Pegasus, Paragon, Palantir i Big AI: ekosystem nadzoru a opóźniony EU AI Act

Pegasus, Paragon, Palantir i Big AI: jak działa ekosystem nadzoru i co oznacza opóźniony EU AI Act

Pegasus (NSO Group), Paragon/Graphite (Paragon Solutions), Palantir oraz modele Big AI (Microsoft, Google, OpenAI, Anthropic) bywają opisywane jako odrębne, konkurujące ze sobą produkty. Analiza dokumentów parlamentarnych UE, raportów komitetu PEGA, ustaleń Citizen Lab i dziennikarstwa śledczego pokazuje jednak, że coraz częściej obsługują one ten sam typ klienta — aparat państwa — i mogą tworzyć powiązany technologicznie łańcuch zdolności nadzorczych. To wniosek oparty na udokumentowanych faktach; jednocześnie część dalszych twierdzeń to poważne zarzuty formułowane przez konkretne organy i media, które tu wyraźnie przypisujemy do źródeł, a nie podajemy jako rozstrzygnięte.

Niniejszy tekst opiera się wyłącznie na źródłach weryfikowalnych: oficjalnych dokumentach parlamentarnych UE, raportach komitetu PEGA, orzeczeniach prokuratorskich, analizach Citizen Lab, Corporate Europe Observatory, IRPI Media oraz organizacji medialnych. Tam, gdzie pojawiają się zarzuty wobec konkretnych osób lub instytucji, traktujemy je jako twierdzenia wymagające niezależnej weryfikacji i — gdzie to możliwe — odnotowujemy stanowiska stron oraz status toczących się postępowań.

Architektura ekosystemu nadzoru

Z dostępnych analiz wyłania się obraz kilku warstw. Pierwsza to penetracja urządzeń: narzędzia typu Pegasus czy Paragon/Graphite umożliwiają tzw. zero-click dostęp do telefonów (m.in. przez komunikatory), a obok nich opisywany jest Predator (Intellexa/Cytrox). Druga warstwa to agregacja i analiza danych — platformy Palantir (Foundry, Gotham) integrujące rządowe silosy danych. Trzecia to modele językowe wykorzystywane do analizy komunikacji, dokumentów i obrazów. Czwarta to infrastruktura finansowa i transakcyjna, w tym systemy e-faktur i podatkowe gromadzące metadane finansowe obywateli.

Pegasus w Polsce: ustalenia, postępowania i otwarte pytania

Najlepiej udokumentowanym europejskim przykładem nadużycia oprogramowania szpiegującego jest sprawa Pegasusa w Polsce. Ustalenia komitetu PEGA Parlamentu Europejskiego (kadencja 2022–2023) oraz krajowe postępowania wskazują, że oprogramowanie to było używane wobec osób ze sfery politycznej i publicznej. Według tych ustaleń zakup narzędzia został sfinansowany w sposób omijający standardowe mechanizmy nadzoru — z wykorzystaniem środków pozostających w gestii resortu, zamiast dedykowanego, kontrolowanego budżetu służb — co podnoszone jest jako obejście kontroli parlamentarnej.

Najpoważniejszy z formułowanych zarzutów dotyczy wykorzystania narzędzia państwowego wobec osób ze sceny politycznej oraz dalszego obiegu pozyskanych materiałów. Należy jednak wyraźnie zaznaczyć: są to ustalenia i zarzuty będące przedmiotem toczących się postępowań karnych i prac komisji, a nie prawomocnie rozstrzygnięte fakty. W artykule celowo nie przypisujemy indywidualnej winy konkretnym osobom imiennie poza tym, co wynika z oficjalnych dokumentów i toczących się procedur, i odnotowujemy, że sprawa pozostaje otwarta.

Komitet PEGA potwierdził nielegalne lub nieproporcjonalne użycie oprogramowania szpiegującego w kilku państwach członkowskich UE, ale — jak sam wskazywał — dysponował ograniczonymi możliwościami egzekwowania odpowiedzialności. To istotny element całej historii: nawet potwierdzone nadużycia trudno przełożyć na realne konsekwencje, gdy nadzór ma charakter głównie rekomendacyjny.

