Pegasus w Polsce. Kogo podsłuchiwano i jak działa system, który zamienia telefon w narzędzie inwigilacji

Czym właściwie jest Pegasus

Pegasus brzmi jak nazwa programu komputerowego, ale w praktyce jest czymś znacznie poważniejszym niż aplikacja do „podsłuchu”. To system klasy spyware, rozwijany przez izraelską firmę NSO Group. Oficjalnie ma służyć państwom do zwalczania terroryzmu i najpoważniejszej przestępczości. NSO Group przedstawia swoje produkty jako technologię dla rządowych służb wywiadowczych i organów ścigania, która ma pomagać w radzeniu sobie z wyzwaniami szyfrowanej komunikacji.

Problem polega na tym, że Pegasus nie działa jak klasyczny podsłuch telefoniczny. Przy tradycyjnej kontroli operacyjnej służby mogą uzyskiwać dostęp do rozmów, wiadomości albo danych telekomunikacyjnych w określonym zakresie. Pegasus idzie dalej. Po skutecznej infekcji telefonu może dać operatorowi dostęp do ogromnej części życia zapisanej w urządzeniu: wiadomości, zdjęć, kontaktów, haseł, lokalizacji, historii przeglądania, komunikatorów, a także mikrofonu i kamery. Associated Press, opisując wystąpienie Adama Bodnara w Sejmie, wskazywała, że Pegasus daje operatorom pełny dostęp do urządzenia, pozwalając wydobywać m.in. hasła, zdjęcia, wiadomości, kontakty i historię przeglądania oraz uruchamiać mikrofon i kamerę.

Dlatego w debacie publicznej Pegasus bywa nazywany „cyberbronią”. To określenie publicystyczne, ale dobrze oddaje skalę problemu. Telefon nie jest dziś tylko telefonem. Jest notesem, kalendarzem, archiwum rozmów, portfelem, aparatem, pamięcią relacji, narzędziem pracy i miejscem, w którym przechowujemy dostęp do innych usług. Przejęcie takiego urządzenia oznacza wejście nie tylko w jedną rozmowę, lecz w całe środowisko informacyjne człowieka.

Z punktu widzenia państwa takie narzędzie może być kuszące. Jeżeli służby ścigają sprawców zamachów, szpiegów albo zorganizowane grupy przestępcze, zwykłe podsłuchy mogą nie wystarczać. Przestępcy używają szyfrowanych komunikatorów, zmieniają karty SIM, korzystają z wielu urządzeń. Pegasus został stworzony właśnie po to, by obejść tę barierę: nie łamać szyfrowania komunikatora, tylko przejąć telefon, na którym wiadomości są już odszyfrowane.

Ale ten sam mechanizm, który może pomagać w ściganiu realnie groźnych przestępstw, może też zostać użyty przeciwko politykom, prawnikom, prokuratorom, dziennikarzom, aktywistom czy osobom niewygodnym dla władzy. I właśnie dlatego afera Pegasusa nie jest tylko sporem o technologię. To spór o to, czy państwo potrafi kontrolować własne służby.

Jak telefon zostaje przejęty

Na początku Pegasus kojarzył się przede wszystkim z podejrzanymi SMS-ami. Ofiara dostawała wiadomość z linkiem, klikała, a telefon mógł zostać zainfekowany. Taki model ataku miał jedną słabość z punktu widzenia operatora: człowiek musiał wykonać ruch. Musiał uwierzyć w wiadomość, otworzyć link, wejść na stronę.

Z czasem systemy tej klasy zaczęły wykorzystywać ataki typu zero-click. To moment, w którym sprawa robi się szczególnie niepokojąca. Zero-click oznacza, że użytkownik nie musi kliknąć niczego. Nie musi odebrać połączenia, otworzyć załącznika ani wejść na stronę. Wystarczy podatność w systemie operacyjnym albo aplikacji, którą telefon obsługuje automatycznie. Amnesty International w raporcie technicznym opisywała ataki zero-click niewymagające interakcji ofiary i wskazywała, że obserwowano je od maja 2018 r.; w 2021 r. Amnesty odnotowała skuteczny atak na w pełni zaktualizowanego iPhone’a 12 z iOS 14.6.

