUA → dependência do MLAT. Assimetria: EUA acessam dados de brasileiros; Brasil enfrenta processo lento. Evidencia lacuna de soberania digital.

Cooperação Direta com Provedores

Dois níveis: (a) Preservação emergencial — solicitada diretamente, sem MLAT; provedores atendem em 24-72h; (b) Fornecimento de conteúdo/registros — exige ordem judicial brasileira ao escritório local (art. 11 MCI) ou MLAT quando sem presença no Brasil. STJ reconheceu que ordem brasileira pode determinar remoção global sem violar soberania estrangeira.

Seção II — ECA Digital (Lei 15.211/2025) em Profundidade

Sancionada 17/09/2025 | Vigência 17/03/2026

Contexto: Anuário Brasileiro de Segurança Pública 2025 revelou quase 90 mil queixas de crimes cibernéticos (aumento de 30%), com mais de 63 mil envolvendo menores.

Aplica-se a todo produto/serviço de tecnologia acessível a crianças e adolescentes no Brasil. Obrigações: verificação de idade com padrões técnicos regulamentados; proibição de dark patterns (mecanismos que estimulem uso compulsivo, explorem vulnerabilidades ou induzam compras não autorizadas); notificação de conteúdos ilícitos a órgãos competentes; controle parental com interface acessível; proibição de coleta excessiva de dados de menores (articulação com LGPD); transparência sobre algoritmos de recomendação.

Interface Penal

Não cria tipos penais novos, mas fortalece deveres. Omissão de plataforma ciente de abuso pode configurar omissão imprópria (art. 13, §2º, CP) nos crimes dos arts. 241 e 241-A ECA. Lei 15.245/2025 criou tipo de obstrução de ações contra o crime organizado (art. 21-A, Lei 12.850: 4-12 anos).

Sanções Administrativas

Advertência, multa de até 2% do faturamento, suspensão temporária. Aplicáveis pela ANPD em articulação com outros órgãos. Complementaridade com mecanismos penais.

Seção III — LGPD e Interface Penal: A Grande Lacuna

Ausência de Tipos Penais na LGPD

A LGPD não contém qualquer tipo penal. Sanções exclusivamente administrativas (art. 52). Não existe tipo penal específico para "vazamento de dados pessoais". Enquadramento residual:

Art. 154-A CP — se vazamento decorreu de invasão
Art. 153 CP — divulgação de segredo (correspondência/documentos)
Art. 325 CP — violação de sigilo funcional (agente público)
Art. 10, Lei 9.296 — interceptação ilegal de comunicações

LGPD Penal — O Vácuo Normativo

O art. 4º, III, exclui da LGPD o tratamento para fins de segurança pública e investigação criminal. Não há diploma que regule como órgãos de persecução devem tratar dados pessoais obtidos em investigações — dados bancários, de saúde, geolocalização são tratados sem marco de proteção específico. A Diretiva UE 2016/680 é o modelo europeu, mas o Brasil não possui equivalente.

Jurisprudência STJ sobre Vazamento de Dados

Dados não sensíveis: dano moral não presumido — exige demonstração de prejuízo efetivo. Dados sensíveis (origem racial, saúde, vida sexual, biometria): dano moral presumido (in re ipsa). Responsabilidade dos controladores: objetiva (art. 42, LGPD), podendo ser solidária.

Seção IV — Projetos de Lei em Tramitação (abr/2026)

Prioridade PL 2.338/2023

Marco Legal da IA

Aprovado no Senado (dez/2024), tramita na Câmara. Classificação por nível de risco; sistemas de IA de alto risco incluem os de investigação criminal e policiamento preditivo. Não cria tipos penais para crimes com IA, mas deveres cujo descumprimento pode gerar reflexo penal.

PL 3.027/2025

Novos Crimes Informáticos

Ampliação do art. 154-A: "acesso ilegítimo a sistema informático" e "sabotagem/dano digital" (destruição de dados/sistemas: 2-8 anos). Parecer favorável no Senado. Se aprovado, maior reforma desde a Lei 14.155/2021.

PL 2.630/2020

"Lei das Fake News"

Tramitação praticamente paralisada desde jun/2024. Sem previsão de votação. O Tema 987/STF supriu, por via jurisprudencial, parte das lacunas que o PL pretenderia preencher.

PL 4.752/2025

Marco Legal da Cibersegurança

Proteção de infraestruturas críticas contra ataques cibernéticos.

PL 6.236/2025

Aumento de Pena art. 154-A

Resposta ao crescimento de invasões de dispositivos.

PL 3.237/2025

Sistema Nacional Anti-Golpes Digitais

Específico para phishing, bloqueio de sites/apps fraudulentos.

