A Convenção de Budapeste e a inadequação da produção legislativa brasileira

O Decreto 11.491 de 2023 (Brasil, 2023a) promulgou a Convenção sobre o Crime Cibernético do Conselho da Europa (Convenção de Budapeste) no Brasil. Apesar do recente movimento de consolidação do Tratado, a produção legislativa penal pátria contra os cibercrimes é bastante anterior, antecedendo-o em mais de uma década. Nesse cenário, era de se esperar que a elaboração das normas penais seguisse as obrigações assumidas pelo País ao cumprir os trâmites legais de incorporação da Convenção (Murata; Ritzmann, 2023, p. 14), mas um levantamento quanto aos Projetos de Lei (PLs)[1] dos últimos dez anos demonstra menos uma política criminal coerente do que um padrão estrutural de fragmentação. Percebe-se que o ordenamento jurídico-penal brasileiro avança com rapidez sobre episódios de grande repercussão midiática, mas hesita na construção de um sistema técnico-dogmático que responda, com densidade suficiente, às obrigações estruturais assumidas através do acordo europeu. Essa dissonância não nos auxilia na compreensão geral da natureza do problema nem na subsequente formação de boas políticas públicas (Wall, 2024, p. 24), tampouco na adequação ao tratado internacional.

Afinal, a Convenção de Budapeste não exige apenas que os Estados-Partes tipifiquem condutas como o acesso ilegal, a interceptação ilícita, a interferência de dados e a fraude informática. Ela pressupõe, igualmente, que esses Estados disponham de ferramentas investigativas eficazes e de mecanismos de cooperação capazes de produzir prova utilizável em juízo (Conselho da Europa, 2023, Arts. 14 a 35). Nessa perspectiva, a pergunta relevante não é apenas se o Brasil pretende tipificar as condutas previstas no documento internacional, como alguns Projetos de Lei vêm fazendo, mas se o ordenamento oferece, na dimensão processual, um regime capaz de tornar essa criminalização operativa sem sacrificar as garantias fundamentais do processo penal constitucional (Conselho da Europa, 2023, Art. 15), no âmbito nacional e internacional.

A resposta é negativa. Três anos após a promulgação, ainda subsistem lacunas típicas e sobreposições que fragilizam a legalidade estrita na esfera material; no plano processual, falta ao Brasil uma disciplina suficientemente densa sobre a obtenção, preservação, validação e auditabilidade da prova digital (Prado, 2023, p. 317).

A Convenção de Budapeste e seus compromissos estruturais

Embora cibercrime seja concebido como um “termo guarda-chuva” (Wall, 2024, p. 13), a Convenção de Budapeste organiza um padrão mínimo de tutela penal para um conjunto de condutas cuja eleição, como assinalam Ligeti, Vervaele e Klip (2018, p. 182-183), dá-se menos pela identidade do bem jurídico a ser penalmente tutelado do que pelo instrumento utilizado para o cometimento do delito, aquilo que Wall (2024, p. 16) denomina “crimes consumados no ciberespaço”[2]. Daí resulta a abrangência do catálogo convencional: acesso ilegal, interceptação ilícita, interferência de dados, interferência de sistemas, uso indevido de dispositivos, falsificação informática e fraude informática, além de figuras mais antigas que passaram a utilizar o ambiente digital como meio: pornografia infantil e violação de direitos autorais, por exemplo (Conselho da Europa, 2023, Arts. 2 a 10).

No Brasil, parte desse conteúdo já encontrava correspondência legislativa antes mesmo da ratificação. Como destacam Murata e Ritzmann (2023, p. 13-16), esse pré-alinhamento parcial, contudo, não esgota o problema. A adesão formal ao tratado expôs que o Brasil carece, ainda, de tipos precisos para condutas como a obtenção não autorizada de dados, o dano informático, a inserção ou difusão de código malicioso e a fraude informática em sentido estrito, condutas que, como advertia a doutrina antes mesmo da promulgação, não encontram abrigo satisfatório nos tipos existentes. O PL 5.441/2020, apensado ao PL 3.357/2015, propõe uma Parte Especial Digital sob o viés da Convenção, mas permanece como proposta a ser votada, não como solução consolidada (Brasil, 2020). Além, trata apenas da tipificação penal, inviabilizando a conformidade com o tratado.