To ważne, bo popularna rada „nie klikaj podejrzanych linków” pozostaje słuszna, ale przy Pegasusie nie wystarcza. W części przypadków nie ma żadnego ostrzeżenia. Telefon może działać normalnie. Użytkownik może nie zauważyć niczego: żadnej ikony, komunikatu, spowolnienia czy nietypowego okna.

Amnesty International opisywała różne wektory infekcji: przekierowania sieciowe, podejrzane domeny, ślady w bazach danych iOS, procesy uruchamiane po kompromitacji telefonu, a także wykorzystanie usług takich jak iMessage czy potencjalnie wbudowanych aplikacji Apple. W raporcie pojawiają się m.in. ślady procesów, które badacze wiązali z Pegasusem, oraz wzorce aktywności tuż po infekcji.

Badanie takich ataków przypomina cyfrową medycynę sądową. Eksperci nie widzą operatora siedzącego przy konsoli. Widzą ślady: zapisy w kopiach zapasowych, logi systemowe, nietypowe procesy, połączenia z infrastrukturą znaną z wcześniejszych kampanii, domeny i sekwencje zdarzeń, które układają się w charakterystyczny wzór. Amnesty opublikowała także Mobile Verification Toolkit, czyli narzędzie do analizowania danych z urządzeń z Androidem i kopii iOS pod kątem śladów kompromitacji.

To wyjaśnia, dlaczego w sprawie Pegasusa tak ważne są niezależne laboratoria: Citizen Lab przy Uniwersytecie w Toronto, Amnesty International Security Lab i eksperci od informatyki śledczej. Ich praca nie polega na politycznej ocenie, czy ktoś „mógł być celem”. Polega na sprawdzeniu, czy w telefonie są techniczne ślady ataku.

I tu pojawia się pierwsze rozróżnienie, bez którego łatwo o chaos. Czym innym jest „osoba publicznie podejrzewająca, że była inwigilowana”. Czym innym jest „osoba, której telefon dostał ostrzeżenie od Apple”. Czym innym jest „osoba wymieniona w mediach”. A czym innym jest „osoba, której urządzenie zostało zbadane i uznano, że są ślady infekcji Pegasusem”. W tym tekście te kategorie trzeba trzymać osobno.

Skąd wiemy, że Pegasus działał w Polsce

Pierwszy poziom wiedzy to ustalenia techniczne Citizen Lab i Amnesty International. W grudniu 2021 r. Citizen Lab opisało przypadki użycia Pegasusa wobec osób z polskiego życia publicznego. Link podany jako źródło przez użytkownika prowadzi do materiału Citizen Lab, który w trakcie pobierania przez narzędzie zwrócił błąd 404, dlatego konkretne ustalenia weryfikuję dodatkowymi, nadal dostępnymi źródłami: komunikatem Amnesty, raportem Parlamentu Europejskiego PEGA, depeszami AP oraz komunikatami Prokuratury Krajowej. Amnesty International 7 stycznia 2022 r. poinformowała, że niezależnie potwierdziła użycie Pegasusa do włamania na telefon senatora Krzysztofa Brejzy, gdy kierował kampanią wyborczą opozycji w 2019 r.

Drugi poziom to oficjalne dane państwa. W kwietniu 2024 r. prokurator generalny Adam Bodnar przekazał parlamentowi informację, że w latach 2017–2022 kontrola z wykorzystaniem Pegasusa objęła 578 osób. Według tych danych system był używany przez trzy instytucje: Centralne Biuro Antykorupcyjne, Służbę Kontrwywiadu Wojskowego i Agencję Bezpieczeństwa Wewnętrznego. AP podała też rozbicie roczne: 6 osób w 2017 r., 100 w 2018 r., 140 w 2019 r., 161 w 2020 r., 162 w 2021 r. i 9 w 2022 r.

Trzeci poziom to śledztwo prokuratury. Prokuratura Krajowa informowała, że 18 marca 2024 r. wszczęto śledztwo w sprawie przekroczenia uprawnień i niedopełnienia obowiązków przez funkcjonariuszy publicznych w związku ze stosowaniem Pegasusa. Badane są m.in. legalność, zasadność, celowość i proporcjonalność czynności operacyjno-rozpoznawczych oraz sposób gromadzenia, przechowywania i udostępniania materiałów niejawnych.

