«Προστατεύουν τον νόμο παραβιάζοντάς τον»: Μέσα στο σκιώδες πληροφοριακό σύστημα της Europol - Αποκαλυπτική δημοσιογραφική έρευνα με τη συμμετοχή του Solomon (ΕΙΚΟΝΕΣ)

«Προστατεύουν τον νόμο παραβιάζοντάς τον»: Μέσα στο σκιώδες πληροφοριακό σύστημα της Europol

Πολύμηνη έρευνα των Solomon, CORRECTIV και Computer Weekly, βασισμένη σε διαρροή ηλεκτρονικής αλληλογραφίας, εσωτερικά έγγραφα και μαρτυρίες πληροφοριοδοτών, αποκαλύπτει πώς η Europol ανέπτυξε παράλληλα πληροφοριακά συστήματα ανάλυσης δεδομένων που λειτούργησαν για χρόνια χωρίς θεσμική εποπτεία, παρακάμπτοντας τη νομοθεσία της ΕΕ για την προστασία των προσωπικών δεδομένων.

 Written by: Collective

Έρευνα:

• Αποστόλης Φωτιάδης
• Giacomo Zandonini
• Ludek Stavinoha
• Λυδία Εμμανουηλίδου
• Frida Thurm
• Bill Goodwin
• Sebastian Klovig Skelton

Εικονογράφηση:

• Γαλάτεια Ιατράκη

Περιεχόμενα

• Πίεση να ανταποκριθούν
• CFN και Big Data Challenge
• Συναγερμός για το Pressure Cooker
• Ένας διευρυμένος ρόλος

Η Europol, η υπηρεσία της Ευρωπαϊκής Ένωσης που υποστηρίζει τα κράτη-μέλη στην καταπολέμηση του σοβαρού διεθνούς εγκλήματος και της τρομοκρατίας, ανέπτυξε και έθεσε σε λειτουργία παράλληλες πλατφόρμες ανάλυσης δεδομένων που περιλαμβάνουν τεράστιους όγκους ευαίσθητων προσωπικών πληροφοριών, όπως αποκαλύπτει πολύμηνη έρευνα των Solomon, CORRECTIV και Computer Weekly, βασισμένη σε διαρροή ηλεκτρονικής αλληλογραφίας, εσωτερικά έγγραφα και μαρτυρίες πληροφοριοδοτών.

Πρώην αξιωματούχοι περιγράφουν το σύστημα ως «ένα σκιώδες πληροφοριακό περιβάλλον», το οποίο λειτουργούσε παράλληλα με τις επίσημες βάσεις δεδομένων της υπηρεσίας. Λειτουργούσε χωρίς να λαμβάνει βασικά μέτρα ασφαλείας και μέτρα προστασίας των δεδομένων, όπως προβλέπει το ενωσιακό δίκαιο. 

Ένα από τα συστήματα επέτρεπε στο προσωπικό της Europol να έχουν πρόσβαση και να αναλύουν εξαιρετικά ευαίσθητα δεδομένα — συμπεριλαμβανομένων αρχείων τηλεφωνικών επικοινωνιών, εγγράφων ταυτότητας, οικονομικών στοιχείων και πληροφοριών γεωεντοπισμού — ακόμη και για άτομα που δεν θεωρούνταν ύποπτα για κάποιο έγκλημα.

Το σύστημα πρακτικά μετατράπηκε στο βασικό περιβάλλον της υπηρεσίας για ανάλυση δεδομένων μεγάλης κλίμακας, χωρίς ωστόσο να υπάρχουν έλεγχοι ως προς το ποιος είχε πρόσβαση ή ποιος μπορούσε να τροποποιήσει τα δεδομένα. Πρόκειται για ένα σύστημα που, σύμφωνα με τους ειδικούς, έθεσε αθώους πολίτες σε κίνδυνο να συνδεθούν εσφαλμένα με εγκληματική δραστηριότητα, με όλες τις πιθανές συνέπειες για την προσωπική, οικογενειακή και επαγγελματική τους ζωή, αλλά και την ελευθερία των μετακινήσεών τους.

