Panoptykon: Zalegalizować Pegasusa. To jedyna droga do ograniczenia nadużyć

Kiedy służby przeszukują mieszkanie, zainteresowani to wiedzą. Jeśli stosują zwykły podsłuch, to dotyczy on konkretnego okresu i tyle. Oprogramowanie szpiegujące jest w porównaniu z tymi narzędziami bronią atomową. Ściąga z atakowanego urządzenia wszystko – dane z niego i z zainstalowanych aplikacji, a także klucze z hasłami. Sięga daleko w przeszłość i pobiera dane nie tylko o osobie zaatakowanej, ale o ludziach z jej otoczenia. Może wprowadzać w urządzeniu zmiany – zmieniać treść dokumentów wiadomości, używać aplikacji.

Nigdy się nie dowiesz

Dziś na rynku są dostępne rozwiązania pozwalające atakować urządzenia i nie pozostawiać śladu. Mają funkcję samoniszczącą. Instalacja programy nie wymaga już żadnego nieopatrznego ruchu ze strony użytkownika. „W 2020 roku w Hiszpanii doszło do skutecznego zainstalowania Pegasusa na telefonach dwóch prawniczek współpracujących z katalońską organizacją Omnium Cultural. Jedynym śladem pozostawionym na urządzeniu było nieodebrane połączenie przez komunikator WhatsApp” – pisze Panoptykon w opublikowanym 11 maja 2026 raporcie „Demokracja na podsłuchu”.

„Mam nadzieję, że polskie służby mają do takich narzędzi dostęp. Że mają Pegasusa w nowszej wersji” – zauważył w dyskusji na temat raportu ekspert ds. cyberbezpieczeństwa Adam Haertle.

Zagrożeń dla ludzi i dla państwa jest zbyt wiele, a mafie, terroryści, szpiedzy nauczyli się korzystać z WhatsAppa i Signala, których tradycyjnie podsłuchać się nie da.

Problem w tym, że jeśli „bezobjawowe pegasusy” są w Polsce stosowane, to odbywa się to całkowicie nielegalnie.

Panoptykon twierdzi więc, że stosowanie oprogramowania szpiegującego należy w Polsce zalegalizować. Wskazać zasady i wytyczyć granice. Zakazane musi być używanie oprogramowania szpiegującego do zmieniania zawartości urządzenia. Państwo powinno móc używać tej broni atomowej tylko w przypadku najcięższych przestępstw. Zasadą – wprowadzoną do wszystkich rodzajów inwigilacji – powinno być informowanie inwigilowanych po zakończeniu procedury – o ile sprawa nie trafiła do sądu. Od zasady tej można by odstępować tylko w wyjątkowych przypadkach – zagrożenia bezpieczeństwa państwa czy bezpieczeństwa funkcjonariusza – ale za zgodą sądu.

„Alternatywa »albo bezpieczeństwo, albo prawa człowieka« jest fałszywa” – mówi Wojciech Klicki z Panoptykonu. „Można wypracować zasady, dzięki którym jedno i drugie można uchronić”.

Skandal

O stosowaniu Pegasusa wiemy w Polsce w sumie niewiele.

PiS kupił go sobie, nielegalnie, z Funduszu Sprawiedliwości Zbigniewa Ziobry w 2018 roku, w szczycie obywatelskich protestów przeciw zmianom w sądownictwie. Zastosował go następnie w kampanii wyborczej w 2019 roku – atakując telefon szefa sztabu wyborczego KO Krzysztofa Brejzy. Był nie tylko totalnie i nieustanie podsłuchiwany – ściągnięto 80 tysięcy wiadomości od 2010 do 2019 roku, pęk kluczy zawierający wszelkie hasła do ok. 90 usług i serwisów internetowych, pełny dostęp do lokalizacji telefonów, wiadomości e-mail, dokumentów przechodzących przez jego telefony, zdjęcia, nagrania wideo. Ataki na telefon następowały w kluczowych momentach kampanii, co były szef PKW sędzia Wojciech Hermeliński skomentował słowami: „Wybory w 2019 roku, choć nie były sfałszowane, nie były uczciwe”. (dane za raportem Panoptykonu)

Według informacji podanych przez ministra sprawiedliwości Adama Bodnara narzędzie to znajdowało się w dyspozycji trzech służb: CBA, ABW oraz Służby Kontrwywiadu Wojskowego. Policja korzystała z Pegasusa za pośrednictwem CBA.

Nie wiadomo, co się stało z tymi danymi ściągniętymi od tych osób. Producent Pegasusa mógł umożliwiać osobom trzecim (np. pracownikom i pracowniczkom NSO Group i izraelskich służb) dostęp do informacji o zainteresowaniach operacyjnych naszego wywiadu. CBA kupiło sobie bowiem tylko licencję na Pegasusa, a nie sam program.

Nieskuteczne rozliczenia

Skandal z używaniem narzędzi szpiegujących badała senacka komisja jeszcze przed wyborami w 2023 r. Obecni rządzący solennie obiecali sprawę wyjaśnić, powołali specjalny zespół prokuratorów i sejmową komisję śledczą.

