Według informacji przekazanych przez Rzeczpospolitą, Pegasus nie miał zdolności do ingerencji w zawartość telefonu, natomiast sądy świadomie wyrażały zgodę na monitorowanie szyfrowanych komunikatorów. Politycy stanowili zaledwie „promil” osób objętych inwigilacją.
POLECAMY: Sędzia Tuleya przyznaje, że mógł wydać „nieświadomie” zgodę na inwigilację Pegasusem
W roku 2017 Centralne Biuro Antykorupcyjne (CBA) nabyło system znany jako Pegasus, który miał umożliwić kontrolę treści komunikatorów szyfrowanych. System ten został zainstalowany w siedzibie CBA przy Alejach Ujazdowskich 9 w Warszawie, w najbardziej zabezpieczonym pomieszczeniu budynku. Rzeczpospolita przytacza w swoim artykule wypowiedzi urzędników odpowiedzialnych za funkcjonowanie tego systemu.
Obecnie w CBA trwa audyt dotyczący wykorzystania Pegasusa. Osoby rozmawiające z Rzeczpospolitą wskazują, że największym błędnym przekonaniem jest to, że system mógłby zmieniać treści zawarte w inwigilowanym telefonie. „System nie posiada takiej technologicznej możliwości” – podkreślają.
“Nie może np. wpisywać nowych treści SMS-ów, modyfikować czy kasować już istniejących. Nie może czegokolwiek umieszczać na telefonie. Taka ingerencja i jakiekolwiek modyfikacje z zewnątrz są technologicznie niemożliwe” – dodaje jeden z funkcjonariuszy.
Rzeczpospolita podkreśla, że to przeczy poglądom sugerującym, iż służba dokonywała włamania do telefonów, modyfikowała treść SMS-ów, a następnie dostarczała „sfabrykowane” materiały do prowadzenia śledztw. Takie sugestie pojawiły się m.in. w wypowiedzi prokurator Ewy Wrzosek, która jest obecnie obiektem zainteresowania prokuratury w związku z ujawnieniem informacji z jednego ze śledztw.
System miał zdolność odczytywania zawartości telefonu, a zebrane dane były przesyłane na serwery w CBA w formie małych pakietów. Według jednego z agentów CBA, w rozmowie z Rzeczpospolitą, w systemie używanym przez polską służbę antykorupcyjną wprowadzono pewne ograniczenia, takie jak zablokowanie funkcji pobierania zdjęć i filmów z galerii telefonu, uznając to za zbyt ingerujące w prywatność. Funkcjonariusz podkreśla, że choć można było zobaczyć listę takich plików, to nie było możliwe ich pobranie na serwery.
W przestrzeni publicznej często pojawiają się zarzuty dotyczące prawnych aspektów zastosowania tego systemu. Powszechne są opinie, że polskie przepisy nie zezwalają na takie praktyki, a sądy nie były świadome korzystania przez CBA z tego systemu. Jednakże Rzeczpospolita wskazuje, że ta teza jest zaledwie częściowo prawdziwa.
“Kwestie kontroli operacyjnej reguluje art. 17 ustawy o CBA. Dla użycia Pegasusa najważniejszy jest punkt 4. Jak potwierdzają nasi rozmówcy, to na niego CBA się powoływało we wnioskach do sądu o zgodę na kontrolę operacyjną Pegasusem. Ten punkt mówi o ‘uzyskiwaniu i utrwalaniu danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych’” – czytamy.
Medium zaznacza, że wzór wniosku o przeprowadzenie kontroli operacyjnej jest ustalony w rozporządzeniu prezesa Rady Ministrów z 25 października 2011 r. regulującym dokumentowanie przez Centralne Biuro Antykorupcyjne (CBA) działań kontrolnych. To rozporządzenie zostało wydane jeszcze za kadencji premiera Donalda Tuska, podczas pierwszego rządu PO–PSL. Szef CBA składa ten wniosek do Sądu Okręgowego w Warszawie, a w dokumencie zawarte są informacje takie jak numer sprawy, kryptonim, dane identyfikacyjne „figuranta” oraz rodzaj przestępstwa, którego dotyczy kontrola operacyjna.
