Wyrok zapadł w maju 2023 r. Dotyczył sprawy karnej, w ramach której jednemu z oskarżonych został postawiony zarzut pomocnictwa m.in. w przestępstwie nadużycia władzy przez funkcjonariusza publicznego oraz ujawnienia tajemnicy państwowej.

Sąd Apelacyjny we Wrocławiu uniewinnił tę osobę, a to m.in. z tego powodu, że uznał, iż zgromadzone w ramach czynności operacyjno-rozpoznawczych dowody nie mogły zostać dopuszczone do postępowania i stanowić podstawy ustaleń faktycznych. A wszystko dlatego, że najprawdopodobniej były one zbierane za pomocą oprogramowania szpiegującego. Chodziło o program Pegasus.

Sąd apelacyjny stwierdził, że taki sposób pozyskiwania materiałów mających stanowić dowód w procesie nie może zostać uznany za legalny.

Pegasus. Opinie ekspertów

I chociaż w Polsce nie mamy już licencji na Pegasusa, to zdaniem ekspertów orzeczenie SN w tej sprawie będzie kluczowe.

Wiceprezes Fundacji Panoptykon Wojciech Klicki Sąd Apelacyjny zwrócił uwagę, że Pegasus ma gigantyczny potencjał do nadużyć i bardzo głęboko ingeruje w prywatność. „Wiemy, że do takich nadużyć doszło np. w sprawie Krzysztofa Brejzy. Polskie prawo nie zabezpiecza przed nadużyciami związanymi z oprogramowaniem szpiegowskim. Sąd Apelacyjny we Wrocławiu stwierdził, że nie przewiduje możliwości uzyskiwania dostępu do danych historycznych. Jednak służby potrzebują oprogramowania typu Pegasus, bo takich oprogramowań jest na rynku więcej. Służby deklarują, że w ich codziennej pracy jest to potrzebne. Tutaj zderzają się ze sobą dwie wartości – wartość w postaci skutecznego działania ze strony służb z drugiej strony konieczność zabezpieczenia przed nadużyciami” – komentuje prawnik.

Jego zdaniem, „wyrok SN, jeśli będzie po myśli Sądu Apelacyjnego, będzie oznaczał, że służby nie mają bezpieczeństwa prawnego związanego z wykorzystywaniem oprogramowania szpiegowskiego, że nie będą mogli tego typu materiałów wykorzystywać w procesach. Wyrok SN będzie impulsem do tego, żeby stworzyć takie ramy prawne, które dadzą służbom możliwość skutecznego działania, a jednocześnie zapewnić, że nie będą się pojawiać nadużycia wobec obywateli, tak jak np. w przypadku Krzysztofa Brejzy”.

Przewodnicząca sejmowej komisji śledczej ds. Pegasusa Magdalena Sroka komentuje, że za każdym razem, kiedy sąd ocenia winę osoby, wobec której toczy się postępowanie, bierze pod uwagę wszystkie zgromadzone dowody. Natomiast dowody pozyskane przy użyciu Pegasusa stanowią jeden z wielu dowodów w sprawie. Nie spotkałam się z sytuacją, w której dowody pozyskane w sposób operacyjny byłyby jedynymi w sprawie – dodaje.

Sąd wyjaśnił w uzasadnieniu, w jaki sposób funkcjonuje to szpiegujące oprogramowanie: umożliwia ono „skuteczne monitorowanie, zbieranie i pobieranie danych z zainfekowanego nim urządzenia”. Co więcej, może zostać użyte także do modyfikowania zawartości urządzenia. Dlatego też zdaniem SA jest to oprogramowanie wysoce inwazyjne, wyrafinowane i podstępne. Jego potencjał jest potężny, a możliwości praktycznie nieograniczone. „(…) po przejęciu kontroli nad telefonem operatorzy przeprowadzający atak uzyskują uprawnienia administracyjne, co w praktyce oznacza, że mogą zrobić z zainfekowanym telefonem wszystko” – podkreślił SA. Dodał, że autorzy ataku mają nawet większe możliwości ingerencji w urządzenie niż jego użytkownik.

Dzieje się tak m.in. dlatego, że do zainfekowania telefonu złośliwym oprogramowaniem wykorzystywane są luki w systemie operacyjnym, a sam proces instalacji oprogramowania jest niewidoczny dla użytkownika.

Bez podstawy prawnej

Sąd apelacyjny zwrócił też uwagę na brak podstawy prawnej. Jak zauważył, art. 17 ust. 2 pkt 4 ustawy o CBA (t.j. Dz.U. z 2022 r. poz. 1900 ze zm.) – bo to ta służba w tej konkretnej sprawie prowadziła kontrolę operacyjną – mówi ogólnie o uzyskiwaniu i utrwalaniu danych. Program typu spyware poprzez to, że daje pełen dostęp do urządzenia mobilnego, pozwala właśnie na takie uzyskiwanie i utrwalanie danych. Problem jednak polega na tym, że do jego instalacji dochodzi za pomocą włamania na telefon. „Tymczasem obowiązujące przepisy dotyczące kontroli operacyjnej, w tym omawiany art. 17 ustawy o CBA, nie zezwalają na tego rodzaju działania, nie przewidują takiej możliwości” – zauważył wrocławski sąd.

W ocenie Sądu oznacza to, iż posłużenie się oprogramowaniem szpiegowskim nie może być uznane za zgodne z ustawą, za legalny sposób pozyskania dowodów. Sąd apelacyjny odwołał się również do orzecznictwa Trybunału Konstytucyjnego, stwierdzając, że „trudno także przyjąć, że oprogramowanie pozwalające na przejęcie pełnej kontroli nad urządzeniem mobilnym odpowiada wymaganiom stawianym przez Trybunał Konstytucyjny co do właściwego sprecyzowania stosowanego środka techniki operacyjno-rozpoznawczej, takiego przy tym, który ma ograniczyć arbitralność państwa i umożliwić sprawowanie efektywnej kontroli nad niejawną działalnością operacyjno-rozpoznawczą”.