Czwarty poziom to kontrola parlamentarno-polityczna. Sejm powołał komisję śledczą do zbadania legalności, prawidłowości i celowości czynności operacyjno-rozpoznawczych z użyciem Pegasusa i podobnego oprogramowania w okresie od 16 listopada 2015 r. do 20 listopada 2023 r.

Do tego dochodzi raport komisji PEGA Parlamentu Europejskiego. PEGA zajmowała się użyciem Pegasusa i podobnych systemów w państwach UE. W części dotyczącej Polski raport wskazywał na poważne obawy dotyczące finansowania zakupu, nadzoru, użycia wobec osób związanych z wyborami i słabości mechanizmów kontroli. Parlament Europejski odnotował m.in., że w Polsce kilka celów Pegasusa było powiązanych z procesami wyborczymi lub aktywnością polityczną.

To wszystko razem tworzy obraz sprawy. Nie jest już aktualne pytanie, czy Pegasus w Polsce w ogóle był. Był. Spór dotyczy dziś skali nadużyć, odpowiedzialności konkretnych osób, legalności poszczególnych kontroli oraz tego, czy sądy wydające zgody miały pełną wiedzę o możliwościach systemu.

Kogo podsłuchiwano: nazwiska potwierdzone i nazwiska niejawne

Najostrożniej można powiedzieć tak: publicznie znana lista nazwisk nie jest pełną listą osób objętych Pegasusem. Pełna lista, według informacji prokuratora generalnego, obejmuje 578 osób, ale nie jest jawna. Bodnar nie podał nazwisk, a jego biuro wskazywało, że informacja jest poufna.

Najmocniej potwierdzone publicznie przypadki to Krzysztof Brejza, Roman Giertych i Ewa Wrzosek. W raporcie Parlamentu Europejskiego PEGA opisano, że telefon Brejzy był atakowany 33 razy w okresie od 26 kwietnia do 23 października 2019 r., gdy Brejza kierował kampanią parlamentarną Koalicji Obywatelskiej.   Amnesty International niezależnie potwierdziła, że Pegasus został użyty do włamania na telefon Brejzy.

Roman Giertych, adwokat i były polityk, według raportu PEGA był atakowany Pegasusem między wrześniem a grudniem 2019 r., nawet 18 razy. W tym okresie reprezentował osoby i sprawy politycznie wrażliwe, m.in. związane z Donaldem Tuskiem i Radosławem Sikorskim. Trzeba tu jednak zachować precyzję: fakt infekcji telefonu to jedno, a ustalenie, kto dokładnie zlecił i w jakim formalnym trybie prowadzono kontrolę, to przedmiot śledztw i prac komisji.

Ewa Wrzosek, prokuratorka związana ze stowarzyszeniem Lex Super Omnia, według PEGA była ofiarą włamań Pegasusem do sześciu razy między 24 czerwca a 19 sierpnia 2020 r. Wcześniej prowadziła sprawę dotyczącą organizacji wyborów prezydenckich w czasie pandemii, tzw. wyborów kopertowych, po czym sprawa została jej odebrana.

W publicznych materiałach pojawiają się też inne nazwiska. Raport PEGA wskazuje m.in. Michała Kołodziejczaka jako osobę powiązaną z wyborami i ruchem politycznym konkurującym o część elektoratu partii rządzącej. W mediach, za ustaleniami Citizen Lab i AP, opisywano także przypadek Tomasza Szwejgierta. Przy tych nazwiskach trzeba jednak wyraźnie rozdzielać poziomy potwierdzenia: część informacji pochodzi z analiz badaczy i depesz, część z mediów, część z prac komisji. Nie wszystkie mają dziś ten sam status procesowy.

Osobną kategorią są osoby wymienione w komunikatach Prokuratury Krajowej jako pokrzywdzeni lub świadkowie w konkretnych wątkach śledztwa. W czerwcu 2025 r. prokuratura poinformowała o zarzutach dla dwojga byłych funkcjonariuszy CBA dotyczących czynności operacyjno-rozpoznawczych wobec Jacka Karnowskiego, byłego prezydenta Sopotu. Według komunikatu czynności miały być prowadzone od listopada 2018 r. do maja 2019 r., w tym przy użyciu Pegasusa, a prokuratura zarzucała brak podstaw faktycznych i prawnych. Podejrzani nie przyznali się do winy.