Για πρώτη φορά στην ιστορία της υπηρεσίας, πρώην υψηλόβαθμα στελέχη μίλησαν ανοιχτά για αυτό το σκιώδες πληροφοριακό περιβάλλον, κομμάτι του οποίου ήταν και ένα κρυφό εργαλείο που εντός της υπηρεσίας ήταν γνωστό ως “Pressure Cooker” («Χύτρα Ταχύτητας»).

Χρησιμοποιώντας αυτό το εργαλείο, οι αναλυτές της Europol παρέκαμπταν τη νομοθεσία της Ευρωπαϊκής Ένωσης (ΕΕ). Φαίνεται ότι το “Pressure Cooker” παρέμεινε για χρόνια κρυφό από την κορυφαία εποπτική αρχή της ΕΕ για την προστασία των δεδομένων (ΕΕΔΠ) και ότι το σύστημα ενδέχεται να χρησιμοποιείται ακόμη και σήμερα.

«Προστατεύουν το νόμο παραβιάζοντάς τον», είπε πρώην ανώτερος αξιωματούχος στο Solomon. Όπως και άλλοι πληροφοριοδότες με τους οποίους μιλήσαμε, η πηγή αυτή μας παραχώρησε συνέντευξη υπό την προϋπόθεση της ανωνυμίας*. Η ταυτότητά τους έχει εξακριβωθεί από τη δημοσιογραφική ομάδα.

Εκπρόσωπος της Europol απάντησε στα ερωτήματα που θέσαμε στο πλαίσιο της έρευνας: «Η Europol έχει ενημερώσει τον ΕΕΔΠ για τα επιχειρησιακά συστήματα και τις πλατφόρμες επεξεργασίας δεδομένων με διαφανή τρόπο. Ο ισχυρισμός ότι η Europol “έκρυβε” πληροφορίες για τα περιβάλλοντα ή τα συστήματα επεξεργασίας αποτελεί παραποίηση των γεγονότων».

Τα ευρήματα αυτά έρχονται σε μια κρίσιμη συγκυρία: η Ευρωπαϊκή Επιτροπή αναμένεται να προτείνει νέα νομοθεσία που θα διευρύνει τον προϋπολογισμό και τον ρόλο της Europol. Την ίδια στιγμή, εντός του έτους αναμένεται ο διορισμός νέου εκτελεστικού διευθυντή, μετά την αποχώρηση της Catherine De Bolle, της οποίας η θητεία έληξε την 1η Μαΐου.

Πίεση να ανταποκριθούν

Ο διευρυμένος ρόλος της Europol στην αστυνόμευση εντός της ΕΕ, όπως και το μυστικό πληροφοριακό της σύστημα, διαμορφώθηκε κατά τη διάρκεια μιας κρίσης.

Τον Νοέμβριο του 2015, συντονισμένες τρομοκρατικές επιθέσεις στο Παρίσι στοίχισαν τη ζωή σε 130 ανθρώπους και τραυμάτισαν εκαντοντάδες ακόμη. «Πραγματικά αναμενόταν από εμάς να ανταποκριθούμε σε εκείνο το σημείο», θυμάται ο τότε διευθυντής της Europol, Rob Wainwright. «Αυτή ήταν η στιγμή που έπρεπε να ανταποκριθούμε αποτελεσματικά.»

Η Europol τότε συγκρότησε μια ειδική ομάδα με την ονομασία «Fraternité», και οι αρχές επιβολής του νόμου των κρατών-μελών άρχισαν να στέλνουν πρωτοφανείς όγκους δεδομένων στην υπηρεσία: καταγραφές κλήσεων, αστυνομικές εκθέσεις, ταξιδιωτικές πληροφορίες. Από την Europol αναμενόταν να μετατρέψει αυτόν τον καταιγισμό πληροφοριών σε αξιοποιήσιμες πληροφορίες (intelligence) για επιχειρησιακή δράση.

Στη συνέχεια, σύμφωνα με πρώην αξιωματούχους της Europol, το ίδιο το Ευρωπαϊκό Κέντρο Κυβερνοεγκλήματος (EC3) της υπηρεσίας πήρε τον έλεγχο του Δικτύου Πληροφορικής Εγκληματολογίας (Computer Forensic Network) της Europol, γνωστού ως CFN. 

