Κράτος και κινητά τηλέφωνα: Η σκοτεινή χρήση της Cellebrite από ελληνικές υπηρεσίες

Η υπόθεση της Cellebrite φέρνει ξανά στο προσκήνιο το πιο σκοτεινό ερώτημα της ψηφιακής εποχής: μέχρι πού μπορεί να φτάσει το κράτος όταν αποκτά στα χέρια του τεχνολογία ικανή να ανοίγει κινητά τηλέφωνα και να εξάγει σχεδόν το σύνολο της προσωπικής ζωής ενός πολίτη.

Η ισραηλινή εταιρεία, στενά συνδεδεμένη με το στρατιωτικό και τεχνολογικό σύμπλεγμα του Ισραήλ, έχει αναπτύξει εργαλεία που χρησιμοποιούνται από κρατικές υπηρεσίες, αστυνομικά σώματα και μηχανισμούς ασφαλείας σε δεκάδες χώρες. Κεντρικό προϊόν της είναι το UFED, δηλαδή το Universal Forensic Extraction Device, μια φορητή συσκευή που επιτρέπει την εξαγωγή δεδομένων από χιλιάδες μοντέλα smartphones.

Το UFED δεν λειτουργεί όπως τα λογισμικά απομακρυσμένης παρακολούθησης τύπου Predator ή Pegasus. Δεν εισβάλλει σε ένα κινητό από απόσταση. Απαιτεί φυσική κατοχή της συσκευής. Αυτό σημαίνει ότι όταν οι αρχές έχουν στα χέρια τους ένα κινητό τηλέφωνο, μπορούν με τη χρήση του συγκεκριμένου εργαλείου να παρακάμψουν την ασφάλειά του και να αποκτήσουν πρόσβαση σε μηνύματα, φωτογραφίες, βίντεο, επαφές, ιστορικό περιήγησης, γεωγραφικά δεδομένα, λογαριασμούς κοινωνικών δικτύων και διαγραμμένο υλικό.

Η τεχνολογία αυτή μπορεί να αξιοποιηθεί νόμιμα και αναγκαία για τη διερεύνηση σοβαρών εγκλημάτων, όταν λειτουργεί μέσα σε αυστηρό θεσμικό πλαίσιο, με δικαστικό έλεγχο, αναλογικότητα και σαφή όρια. Η ίδια τεχνολογία μπορεί να μετατραπεί σε εργαλείο αυθαιρεσίας όταν χρησιμοποιείται χωρίς πλήρη διαφάνεια, χωρίς λογοδοσία και χωρίς σαφείς εγγυήσεις προστασίας των δικαιωμάτων.

Το ζήτημα αποκτά ιδιαίτερη σημασία επειδή πελάτης της Cellebrite είναι και το ελληνικό κράτος. Σύμφωνα με στοιχεία που προκύπτουν από δημόσια έγγραφα, η χρήση προϊόντων της εταιρείας στην Ελλάδα καταγράφεται τουλάχιστον από το 2017 μέχρι σήμερα, με εμπλοκή της Ελληνικής Αστυνομίας και της ΑΑΔΕ.

Η ΕΛΑΣ κατέχει και συντηρεί δύο συσκευές UFED, οι οποίες επιτρέπουν την εξαγωγή δεδομένων από κινητά τηλέφωνα έπειτα από φυσική κατάσχεση. Παράλληλα, το 2021 και το 2022 η καπνοβιομηχανία Παπαστράτος, θυγατρική της Philip Morris International, δώρισε στην ΑΑΔΕ και στο ΣΔΟΕ συστήματα της Cellebrite, μεταξύ των οποίων δύο συσκευές UFED και το Pathfinder, εργαλείο ανάλυσης και συσχέτισης δεδομένων.

Οι δωρεές αυτές παρουσιάστηκαν ως ενίσχυση των μηχανισμών κατά του παράνομου εμπορίου καπνού. Η χρήση τέτοιου εξοπλισμού, όμως, ξεπερνά κατά πολύ τον έλεγχο φορτίων και την οικονομική παραβατικότητα. Πρόκειται για εργαλεία βαθιάς πρόσβασης σε προσωπικά δεδομένα, ικανά να αποκαλύψουν ολόκληρη την ψηφιακή διαδρομή ενός ανθρώπου.

