Miraż „etycznego” oprogramowania szpiegowskiego: Dlaczego Paragon unika włoskich prokuratorów

Na długo przed tym, jak dziennikarz otrzyma od Apple lub WhatsApp powiadomienie ostrzegające przed atakiem wspieranym przez państwo, w zacisznym biurze zostaje zawarta umowa. Te kontrakty — warte miliony — handlują walutą naszego cyfrowego życia. Jednak podczas gdy prezentacje handlowe są dopracowane, a broszury marketingowe obiecują „bezpieczeństwo i etykę”, rzeczywistość branży oprogramowania szpiegowskiego często przypomina sztuczkę ze znikaniem.

Od ponad roku włoscy prokuratorzy ścigają ducha o nazwie Paragon Solutions. Ta izraelsko-amerykańska firma, niegdyś ogłaszana jako „praworządna” alternatywa dla uwikłanej w skandale NSO Group, podobno zamilkła. Pomimo wcześniejszych publicznych wystąpień, w których firma twierdziła, że chce pomóc w badaniu zarzutów o haking, Paragon nie odpowiedział na formalne wnioski sądowe o udzielenie informacji. Jako dziennikarz, który spędza dnie na komunikowaniu się przez szyfrowane tunele i weryfikowaniu kodu, uważam ten wzorzec „odpowiedzialności, dopóki nie stanie się ona naprawdę istotna” za scenariusz, który widziałem już zbyt często.

Nocne pukanie w Mediolanie

Skandal nie zaczął się od pukania do drzwi, lecz od powiadomienia cyfrowego. Pod koniec 2023 roku WhatsApp i Apple wysłały powiadomienia do grupy włoskich dziennikarzy i aktywistów. Wiadomość była mrożąca krew w żyłach: ich urządzenia stały się celem oprogramowania szpiegowskiego klasy rządowej. Wśród celów znaleźli się Francesco Cancellato i Ciro Pellegrino, dziennikarze serwisu informacyjnego Fanpage, oraz członkowie Mediterranea Saving Humans, organizacji non-profit zajmującej się ratowaniem migrantów.

Analiza śledcza WhatsApp wskazała bezpośrednio na „Graphite”, wyrafinowane narzędzie do inwigilacji opracowane przez Paragon Solutions. W świecie cyfrowego szpiegostwa Graphite jest cyfrowym wytrychem. Nie tylko obserwuje to, co robisz; wykrada dane z chmury, omijając wiele tradycyjnych zabezpieczeń, na których polegają użytkownicy, aby zachować prywatność swoich rozmów.

Gdy sprawa wyszła na jaw, włoska opinia publiczna była słusznie oburzona. Prokuratury w Mediolanie i Rzymie wszczęły dochodzenia. Początkowo Paragon przyjął odważną, niemal wyzywającą postawę. Publicznie skrytykowali włoski rząd, twierdząc, że oferowali pomoc w dochodzeniu w przypadku zhakowania dziennikarza, ale zostali odrzuceni. W geście korporacyjnego teatru o wysoką stawkę, Paragon ogłosił nawet, że anuluje kontrakty z włoskimi agencjami wywiadu wewnętrznego i zewnętrznego, AISI i AISE. Chcieli, aby świat uwierzył, że są zbyt etyczni, by współpracować z rządem, który nie przestrzega zasad.

Milczenie „etycznego” hakera

Przenosimy się do teraźniejszości, kwietnia 2026 roku, a ta pryncypialna postawa wygląda bardziej jak rekwizyt sceniczny. Włoscy prokuratorzy, starając się zrozumieć, jak i dlaczego Graphite został użyty przeciwko cywilom, wysłali formalne wnioski o informacje do firmy Paragon za pośrednictwem rządu Izraela. Rok później cisza jest ogłuszająca. Brak danych, brak logów, brak współpracy.

Ten brak przejrzystości jest problemem systemowym w sektorze prywatnego wywiadu. Z punktu widzenia zgodności (compliance), firmy te często chowają się za „suwerennością” swoich krajów macierzystych. W tym przypadku wąskim gardłem wydaje się być rząd Izraela, który musi zatwierdzać licencje eksportowe dla tych narzędzi. Widzieliśmy już ten scenariusz wcześniej. Hiszpański Sąd Najwyższy został zmuszony do zawieszenia śledztwa w sprawie ataków na hiszpańskich polityków przy użyciu oprogramowania Pegasus firmy NSO, ponieważ władze izraelskie po prostu odmówiły współpracy.

W świecie prawniczym często mówimy o „eksterytorialności” — idei, że państwo może sprawować władzę poza swoimi granicami. Jednak w przypadku branży oprogramowania szpiegowskiego granice są zbudowane z grubej, nieprzezroczystej szyby. Można zobaczyć szkody po drugiej stronie, ale nie można dosięgnąć osoby trzymającej młotek.

Amerykański paradoks

To, co czyni sprawę Paragonu szczególnie złożoną, to głębokie powiązania firmy ze Stanami Zjednoczonymi. Podczas gdy NSO Group trafiła na czarną listę Departamentu Handlu USA, Paragon zdołał utrzymać nienaganną opinię w Waszyngtonie. W rzeczywistości firma posiada aktywny kontrakt z amerykańskim Urzędem ds. Imigracji i Służby Celnej (ICE).

