Dipende se il download e l'hash si trovano sullo stesso server - non è raro che i download provengano da provider o sistemi CDN come S3, che forniscono hosting di file statico, mentre il resto della pagina proviene da un CMS su un server web con contenuti dinamici. In questo caso, o in cui un file può essere scaricato da una fonte alternativa, fornisce un buon indicatore del fatto che il file è come originariamente generato.
Lo stesso vale per cose come le distribuzioni Linux, dove Bittorrent potrebbe essere usato per la distribuzione. Controllando la somma, fornisce la rassicurazione che il file corretto è stato scaricato.
Se il file e l'hash si trovano sullo stesso server, è meno utile però - come dici tu, se puoi cambiarne uno, puoi probabilmente cambiare l'altro.