Jeszcze inną kategorią są osoby, które mogły być wezwane jako świadkowie albo których sprawa pojawia się w materiałach niejawnych. W październiku 2024 r. Prokuratura Krajowa informowała, że na podstawie materiału przekazanego przez ABW wezwano Klementynę Suchanow i Martę Lempart w charakterze świadków. Komunikat nie oznacza sam w sobie publicznego potwierdzenia, że obie były skutecznie zainfekowane Pegasusem; oznacza, że prokuratura uznała ich przesłuchanie za potrzebne na podstawie materiału niejawnego.

To właśnie w tym miejscu najłatwiej o przesadę. Nie można każdego nazwiska, które pojawiło się w mediach lub komisji, automatycznie dopisywać do jednej listy „podsłuchiwanych Pegasusem”. Dla czytelnika najuczciwszy podział wygląda tak: przypadki potwierdzone analizą techniczną, przypadki opisane w dokumentach śledztwa, przypadki podnoszone w mediach i przypadki nadal niejawne. Pełna lista 578 osób pozostaje poza publicznym dostępem.

Dlaczego sprawa Brejzy stała się politycznym centrum afery

W każdej aferze jest moment, który zamienia specjalistyczny temat w sprawę państwową. W przypadku Pegasusa w Polsce takim momentem była sprawa Krzysztofa Brejzy.

Brejza nie był przypadkowym użytkownikiem telefonu. W 2019 r. był szefem sztabu wyborczego Koalicji Obywatelskiej w kampanii parlamentarnej. Jeżeli telefon osoby kierującej kampanią największego ugrupowania opozycyjnego został przejęty w czasie wyborów, problem nie dotyczy tylko prywatności tej osoby. Dotyczy uczciwości procesu politycznego, poufności strategii wyborczej, kontaktów z kandydatami, dziennikarzami, prawnikami i współpracownikami.

Raport PEGA wskazywał, że telefon Brejzy był atakowany 33 razy w okresie kampanii i tuż po jej zakończeniu. W raporcie opisano też zarzuty dotyczące późniejszego wykorzystania materiałów z jego korespondencji w przekazie telewizji publicznej, przy czym mowa o materiałach rzekomo skradzionych, przerobionych i użytych w kampanii oczerniającej. To jest element szczególnie poważny, ale wymaga ostrożnego języka: PEGA opisuje te okoliczności jako zarzuty i ustalenia wynikające z dostępnych źródeł, a nie jako prawomocne rozstrzygnięcie sądowe.

W politycznej warstwie sprawa Brejzy stała się symbolem tezy, że Pegasus mógł zostać użyty nie tylko do ścigania przestępczości, lecz także do uzyskania przewagi nad przeciwnikami politycznymi. Były rząd i politycy PiS odpierali takie zarzuty. AP relacjonowała, że Jarosław Kaczyński zeznał przed komisją, iż użycie Pegasusa było zgodne z prawem i w 99 proc. przypadków dotyczyło przestępców.

Między tymi dwoma narracjami jest przestrzeń, którą powinny wypełnić dowody. Nie wystarczy powiedzieć „Pegasus był legalny”, jeśli sądy zatwierdzające kontrolę nie wiedziały, jak szerokie możliwości ma system. Nie wystarczy też powiedzieć „Pegasus był polityczny”, jeśli każdy konkretny przypadek wymaga odtworzenia wniosku, zgody sądu, podstaw operacyjnych, zakresu pobranych danych i sposobu ich wykorzystania.

Dlatego śledztwo prokuratury jest tak istotne. Musi odpowiedzieć nie tylko na pytanie, czy Pegasus był kupiony i używany, ale też czy w konkretnych sprawach istniały faktyczne podstawy do kontroli, czy sądy zostały rzetelnie poinformowane, czy dane były właściwie chronione i czy nie trafiały poza dopuszczalny obieg.

Zakup, Fundusz Sprawiedliwości i pytanie o kontrolę nad służbami

Wątek zakupu Pegasusa jest równie ważny jak lista ofiar. Bo pokazuje, jak państwo dochodzi do narzędzia, które może przejąć telefon obywatela.

Według ustaleń NIK i późniejszych informacji publicznych zasadnicza część pieniędzy na zakup systemu pochodziła z Funduszu Sprawiedliwości. Fundusz ten miał służyć przede wszystkim pomocy pokrzywdzonym przestępstwem i pomocy postpenitencjarnej. NIK już wcześniej krytykowała sposób funkcjonowania Funduszu, wskazując m.in. na niecelowość, niegospodarność i zbyt szeroką interpretację jego zadań.