Το CFN, που είχε δημιουργηθεί το 2012, είχε αρχικά σχεδιαστεί ώστε να επεξεργάζεται ή να φιλτράρει τον αυξανόμενο όγκο ψηφιακού υλικού και να τον συνδέει με συγκεκριμένες έρευνες. Τα δεδομένα οργανώνονταν σε προκαθορισμένα ερευνητικά προγράμματα ανάλυσης. Συνήθως, τέτοιες υποδομές ελέγχονται από το τμήμα πληροφορικής (IT).

Θεωρητικά, το CFN θα έπρεπε να το διαχειρίζονται το EC3 και το IT από κοινού. Όταν μοιραστήκαμε τα ευρήματά μας με την Europol, η υπηρεσία είπε ότι η πολιτική αυτή ισχύει από το 2019 και ότι «την γνωρίζουν όλα τα αρμόδια ενδιαφερόμενα μέρη». Ωστόσο, στην πράξη, όπως επιβεβαίωσαν διάφορες πηγές, το σύστημα ξέφυγε από τον έλεγχο του IT. 

Μέσα σε λίγα χρόνια, το CFN εξελίχθηκε πολύ πέρα από τον αρχικό του σκοπό, μετατρεπόμενο — όπως το περιέγραψε ένας πρώην ανώτερος αξιωματούχος — σε μια «μαύρη τρύπα» για ανεξέλεγκτη ανάλυση δεδομένων από τη μονάδα κυβερνοεγκλήματος EC3 της Europol.

Έφτασε να είναι ένα σύστημα που δεν κατέγραφε με ακρίβεια ποιος είχε πρόσβαση, ούτε ποιος ενδεχομένως τροποποιούσε ή διέγραφε δεδομένα, κάτι που αποκαλύφθηκε αργότερα. Μέχρι το 2019, το CFN περιείχε τουλάχιστον δύο petabytes δεδομένων, σχεδόν 420 φορές μεγαλύτερο από τις επίσημες εγκληματολογικές βάσεις δεδομένων της Europol εκείνη την περίοδο.

Όταν τέθηκαν σε ισχύ νέοι νόμοι προστασίας δεδομένων σε όλη την Ευρώπη τον Μάιο του 2018, η προστασία των δεδομένων έγινε νομική υποχρέωση. Μέχρι το επόμενο έτος, η κλίμακα των μη συμμορφούμενων πρακτικών της Europol είχε γίνει αδύνατο να αγνοηθεί.

Ο υπεύθυνος προστασίας δεδομένων της υπηρεσίας, Daniel Drewer, σήμανε συναγερμό σε ένα εσωτερικό σημείωμα πέντε σελίδων — το οποίο η ομάδα μας απέκτησε μέσω αιτήματος πρόσβασης σε δημόσια έγγραφα (FOI) — προς τους τρεις αναπληρωτές εκτελεστικούς διευθυντές της Europol.

Το μήνυμα ήταν σαφές: το 99% των επιχειρησιακών δεδομένων της Europol αποθηκευόταν και επεξεργαζόταν στο CFN, χωρίς βασικές εγγυήσεις προστασίας και ασφάλειας δεδομένων. Οι αναλυτές της υπηρεσίας μπορούσαν να εξετάζουν τεράστιους όγκους προσωπικών δεδομένων, συμπεριλαμβανομένων πληροφοριών που δεν είχαν νομικό δικαίωμα να διατηρούν, και να τις επαναχρησιμοποιούν για εγκληματολογική ανάλυση.

Τα δεδομένα, σύμφωνα με την Europol, προέρχονταν από τις αρχές επιβολής του νόμου των κρατών-μελών, άλλους επιχειρησιακούς εταίρους και είχαν συλλεχθεί επίσης μέσω δραστηριοτήτων ανάλυσης ανοιχτών πηγών. Τουλάχιστον ένα από τα έργα, το «Focal Point Travellers», φέρεται να περιείχε και δεδομένα που παρείχε το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI).