Uma vez que a Convenção foi pensada para funcionar como padrão de cooperação internacional e, portanto, pressupõe que os Estados-Partes disponham de mecanismos investigativos compatíveis, como no caso de preservação rápida de dados armazenados (art. 16), preservação e divulgação parcial de dados de tráfego (art. 17), busca e apreensão de dados armazenados (art. 19) e coleta em tempo real de dados de tráfego (art. 20) (Conselho da Europa, 2023). Sem que esses mecanismos sejam operacionalizados com clareza no plano interno, o tratado permanece como fonte de obrigações formais sem densidade procedimental suficiente para torná-las exigíveis na prática.

Fragmentação legislativa e déficit dogmático

O exame do conjunto de PLs em tramitação revela a fragmentação que caracteriza a resposta legislativa brasileira ao cibercrime. Tomando-se por base os PLs 970/2022; 3010/2021; 2971/2021; e 4072/2021 (em tramitação no Congresso Nacional) percebemos que cada um desses projetos reage a um fenômeno específico de alta visibilidade e, isoladamente, pode ter algum mérito técnico. No entanto, tomados em conjunto, revelam uma metodologia que não atende as obrigações adquiridas, afinal, o legislador responde ao fato concreto que chegou às páginas dos jornais, não à obrigação estrutural assumida por tratado, reforçando a crítica de Wall (2024, p. 24) à formação de boas políticas públicas para o cenário.

Antes mesmo da promulgação da Convenção, a doutrina nacional de Murata e Ritzmann (2023, p. 14) destacou que a adesão formal sem densidade legislativa adequada produziria mais tensão do que solução, sobretudo porque diversas condutas de relevância penal incontestável carecem, no direito brasileiro, de tipo penal específico, suficientemente claro para satisfazer as exigências da legalidade estrita. O risco, portanto, não é de insuficiência punitiva, mas de tipicidade aberta, de enquadramentos elásticos e de uso excessivo de figuras tradicionais construídas para outros contextos tecnológicos.

Enquanto o Congresso mobiliza energia legislativa para dar respostas pontuais a golpes que afetam correntistas e empresas de grande porte, o PL 5.441/2020, que propõe uma arquitetura dogmática mais coerente para o cibercrime, compatível em parte com as exigências da Convenção, permanece engavetado. Além dele, o PL 213/2021 também segue sem ser votado ou apreciado. A diferença destes dois em relação aos demais é de método: aquilo que Foucault (2015, p. 129-142) delimita como a “gestão dos ilegalismos” e do “mercado do crime” (Foucault, 2022, p. 333), quando a produção legislativa penal assume papel de “investimento do legislador brasileiro”, contando com o eleitor como seu principal acionista (Reis, 2020).

A crítica garantista, nesse ponto, ganha força, uma vez que a legalidade estrita exige que o tipo penal descreva, com a maior precisão possível, o fato proibido, limitando o arbítrio judicial e protegendo o cidadão contra o poder punitivo. Quando o legislador deixa lacunas estruturais e o operador do direito busca supri-las por meio de interpretação extensiva, o que se tem não é aplicação do direito, mas expansão informal do poder de punir, em desalinho ao convencionalismo penal e a legalidade estrita (Ferrajoli, 2014, p. 38-40). Essa expansão é especialmente perigosa em matéria de cibercrime, em que a distância entre o fato técnico e a linguagem jurídica é frequentemente enorme.

A inadequação processual: prova digital e cadeia de custódia

Como se pode perceber, a inadequação brasileira à Convenção de Budapeste não se esgota na ausência de tipos penais precisos. Ela se aprofunda na inexistência de uma disciplina processual suficientemente densa para a prova digital, especialmente quanto à preservação da cadeia de custódia, à extração, ao armazenamento e à validação dos vestígios eletrônicos, porque depende “de garantias de integridade e autenticidade dos elementos informativos digitais em geral” (Prado, 2023, p. 317). Nessa dimensão, o descompasso entre o compromisso assumido pelo tratado e a realidade normativa interna é ainda mais evidente, porque compromete a aptidão do sistema.

