Arabia Saudyjska ukarana grzywną w wysokości 3 mln funtów za szpiegowanie dysydentów za granicą przy użyciu oprogramowania Pegasus

Przełomowy wyrok przeciwko inwigilacji sponsorowanej przez państwo

W styczniu 2026 roku brytyjski sąd przyznał saudyjskiemu aktywiście i politycznemu YouTuberowi, Ghanemowi Al-Masarirowi, 3 miliony funtów odszkodowania po uznaniu Królestwa Arabii Saudyjskiej za odpowiedzialne za użycie przeciwko niemu zaawansowanego oprogramowania szpiegowskiego. Wyrok ten stanowi jedno z najważniejszych zwycięstw prawnych przeciwko cyfrowej inwigilacji sponsorowanej przez państwo, wymierzonej w dysydentów mieszkających za granicą.

Al-Masarir, który będąc w Wielkiej Brytanii stał się głośnym krytykiem saudyjskiego rządu, skutecznie wykazał, że funkcjonariusze saudyjskiego wywiadu wykorzystali niesławne oprogramowanie Pegasus firmy NSO Group do infiltracji jego urządzenia mobilnego. Sąd uznał, że ta cyfrowa intruzja stanowiła część szerszego schematu nękania, który obejmował również napaść fizyczną ze strony saudyjskich agentów.

Kwota 3 milionów funtów obejmuje zadośćuczynienie za urazy psychiczne, powiązane koszty oraz utracone zarobki wynikające z kampanii inwigilacyjnej i związanych z nią metod zastraszania.

Jak operator KINGDOM brał na cel dysydentów

Zgodnie z dowodami przedstawionymi w sądzie, Arabia Saudyjska obsługiwała klienta Pegasusa zidentyfikowanego jako KINGDOM, którego zadaniem było monitorowanie krytyków i postaci opozycyjnych poza granicami kraju. Operator ten wysyłał złośliwe wiadomości zawierające linki zaprojektowane tak, aby wykorzystywać luki w mobilnych systemach operacyjnych.

Kiedy Al-Masarir otrzymał te wiadomości i wszedł w interakcję z zawartymi w nich linkami, jego urządzenie zostało zainfekowane oprogramowaniem Pegasus. Po zainstalowaniu, to zaawansowane złośliwe oprogramowanie przyznało atakującym pełny dostęp do jego cyfrowego życia — wiadomości, e-maili, zdjęć, danych o lokalizacji, a nawet możliwość zdalnej aktywacji mikrofonu i kamery bez jego wiedzy.

Pegasus działa poprzez to, co badacze bezpieczeństwa nazywają exploitami „zero-click” (bez kliknięcia) i „one-click” (po jednym kliknięciu). Ataki zero-click nie wymagają żadnej interakcji ze strony użytkownika, podczas gdy warianty one-click wymagają od celu dotknięcia linku lub otwarcia pliku. Operator KINGDOM wydawał się stosować metody one-click, wysyłając spreparowane wiadomości ze złośliwymi adresami URL do Al-Masarira i innych celów.

Ten rodzaj inwigilacji wykracza daleko poza proste monitorowanie. Skutecznie przekształca on osobiste urządzenie w przenośną stację podsłuchową, przechwytując prywatne rozmowy, śledząc ruchy w czasie rzeczywistym i gromadząc intymne szczegóły dotyczące relacji, spraw biznesowych i codziennej rutyny.

Kontrowersyjna rola NSO Group

NSO Group, izraelska firma stojąca za Pegasusem, od dawna utrzymuje, że sprzedaje swoją technologię wyłącznie rządowym agencjom wywiadowczym i organom ścigania do celów zgodnych z prawem, takich jak zwalczanie terroryzmu i poważnej przestępczości. Firma twierdzi, że wdraża rygorystyczne procesy weryfikacji i zabezpieczenia umowne, aby zapobiegać nadużyciom.

Jednak liczne dochodzenia prowadzone przez badaczy cyberbezpieczeństwa, dziennikarzy i organizacje praw człowieka udokumentowały powszechne nadużycia Pegasusa. Listy celów obejmowały dziennikarzy, obrońców praw człowieka, polityków opozycji, prawników, a nawet głowy państw.

Rewelacje na temat działań KINGDOM uzupełniają rosnącą liczbę dowodów sugerujących, że deklarowane przez NSO Group zabezpieczenia okazały się niewystarczające. Wiele rządów rzekomo wykorzystywało Pegasusa nie do uzasadnionych celów bezpieczeństwa, lecz do represji politycznych i transnarodowej inwigilacji dysydentów.