ICE poinformowało ustawodawców, że jego ramię śledcze, Homeland Security Investigations (HSI), używa Graphite do śledzenia handlarzy narkotyków i terrorystów. Tworzy to rażący kontrast: to samo narzędzie używane do deportacji tysięcy ludzi w USA jest przedmiotem śledztwa w sprawie atakowania aktywistów praw człowieka i dziennikarzy w Europie.

Oto paradoks rynku technologii podwójnego zastosowania. Narzędzie sprzedawane jako broń przeciwko „złym facetom” jest niemal nieuchronnie używane do uciszania „niewygodnych facetów”. Kiedy firma twierdzi, że posiada „radę etyczną” lub „rygorystyczną weryfikację”, powinniśmy być sceptyczni. Bez wiążących, przejrzystych i egzekwowalnych standardów międzynarodowych, „etyka” jest tylko sposobem działu marketingu na powiedzenie „zaufaj nam”.

Prywatność jako prawo podstawowe, a nie funkcja

Premier Włoch, Giorgia Meloni, konsekwentnie zaprzeczała, jakoby jej rząd stał za zhakowaniem dziennikarzy Fanpage. Jednak dochodzenie kryminalistyczne przeprowadzone przez prokuratorów potwierdziło niedawno, że telefon Cancellato rzeczywiście został zainfekowany. Jeśli rząd tego nie zrobił, a firma, która stworzyła narzędzie, nie chce powiedzieć, kto to zrobił, pozostajemy w niebezpiecznej próżni odpowiedzialności.

Dla ofiar nie jest to abstrakcyjna debata o cyberpolityce. Dla aktywistów z Mediterranea Saving Humans chodzi o bezpieczeństwo ich operacji i życie ludzi, których próbują ratować. Gdy oprogramowanie szpiegowskie jest używane przeciwko organizacjom pozarządowym, zmienia ich cyfrowe ślady w ścieżkę dla tych, którzy chcieliby im zaszkodzić.

Ostatecznie saga Paragonu dowodzi, że nie możemy polegać na „dobrych intencjach” twórców technologii inwigilacyjnych. Zgodność z przepisami nie powinna być wyborem; powinna być warunkiem wstępnym istnienia na rynku. Gdy firma ignoruje wniosek sądowy od demokratycznego sojusznika, nie powinna mieć prawa do dalszego zasiadania przy stole międzynarodowego handlu.

Ochrona cyfrowego obwodu

Czekając, aż otoczenie regulacyjne nadąży za rzeczywistością cyfrowego szpiegostwa, istnieją konkretne kroki, które osoby — zwłaszcza te wykonujące zawody wysokiego ryzyka — mogą podjąć, aby zminimalizować swoją podatność na ataki. Myśl o cyfrowej higienie nie jako o przykrym obowiązku, ale jako o zbroi.

• Zabezpiecz swoją chmurę: Oprogramowanie szpiegowskie takie jak Graphite często celuje w kopie zapasowe w chmurze. Jeśli nie potrzebujesz kopii zapasowych wiadomości w chmurze, wyłącz tę funkcję. Korzystaj z usług szyfrowanych end-to-end, które nie przechowują metadanych na swoich serwerach.
• Blokowanie drzwi sprzętem: W przypadku kont, które to obsługują, używaj fizycznych kluczy bezpieczeństwa (takich jak Yubikey) do uwierzytelniania dwuskładnikowego. To znacznie utrudnia atakującemu przejęcie kont, nawet jeśli zna hasło.
• Potęga restartu: Wiele nowoczesnych szczepów oprogramowania szpiegowskiego jest „nietrwałych”, co oznacza, że żyją w pamięci tymczasowej telefonu i są usuwane po ponownym uruchomieniu urządzenia. Wyrobienie nawyku codziennego restartowania może być prostym, ale skutecznym środkiem odstraszającym.
• Audyt uprawnień: Okresowo sprawdzaj, które aplikacje mają dostęp do mikrofonu, kamery i lokalizacji. Jeśli aplikacja nie potrzebuje uprawnienia do działania, cofnij je. Cyfrowa minimalizacja to Twoja najlepsza obrona.

Być może nigdy nie otrzymamy szczerej odpowiedzi od firmy Paragon, ale możemy sprawić, że narzędzia typu „Graphite” będą znacznie mniej skuteczne, wykazując proaktywną postawę wobec naszych własnych praw cyfrowych.

Źródła:

• Ogólne rozporządzenie o ochronie danych (RODO): Artykuł 5 (Zasady dotyczące przetwarzania danych osobowych) i Artykuł 32 (Bezpieczeństwo przetwarzania).
• Europejski Trybunał Praw Człowieka: Sprawa Szabó i Vissy przeciwko Węgrom (dotycząca konieczności nadzoru nad inwigilacją).
• Włoski Kodeks Postępowania Karnego: Artykuły dotyczące międzynarodowej pomocy prawnej i współpracy sądowej.
• Wired Italy: Reportaż śledczy na temat włoskiego skandalu Paragon/Graphite.
• Citizen Lab: Analiza techniczna wdrożeń oprogramowania szpiegowskiego Graphite.

Zastrzeżenie: Niniejszy artykuł służy wyłącznie celom informacyjnym i dziennikarskim i nie stanowi formalnej porady prawnej. Przepisy dotyczące prywatności różnią się znacznie w zależności od jurysdykcji; w przypadku konkretnych kwestii dotyczących zgodności lub praw cyfrowych należy skonsultować się z wykwalifikowanym prawnikiem.