Εάν η Europol δεν αναθεωρούσε πλήρως το παράλληλο σύστημα δεδομένων, ο Drewer προειδοποίησε για πιθανή απαγόρευση του CFN, κάτι που «θα μπορούσε στην πράξη να φτάσει πολύ κοντά σε πλήρη διακοπή της επιχειρησιακής λειτουργίας της Europol», ενώ «θα επηρέαζε σοβαρά την εμπιστοσύνη» των κρατών-μελών.

«Το να έχεις ένα παράλληλο περιβάλλον επεξεργασίας όπου οι δικλείδες ασφαλείας παύουν να υπάρχουν είναι φθηνότερο, πιο γρήγορο και πιο αποτελεσματικό», δήλωσε πρώην ανώτερος αξιωματούχος της Europol στο πλαίσιο της έρευνας. «Αλλά χωρίς αυτές, ο καθένας είναι στο έλεος του ανθρώπου μπροστά στην οθόνη», είπε στο Solomon. Με άλλα λόγια, οι αποφάσεις για το πώς προσπελαύνονται και χρησιμοποιούνται ευαίσθητα δεδομένα φαίνεται να είχαν σε μεγάλο βαθμό αφεθεί σε μεμονωμένους υπαλλήλους, με περιορισμένη εποπτεία.

Όταν ρωτήθηκε σχετικά, η Europol είπε ότι αυτή η δήλωση αποτελεί «παραποίηση των γεγονότων». Ο εκπρόσωπος τύπου δεν απάντησε στο Solomon εάν τα κράτη μέλη και το FBI γνωρίζουν ότι τα δεδομένα που παρείχαν κατέληξαν σε αυτό το παράτυπο περιβάλλον. 

Την 1η Απριλίου 2019, η εκτελεστική διευθύντρια της Europol, Catherine De Bolle, ενημέρωσε τον ΕΕΠΔ. Η αποκάλυψη πυροδότησε αυτό που έγινε γνωστό ως “Big Data Challenge” — μια πολυετή αντιπαράθεση μεταξύ της Europol και της ανεξάρτητης ελεγκτικής αρχής, η οποία κατέληξε σε εντολή του ΕΕΠΔ προς την Europol να διαγράψει δεδομένα που διατηρούσε κατά παράβαση του δικαίου της ΕΕ.

Ο ΕΕΠΔ συνέχισε να παρακολουθεί το σύστημα τα χρόνια που ακολούθησαν. Μέχρι τα τέλη του 2023, η εποπτική αρχή διαπίστωσε ότι εξακολουθούσε να μην είναι πάντοτε δυνατό να διαπιστωθεί αν συγκεκριμένα προσωπικά δεδομένα είχαν προσπελαστεί ή τροποποιηθεί. 

Τον Φεβρουάριο του 2026, ο ΕΕΠΔ ενημέρωσε την Κοινή Ομάδα Κοινοβουλευτικού Ελέγχου (Joint Parliamentary Scrutiny Group) — μια επιτροπή εποπτείας ευρωβουλευτών και εθνικών βουλευτών — ότι θα τερματίσει την παρακολούθησή του για το CFN μετά από σχεδόν μία δεκαετία ανταλλαγών με την Europol, παρότι 15 από τις 150 συστάσεις δεν είχαν εφαρμοστεί. Τα εκκρεμή ζητήματα, σημείωσε ο ΕΕΠΔ, αφορούσαν «θέματα ιδιαίτερης σημασίας», συμπεριλαμβανομένων βασικών εγγυήσεων ασφάλειας.

Μέχρι και σήμερα, η μαζική κλίμακα αυτών των παράτυπων πρακτικών, όπως αποκαλύφθηκε στην έκθεση του Drewer, παρέμεινε άγνωστη στο ευρύ κοινό αλλά και σε όσους χαράσσουν πολιτική και είναι επιφορτισμένοι με το να ασκούν έλεγχο στη συγκεκριμένη υπηρεσία.

CFN και Big Data Challenge

Δημόσια, το “Big Data Challenge” επικεντρώθηκε στο ζήτημα της διατήρησης δεδομένων. Ωστόσο, εσωτερικά έγγραφα που δημοσιεύουμε τώρα για πρώτη φορά και εξετάστηκαν στο πλαίσιο αυτής της έρευνας υποδηλώνουν ότι το ζήτημα ήταν μεγαλύτερο.