PL 4.709/2025

Golpe do Falso Advogado/Oficial

Tipificações para fraudes processuais eletrônicas com deepfakes.

Seção V — Lacunas Legislativas e Teses Doutrinárias

Phishing — Sem Tipo Autônomo

Enquadramento fragmentado: tentativa de estelionato (art. 171, §2º-A), invasão (art. 154-A), falsificação (art. 298), furto eletrônico (art. 155, §4º-B). Conduta unitária desmembrada artificialmente → insegurança jurídica e risco de bis in idem.

SIM-swap — Sem Tipo Autônomo

Enquadrado em art. 171, §2º-A e art. 154-A. Na esfera civil, responsabilidade solidária de operadora e banco (STJ consolidado). A lacuna penal dificulta investigação e dosimetria — SIM-swap é frequentemente etapa preparatória de crimes mais graves.

Dados em Nuvem Estrangeira

Sem tese vinculante de STF/STJ. Três caminhos: ordem ao escritório brasileiro (art. 11 MCI); carta rogatória/MLAT; ordem direta (possível apenas com Segundo Protocolo de Budapeste — Brasil não aderiu). Convenção de Hanói oferecerá mecanismo adicional quando ratificada.

Deepfakes — Tipificação Parcial

Agravante apenas para violência psicológica contra mulher (Lei 15.123/2025) e proibição em propaganda eleitoral (Res. TSE 23.732). Fora desses contextos (manipulação de mercado, comprometimento de testemunhas, desinformação em massa), enquadramento residual em calúnia, difamação, estelionato ou falsificação.

Criptomoedas e Rastreabilidade

Plataformas equiparadas a instituições financeiras para responsabilidade civil (STJ, 4ª Turma, jun/2025), mas não há regulamentação penal específica. Pirâmides com cripto: Justiça Estadual em princípio (CC 170.392/SP), salvo lesão ao SFN ou evasão de divisas. Lavagem por cripto segue Lei 9.613/98; competência federal se internacionalidade.

Seção VI — Questões Dissertativas Comentadas

Promotor Questão 1 — Denúncia: Ransomware contra Órgão Federal com Lavagem
Enunciado: Grupo de 6 pessoas invadiu sistemas de empresa pública federal, criptografou servidores e exigiu 50 Bitcoins. Resgate parcialmente pago, convertido em Monero e transferido para exchanges nos Emirados Árabes. Um membro é funcionário público federal que facilitou o acesso. Elabore a denúncia.

Imputação: (a) Art. 154-A, §3º, CP (invasão qualificada) c/c art. 154-B (ação incondicionada); (b) art. 158, §1º, CP (extorsão majorada pelo concurso); (c) art. 266, §1º, CP (interrupção de serviço); (d) art. 313-A, CP (peculato eletrônico — para o funcionário); (e) art. 2º, Lei 12.850 (organização criminosa — 6 pessoas, estrutura, divisão de tarefas, penas superiores a 4 anos); (f) art. 1º, Lei 9.613/98 (lavagem — conversão Bitcoin→Monero + transferência a exchanges estrangeiras).

Competência: Justiça Federal — art. 109, IV (empresa pública federal); art. 109, V (Convenção de Budapeste + transnacionalidade); Súmula 122/STJ (conexão).

Cautelares: prisão preventiva (art. 312 CPP); sequestro de criptoativos (art. 125 CPP); afastamento do funcionário (art. 319, VI, CPP).

Juiz Questão 2 — Sentença: Cadeia de Custódia
Enunciado: Ação penal por furto eletrônico (art. 155, §4º-B). Prints de WhatsApp do celular do réu apreendido em flagrante. Defesa alega: celular não lacrado, sem IMEI/hash, policial acessou antes da perícia, arquivos corrompidos. MP sustenta que irregularidades são formais. Decida.

Análise: (a) Tese 5.1 (AREsp 1.847.296 — sem nulidade automática) aplica-se apenas a irregularidades pontuais. Aqui há acúmulo de vícios; (b) ausência de lacre + hash + IMEI = inadmissibilidade (Info 811; Info 774); (c) acesso pré-perícia = comprometimento (HC 943.895/PR); (d) corrupção parcial = inadmissibilidade (AgRg no RHC 184.003/SP); (e) não se presume veracidade estatal quando descumpridos os procedimentos.

Conclusão: provas digitais inadmissíveis. Se principal elemento → absolvição por insuficiência (art. 386, VII, CPP).

Ambos Questão 3 — Dissertação: Competência
Enunciado: Discorra sobre as regras de competência para crimes cibernéticos, distinguindo Justiça Federal e Estadual, com referência à Lei 14.155/2021, Convenção de Budapeste e jurisprudência.