ΕΛΑΣ, ΑΑΔΕ και το μεγάλο κενό διαφάνειας

Η σχέση του ελληνικού κράτους με τη Cellebrite δεν περιορίζεται στις δωρεές. Τον Δεκέμβριο του 2017 το υπουργείο Εσωτερικών υπέγραψε σύμβαση με τη Space Hellas για τη συντήρηση δύο συσκευών UFED Touch Ultimate Ruggedized Edition. Το αρχικό κόστος απόκτησης ανερχόταν σε 17.844 ευρώ χωρίς ΦΠΑ ανά συσκευή, με συνολικό κόστος 43.896,24 ευρώ μαζί με ΦΠΑ.

Λίγες ημέρες αργότερα ακολούθησε νέα σύμβαση, στην οποία το κόστος συντήρησης των ίδιων δύο συσκευών αναπροσαρμόστηκε στα 4.800 ευρώ χωρίς ΦΠΑ. Αντίστοιχες συμβάσεις επαναλήφθηκαν τα επόμενα χρόνια από το υπουργείο Προστασίας του Πολίτη, το 2018, το 2019, το 2020 και το 2021.

Το 2022 ο προμηθευτής άλλαξε και τη συντήρηση ανέλαβε η ΓΡΙΒΑΣ Α.Ε.Ε. Από εκείνο το σημείο το κόστος εκτινάχθηκε. Η πρώτη σύμβαση με τον νέο προμηθευτή έφτασε τις 21.360 ευρώ χωρίς ΦΠΑ, ενώ ακολούθησαν συμβάσεις 18.600 ευρώ το 2023 και 21.200 ευρώ το 2024. Η αύξηση αυτή προκαλεί εύλογα ερωτήματα για το κόστος συντήρησης, την αναγκαιότητα των δαπανών και την τεχνολογική εξάρτηση των υπηρεσιών από τέτοια συστήματα.

Από τις σχετικές προκηρύξεις προκύπτει ότι μία συσκευή UFED χρησιμοποιείται από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και μία από την Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος Βορείου Ελλάδος. Το κρίσιμο ερώτημα παραμένει αναπάντητο: πόσες φορές έχουν χρησιμοποιηθεί, σε ποιες υποθέσεις, με ποιες εντολές, σε ποια πρόσωπα και με ποια διαδικασία ελέγχου.

Οι απαντήσεις των ελληνικών αρχών δεν καλύπτουν το θεσμικό κενό. Η ΕΛΑΣ αναφέρει ότι οι κατασχέσεις ψηφιακών συσκευών και οι εγκληματολογικές αναλύσεις πραγματοποιούνται αποκλειστικά στο πλαίσιο προκαταρκτικής εξέτασης, προανάκρισης ή κύριας ανάκρισης, έπειτα από εισαγγελικές ή δικαστικές παραγγελίες, σύμφωνα με τον Κώδικα Ποινικής Δικονομίας και την ειδική νομοθεσία για την άρση απορρήτου.

Η διατύπωση αυτή περιγράφει ένα γενικό πλαίσιο. Δεν απαντά με ακρίβεια στο θεμελιώδες ζήτημα: ποιος νόμος επιτρέπει την πλήρη εξαγωγή δεδομένων από κινητά τηλέφωνα με τόσο παρεμβατικά εργαλεία, ποια δεδομένα επιτρέπεται να ανακτηθούν, ποια απαγορεύεται να αγγιχθούν, ποιος ελέγχει την αναλογικότητα και τι συμβαίνει με ευαίσθητες πληροφορίες άσχετες με το ερευνώμενο αδίκημα.

Η ΑΑΔΕ, από την πλευρά της, επιβεβαίωσε πληροφορίες για τις δωρεές εξοπλισμού της Cellebrite προς τις υπηρεσίες της, χωρίς να δώσει επαρκή απάντηση για τη νομική βάση χρήσης τους. Η Παπαστράτος δεν απάντησε στα ερωτήματα για τις δωρεές. Η ίδια η Cellebrite, όταν ρωτήθηκε για το πώς διασφαλίζει τη νόμιμη χρήση των προϊόντων της στην Ελλάδα, επέλεξε επίσης τη σιωπή.

