Prokuratura Regionalna w Rzeszowie

W Prokuraturze Regionalnej w Rzeszowie  kontynuowane  jest  śledztwo w sprawie przekroczenia uprawnień oraz niedopełnienia obowiązków, w okresie od nieustalonego dnia 2020 r. do 1 lutego 2023 r. w Warszawie przez funkcjonariuszy publicznych zobowiązanych do zajmowania się sprawami majątkowymi tej instytucji, w związku z oceną zasadności przeprowadzenia zakupu oraz trybem nabycia przez Prokuraturę Krajową  oprogramowania o nazwie handlowej Hermes służącego do  zaawansowanego  zbierania i analizy danych z wielu źródeł internetowych , działania w ten sposób na szkodę interesu publicznego oraz wyrządzenia Skarbowi Państwa szkody majątkowej w wielkich rozmiarach w kwocie 12.503.048 złotych, tj. o czyn z art. 231 § 1 k.k. i art. 296 § 1 i 3 k.k. w zw. z art. 11 § 2 k.k.( sygn. 2008-3.Ds.6.2024).

W toku  postępowania  przygotowawczego prokurator wystąpił  z Europejskim Nakazem  Dochodzeniowym do Luksemburga  celem przesłuchania w charakterze świadków przedstawicieli spółki Q Cyber Technologies  SARL  na okoliczność ustalenia   m.in.  wszystkich funkcjonalności  oprogramowania „Hermes”, przebiegu procesu negocjacji  cenowych oraz obsługi i serwisowania  tego  oprogramowania.

Wynik tych czynności warunkować będzie decyzję co do ewentualnego wystąpienia z wnioskiem o  realizację tożsamych czynności  w drodze międzynarodowej pomocy prawnej  do izraelskich organów ścigania  (w związku z siedzibą producenta   tego oprogramowania tj.  NSO Group Technologies Ltd.).

Zakupu od podmiotu Q Cyber Technologies Sarl z siedzibą w Luksemburgu bez przeprowadzenia przetargu dokonano, pomimo że pracownicy Prokuratury Krajowej ustalili, iż na rynku oferowane były – przez przedstawicieli mających siedziby w Polsce – konkurencyjne oprogramowania w cenach zakupu nawet czterokrotnie niższych aniżeli cena oprogramowania wytworzonego przez NSO Group Technologies Ltd.

Decyzję o odstąpieniu od procedury przetargowej uzasadniono masowym wykorzystywaniem komunikacji internetowej, a w szczególności mediów społecznościowych, do popełniania w okresie pandemii COVID-19 czynów zabronionych (zwłaszcza oszustw) oraz tezą,  że przekazanie publicznie informacji o zamówieniu tego rodzaju systemu, a w szczególności o stawianych mu wymogach, mogłoby utrudnić skuteczne ściganie tych przestępstw.

Jak wynika ze zgromadzonego do chwili obecnej materiału dowodowego, zakupu oprogramowania nie poprzedzono weryfikacją zapotrzebowania jednostek organizacyjnych prokuratury prowadzących lub nadzorujących postępowania przygotowawcze na dokonywanie tego rodzaju sprawdzeń.

 Należy nadmienić, że w pierwszym roku użytkowania oprogramowania HERMES    (zakupionego za łączną kwotę 2 mln Euro) wykonano  sprawdzenia („ analizy”) jedynie w 52 sprawach, a – jak to już wcześniej wskazywano - część sprawdzeń - ”analiz” została dokonana w Prokuraturze Krajowej bez formalnego zlecenia ze strony prokuratorów prowadzących postępowania, a w niektórych przypadkach wykonane analizy w ogóle nie zostały tym prokuratorom przekazane, lub zostały przekazane po zakończeniu postępowań.  

Jak wynika ze zgromadzonych dowodów, przed wdrożeniem programu do stosowania nie dokonano jakiejkolwiek własnej lub zleconej niezależnemu od dystrybutora lub producenta weryfikacji co do zasad jego działania, źródła i sposobu pozyskania danych, w tym zwłaszcza dla funkcjonalności określonych jako: „dostęp do baz danych podmiotów trzecich” i „dostęp do baz danych wyciekowych” (oprogramowanie nie zawierało wskazania  dotyczącego  identyfikacji źródła pochodzenia danych z  baz wyciekowych), algorytmów ich przetwarzania, czy też dostępu przez producenta do informacji o sprawdzeniach dokonywanych przez Prokuraturę Krajową.

Wsparcie techniczne systemu realizowane było przez producenta m. in. zdalnie i – co wynika z dotychczas zgromadzonego materiału dowodowego – bez udziału pracowników Prokuratury Krajowej. W toku postępowania nie ustalono dotychczas, by dostawca lub producent przedstawił informacje o poddaniu oprogramowania jakimkolwiek niezależnym testom lub by uzyskało ono jakiekolwiek niezależne certyfikaty bezpieczeństwa.  

Przy zakupie  nie przewidziano obniżenia wynagrodzenia należnego dostawcy w przypadku awaryjnego przestoju oprogramowania, niezależnie od czasu jego trwania (stosowne postanowienia wprowadzono dopiero do aneksu w związku z przedłużaniem umowy), a jedynie przewidziano karę umowną o maksymalnej wysokości wielokrotnie niższej aniżeli cena zakupu.  Q Cyber Technologies Sarl nie udzieliła też gwarancji prawidłowego działania produktu. Zastrzeżono natomiast, że wszelkie spory dotyczące umowy podlegać będą prawu Anglii i Walii, a wyłączna jurysdykcja przysługuje właściwym sądom w Londynie (z zabezpieczonych w toku śledztwa dokumentów wynika, że przed podpisaniem umowy nie przeprowadzono w Prokuraturze Krajowej jakiejkolwiek analizy konsekwencji tych klauzul).

W najbliższym czasie zostaną  przedstawione cząstkowe opinie biegłych z zakresu informatyki z Biura Badań Kryminalistycznych Agencji Bezpieczeństwa Wewnętrznego w Warszawie,  które powinny pozwolić  m.in.  na odtworzenie,  na podstawie zabezpieczonych logów systemowych, historii wyszukiwania informacji   przy wykorzystaniu oprogramowania programu Hermes oraz analizę korespondencji elektronicznej z kont pocztowych wytypowanych osób, zgromadzonej na serwerach pocztowych Prokuratury Krajowej.

Oczekuje się również  na  uzyskanie  z NIK w Rzeszowie  sprawozdania z zakończonej kontroli  w Prokuraturze Krajowej  w zakresie  legalności, celowości i rzetelności   zakupu  oprogramowania Hermes, a zwłaszcza odstąpienia od wdrożenia procedury przetargowej  przewidzianej  w ustawie z 29 stycznia 2004 r. Prawo zamówień publicznych.

Aktualnie, kontynuowane są również  inne czynności  dowodowe mające na celu należyte wyjaśnienie  okoliczności objętych zakresem postępowania.

 

Rzecznik prasowy Prokuratury Regionalnej w Rzeszowie

prokurator Dorota Sokołowska - Mach