Paragon/Graphite: dlaczego budzi niepokój także w demokracjach

Druga firma, Paragon Solutions, oferuje narzędzie Graphite i — według doniesień — pozycjonuje się jako dostawca sprzedający wyłącznie demokracjom. To, co miało być gwarancją, bywa wskazywane jako źródło odmiennego ryzyka: jeśli klientem może być każdy rząd demokratyczny, to ewentualne nadużycia (np. wobec dziennikarzy czy opozycji) nie wymagają reżimu autorytarnego, a jedynie szerokiej interpretacji pojęcia "bezpieczeństwa narodowego".

Głośnym przykładem jest sprawa włoska. Według doniesień (m.in. Haaretz, czerwiec 2025) Paragon jednostronnie rozwiązał kontrakt z Włochami w kontekście zarzutów o inwigilację, co samo w sobie bywa opisywane jako precedens — dostawca oprogramowania szpiegującego zrywający umowę z rządem. Firma miała też oferować pomoc w wyjaśnieniu sprawy, a oferta ta miała zostać odrzucona. To doniesienia medialne; strony zaangażowane przedstawiają własne stanowiska, a ostateczne ustalenia należą do właściwych organów.

KSeF i infrastruktura danych finansowych obywateli

Odrębnym wątkiem jest Krajowy System e-Faktur (KSeF). System ten wszedł w życie etapami (obowiązkowo najpierw dla większych podmiotów) i gromadzi szczegółowe metadane transakcji gospodarczych. Istotne z perspektywy ryzyka jest pytanie, na jakiej infrastrukturze takie dane są przetwarzane. Jeśli elementy przetwarzania opierają się na infrastrukturze dostawców podlegających amerykańskiemu CLOUD Act, to — niezależnie od oceny prawdopodobieństwa dostępu — jest to realny stan, który warto uwzględniać w zarządzaniu ryzykiem. Nie jest to powód do paniki, lecz element świadomej analizy suwerenności danych.

Digital Omnibus i osłabienie EU AI Act

Centralnym, dobrze udokumentowanym wątkiem jest osłabienie EU AI Act poprzez pakiet Digital Omnibus. Porozumienie polityczne z maja 2025 roku przesunęło kluczowe przepisy dla systemów wysokiego ryzyka (high-risk) o około szesnaście miesięcy — do grudnia 2027 roku. Systemy wbudowane w produkty (Annex I) przesunięto do sierpnia 2027, a przepisy o transparentności (oznaczanie treści generowanych przez AI, w tym deepfake) do grudnia 2027 roku. Warto przy tym odnotować, że obowiązki dla modeli ogólnego przeznaczenia (GPAI) — czyli dużych modeli językowych — nie zostały opóźnione.

Niezależne analizy i organizacje strażnicze (m.in. Corporate Europe Observatory, LobbyControl, The Good Lobby, SOMO) wskazują na intensywny lobbing branży technologicznej wokół tych zmian, a część zapisów odpowiada postulatom sektora. To korelacja udokumentowana; teza o bezpośrednim "przepisaniu ustawy" przez korporacje pozostaje interpretacją, którą należy traktować ostrożnie.

W debacie pojawiają się nazwiska konkretnych europosłów zaangażowanych w negocjacje (np. współsprawozdawcy pakietu w komisji IMCO). Tu również obowiązuje rozróżnienie: pełnienie roli sprawozdawcy i opowiadanie się za narracją "uproszczenia" oraz "konkurencyjności" to fakt polityczny, natomiast sugestie konfliktu interesów to zarzuty, wobec których zainteresowane osoby przedstawiają własne stanowiska (część z nich wprost im zaprzecza). W tym artykule nie rozstrzygamy tych zarzutów i odsyłamy do oficjalnych rejestrów oraz źródeł.

