Temat inwigilacji systemem Pegasus w Polsce to jedna z najbardziej zawiłych i kontrowersyjnych spraw ostatnich lat. W debacie publicznej często pojawia się pytanie: jak to możliwe, że kanadyjska organizacja Citizen Lab dowiedziała się o działaniach polskich służb? Przeciwnicy ówczesnej opozycji często podnosili argument o naruszeniu suwerenności lub nieuprawnionym dostępie do danych. Aby zrozumieć, dlaczego obecna koalicja rządząca (a dawna opozycja) nie skupia się na „śledztwie przeciwko Kanadyjczykom”, musimy przyjrzeć się technologicznym i prawnym mechanizmom działania tego oprogramowania.

Jak Citizen Lab weszło w posiadanie informacji?

Kluczem do zrozumienia tej sytuacji jest fakt, że Citizen Lab nie włamało się na serwery polskiego CBA ani żadnej innej służby. Ich wiedza nie pochodziła z „wycieku” z polskich baz danych, lecz z analizy kryminalistycznej (forensic) konkretnych urządzeń końcowych – czyli smartfonów osób, które podejrzewały, że są śledzone.

Proces ten wyglądał zazwyczaj tak: osoba publiczna (np. senator Krzysztof Brejza czy mecenas Roman Giertych) zauważała nietypowe zachowanie swojego telefonu lub otrzymywała powiadomienie od firmy Apple o możliwym ataku „sponsorowanym przez państwo”. Wówczas taka osoba dobrowolnie przekazywała swój telefon lub kopię zapasową danych ekspertom z Citizen Lab. Kanadyjscy badacze, analizując logi systemowe i ślady pozostawione przez exploity (luki w zabezpieczeniach), byli w stanie zidentyfikować obecność kodu Pegasusa.

Z perspektywy prawnej nie doszło więc do „przejęcia danych państwowych” przez obcą organizację, lecz do analizy prywatnej własności obywatela na jego własną prośbę. Dla ówczesnej opozycji argument o „nieuprawnionym dostępie” Kanadyjczyków był bezzasadny, ponieważ to ofiary inwigilacji szukały pomocy tam, gdzie istniała technologia zdolna wykryć tak zaawansowane narzędzie.

Dlaczego politycy nie drążą wątku „kanadyjskiego łącznika”?

Istnieje kilka powodów, dla których obecna władza nie widzi potrzeby badania samej roli Citizen Lab w kontekście „nielegalnego pozyskania danych”. Po pierwsze, Citizen Lab jest jednostką badawczą działającą przy Uniwersytecie w Toronto, która od lat zajmuje się prawami człowieka w cyfrowym świecie. Ich wiarygodność została potwierdzona przez niezależne audyty oraz przez Amnesty International Security Lab.

Po drugie, podnoszenie argumentu o „zagranicznej ingerencji” było linią obrony poprzedniego rządu. Ówczesna władza starała się przesunąć ciężar dyskusji z pytania „czy inwigilacja była legalna?” na pytanie „dlaczego obcy o tym wiedzą?”. Dla obecnej koalicji badanie tego wątku byłoby przyznaniem racji narracji, którą uważają za próbę odwrócenia uwagi od sedna problemu, czyli wykorzystywania narzędzi walki z terroryzmem przeciwko oponentom politycznym.

Ciekawostka: jak Apple pomogło w wykryciu Pegasusa?

Warto wspomnieć, że przełom w wykrywaniu Pegasusa nastąpił dzięki samej firmie Apple. Po wykryciu luki o nazwie „FORCEDENTRY”, która pozwalała na zainfekowanie iPhone'a bez żadnej interakcji użytkownika (tzw. zero-click), Apple załatało dziurę i zaczęło wysyłać alerty bezpieczeństwa do osób, których telefony mogły paść ofiarą ataku. To właśnie te powiadomienia skierowały wiele osób prosto do ekspertów z Citizen Lab.

Co bada obecna komisja śledcza?

Zamiast zajmować się Citizen Lab, powołana w 2024 roku komisja śledcza ds. Pegasusa skupia się na trzech głównych filarach, które z punktu widzenia prawa mają znacznie większe znaczenie:

1. Legalność zakupu: Sprawdzane jest, czy zakup systemu ze środków Funduszu Sprawiedliwości (przeznaczonego dla ofiar przestępstw) był zgodny z prawem.
2. Procedury operacyjne: Czy służby każdorazowo uzyskiwały zgodę sądu na kontrolę operacyjną i czy sądy były świadome, jak potężne narzędzie jest stosowane (Pegasus pozwala nie tylko na podsłuch, ale na pełny dostęp do historii plików, zdjęć i szyfrowanych komunikatorów wstecz).
3. Wykorzystanie polityczne: Czy lista inwigilowanych osób była dobierana pod kątem interesów partyjnych, a nie bezpieczeństwa państwa.

Z punktu widzenia strategii politycznej i prawnej, Citizen Lab jest w tej sprawie „świadkiem koronnym” i dostarczycielem dowodów, a nie podmiotem wymagającym śledztwa. Gdyby nie ich zaangażowanie, opinia publiczna w Polsce prawdopodobnie nigdy nie dowiedziałaby się o skali zjawiska, ponieważ polskie służby nie mają obowiązku informowania obywatela o zakończonej kontroli operacyjnej, nawet jeśli nie postawiono mu żadnych zarzutów.

Suwerenność a bezpieczeństwo cyfrowe

Argument o suwerenności państwa, który często pojawiał się w pytaniach o Citizen Lab, ma też drugie dno. Eksperci ds. cyberbezpieczeństwa wskazują, że to właśnie używanie Pegasusa mogło tę suwerenność naruszać. Dane pozyskiwane z telefonów przechodziły przez infrastrukturę serwerową firmy NSO Group (producenta systemu), co oznacza, że wrażliwe informacje o polskich obywatelach, w tym politykach, mogły być dostępne dla zagranicznego podmiotu komercyjnego i – potencjalnie – obcych wywiadów.

W tym kontekście to nie Citizen Lab „weszło w posiadanie danych”, ale sam system Pegasus został tak zaprojektowany, by dane te opuszczały granice kraju w sposób niekontrolowany przez polskie państwo. To właśnie ten aspekt, a nie działalność kanadyjskich badaczy, jest obecnie przedmiotem analizy służb i prokuratury.