Najważniejsze zdanie NIK w tej historii brzmi mocno: w ocenie Izby Ministerstwo Sprawiedliwości złamało prawo, przekazując CBA 25 mln zł z Funduszu Sprawiedliwości w 2017 r.   Raport PEGA także wskazywał, że zakup Pegasusa został sfinansowany przez Fundusz Sprawiedliwości, który nie był częścią budżetu państwa, lecz funduszem publicznym przeznaczonym dla ofiar przestępstw, oraz że według PEGA naruszało to polskie prawo.

To nie jest techniczny detal księgowy. Służby specjalne mają własne budżety, procedury i mechanizmy kontroli. Jeżeli narzędzie tak ingerujące w prawa obywatelskie finansuje się boczną ścieżką, z funduszu celowego, pojawia się pytanie o przejrzystość i odpowiedzialność. Kto wiedział? Kto zatwierdził? Kto oceniał legalność? Kto sprawdzał bezpieczeństwo danych? Kto pilnował, żeby system nie był używany poza granicami prawa?

W 2025 r. Prokuratura Krajowa poinformowała o zabezpieczeniu urządzeń wchodzących w skład systemu Pegasus oraz o powołaniu biegłych z Biura Badań Kryminalistycznych ABW do oceny sposobu działania i funkcjonalności systemu. W komunikacie z czerwca 2025 r. prokuratura podała, że opinia biegłych nie była jeszcze sporządzona, a z kontroli ABW wynikało, że system Pegasus powinien podlegać akredytacji bezpieczeństwa teleinformatycznego, której nigdy nie uzyskał.

W lutym 2026 r. pojawił się kolejny ważny komunikat. Prokuratura przedstawiła zarzuty byłemu szefowi ABW Piotrowi P. oraz byłemu szefowi SKW Maciejowi M. Dotyczyły one dopuszczenia i używania systemu Pegasus bez wymaganej akredytacji bezpieczeństwa teleinformatycznego oraz bez sprawdzenia, czy system spełnia wymogi ochrony informacji niejawnych. Obaj podejrzani nie przyznali się i odmówili składania wyjaśnień.

To przesuwa ciężar sprawy. Na początku opinia publiczna pytała głównie: „kogo podsłuchiwano?”. Dziś równie ważne jest pytanie: czy państwo w ogóle zbudowało bezpieczny, zgodny z prawem system korzystania z takiego narzędzia? Bo jeśli Pegasus przetwarzał informacje niejawne, materiały operacyjne i dane obywateli, to brak akredytacji nie jest formalnością. To potencjalna luka w bezpieczeństwie państwa.

Co jest nadal niepotwierdzone i co może wydarzyć się dalej

W sprawie Pegasusa jest kilka rzeczy pewnych. System był w Polsce używany. Jego wykorzystanie objęło według oficjalnych danych 578 osób. Używały go CBA, ABW i SKW. Istnieją technicznie potwierdzone przypadki infekcji telefonów osób publicznych. Zakup systemu i jego używanie są przedmiotem śledztwa. Prokuratura postawiła już pierwsze zarzuty w wybranych wątkach.

Ale wiele rzeczy nadal nie jest publicznie rozstrzygniętych.

Nie znamy pełnej listy 578 osób. Nie wiadomo, ile z tych kontroli było rzeczywiście uzasadnionych walką z poważną przestępczością, kontrwywiadem albo terroryzmem, a ile budzi wątpliwości. Nie wiemy publicznie, jakie dokładnie dane pobierano w poszczególnych sprawach, jak długo je przechowywano i kto miał do nich dostęp. Nie wiemy też, w jakim stopniu sądy zatwierdzające kontrolę były informowane o realnych możliwościach Pegasusa.

Niepotwierdzone pozostają również niektóre nazwiska pojawiające się w przestrzeni medialnej. To, że ktoś twierdzi, iż był inwigilowany, albo że jego nazwisko pojawiło się w doniesieniach, nie jest równoznaczne z technicznym potwierdzeniem infekcji. W tekście o Pegasusie trzeba unikać jednej wspólnej listy, która miesza dowody kryminalistyczne, komunikaty prokuratury, zeznania, przecieki i hipotezy.