A prova digital tem características que a distinguem estruturalmente dos demais meios de prova: ela é volátil, replicável e facilmente alterável (Vaz, 2012 p. 66-76), seja de forma intencional ou acidental. Como aponta Geraldo Prado (2023, p. 318), a natureza manipulável do elemento digital requisita que sejam incorporadas práticas técnico-científicas de investigação criminal que de modo algum podem ser dispensadas. Na prática do juízo processual, advertem Brighi e Ferrazzano (2021, p. 14), a estrutura peculiar do dado digital engendra a ilusão de que o que é digitalmente representado é indiscutível, induzindo o julgador a acreditar de maneira acrítica que uma exibição digital é adequada para apoiar o raciocínio lógico-probatório.

Portanto, a cadeia de custódia pode ser conceituada “como o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado”, rastreando sua posse e manuseio desde o reconhecimento até o descarte (Brasil, 1941; Neves, 2025, p. 152). No processo penal digital, ela assume papel decisivo porque o “contraditório digital” só é constituído pela possibilidade concreta de que os elementos probatórios digitais sejam auditáveis (Prado, 2023, p. 318): se não é possível assegurar que esses elementos são íntegros e autênticos, a defesa não estará em condições de, no curso do processo criminal, percorrer retrospectivamente a trilha probatória, pois essa não mais existe.

O direito brasileiro tardou para reconhecer essa exigência no plano legislativo. A cadeia de custódia foi introduzida no Código de Processo Penal pela Lei 13.964/2019 (Pacote Anticrime), que deu nova redação ao art. 158-A e seguintes, “estabelecendo as etapas de reconhecimento, isolamento, fixação, coleta, acondicionamento, transporte, recebimento, processamento, armazenamento e descarte”. Antes disso, o Ministério da Justiça havia realizado em 2012 um diagnóstico que concluiu pela ausência de normativa geral sobre o tema, identificando fragilidades generalizadas na gestão da atividade pericial nos estados (Brasil, 2012). A Portaria Senasp 82/2014 tentou suprir essa lacuna com diretrizes sobre procedimentos de custódia de vestígios, embora sem caráter vinculativo (Brasil, 2014).

O problema central, contudo, persiste. A Lei 13.964/2019 introduziu a cadeia de custódia como exigência geral, mas não disciplinou a especialidade da prova digital. Como aponta Elisa Ramos Pittaro Neves (2025, p. 155), “o problema é que não há no Brasil qualquer dispositivo legal que trate da prova digital de forma específica, tampouco da sua forma de arrecadação, documentação e rastreio no processo penal”. “A ausência de regras específicas sobre a digital evidence” faz “com que a observância da cadeia de custódia nessa modalidade probatória seja algo extremamente mais complexo” (Neves, 2025, p. 151), sobretudo quando os vestígios são obtidos em ambientes de nuvem, dispositivos móveis ou servidores localizados fora do País (Prado, 2023, p. 325).

Essa lacuna é agravada quando se considera a dimensão transnacional que a Convenção de Budapeste expressamente busca endereçar (Conselho da Europa, 2023, Arts. 18 a 35). O tratado prevê mecanismos de preservação rápida de dados armazenados e de cooperação para a coleta de dados em tempo real, que dependem, para funcionar, de protocolos internos bem definidos sobre como a evidência será recebida, preservada e validada do outro lado da fronteira. Sem essa disciplina, o tratado de cooperação internacional funciona apenas no papel. O dado pode ser obtido, mas a sua utilização em juízo estará permanentemente exposta à impugnação por ausência de rastreabilidade. Afinal, como destaca Helena Costa Rossi (2026, p. 203), a lacuna legal de normas autorizativas, impossibilita o juízo de deferir medidas necessárias, o que dificulta a adequação à Convenção.

O ponto foi articulado com precisão por Badaró (2021, p. 707) “no caso de digital evidence o elemento probatório ‘digital’ não terá o mínimo potencial epistêmico, não sendo apto a provar qualquer fato, quando a sua obtenção e produção não respeitar as best pratices e, consequentemente, utilizar métodos não fiáveis”. A aplicação dessa premissa ao campo digital é imperativa, pois o paradigma da cadeia de custódia, como assinalam Brighi e Ferrazzano (2021, p. 18), segue todo o ciclo vital da prova digital, com o registro de cada etapa do manuseio, da aquisição formal à verificação final, de sorte a tornar apta a repetibilidade da trilha processual. “Não existe uma cadeia de custódia da prova digital pela metade” (Prado, 2023, p. 325).