Τα έγγραφα αναδεικνύουν τεράστια κενά ασφαλείας, τα οποία είναι εγγενή του ίδιου του συστήματος.

Τα ευρήματα του Drewer υπήρξαν το έναυσμα για μία εκτενή αξιολόγηση ασφαλείας στις αρχές του 2019. Σύμφωνα με αυτή την αξιολόγηση, το CFN δεν διέθετε «βασικούς ελέγχους ασφαλείας που απαιτούνται για ένα επιχειρησιακό περιβάλλον». Για την αντιμετώπιση των προβλημάτων, σημειωνόταν ότι η Europol θα έπρεπε να εγκαταλείψει το σύστημα «όπως λειτουργεί σήμερα και να το στήσει εκ νέου» υλοποιώντας μια νέα αρχιτεκτονική.

Δεκάδες σοβαρές ευπάθειες ασφάλειας στο σύστημα CFN, όπως καταγράφονται σε εκθέσεις που αποκτήσαμε μέσω αιτημάτων πρόσβασης σε δημόσια έγγραφα (FOI), αποκαλύπτουν ένα μοτίβο συστημικών αποτυχιών:

• «αναποτελεσματική ανάθεση ρόλων και ευθυνών ασφάλειας»

• «ανεπαρκής διαχείριση δικαιωμάτων προνομιακής πρόσβασης»

• «ανεξέλεγκτη εγκατάσταση λογισμικού»

• «μη συμμόρφωση με τους κανόνες ασφάλειας της Europol»

• «έλλειψη διαχείρισης κωδικών πρόσβασης»

• «έλλειψη καταγραφής διοικητικών ενεργειών, ανεπαρκής προστασία των αρχείων καταγραφής, ανεπαρκής καταγραφή και παρακολούθηση συμβάντων»

• «ανεπαρκής έλεγχος πρόσβασης στο δίκτυο»

Συνολικά, οι αποτυχίες αυτές σήμαιναν ότι η πρόβαση σε ευαίσθητα δεδομένα δεν μπορούσε να παρακολουθηθεί, να ελεγχθεί, να ιχνηλατηθεί ή να διασφαλιστεί με αξιόπιστο τρόπο. Ταυτόχρονα, η πρόσβαση στα συστήματα αυτά φαίνεται να επεκτάθηκε σημαντικά με την πάροδο του χρόνου.

Μεταξύ των πιο ανησυχητικών κενών συγκαταλέγονται οι έλεγχοι πρόσβασης και τα αρχεία καταγραφής (audit logs). Ειδικοί επισημαίνουν ότι αυτά δεν αποτελούν απλές τεχνικές τυπικότητες, αλλά θεμελιώδεις δικλίδες ασφάλειας και λογοδοσίας, που απαιτούνται βάσει της νομοθεσίας της ΕΕ.

«Η φερόμενη ύπαρξη μεγάλου αριθμού λογαριασμών με δικαιώματα διαχειριστή είναι πολύ ανησυχητική και συνιστά προφανή παραβίαση των απαιτήσεων ακεραιότητας και εμπιστευτικότητας», είπε ο Peter Sommer στο Solomon, ανεξάρτητος ειδικός στην ψηφιακή εγκληματολογία. Όπως εξήγησε, οι διαχειριστές μπορούν να έχουν πρόσβαση, να τροποποιούν ή να διαγράφουν οποιαδήποτε δεδομένα — συμπεριλαμβανομένων των αρχείων καταγραφής του συστήματος — γεγονός που καθιστά δύσκολη την ιχνηλάτηση της δραστηριότητας και αυξάνει τον κίνδυνο κατάχρησης και εξωτερικών επιθέσεων.

«Ο περιττός πολλαπλασιασμός των δυνατοτήτων διαχειριστή διευκολύνει επίορκους υπαλλήλους να προκαλέσουν ζημιά, ενώ παράλληλα αποτελεί ιδιαίτερα ελκυστική πύλη εισόδου για εξωτερικούς χάκερ», πρόσθεσε ο Sommer.