“Tam gdzie używaliśmy Pegasusa, powoływaliśmy się właśnie na punkt 4, mówiący m.in. o uzyskiwaniu i utrwalaniu danych zawartych ‘w urządzeniach końcowych’, jakimi są np. smartfony” – relacjonuje źródło Rz. “I to był pierwszy sygnał dla sędziego, na czym polega ta kontrola” – dodaje.
“Zawsze w przypadku użycia Pegasusa wpisywaliśmy zdanie tego typu: ‘że ze względu na rozwój nowoczesnych środków komunikacji – w nawiasie podawaliśmy, że chodzi i o komunikatory internetowe – prowadzona dotychczas w sprawie kontrola operacyjna w postaci tradycyjnego podsłuchu telefonu komórkowego nie przyniosła rezultatów’” – kontynuuje.
Zaznacza się, że zasada ta była bezwzględnie przestrzegana, a dział operacyjno-śledczy Centralnego Biura Antykorupcyjnego (CBA) dokładnie sprawdzał każdy wniosek skierowany do szefa w celu uzyskania jego podpisu.
Informacje przekazane przez źródła Rzeczpospolitej sugerują, że w każdej sprawie, w której wykorzystywano system Pegasus, początkowo stosowano standardowe podsłuchy. Dopiero gdy stwierdzono, że osoba poddana inwigilacji korzysta z komunikatora szyfrowanego, składano nowy wniosek do sądu, prosząc o zgodę na zastosowanie bardziej zaawansowanego systemu.
“Sąd miał więc wiedzę, że konieczne jest zastosowanie kontroli operacyjnej, która pozwoli odczytać treści SMS czy rozmów figuranta prowadzonych przez komunikatory internetowe” – mówi jeden z funkcjonariuszy.
Zgodnie z doniesieniami, niemożliwe było również umieszczenie osoby oznaczonej jako NN, aby ukryć tożsamość „figuranta”. Funkcjonariusze zapewniają, że nie stosowali kontroli na tzw. NN i podkreślają, że w wzorze wniosku wymagane jest podanie danych identyfikacyjnych figuranta.
Osoby wypowiadające się dla Rzeczpospolitej twierdzą, że opowieści o masowej inwigilacji setek osób za pomocą Pegasusa są zmyślone, a rzekoma lista polityków z partii Prawo i Sprawiedliwość, którzy mieli być inwigilowani przez system, w 99 procentach jest nieprawdziwa.
“Wiemy, kto i w jakim celu rozpuszcza te plotki. Chodzi o walkę wyborczą w obozie Zjednoczonej Prawicy” – mówi jeden z nich.
“Fakt zaawansowania tego systemu, pracochłonności przy opracowywaniu materiałów sprawiał, że to było kilkanaście kontroli jednocześnie prowadzonych w całym kraju. Zawsze za zgodą sądu, a użycie systemu wobec polityków stanowiło ‘promil’ jego wykorzystania” – relacjonuje.
CBA jest oskarżane o to, że poufne informacje z kontroli operacyjnych były przekazywane do izraelskiej firmy obsługującej system. Według osób, z którymi rozmawiała gazeta, twierdzenie to nie jest prawdziwe.
Jednak według Adama Haertle, redaktora naczelnego portalu zaufanatrzeciastrona.pl, sytuacja nie jest tak jednoznaczna.
“Owszem, serwery mogły być w siedzibie CBA, ale twórcy systemu zostawili pod swoją kontrolą kawałek systemu odpowiedzialny za sam proces infekcji, więc dane, kto został zarażony – muszą znajdować się w rękach NSO Group”- wskazuje ekspert.
Wskazuje również, że Pegasus w teorii stwarzał potencjalne ryzyko nadużyć, które mogły prowadzić do przejęcia konta i podszywania się pod konkretną osobę.
“Pełne informacje o użyciu oprogramowania powinny znajdować się na serwerach, w komputerach i jeśli nie zostały zniszczone, to powinniśmy je odczytać” – podsumowuje.