NSO Group stoi w obliczu rosnącej presji prawnej i komercyjnej. W 2021 roku firma została wpisana na amerykańską czarną listę handlową, a Apple podjęło przeciwko niej kroki prawne za branie na cel użytkowników iPhone'ów. Kilka krajów wszczęło dochodzenia w sprawie wdrożeń Pegasusa na ich terytorium.

Szerszy wzorzec represji transnarodowych

Sprawa Al-Masarira ilustruje niepokojące zjawisko, które eksperci ds. bezpieczeństwa nazywają represjami transnarodowymi — rządy autorytarne sięgają poza swoje granice, aby uciszać, zastraszać lub krzywdzić dysydentów i krytyków mieszkających w krajach demokratycznych.

Narzędzia cyfrowej inwigilacji, takie jak Pegasus, stały się kluczowymi instrumentami umożliwiającymi te kampanie. Pozwalają one rządom na utrzymywanie szczegółowego wywiadu na temat społeczności diaspory bez komplikacji i ryzyka dyplomatycznego związanego z wysyłaniem fizycznych agentów. Informacje zebrane za pomocą oprogramowania szpiegowskiego mogą następnie służyć do stosowania bardziej tradycyjnych metod nękania, w tym gróźb wobec członków rodziny pozostających w kraju ojczystym, kampanii oszczerstw, a nawet przemocy fizycznej.

Sąd wysłuchał dowodów, że saudyjscy agenci fizycznie zaatakowali Al-Masarira, co sugeruje, że inwigilacja cyfrowa stanowiła część zintegrowanej strategii zastraszania. Odzwierciedla to wzorce zaobserwowane w przypadku innych prominentnych krytyków saudyjskich, w szczególności dziennikarza Jamala Khashoggiego, który został zamordowany w saudyjskim konsulacie w Stambule w 2018 roku.

Freedom House, organizacja zajmująca się demokracją i prawami człowieka, udokumentowała setki przypadków represji transnarodowych w kilkudziesięciu krajach. Arabia Saudyjska regularnie pojawia się w tych raportach, obok takich krajów jak Chiny, Rosja, Iran i Rwanda.

Implikacje prawne i techniczne

Wyrok opiewający na 3 miliony funtów przeciwko Arabii Saudyjskiej może ustanowić ważne precedensy w pociąganiu rządów do odpowiedzialności za naruszenia praw cyfrowych popełnione eksterytorialnie. Jednak egzekwowanie prawa pozostaje wyzwaniem. Doktryny immunitetu państwowego często chronią rządy przed pozwami w sądach zagranicznych, choć istnieją wyjątki dla określonych kategorii szkód.

Z technicznego punktu widzenia, sprawa ta podkreśla pilną potrzebę solidnych zabezpieczeń urządzeń mobilnych. Apple i Google wdrożyły różne zabezpieczenia przeciwko oprogramowaniu szpiegowskiemu, w tym aktualizacje bezpieczeństwa naprawiające wykorzystywane luki oraz nowe funkcje systemów operacyjnych zaprojektowane do wykrywania podejrzanej aktywności.

Badacze bezpieczeństwa zalecają kilka praktycznych kroków dla osób o podwyższonym ryzyku:

Regularne restartowanie urządzenia: Wiele infekcji Pegasusem nie jest w stanie przetrwać restartu, co wymaga ponownej infekcji. Codzienne restartowanie może zakłócić inwigilację.

Tryb blokady (Lockdown Mode): System iOS 16 i nowsze wersje od Apple zawierają Tryb blokady, który wyłącza wiele wektorów ataków używanych przez zaawansowane oprogramowanie szpiegowskie. Android oferuje podobne opcje wzmacniania bezpieczeństwa.

Szybkie aktualizacje: Łatki bezpieczeństwa często naprawiają luki wykorzystywane przez spyware. Instalowanie aktualizacji w ciągu kilku dni od ich wydania znacznie skraca czas ekspozycji na zagrożenie.

Oddzielne urządzenia: Osoby wysokiego ryzyka powinny rozważyć posiadanie oddzielnych urządzeń do wrażliwej komunikacji, używając szyfrowanych komunikatorów na dedykowanym telefonie, który pozostaje offline, z wyjątkiem sytuacji, gdy jest to konieczne.

Profesjonalna informatyka śledcza: Organizacje takie jak Amnesty International i Citizen Lab oferują usługi wykrywania oprogramowania szpiegowskiego dla zagrożonych aktywistów i dziennikarzy.