Co konkretnie tracą obywatele przez okres przejściowy

Najbardziej namacalne skutki opóźnienia dotyczą praw obywateli w okresie przejściowym. Według analiz (m.in. niezależnych opracowań akademickich) przesunięcie przepisów high-risk oznacza, że przez dodatkowy czas systemy AI mogą działać w newralgicznych obszarach bez pełnych gwarancji wynikających z AI Act.

Pracownik może podlegać ocenie CV, monitoringowi pracy czy decyzjom kadrowym wspieranym przez AI bez pełnego prawa do wyjaśnienia działania algorytmu w okresie przejściowym. Kredytobiorca może być oceniany przez systemy scoringu bez pełnego prawa do zakwestionowania decyzji AI. Osoba ubiegająca się o azyl może podlegać wstępnej selekcji wniosku przez AI bez gwarancji obowiązkowej weryfikacji przez człowieka. Oskarżony może być oceniany przez narzędzia wspierające sąd (np. szacowanie ryzyka) bez pełnej przejrzystości algorytmu. Obywatel w przestrzeni publicznej może być obejmowany rozpoznawaniem twarzy bez części obowiązków oceny skutków. To nie są scenariusze hipotetyczne — to luki w ochronie wynikające z przesunięcia terminów.

Co to oznacza dla obywateli, organizacji i firm

Z perspektywy obywatela kluczowe są trzy obserwacje. Po pierwsze, infrastruktura i bazy danych zbudowane w okresie nadużyć nie znikają wraz z wszczęciem postępowań — zebrane materiały pozostają, a aktywne procedury karne są krokiem naprzód, ale nie zamykają sprawy. Po drugie, dane finansowe gromadzone w systemach takich jak KSeF mogą być przetwarzane na infrastrukturze podlegającej obcym jurysdykcjom — to fakt do uwzględnienia w analizie ryzyka. Po trzecie, jeśli system AI wpłynął na decyzję kredytową, zatrudnienie lub sprawy prawne w okresie przejściowym, część praw wynikających z AI Act może jeszcze nie obowiązywać w pełni.

Dla organizacji i firm w Polsce oraz UE istotna jest aktualizacja kalendarza zgodności. Obowiązki dla modeli ogólnego przeznaczenia (GPAI) pozostają bez opóźnienia. Dla systemów wysokiego ryzyka z Annex III właściwe terminy przesunięto na grudzień 2027, a dla AI wbudowanego w produkty (Annex I) na sierpień 2027. Praktyczny wniosek jest taki, że okres przejściowy nie zwalnia z myślenia o zgodności — przeciwnie, daje czas na rzetelne przygotowanie audytów, dokumentacji i mechanizmów nadzoru człowieka, zamiast traktowania opóźnienia jako trwałego zwolnienia.

Konkluzja: fakty, zarzuty i krytyczna lektura

Z dostępnych dokumentów wyłania się spójny obraz: realne przypadki nadużyć oprogramowania szpiegującego potwierdzone przez organy UE, rosnąca rola firm integrujących i analizujących dane, równoległe osłabienie regulacji AI w Europie oraz konkretne, mierzalne skutki dla praw obywateli. To są elementy dobrze udokumentowane. Jednocześnie część najdalej idących tez — o jednym, celowo skoordynowanym "ekosystemie nadzoru", a zwłaszcza zarzuty wobec konkretnych, imiennie wskazanych osób — pozostaje w sferze poważnych oskarżeń i interpretacji wymagających ostrożności oraz niezależnej weryfikacji.

Celem tego tekstu nie jest formułowanie oskarżeń, lecz uporządkowanie tego, co wiadomo, oddzielenie faktów od interpretacji i wskazanie realnych konsekwencji dla obywateli i organizacji. Zachęcamy do samodzielnej weryfikacji źródeł i krytycznej lektury — szczególnie w odniesieniu do najpoważniejszych zarzutów dotyczących konkretnych osób i instytucji.