Μέχρι τη στιγμή που έγινε σαφής η έκταση του προβλήματος, το σύστημα CFN είχε πλέον ενσωματωθεί βαθιά στις επιχειρησιακές λειτουργίες της Europol.

Μετά την κατάρρευση, το 2017, ενός έργου που αναμενόταν να προσφέρει μια εναλλακτική λύση σε συνεργασία με την αμερικανική τεχνολογική εταιρεία Palantir Technologies, η εγκατάλειψη της πλατφόρμας CFN δεν αποτελούσε πλέον ρεαλιστική επιλογή.

Αντί αυτού, η Europol επιδίωξε να το φέρει σε συμμόρφωση, περιορίζοντας την πρόσβαση και εφαρμόζοντας μέτρα μετριασμού κινδύνων σε θέματα ασφάλειας και προστασίας δεδομένων — μια διαδικασία που θα απαιτούσε χρόνια διαπραγματεύσεων με τον ΕΕΠΔ.

Σε γραπτή απάντησή της στο Solomon, η Europol ανέφερε ότι γνωστοποίησε το σύστημα το 2019 «στο πλαίσιο πλήρους διαφάνειας», περιγράφοντάς το ως ένα αναγκαίο περιβάλλον για την επεξεργασία σύνθετων επιχειρησιακών δεδομένων, ιδίως μεγάλων ή τεχνικά απαιτητικών συνόλων δεδομένων. Ο οργανισμός δήλωσε ότι από το 2019 βρίσκονται σε εξέλιξη μεταρρυθμίσεις για την αντικατάσταση του CFN με ένα νέο ψηφιακό εγκληματολογικό περιβάλλον και την ευθυγράμμιση των πρακτικών με τις απαιτήσεις προστασίας δεδομένων.

Ο ΕΕΠΔ συνέχισε να παρακολουθεί το σύστημα τα επόμενα χρόνια. Ωστόσο, βασικά προβλήματα παρέμειναν.

Μέχρι τα τέλη του 2023, η εποπτική αρχή διαπίστωσε ότι εξακολουθούσε να μην είναι πάντοτε δυνατό να προσδιοριστεί αν συγκεκριμένα προσωπικά δεδομένα είχαν προσπελαστεί ή τροποποιηθεί. Εκπρόσωπος τύπου της εποπτικής αρχής είπε στο Solomon ότι οι περιορισμοί στο σύστημα καταγραφής σήμαιναν πως οι ελεγκτές μπορούσαν μόνο να «συμπεράνουν» ότι τα δεδομένα είχαν «προσπελαστεί» ή «τροποποιηθεί».

Ακόμη και μετά την επίσημη γνωστοποίηση μέρους του σκιώδους πληροφοριακού της συστήματος, εσωτερικές προειδοποιήσεις δείχνουν ότι ορισμένες μη ρυθμιζόμενες πρακτικές δεδομένων παρέμειναν σε ισχύ. Έγγραφα που εξασφαλίσαμε τεκμηριώνουν ότι ο ΕΕΠΔ φαίνεται ότι είχε πρόσβαση μόνο σε επιμέρους στοιχεία αυτού του «μαύρου κουτιού».

Συναγερμός για το Pressure Cooker

Στις 5 Οκτωβρίου 2022, υπάλληλος της Europol απέστειλε μήνυμα ηλεκτρονικής αλληλογραφίας σε ανώτερα στελέχη της υπηρεσίας, το οποίο ήταν χαρακτηρισμένο ως εξαιρετικής σημασίας. Το μήνυμα προειδοποιούσε ότι οι εποπτικές αρχές μπορεί σύντομα να διαπιστώσουν την «ανώμαλη κατάσταση με το Pressure Cooker».

Σύμφωνα με πρώην εσωτερικούς παράγοντες, το Pressure Cooker ήταν γνωστό σε τμήματα της υπηρεσίας ως ένας χώρος όπου επιχειρησιακά δεδομένα μπορούσαν να αποθηκεύονται και να αναλύονται γρήγορα, χωρίς τους περιορισμούς του δικαίου της ΕΕ.