Prokuratorzy postawili zarzuty przekroczenia uprawnień lub niedopełnienia obowiązków służbowych byłym szefom ABW, SKW, CBA, byłemu zastępcy Szefa CBA oraz dwóm byłym funkcjonariuszom CBA. Nie maj jednak do tej pory aktu oskarżenia.

Komisja śledcza nie zajmowała się tylko próbami przyprowadzenia Zbigniewa Ziobry (na zdjęciu głównym) przed swe oblicze. Przesłuchała 79 osób, z czego dane 22 osób zostały utajnione. Można się spodziewać, że niektóre z tajnych zeznań, zwłaszcza pracowników służb średniego szczebla, rzucą trochę światła na sam mechanizm nadużyć. Jednak te zeznania i a także utajnione dokumenty znajdą się w tajnej i ściśle tajnej część raportu komisji.

Miał być opublikowany jeszcze w kwietniu 2026 roku, ale właśnie procedury związane z obrabianiem dokumentów tajnych opóźniają publikację.

100 państw z oprogramowaniem szpiegowskim i kolega papieża

Panoptykon, działający w sieci organizacji pozarządowych działających na rzecz ochrony prywatności, zauważa jednak w raporcie, że to nie jest tylko polski problem. Oprogramowanie szpiegowskie w coraz nowszych wersjach używane jest w co najmniej stu państwach na świecie (dane za serbską Fundacją Share).

Wszędzie wygląda to podobnie. Służby wszędzie zabiegają o takie narzędzia do „walki z terroryzmem” i przestępczością zorganizowaną oraz do zapewnienia „bezpieczeństwa narodowego”. (Na tym tle wyróżnia się polskie CBA, które Pegasusa dostało do walki z korupcją). A potem wszędzie okazuje się, że władza atakuje tą bronią ludzi po prostu wobec niej krytycznych (załapał się na to nawet ksiądz wspierający migrantów – kolega papieża Franciszka; szczegóły w raporcie).

Wiadomo też, że sądowe batalie w sprawie tego bezprawia niewiele dały. Pierwszy wyrok skazujący – ale nieprawomocny – zapadł za używanie oprogramowania szpiegującego w Grecji.

„Bo tam poziom kontroli tego, jak służby korzystają z narzędzi do inwigilacji, był wyższy” – mówił w dyskusji o raporcie Wojciech Klicki z Fundacji Panoptykon. W Polsce władza PiS użyła Pegasusa w momencie, kiedy kontrola nad służbami już praktycznie nie istniała.

„Państwo zostało zdemoralizowane za rządów PiS, a przeciągające się procedury badania nadużyć to rozliczanie pogłębiają” – komentował gen. Krzysztof Bondaryk, dyrektor Departamentu Bezpieczeństwa i Spraw Obronnych MSWiA, szef ABW w latach 2007-2013

Nieudane próby poprawy sytuacji

Dlaczego obecna koalicja nie zdołała ograniczyć nadużyć w stosowaniu oprogramowania szpiegującego?

Gen. Bondaryk:

Początkowo wyglądało, że nowa władza ma pomysł na systemy pegasusopodobne. Jeszcze przed wyborami w 2023 roku powstał projekt „Kodeksu pracy operacyjnej służb”, który sprawę traktował całościowo. Dawał służbom nowe uprawnienia, ale też określał zasady rozliczenia ich. Współautorem był właśnie gen. Bondaryk.

W 2024 roku kolejnym impulsem do zmiany stał się wyrok Trybunału w Strasburgu (w sprawie Pietrzak, Bychawska-Siniarska i inni przeciwko Polsce), który stwierdził, że brak kontroli nad tym, co robią służby, łamie prawa człowieka (Do ETPCz poskarżyli się działacze na rzecz praw człowieka, którzy wcześniej bezskutecznie próbowali się dowiedzieć od służb, czy byli podsłuchiwani, a jeśli tak, to jakie dane o nich zebrano).

ETPCz podkreślił w wyroku, że Polska musi wprowadzić mechanizmy chroniące obywateli przed nadużyciami inwigilacji, w tym procedury informowania o inwigilacji, jeśli okazała się ona bezzasadna.

Ówcześni ministrowie: sprawiedliwości Adam Bodnar i spraw wewnętrznych Marcin Kierwiński złożyli publiczną obietnicę poprawienia prawa. Chwilę potem jednak szef MSWiA został europosłem, a jego następca Tomasz Siemoniak zatrzymał rządowe prace nad „Kodeksem pracy operacyjnej służb”. Kiedy Kierwiński w 2025 roku wrócił na stanowisko ministra, już do projektu nie wrócił.

Rząd wprowadzał natomiast zmiany cząstkowe, rozporządzeniami.

• Zobowiązały one służby, by w uzasadnieniu wniosku do sądu o zgodę na kontrolę operacyjną poinformowały, jakiego narzędzia chcą użyć do inwigilacji i jakiego typu dane pozyskać (by sąd wiedział, czy chodzi o klasyczny podsłuch czy oprogramowanie szpiegujące);
• Druga zmiana zobowiązała sądy do uzasadniania wniosków o zgodę na inwigilację. Miało to zmniejszać prawdopodobieństwo automatycznego ich akceptowania. Było też w części realizacją rekomendacji z wyroku ETPCz.