Η οργάνωση Homo Digitalis υπογραμμίζει ότι οι κανόνες προστασίας των πολιτών κατά την επεξεργασία προσωπικών δεδομένων από διωκτικές αρχές απορρέουν από την ευρωπαϊκή Οδηγία 2016/680, η οποία έχει ενσωματωθεί στο ελληνικό δίκαιο με τον νόμο 4624/2019. Το πλαίσιο αυτό επιβάλλει καθορισμένους και ρητούς σκοπούς, αναλογική συλλογή δεδομένων, περιορισμό της επεξεργασίας στα απολύτως αναγκαία στοιχεία και εγγυήσεις ασφαλείας.

Το Δικαστήριο της Ευρωπαϊκής Ένωσης, με αποφάσεις του στις υποθέσεις C-548/21 και C-118/22, έχει υιοθετήσει αυστηρή γραμμή για την πρόσβαση των διωκτικών αρχών σε δεδομένα κινητών τηλεφώνων. Η νομολογία αυτή απαιτεί ελαχιστοποίηση των δεδομένων, προηγούμενο έλεγχο, στάθμιση της βαρύτητας του σκοπού, αξιολόγηση της σχέσης του κατόχου της συσκευής με το υπό διερεύνηση αδίκημα και σαφή σύνδεση των δεδομένων με την απόδειξη των πραγματικών περιστατικών.

Το άρθρο 265 του Κώδικα Ποινικής Δικονομίας, σύμφωνα με την κριτική που διατυπώνεται, δεν φαίνεται να παρέχει επαρκώς σαφές και προβλέψιμο πλαίσιο για τέτοιου είδους πρόσβαση. Δεν καθορίζει με ακρίβεια τις κατηγορίες αδικημάτων που δικαιολογούν την εξαγωγή δεδομένων από κινητά, ούτε προβλέπει ειδικές εγγυήσεις για την προστασία ευαίσθητων πληροφοριών που μπορεί να βρίσκονται στη συσκευή χωρίς να σχετίζονται με την υπόθεση.

Το πρόβλημα, συνεπώς, δεν είναι θεωρητικό. Στην Ελλάδα των υποκλοπών, του Predator, της αδιαφάνειας και της θεσμικής φθοράς, η ύπαρξη πανίσχυρων εργαλείων παραβίασης κινητών στα χέρια πολλαπλών κρατικών υπηρεσιών απαιτεί δημόσιο έλεγχο. Η επίκληση της νομιμότητας δεν αρκεί. Χρειάζεται απόδειξη συμμόρφωσης, καταγραφή χρήσεων, θεσμική εποπτεία και δυνατότητα ελέγχου από ανεξάρτητες αρχές.

Διεθνείς καταχρήσεις, Παλαιστίνη και χρήση σε πρόσφυγες

Η διεθνής διαδρομή της Cellebrite δείχνει γιατί η υπόθεση πρέπει να αντιμετωπιστεί με σοβαρότητα. Η εταιρεία ιδρύθηκε το 1999 στο Ισραήλ και αναπτύχθηκε μέσα σε ένα περιβάλλον στενής διασύνδεσης με το ισραηλινό στρατιωτικό σύστημα. Ο πρώην διευθύνων σύμβουλός της είχε δηλώσει ότι μεγάλο μέρος του προσωπικού προέρχεται από τη μονάδα 8200 ή ανάλογες μονάδες των IDF, δηλαδή από τον πυρήνα της ισραηλινής στρατιωτικής παρακολούθησης.

Η μονάδα 8200 έχει αποτελέσει φυτώριο στελεχών για εταιρείες spyware και κυβερνοπαρακολούθησης, μεταξύ των οποίων η NSO, δημιουργός του Pegasus, καθώς και δίκτυα που συνδέθηκαν με την Intellexa και το Predator. Αυτό το οικοσύστημα δεν παράγει ουδέτερη τεχνολογία. Παράγει εργαλεία εξουσίας, επιτήρησης και εξαγωγής πληροφορίας.

Το UFED της Cellebrite συνδέεται μέσω καλωδίου με το κινητό και αξιοποιεί κενά ασφαλείας για να το ξεκλειδώσει και να εξαγάγει δεδομένα. Μπορεί να ανακτήσει επαφές, συνομιλίες, φωτογραφίες, βίντεο, γεωγραφικά ίχνη, ιστορικό περιήγησης, λογαριασμούς κοινωνικών δικτύων και διαγραμμένα αρχεία. Συμπληρωματικά εργαλεία, όπως το Physical Analyzer και το Pathfinder, επιτρέπουν αναζήτηση, οπτικοποίηση, συσχέτιση και ανάλυση δεδομένων από πολλές συσκευές και πηγές.