Estrutura: (a) Regra geral: art. 70 CPP (local da consumação); (b) Exceção: art. 70, §4º (domicílio da vítima para fraude eletrônica); (c) Assimetria: estelionato (domicílio) vs. furto eletrônico (local da subtração); (d) Justiça Federal pelo art. 109, IV (órgãos federais); (e) Art. 109, V (tratado + transnacionalidade — CC 197.032/AM); (f) Tema 393/STF (pornografia infantil); (g) Súmula 122/STJ (conexão); (h) Crimes contra honra: estadual; (i) Lavagem: segue antecedente; (j) Org. criminosa: federal se transnacional.

Seção VII — Modelos de Fundamentação para Peças

Modelo 1 Requerimento de Interceptação Telemática (WhatsApp)

"Requer-se a interceptação das comunicações telemáticas realizadas pelo investigado por meio do aplicativo WhatsApp, vinculado à linha telefônica nº (___), com fundamento no art. 1º da Lei 9.296/96 e no art. 5º, XII, da Constituição Federal. A medida justifica-se porque: (i) há indícios razoáveis de autoria e materialidade de crime punido com reclusão (art. 155, §4º-B, CP — furto mediante fraude eletrônica, pena de 4 a 8 anos); (ii) a prova não pode ser obtida por outros meios disponíveis, dada a criptografia ponta-a-ponta do aplicativo e a complexidade da organização criminosa investigada; (iii) o prazo requerido é de 15 dias, nos termos do art. 5º da Lei 9.296/96. A jurisprudência do STF (RE 625.263, Tema 661) admite a renovação sucessiva desde que individualmente fundamentada."

Modelo 2 Requisição de Dados Cadastrais sem Ordem Judicial

"Requisitam-se os dados cadastrais (qualificação pessoal, filiação e endereço) do titular da linha telefônica nº (___) / da conta bancária nº (___) / do IP nº (___), com fundamento no art. 15 da Lei 12.850/2013, que autoriza o delegado de polícia e o Ministério Público a acessar, independentemente de autorização judicial, os dados cadastrais mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito. Não se trata de acesso a conteúdo de comunicações nem a registros de conexão, mas exclusivamente a dados de identificação civil."

Modelo 3 Impugnação de Prova por Quebra de Cadeia de Custódia

"A prova digital consistente em extração de dados do celular do acusado deve ser declarada inadmissível, nos termos dos arts. 158-A a 158-F do CPP, por violação à cadeia de custódia. Conforme documentado nos autos: (i) o aparelho não foi lacrado no momento da apreensão (art. 158-D); (ii) não há registro de hash de integridade (SHA-256 ou equivalente); (iii) o perito não registrou o IMEI do dispositivo; (iv) não consta documentação da ferramenta, versão e metodologia de extração utilizada. A jurisprudência do STJ é firme: 'são inadmissíveis as provas digitais sem registro documental acerca dos procedimentos adotados pela polícia para a preservação da integridade, autenticidade e confiabilidade dos elementos informáticos' (AgRg no HC 828.054/RN, 5ª Turma, Info 811). A norma ISO/IEC 27037 exige auditabilidade, repetibilidade, reprodutibilidade e justificabilidade — nenhum desses atributos está demonstrado."

Modelo 4 Admissão de Prints Obtidos por Particular

"Os prints de conversas de WhatsApp apresentados pela vítima/testemunha constituem meio de prova admissível, nos termos do art. 231 do CPP e da jurisprudência do STJ. A 5ª Turma (Info 883, mar/2026) consolidou que 'prints de mensagens de WhatsApp obtidos por particular, quando não apresentam indícios de manipulação e são confirmados em juízo, não configuram violação à cadeia de custódia'. A exigência rigorosa dos arts. 158-A a 158-F aplica-se às provas colhidas por autoridade estatal; quando o particular produz a prova, o ônus de demonstrar manipulação recai sobre quem a impugna. No caso, a testemunha confirmou em juízo o teor das mensagens, não há indícios de alteração, e a defesa não demonstrou prejuízo concreto."