Zmiana okazała się nieskuteczna: sędziowie ją ignorowali, bo była zapisana w rozporządzeniu. Ważniejsza od niej ustawa, Kodeks postępowania karnego, pozwalała uzasadnień nie pisać. Stanowi bowiem, że wniosek, któremu inna strona się nie sprzeciwia, nie wymaga uzasadnienia. W postępowaniu o wyrażenie zgody na prowadzenie kontroli operacyjnej nie ma „innej strony”, a postanowienie o zgodzie na podsłuch nie podlega zaskarżeniu.

Rząd próbuje to teraz poprawić ustawą – niebawem odbędzie się w Sejmie pierwsze czytanie. Projekt ustawy o zmianie niektórych ustaw „w celu wzmocnienia nadzoru sądowego nad kontrolą operacyjną” poza obowiązkiem uzasadniania decyzji wprowadzałby też możliwość nadzoru sądu nad już zarządzoną kontrolą operacyjną. Sąd mógłby zażądać dostępu do materiałów zebranych w ramach kontroli operacyjnej i po ich analizie wydać postanowienie o przerwaniu inwigilacji.

„Rzecz w tym, że sędzia Sądu Apelacyjnego, do którego trafia większość wniosków służb o inwigilację, ma ich dziennie do rozpatrzenia 20-25” – zauważa Wojciech Klicki. Nawet jeśli poprosi do jednego wniosku o materiał mający go uzasadnić, to jakim cudem przesłucha następnie 200 godzin surowego materiału?

Aby decyzja o przerwaniu kontroli operacyjnej mogła zapaść, sąd musiałby ocenić najpierw jej wyniki, czyli musiałby zapoznać się z materiałem, który został zgromadzony. Nie wyobrażam sobie tego organizacyjnie do zrobienia przy naszych obecnych możliwościach kadrowych".

Jak więc jest?

„Dziś jest nieco lepiej, niż było, bo sędziowie już wiedzą o istnieniu narzędzi takich jak Pegasus" – mówiła w czasie prezentacji raportu sędzia Beata Morawiec, prezeska stowarzyszenia „Themis”. Sama padła ofiarą ataku Pegasusem.

Dlaczego zmiana nie wychodzi

Troszkę dlatego, że przeszkadza w tym potrzeba „rozliczenia afery” – wynikało z debaty.

Tyle się mówiło o skandalu Pegasusa, że teraz propozycja zalegalizowania oprogramowania szpiegowskiego skończyłaby się wielką polityczną awanturą – zauważa Klicki.

Panoptykon, występując z pozycji obrońców praw człowieka i angażując w debatę sędziów broniących praworządności oraz ekspertów od bezpieczeństwa, próbuje debatę na ten temat zacząć. Taką próbę podjął w swoim czasie RPO Adam Bodnar, publikując wraz z ekspertami raport „Osiodłać Pegaza”.

Panoptykon odwołuje się do tego dorobku. Ale mówi też bardzo wyraźnie:

Musimy zalegalizować oprogramowanie szpiegowskie. To jedyna droga do ograniczenia nadużyć.

„Jesteśmy przekonani, że polskie służby już dziś mają narzędzia technologiczne, które umożliwiają im uzyskiwanie dostępu do szyfrowanej komunikacji end-to-end. Takie możliwości daje oprogramowanie szpiegujące. Jednocześnie polski system prawny nie daje podstaw, żeby korzystać z takiego oprogramowania. Mimo szumnych zapowiedzi władze nie wprowadziły zmian prawnych pozwalających je stosować, a system nadzoru sądowego nad kontrolą operacyjną pozostaje wysoce wadliwy. Oznacza to, że polskie służby działają w niejasnym otoczeniu prawnym, a obywatele i obywatelki nie są chronieni przed nadużyciami” – stwierdza Panoptykon w raporcie.

Fundamentem zmian jest jednak wzmocnienie kontroli nad inwigilacją przez prawo do informacji o tym. „Dziś, paradoksalnie, to ci, których sprawa trafiła do sądu, mają jakąś kontrolę nad tym, co służby o nich zebrały. Ludzie całkowicie niewinni – nie” – zauważyła Sylwia Gregorczyk Abram (jako adwokatka reprezentuje przed ETPCz osoby pokrzywdzone w aferze Pegasusa).

– zauważył Klicki.

Prawo do informacji o byciu inwigilowanym zapewniają Niemcy i Norwegia. Wielka Brytania ma instytucję adwokata prywatności. Właśnie te generalne zasady bezpieczeństwa sprawiają, że w tych krajach wprowadzanie nowych narzędzi szpiegujących nie jest tak niebezpieczne dla obywateli, jak w Polsce.

„Pegasus pozbawia człowieka bezpieczeństwa i prywatności – czyli tego, co państwo zobowiązuje się zapewnić” – mówiła sędzia Morawiec.