Consequências para a legitimidade da persecução penal

A ausência de um regime processual digital suficientemente denso produz uma consequência que vai além da mera ineficácia técnica comprometendo a legitimidade da persecução penal. Quando a cadeia de custódia não é instaurada ou é instaurada de forma deficiente, abre-se espaço para que o poder punitivo atue com baixo grau de controle epistêmico, em detrimento das garantias do contraditório e da ampla defesa. A pergunta formulada por Polansky e parafraseada por Geraldo Prado (2023, p. 319) sintetiza o problema com precisão “como em um mundo virtual é possível assegurar que os agentes estatais não introduzam ou suprimiram informação em um contexto de apreensão de dados digitais provenientes de qualquer fonte?”

A jurisprudência brasileira já enfrentou esse problema com alguma sofisticação. O STJ, no julgamento do RHC 174.325 (Brasil, 2024), fixou o entendimento de que as irregularidades na cadeia de custódia tornam a prova inadmissível. À mesma maneira, no AgRg no RHC 143.169 reconhece que a ausência da cadeia de custódia compromete sua confiabilidade e seu reconhece resulta em automatismo de inadmissibilidade, uma vez que a cadeia de custódia é ônus do Estado (Brasil, 2023b).

Esses precedentes são importantes, mas não substituem a necessidade de disciplina legislativa específica. A construção jurisprudencial é valiosa, mas introduz um grau de incerteza incompatível com as exigências da legalidade processual. Como destaca Helena Costa Rossi (2026, p. 204) “o estabelecimento de critérios pelo Poder Judiciário a cada caso não é suficiente para a salvaguarda de direitos ou para impor os necessários limites às atividades estatais”. Se, como afirma Manuel Costa Andrade (sobre as proibições de prova no processo penal: Andrade, 2006, p. 12 apud Prado, 2014, p. 16), deve-se considerar “o direito processual penal como verdadeiro direito constitucional aplicado”, o vácuo normativo sobre a prova digital equivale a deixar a persecução penal em matéria de cibercrime parcialmente fora do controle constitucional.

Uma resposta adequada crimes cibernéticos, congruente com a Convenção de Budapeste, portanto, exige a reconstrução sistemática em dois planos simultâneos: I) no plano material, estabelecendo tipos claros, taxativos, com excludentes expressas para usos lícitos da tecnologia; II) no plano processual, um regime específico para a prova digital que cubra toda a cadeia de custódia, da coleta à sua valoração judicial, com a densidade técnica e jurídica que a volatilidade do elemento eletrônico exige. Sem esse esforço integrado, o Brasil permanecerá criminalizando muito, processando mal, e legitimando pouco. A incorporação da Convenção de Budapeste deveria ter sido o ponto de inflexão para essa reforma.

Referências

BADARÓ, Gustavo Henrique. Processo Penal. 6. ed. São Paulo: Thomson Reuters Brasil, 2018.

BRASIL. Decreto-lei nº 3.689, de 3 de outubro de 1941. Código de Processo Penal. Rio de Janeiro: Presidência da República, 1941. Disponível em: https://www.planalto.gov.br/ccivil_03/decreto-lei/del3689.htm. Acesso em: 10 jun. 2026.

BRASIL. Decreto 11.491, de 12 de abril de 2023. Promulga a Convenção sobre o Crime Cibernético do Conselho da Europa. Brasília: Diário Oficial da União, 12 abr. 2023a.

BRASIL. Lei nº 13.964, de 24 de dezembro de 2019. Aperfeiçoa a legislação penal e processual penal. Diário Oficial da União: seção 1, Brasília, DF, 24 dez. 2019.

BRASIL. Ministério da Justiça. Secretaria Nacional de Segurança Pública. Diagnóstico da perícia criminal no Brasil. Brasília: SENASP/MJ, 2012. Disponível em: http://dspace.mj.gov.br/handle/1/2310. Acesso em: 10 jun. 2026.

BRASIL. Ministério da Justiça. Secretaria Nacional de Segurança Pública. Portaria SENASP nº 82, de 14 de abril de 2014. Estabelece as diretrizes sobre os procedimentos a serem observados no tocante à cadeia de custódia de vestígios. Diário Oficial da União, Brasília, 18 jul. 2014.