Co to oznacza dla praw cyfrowych

Wyrok w sprawie Al-Masarira zapada w czasie rosnącej międzynarodowej uwagi poświęcanej branży najemnego oprogramowania szpiegowskiego. Parlament Europejski powołał komisję śledczą do zbadania wykorzystania Pegasusa w państwach członkowskich UE. Stany Zjednoczone podjęły działania dyplomatyczne, w tym ograniczenia wizowe dla osób zaangażowanych w nadużywanie komercyjnego oprogramowania szpiegowskiego.

Kilka krajów rozważa lub już wprowadziło przepisy ograniczające handel oprogramowaniem szpiegowskim. Jednak branża ta działa w regulacyjnej szarej strefie, a firmy często są zarejestrowane w jurysdykcjach o słabym nadzorze, prowadząc działalność na całym świecie.

Organizacje praw człowieka opowiadają się za globalnym moratorium na sprzedaż i transfer technologii inwigilacyjnych do czasu ustanowienia solidnych międzynarodowych zabezpieczeń. Wskazują one na przypadki takie jak sprawa Al-Masarira jako dowód na to, że obecne kontrole eksportu i programy zgodności korporacyjnej nie zapobiegły systematycznym nadużyciom.

Rynek komercyjnego oprogramowania szpiegowskiego pozostaje lukratywny, a szacunki sugerują, że generuje on miliardy dolarów rocznie. Poza NSO Group, liczni konkurenci oferują podobne możliwości, w tym firmy z siedzibą w Europie, Ameryce Północnej i innych miejscach. Niektóre z nich działają bardziej dyskretnie, unikając publicznej kontroli, która dotknęła NSO Group.

Praktyczne wskazówki dla aktywistów i dziennikarzy

Jeśli pracujesz jako aktywista, dziennikarz lub w jakimkolwiek charakterze, który może uczynić Cię celem inwigilacji państwowej:

Zakładaj kompromitację: Działaj przy założeniu, że Twoje główne urządzenia mogą być monitorowane. Wykorzystaj to założenie do kształtowania swojej postawy w zakresie bezpieczeństwa.

Kompartymentalizacja: Oddziel swoją najbardziej wrażliwą pracę od codziennej komunikacji. Używaj różnych urządzeń, kont i sieci dla różnych poziomów ryzyka.

Buduj wsparcie społeczności: Nawiąż kontakt z trenerami bezpieczeństwa cyfrowego i organizacjami specjalizującymi się w ochronie osób wysokiego ryzyka. Zasoby takie jak Electronic Frontier Foundation, Access Now i Front Line Defenders oferują cenne wskazówki.

Dokumentuj incydenty: Prowadź szczegółowe rejestry podejrzanych wiadomości, nietypowego zachowania urządzenia lub fizycznego nękania. Taka dokumentacja może okazać się kluczowa w postępowaniu prawnym.

Zasięgnij porady prawnej: Poznaj swoje prawa w kraju zamieszkania i sprawdź, czy istnieją opcje prawne pozwalające pociągnąć sprawców do odpowiedzialności.

Priorytetyzuj zdrowie psychiczne: Bycie celem zaawansowanej inwigilacji powoduje realne szkody psychiczne, co sąd uznał w sprawie Al-Masarira. Szukaj odpowiedniego wsparcia.

Odszkodowanie w wysokości 3 milionów funtów przyznane Ghanemowi Al-Masarirowi to coś więcej niż rekompensata finansowa. To uznanie głębokiego naruszenia, jakiego oprogramowanie szpiegowskie sponsorowane przez państwo dopuszcza się wobec jednostek, oraz sygnał, że sądy w krajach demokratycznych mogą pociągać rządy autorytarne do odpowiedzialności za naruszenia praw cyfrowych — nawet jeśli rządy te działają z odległości tysięcy kilometrów.

Źródła

• Amnesty International Security Lab - Pegasus Project investigations and technical analyses
• Citizen Lab, University of Toronto - Research publications on NSO Group and Pegasus spyware
• Freedom House - "Out of Sight, Not Out of Reach" report series on transnational repression
• Electronic Frontier Foundation - Documentation of commercial spyware cases
• Apple Security Research - Technical details on spyware exploits and protections
• The Guardian, The Washington Post, BBC News - Reporting on Saudi surveillance campaigns and NSO Group
• European Parliament Committee of Inquiry on Pegasus - Official proceedings and findings