Seção VIII — Divergências Ativas e Temas Pendentes (abr/2026)

Tema Questão Status
Tema 1148/STF Quebra de sigilo de dados telemáticos de pessoas indeterminadas (geolocalização reversa) Placar 4×2 — Vista Min. Toffoli
ADI 5.527 / ADPF 403 Bloqueio de apps criptografados; obrigação de backdoor Mérito pendente
5ª × 6ª Turma STJ Espelhamento WhatsApp Web Divergência ativa — 3ª Seção pendente
Tema 1345/STJ Citação por WhatsApp/redes sociais Afetado jan/2026 — pendente
PL 2.338/2023 Marco Legal da IA Câmara — prioridade 2026
PL 3.027/2025 Novos crimes informáticos (sabotagem digital) Parecer favorável Senado
Conv. Hanói Ratificação pelo Brasil Assinado — ratificação pendente
2º Protocolo Budapeste Cooperação direta com provedores estrangeiros Brasil não aderiu

Seção IX — Índice Remissivo Jurisprudencial

STF

  • ARE 1.042.075 (Tema 977) — Celular apreendido (25/06/2025)
  • RE 628.624 (Tema 393) — Pornografia infantil, competência federal
  • RE 1.037.396 (Tema 987) — Art. 19 MCI inconstitucional (26/06/2025)
  • RE 1.301.250 (Tema 1148) — Sigilo pessoas indeterminadas (pendente)
  • RE 625.263 (Tema 661) — Renovação interceptação (2022)
  • ADI 6.529 — Compartilhamento SISBIN/ABIN (2021)
  • ADI 5.527 / ADPF 403 — Criptografia/WhatsApp (pendente)

STJ

  • CC 197.032/AM — Ransomware, competência federal (jun/2023)
  • CC 185.343 — Fraude eletrônica, art. 70 §4º (Info 738)
  • AgRg HC 828.054/RN — Cadeia custódia inadmissível (Info 811)
  • AgRg RHC 143.169/RJ — Hash/lacre (Info 774)
  • AgRg RHC 184.003/SP — Arquivos corrompidos (jan/2025)
  • AREsp 1.847.296 — Sem nulidade automática (2023)
  • AgRg AREsp 2.318.334/MG — Espelhamento válido (Info 810)
  • RHC 99.735/SC — Espelhamento nulo (6ª T., 2018)
  • HC 1.032.908 — Individualização, trancamento (6ª T., mar/2026)
  • APn 927 — Lavagem com antecedente prescrito (Corte Esp., fev/2026)
  • RHC 157.274/PR — Geolocalização reversa vedada (Info 730)
  • 5ª Turma 08/04/2026 — IA generativa rejeitada como prova
  • Info 883 (mar/2026) — Prints: dúvida → perícia; particular → válido
  • CC 170.392/SP — Pirâmide cripto, competência estadual

Seção X — Checklist: 30 Temas Essenciais para Segunda Fase

01 Evolução legislativa (Lei 12.737, Lei 14.155, Pacote Anticrime)
02 Art. 154-A: tipo simples, qualificado, ação penal
03 Art. 155, §4º-B: furto eletrônico, distinção do estelionato
04 Art. 171, §2º-A: fraude eletrônica, domicílio da vítima
05 Art. 158: extorsão e ransomware, competência federal
06 Arts. 313-A/B: peculato eletrônico, concurso com art. 154-A
07 Lei 12.850: organização criminosa, técnicas especiais
08 Infiltração virtual (art. 10-A) e ação controlada (art. 8º)
09 Lavagem: autonomia, justa causa duplicada, competência
10 Cadeia de custódia (arts. 158-A a 158-F): 10 etapas
11 Hash (SHA-256 vs. MD5) e extração lógica vs. física
12 Tema 977/STF: celular apreendido, encontro fortuito
13 Interceptação (Lei 9.296): requisitos, prazo, estáticos vs. fluxo
14 Espelhamento WhatsApp: divergência 5ª × 6ª Turma
15 Prints de WhatsApp: particular vs. estatal
16 Dados cadastrais sem ordem judicial (art. 15, Lei 12.850)
17 Geolocalização reversa e Tema 1148/STF
18 Convenção de Budapeste: tipos, cooperação, rede 24/7
19 Convenção de Hanói: assinatura, conteúdo, ratificação
20 CLOUD Act e soberania digital brasileira
21 ECA Digital (Lei 15.211/2025): obrigações, interface penal
22 LGPD e ausência de tipos penais: tipificação residual
23 Responsabilidade de plataformas (Tema 987): reflexos penais
24 Criptografia ponta-a-ponta (ADI 5.527 / ADPF 403)
25 IA como prova: STJ 08/04/2026, limites epistemológicos
26 Lei 15.123/2025: deepfake e violência psicológica
27 Lei 15.245/2025: obstrução investigação, domínio social
28 Citação por WhatsApp (Tema 1345/STJ)
29 Lacunas: phishing, SIM-swap, nuvem estrangeira, LGPD Penal
30 PLs: 2.338 (IA), 3.027 (crimes informáticos), 2.630 (fake news)