BRASIL. PL 5.441/2020. Define os crimes cibernéticos e dá outras providências. Brasília: Câmara dos Deputados, 2020. Disponível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2266423. Acesso em: 10 jun. 2026.

BRASIL. Superior Tribunal de Justiça (Quinta Turma). AgRg no RHC 143.169. Rel. Min. Messod Azulay Neto, julgado em 7/2/2023, DJe de 2/3/2023b.

BRASIL. Superior Tribunal de Justiça (Sexta Turma). RHC 174.325. Rel. Min. Rogerio Schietti Cruz, j. 05.11.2024.

BRIGHI, Raffaella; FERRAZZANO, Michele. Digital forensics: best practices and perspective. In: CAIANIELLO, Michele; CAMON, Alberto (Ed.). Digital forensic evidence: towards common European standards in antifraud administrative and criminal investigations. Milano: Cedam, 2021.

CONSELHO DA EUROPA. Explanatory Report to the Budapest Convention on Cybercrime. Budapeste, 2001. Disponível em: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016800cce5b. Acesso em: 10 jun. 2026.

FERRAJOLI, Luigi. Direito e Razão: Teoria do garantismo penal. 4. ed. São Paulo: Revista dos Tribunais, 2014.

FOUCAULT, Michel. A Sociedade Punitiva: curso no Collège de France (1972-1973). Tradução Ivone C. Benedetti. São Paulo: WMF Martins. 2015.

FOUCAULT, Michel. Nascimento da Biopolítica: curso no Collège de France (1978-1979). Tradução de Eduardo Brandão; revisão de tradução de Claudia Berliner. 2. ed. São Paulo: Martins Fontes, 2022.

LIGETI, Katalin; VERVAELE, John; KLIP, André. Cybercrime: definition, categorization and types. In: European Cooperation in Cybercrime Investigations. Bruxelas: Larcier, 2018.

MURATA, Ana; RITZMANN, Paula. A Convenção de Budapeste no ordenamento jurídico brasileiro: reflexões sobre a criminalização do cibercrime e os limites do princípio da legalidade. Revista Brasileira de Ciências Criminais, São Paulo, v. 31, n. 368, 2023.

NEVES, Elisa Ramos Pittaro. Ensaio sobre a cadeia de custódia e a prova digital. Revista Científica do CPJM, Rio de Janeiro, v. 4, n. 14, p. 151-159, 2025.

PRADO, Geraldo. Parecer: investigação criminal digital e processo penal. Revista Brasileira de Ciências Criminais, São Paulo, v. 199, n. 31, p. 315-350, nov./dez. 2023. https://doi.org/10.5281/zenodo.8381070

PRADO, Geraldo. Prova penal e sistema de controles epistêmicos: a quebra da cadeia de custódia das provas obtidas por métodos ocultos. São Paulo: Marcial Pons, 2014.

REIS, Diego dos Santos. Michel Foucault, a gestão dos ilegalismos e a razão criminológica neoliberal. Revista de Filosofia Aurora, Curitiba, v. 32, n. 55, p. 279-299, jan./abr. 2020.

ROSSI, Helena Costa. Obtenção de dados digitais armazenados para fins de persecução penal: tipologia, limites e desafios normativos. São Paulo: Marcial Pons, 2026.

VAZ, Denise Provasi. Provas digitais no processo penal: formulação do conceito, definição das características e sistematização do procedimento probatório. 2012. Tese (Doutorado em Direito Processual) – Faculdade de Direito, Universidade de São Paulo, São Paulo, 2012.

WALL, David S. Cybercrime: The transformation of crime in the information age. 2. ed. Cambridge: Polity Press, 2024.

Notas

* Foi utilizada ferramenta de Inteligência Artificial (Perplexity) para auxílio na revisão e escrita de trechos deste trabalho, bem como na análise de sua adequação aos moldes do JCC – IBCCRIM.

[1] Analisou-se o Projeto de Lei 3.357/2015, de autoria do Deputado Federal Vicentinho Junior, do PSB/TO, e suas exposições de motivos, bem como dos outros 22 Projetos de Lei a ele apensados, uma vez que se encontram todos na Mesa Diretora da Câmara para apreciação.

[2] No original “cybercrimes are simply the crimes that take place within cyberspace”.