Η Cellebrite παρουσιάζει τα προϊόντα της ως μέσα καταπολέμησης οργανωμένου εγκλήματος, τρομοκρατίας και εκμετάλλευσης ανηλίκων. Το επιχείρημα αυτό έχει προφανή βαρύτητα όταν υπάρχει πραγματική εγκληματική απειλή. Η ιστορική εμπειρία δείχνει, όμως, ότι τεχνολογίες τέτοιας ισχύος μετατρέπονται εύκολα σε εργαλεία καταστολής, όταν δεν υπάρχουν ισχυρά αντίβαρα.

Τον Δεκέμβριο του 2024 η Διεθνής Αμνηστία αποκάλυψε ότι η αστυνομία της Σερβίας χρησιμοποίησε εργαλεία της Cellebrite για να παραβιάσει τηλέφωνα δημοσιογράφων και ακτιβιστών. Η αποκάλυψη οδήγησε την εταιρεία να αναστείλει πωλήσεις σε ορισμένους πελάτες της στη Σερβία.

Τον Ιανουάριο του 2026 το Citizen Lab του Πανεπιστημίου του Τορόντο αποκάλυψε χρήση εργαλείων της Cellebrite εναντίον ακτιβιστών στην Ιορδανία, σε διαδηλώσεις υπέρ της Παλαιστίνης. Δικαστικά έγγραφα έδειξαν ότι η εξαγωγή δεδομένων γινόταν ακόμη και όταν οι αρχές δεν χρειάζονταν τόσο βαθιά πρόσβαση, όπως σε περιπτώσεις όπου αρκούσε η επιβεβαίωση ύπαρξης λογαριασμού στα κοινωνικά δίκτυα.

Ανάλογες υποθέσεις έχουν καταγραφεί στη Μιανμάρ, όπου συσκευές UFED χρησιμοποιήθηκαν για την εξαγωγή δεδομένων από τα κινητά δύο δημοσιογράφων του Reuters που είχαν φυλακιστεί για την κάλυψη εγκλημάτων κατά των Ροχίνγκια. Στο Χονγκ Κονγκ χρησιμοποιήθηκαν κατά διαδηλωτών. Στη Ρωσία καταγράφονται δεκάδες χιλιάδες χρήσεις πριν από την αναστολή πωλήσεων. Στο Μπανγκλαντές, στις Φιλιππίνες, στο Μπαχρέιν, στην Ονδούρα και ακόμη και στη Βόρεια Ιρλανδία, η ίδια τεχνολογία εμφανίζεται σε περιβάλλοντα σοβαρών καταγγελιών για παραβιάσεις δικαιωμάτων.

Ιδιαίτερο βάρος έχει η χρήση εργαλείων της Cellebrite από ισραηλινές υπηρεσίες σε βάρος Παλαιστινίων. Από το 2016 η εταιρεία έχει λάβει συμβόλαια εκατομμυρίων ευρώ με υπηρεσίες του ισραηλινού κράτους. Κατά τη διάρκεια του πολέμου στη Γάζα, οι ισραηλινές αρχές φέρονται να χρησιμοποίησαν εργαλεία της για τη συλλογή δεδομένων από κινητά χιλιάδων Παλαιστινίων κρατουμένων.

Η ίδια η εταιρεία έχει παραδεχθεί σε έγγραφα προς την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ ότι τα προϊόντα της μπορεί να χρησιμοποιηθούν από πελάτες με τρόπους που θεωρούνται ασύμβατοι με τα ανθρώπινα δικαιώματα. Πρώην εργαζόμενος της Cellebrite έχει καταγγείλει ότι η εταιρεία δεν κάνει αρκετά για να αποτρέψει κατάχρηση από πελάτες με προβληματικό ιστορικό.