«Έχουμε επισημάνει επανειλημμένα τη σημασία της κατάργησης του Pressure Cooker και της μετατροπής του σε [ένα σύστημα] με σωστό σχεδιασμό, ελέγχους κ.λπ.», έγραψε ο υπάλληλος. «Ωστόσο, συνήθως αφαιρούνταν από το πεδίο εφαρμογής, καθώς άλλα έργα είχαν προτεραιότητα από την επιχειρησιακή πλευρά», καταλήγει η αλληλογραφία. Εσωτερικές προειδοποιήσεις για το παράτυπο σύστημα είχαν ήδη διατυπωθεί από το 2019.

Σε ερωτήματα που αποστείλαμε στο πλαίσιο αυτής της έρευνας, η Europol υποστήριξε ότι το Pressure Cooker ήταν απλά το όνομα που χρησιμοποιούσαν εσωτερικά για το σύστημα Internet Facing Operational Environment (IFOE), το οποίο είναι εναρμονισμένο με τη νομοθεσία της ΕΕ.

Ωστόσο, εσωτερικά έγγραφα και δηλώσεις πρώην ανώτατων αξιωματούχων δείχνουν ότι στην πραγματικότητα λειτουργούσε ως ένα μη ρυθμιζόμενο σύστημα — το οποίο, σύμφωνα με τα ίδια στοιχεία, η Europol φέρεται να κρατούσε κρυφό από τον ΕΕΠΔ για χρόνια.

H Europol απάντησε επίσης ότι συμβουλεύεται τον ΕΕΠΔ για την ανάπτυξη του IFOE, όπως προβλέπει ο Κανονισμός της υπηρεσίας, και ότι δεν απέκρυψε πληροφορίες σε σχέση με τα συστήματα επεξεργασίας της υπηρεσίεας. Αλλά αυτό φαίνεται να ισχύει μόνο για το επίσημο σύστημα, και όχι για την παράλληλη IT υποδομή.

Ένας πρώην ανώτερος αξιωματούχος της Europol εξήγησε στο Solomon πώς ένα τέτοιο σύστημα θα μπορούσε να έχει ξεφύγει από τον έλεγχο κατά τις επιθεωρήσεις του ΕΕΠΔ το 2019: «Όταν λέμε έλεγχο, δεν εννοούμε έφοδο με ειδικούς πληροφορικής που παρακολουθούν συστήματα και κατάσχουν servers. Εννοούμε ότι έγινε μία ευγενική συζήτηση», είπε στο Solomon.

Η εποπτεία, εξηγεί, βασιζόταν σε μεγάλο βαθμό στις πληροφορίες που παρείχε η ίδια η υπηρεσία. Συστήματα που δεν είχαν σαφώς αναγνωριστεί ή επίσημα παρουσιαστεί ενδέχεται να μην είχαν εξεταστεί.

Αυτό εγείρει ερωτήματα για το τι παραμένει ακόμη και σήμερα στο σκοτάδι.

Το 2025, η Europol είχε επίσημα διαβουλευθεί με τον ΕΕΠΔ σχετικά με ένα προτεινόμενο σύστημα με την ονομασία IFOE-Quick Response Area. Σύμφωνα με την ίδια την Europol, αυτό συνέβη επειδή τα στοιχεία του IFOE αναβαθμίστηκαν «ώστε να εκσυγχρονιστούν σύμφωνα με τις τεχνολογικές εξελίξεις» και, βάσει του κανονισμού της Europol, ήταν απαραίτητη η διαβούλευση με τον ΕΕΠΔ.

Προς τον ΕΕΠΔ, η Europol το παρουσίασε ως ένα μελλοντικό εργαλείο. Ο εποπτικός φορέας το εξέτασε και κατέληξε ότι, εάν εφαρμοστεί όπως περιγράφεται, υπάρχει ο κίνδυνος να εξελιχθεί σε «ένα πλήρως ανεπτυγμένο παράλληλο περιβάλλον σε σχέση με το κανονικό επιχειρησιακό περιβάλλον της Europol».