Co może wydarzyć się dalej? Najbardziej prawdopodobne są trzy ścieżki. Pierwsza to kolejne decyzje prokuratury: zarzuty, umorzenia, akty oskarżenia albo informacje o braku podstaw w poszczególnych sprawach. Druga to ustalenia komisji śledczej, które mogą mieć znaczenie polityczne i dokumentacyjne, nawet jeśli same nie zastępują procesu karnego. Trzecia to zmiany w prawie: większa kontrola nad służbami, lepsze informowanie sądów o używanym narzędziu, mocniejszy nadzór nad przechowywaniem danych i obowiązek późniejszego informowania osób, wobec których prowadzono kontrolę, jeśli nie zagraża to śledztwu.

Największa lekcja z Pegasusa jest prosta, choć niewygodna. Państwo może potrzebować bardzo silnych narzędzi wobec bardzo groźnych ludzi. Ale im silniejsze narzędzie, tym większa musi być kontrola. Pegasus pokazał, że w cyfrowym świecie inwigilacja nie kończy się na jednej rozmowie telefonicznej. Może objąć całe życie człowieka zapisane w urządzeniu, które nosi w kieszeni.

I właśnie dlatego ta sprawa nie jest tylko historią o programie szpiegującym. Jest testem tego, czy demokratyczne państwo potrafi samo sobie postawić granice.

Źródła

• Amnesty International — Forensic Methodology Report: How to catch NSO Group’s Pegasus
• https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
• Amnesty International Security Lab — Poland: Use of Pegasus spyware to hack politicians highlights threat to civil society
• https://securitylab.amnesty.org/latest/2022/01/poland-use-of-pegasus-spyware-to-hack-politicians-highlights-threat-to-civil-society/
• Citizen Lab — Pegasus Spyware Used to Target Polish Opposition
• https://citizenlab.ca/2021/12/pegasus-spyware-used-to-target-polish-opposition/
• Associated Press — Poland’s prosecutor general says previous government used spyware against hundreds of people
• https://apnews.com/article/413bb3cb27daac011d52b524c6d16160
• Prokuratura Krajowa — Informacja o śledztwie w sprawie Pegasusa
• https://www.gov.pl/web/prokuratura-krajowa/informacja-o-sledztwie-w-sprawie-pegasusa
• Prokuratura Krajowa — Informacja o śledztwie dotyczącym oprogramowania „Pegasus”
• https://www.gov.pl/web/prokuratura-krajowa/informacja-o-sledztwie-dotyczacym-oprogramowania-pegasus
• Prokuratura Krajowa — Zarzuty dla byłych funkcjonariuszy CBA w śledztwie dotyczącym Pegasusa
• https://www.gov.pl/web/prokuratura-krajowa/zarzuty-dla-bylych-funkcjonariuszy-cba-w-sledztwie-dotyczacym-pegasusa
• Prokuratura Krajowa — Zarzuty niedopełnienia obowiązków dla byłych szefów ABW i SKW w śledztwie dotyczącym Pegasusa
• https://www.gov.pl/web/prokuratura-krajowa/zarzut-abw-skw
• Prokuratura Krajowa — Pegasus — kalendarium
• https://www.gov.pl/web/prokuratura-krajowa/pegasus
• Najwyższa Izba Kontroli — Pomoc z Funduszu Pomocy Pokrzywdzonym nie dla pokrzywdzonych
• https://www.nik.gov.pl/aktualnosci/sprawy-spoleczne/fundusz-pomocy-pokrzywdzonym.html
• Najwyższa Izba Kontroli — NIK o realizacji ustawowych zadań Funduszu Sprawiedliwości
• https://www.nik.gov.pl/aktualnosci/realizacja-zadan-funduszu-sprawiedliwosci.html
• Parlament Europejski / komisja PEGA — Report of the investigation of alleged contraventions and maladministration in the application of Union law in relation to the use of Pegasus and equivalent surveillance spyware
• https://www.europarl.europa.eu/doceo/document/A-9-2023-0189_EN.html
• Sejm RP — Komisja śledcza do spraw Pegasusa — strona komisji
• https://www.sejm.gov.pl/Sejm10.nsf/agent.xsp?KodKom=SKPG&NrKadencji=10&symbol=KOMISJASL
• NSO Group — Strona firmowa NSO Group
• https://www.nsogroup.com/