Το πεδίο χρήσης της τεχνολογίας επεκτάθηκε και στο μεταναστευτικό. Σε διεθνές συνέδριο για την επιτήρηση συνόρων το 2019, στέλεχος της Cellebrite πρότεινε τη χρήση τέτοιων εργαλείων σε πρόσφυγες και αιτούντες άσυλο, με το επιχείρημα ότι πολλοί δεν έχουν έγγραφα, ενώ αρκετοί διαθέτουν smartphones. Τα δεδομένα των κινητών θα μπορούσαν, κατά την παρουσίαση, να χρησιμοποιηθούν για την ταυτοποίηση, τη χαρτογράφηση μετακινήσεων και την αξιολόγηση λόγων ασύλου.

Η επίκληση συναίνεσης σε τέτοιες συνθήκες είναι βαθιά προβληματική. Όταν ένας πρόσφυγας βρίσκεται απέναντι σε κρατικές αρχές, σε συνθήκες εξάρτησης, φόβου ή απειλής απέλασης, η παράδοση του κινητού του δεν μπορεί εύκολα να θεωρηθεί ελεύθερη επιλογή.

Το 2021 το ίδιο συνέδριο διοργανώθηκε στην Αθήνα, υπό την αιγίδα του υπουργείου Μετανάστευσης, με κεντρικό ομιλητή τον τότε υπουργό Νότη Μηταράκη. Η Cellebrite ήταν παρούσα, με περίπτερο και έντονη εταιρική προβολή. Την επόμενη περίοδο, προκήρυξη του υπουργείου Ναυτιλίας για αναβάθμιση computer room του Λιμενικού προέβλεπε δυνατότητα εισαγωγής αρχείων και από UFED, προκαλώντας νέα ερωτήματα.

Το Λιμενικό απάντησε ότι δεν διαθέτει ούτε χρησιμοποιεί συσκευές UFED ή άλλα συστήματα της Cellebrite και ότι δεν κάνει χρήση δεδομένων που έχουν εξαχθεί από τέτοια συστήματα. Το υπουργείο Μετανάστευσης, όμως, δεν έδωσε πληροφορίες για το αν οι ελληνικές αρχές χρησιμοποιούν εργαλεία της Cellebrite για εξαγωγή δεδομένων από κινητά προσφύγων στα σύνορα.

Η εικόνα που σχηματίζεται είναι βαριά. ΕΛΑΣ και ΑΑΔΕ επιβεβαιώνουν με τον έναν ή τον άλλον τρόπο την προμήθεια ή παραλαβή εξοπλισμού. Η ακριβής χρήση του παραμένει θολή. Οι δικλίδες ασφαλείας δεν παρουσιάζονται με επάρκεια. Η εταιρεία δεν απαντά. Ο δωρητής δεν απαντά. Το θεσμικό πλαίσιο εμφανίζεται ασαφές μπροστά στις απαιτήσεις της ευρωπαϊκής νομολογίας.

Σε μια δημοκρατία, η πρόσβαση του κράτους στα δεδομένα κινητών τηλεφώνων δεν μπορεί να αντιμετωπίζεται ως τεχνική λεπτομέρεια. Το κινητό τηλέφωνο δεν είναι απλό αντικείμενο. Είναι ημερολόγιο, αρχείο, επικοινωνία, γεωγραφική διαδρομή, επαγγελματικό απόρρητο, πολιτική δράση, προσωπική ζωή. Η παραβίασή του ισοδυναμεί με είσοδο στον πιο ιδιωτικό χώρο του πολίτη.

Η Ελλάδα, ύστερα από το σκάνδαλο των υποκλοπών, δεν έχει θεσμικό περιθώριο για μισές απαντήσεις. Η χρήση εργαλείων όπως το UFED πρέπει να υπόκειται σε δημόσιο και ανεξάρτητο έλεγχο, με σαφείς κανόνες, αυστηρή τεκμηρίωση, καταγεγραμμένες χρήσεις, προστασία δικηγόρων, δημοσιογράφων, ακτιβιστών και ευάλωτων ομάδων, καθώς και πραγματική δυνατότητα προσφυγής σε εποπτική αρχή.

Χωρίς αυτά, η τεχνολογία που παρουσιάζεται ως μέσο καταπολέμησης του εγκλήματος μπορεί να γίνει μηχανισμός αόρατης κρατικής εισβολής στα δεδομένα των πολιτών. Και τότε το πρόβλημα δεν θα είναι μόνο η Cellebrite. Θα είναι η θεσμική ανοχή ενός κράτους που ζητά εμπιστοσύνη, ενώ αποφεύγει τη λογοδοσία.