Απαντώντας στις ερωτήσεις της ομάδας μας, ο ΕΕΠΔ είπε ότι υπάρχει ο κίνδυνος υπάλληλοι της Europol να επιδοθούν σε «προσπάθειες αλίευσης πληροφοριών». Κάτι τέτοιο θα παραβίαζε θεμελιώδη δικαιώματα καθώς θα συλλέγονται προσωπικά δεδομένα χωρίς αυτά να σχετίζονται με εν εξελίξει ποινικές έρευνες.

Ωστόσο, σύμφωνα με πρώην υψηλόβαθμο στέλεχος της Europol, αυτό που παρουσιάστηκε στον ΕΕΠΔ δεν ήταν ένα νέο εργαλείο, αλλά μια απόπειρα να επισημοποιηθεί το Pressure Cooker.

Η Europol απάντησε σε αυτό λέγοντας ότι «ο ισχυρισμός ότι η Europol επιδίωξε να συλλέξει πληροφορίες χωρίς αυτές να σχετίζονται με εγκληματολογικές έρευνες, εκτός της εμβέλειας των καθηκόντων της, όπως ορίζονται στον κανονισμό της Europol, αποτελεί παραποίηση των γεγονότων».

Η νέα προειδοποίηση του ΕΕΠΔ αναδεικνύει μια ευρύτερη ανησυχία: ακόμη και καθώς η Europol προχωρά στην επισημοποίηση μέρους της παράλληλης υποδομής δεδομένων της, υπάρχει ο κίνδυνος τα προβλήματα περιορισμένης εποπτείας να συνεχιστούν.

Παρότι τουλάχιστον ένα μήνυμα ηλεκτρονικής αλληλογραφίας σχετικά με το Pressure Cooker έφτασε σε αναπληρωτές διευθυντές, παραμένει ασαφές σε ποιο βαθμό τα συστήματα που περιγράφονται στα εσωτερικά έγγραφα ήταν γνωστά στους εκάστοτε εκτελεστικούς διευθυντές της Europol — τον Rob Wainwright και, μετά το 2018, την Catherine de Bolle.

Όταν ρωτήθηκε, ο Wainwright απάντησε ότι «δεν θυμάμαι κάποια συγκεκριμένη συζήτηση για το θέμα αυτό κατά τη διάρκεια της θητείας μου». Πρόσθεσε ότι θυμάται πως «συνεργαζόταν πολύ στενά» με τον υπεύθυνο προστασίας δεδομένων της Europol, Daniel Drewer, και ότι η δημιουργία και προώθηση ενός ισχυρού πλαισίου προστασίας δεδομένων «αποτελούσε ουσιώδες μέρος της αποστολής της Europol και βασική στρατηγική προτεραιότητα».

Ένας διευρυμένος ρόλος

Η μετάβαση της Europol βρίσκεται σε πλήρη εξέλιξη.

Η Ευρωπαϊκή Επιτροπή αναμένεται να προτείνει νέα νομοθεσία που θα διπλασιάσει τον προϋπολογισμό και το προσωπικό της υπηρεσίας, στο πλαίσιο μιας ευρύτερης προσπάθειας να μετατραπεί η Europol σε μια «πραγματικά επιχειρησιακή αστυνομική αρχή».

Οι προτεινόμενες αλλαγές θα επεκτείνουν σημαντικά τις εξουσίες της υπηρεσίας. Ωστόσο, αυτό θα συμβεί σε ένα πλαίσιο όπου παραμένουν αναπάντητα ερωτήματα σχετικά με το αν αυτές οι εξουσίες έχουν ασκηθεί υπεύθυνα στο παρελθόν — και τι ενδέχεται να παραμένει κρυφό.

Η εκτελεστική διευθύντρια Catherine De Bolle, η οποία αποχώρησε από την Europol μετά τη λήξη της θητείας της την 1η Μαΐου, αρνήθηκε να δώσει συνέντευξη στο πλαίσιο της παρούσας δημοσιογραφικής έρευνας.

*Όπου χρησιμοποιούνται αντωνυμίες ή προσδιορισμοί φύλου, αυτοί δεν αποκαλύπτουν την ταυτότητα των πηγών. Σε ορισμένες περιπτώσεις η γλώσσα προσαρμόζεται για λόγους ανωνυμίας και λόγω περιορισμών της ελληνικής απόδοσης.

ΠΗΓΗ