În mai puțin de un an, între alegerile prezidențiale din 24 noiembrie 2024 și 16 septembrie 2025, statul român a emis 2.843 de mandate de securitate națională (MSN) – cele mai intruzive instrumente de supraveghere legală – fără ca vreuna să fie respinsă de Parchetul General sau de ÎCCJ.
Datele oficiale, obținute de Gândul prin Legea 544/2001, dezvăluie un sistem în care serviciile de informații obțin automat autorizații pentru interceptări, filaj, GPS, percheziții și acces la tranzacții financiare, ridicând semne grave de întrebare privind protecția drepturilor fundamentale.
8.603 mandate în 3 ani: Record sub Iohannis, Bolojan și Dan
Cifrele sunt și mai alarmante: 8.603 mandate emise în ultimii 3 ani, sub mandatul fostei șefe ÎCCJ Corina Corbu, în perioada finală a președinției lui Klaus Iohannis, interimatul lui Ilie Bolojan la Cotroceni și începutul mandatului lui Nicușor Dan. Nicio cerere respinsă – nici de Parchet, nici de judecătorii specializați ai Curții Supreme.
Perioada analizată acoperă alegerile prezidențiale „cu surprize” din 2024, campania tensionată și dosarul „Georgescu” – trimis în judecată pe 16 septembrie 2025 pentru presupuse amenințări la ordinea constituțională. Mandatele au fost solicitate de structurile de informații, avizate de Procurorul General și aprobate de ÎCCJ.
Ce permite un mandat de securitate națională?
Conform legii, un MSN autorizează:
- Interceptarea și înregistrarea comunicațiilor (telefon, e-mail, mesaje) – inclusiv ale persoanelor de contact;
- Căutarea, ridicarea și repunerea obiectelor în spații private;
- Instalarea de tehnică de interceptare (microfoane, camere);
- Filaj, localizare și urmărire prin GPS;
- Interceptarea trimiterilor poștale;
- Accesul la tranzacții financiare.
Aceste măsuri pot viza zeci de mii de persoane indirect, prin rețelele de contact ale țintelor principale.
Un sistem fără filtre: 100% aprobare, judecătorii-ștampilă
Faptul că niciun mandat nu a fost respins în ultimii ani indică o lipsă totală de control judiciar real. Judecătorii ÎCCJ și procurorii generali acționează ca o „ștampilă” pentru SRI și restul serviciilor de informații, ridicând întrebări privind independența justiției și respectarea Convenției Europene a Drepturilor Omului (art. 8 – dreptul la viață privată).
„Este un sistem opac, în care cetățeanul nu are nicio cale de apărare. Mandatele sunt secrete, nu există notificări post-factum, iar controlul parlamentar este formal”, comentează un expert în drept constituțional, sub protecția anonimatului.
Contextul politic: Alegeri, tensiuni și „siguranță națională”
Perioada 2024-2025 a fost marcată de:
- Alegeri prezidențiale cu rezultate neașteptate;
- Tensiuni geopolitice (războiul din Ucraina, drone rusești);
- Dosare de „înaltă trădare” și „amenințare la ordinea constituțională”;
- Creșterea influenței AUR și a discursului anti-sistem.
Serviciile au justificat mandatele prin „protecția democrației” și „contracararea interferențelor străine”. Însă absența oricărui refuz ridică suspiciuni de abuz – de la monitorizarea opozanților politici la jurnaliști și activiști.
Cum se realizează interceptările, pas cu pas. Elemente tehnice și ocolirea criptării datelor
Mandatele permit interceptarea comunicațiilor electronice “sub orice formă” (inclusiv text, voce sau video criptate). Legea autorizează explicit interceptarea și înregistrarea conținutului comunicațiilor electronice (art. 14 alin. (2) lit. a)). Furnizorii de rețele publice de comunicații electronice (ex. operatori telecom) sunt obligați să permită accesul la date generate/prelucrate (metadate: cine, când, cum comunică), conform art. 13 alin. (1) lit. e). Pentru conținutul end-to-end criptat (cum este la WhatsApp, Telegram sau Wickr), accesul depinde de cooperarea furnizorilor străini (ex. Meta pentru WhatsApp) sau de mijloace tehnice naționale (ex. prin dispozitive compromise sau backup-uri necriptate). În practică, SRI a raportat interceptări de mii de mandate anual, dar nu detaliază tipul de criptare.
Referitor la procedurile de decriptare a comunicațiilor criptate end-to-end (E2EE, cum ar fi cele din WhatsApp, Telegram sau Signal) în cadrul mandatelor emise pentru securitate națională aceste operațiuni sunt clasificate, deci informațiile publice sunt limitate la rapoarte oficiale, dezbateri legislative și cazuri judiciare dezvăluite, arată surse judiciare.
Nu există proceduri publice detaliate de „decriptare forțată” în legislație, deoarece România respectă standardele UE și CEDO privind protecția datelor (GDPR, art. 8 CEDO), iar tentativele de introducere a unor obligații de backdoor au fost respinse.
Criptarea end-to-end înseamnă că mesajele sunt criptate pe dispozitivul expeditorului (cu o cheie privată unică) și decriptate doar pe dispozitivul destinatarului, fără ca serverele intermediare (ex. Meta pentru WhatsApp) să aibă acces la chei. Aceasta face imposibilă decriptarea centralizată fără:
• Acces fizic la dispozitivul țintei (ex. prin percheziție sau malware).
• Cooperarea utilizatorului (ex. parolă de deblocare).
• Exploatarea vulnerabilităților (zero-day exploits, costisitoare și ilegale fără mandat).
În România, SRI și alte servicii (SIE, SPP) pot intercepta traficul (metadate: cine, când, cu cine comunică), dar conținutul E2EE rămâne inaccesibil fără mijloace suplimentare. Rapoarte SRI subliniază că „securitatea informației prin criptare reprezintă o provocare majoră”, cu algoritmi simetrici/asimetrici (ex. AES-256) rezistenți la brute-force (ar dura miliarde de ani cu supercomputere actuale).
Art. 14 alin. (2) lit. a) din Legea 51/1991 permite interceptarea „comunicațiilor electronice sub orice formă”, dar nu impune decriptarea lor obligatorie. Legea nr. 506/2004 (prelucrarea datelor în comunicații) limitează accesul la metadate, dare nu și la conținutul criptat.
Procedura pentru decriptare presupune accesul la traficul de date prin furnizori locali (ex. RCS&RDS, Orange, etc) via centre tehnice de interceptare (conform OUG nr. 6/2016). Aceștia furnizează metadate și, dacă e posibil, conținut necriptat. Pentru E2EE, obțin doar fluxul criptat (inutil fără chei). SRI analizează traficul pentru indicii (ex. lungimea mesajelor, pattern-uri). Dacă ținta folosește aplicații cu E2EE slab implementat (ex. backup-uri necriptate în iCloud), se poate extrage conținut via acces la dispozitive (autorizat separat prin mandat de percheziție, art. 14 alin. (2) lit. c)).
Serviciile secrete românești folosesc criptanaliză (analiza matematică a cifrurilor) sau side-channel attacks (ex. atacuri pe hardware). SRI are centre specializate (ex. Centrul Național Cyberint), dar eficiența e limitată la 20-30% pentru E2EE avansat, conform unor estimări din rapoartele UE. Dacă decriptarea eșuează, datele se distrug (art. 20 Legea 51/1991).
Fără chei, decriptarea e „imposibilă tehnic” fără resurse conform standardelor NSA (National Security Agency-USA). Un proiect de lege din 2021 (transpunerea Directivei UE 2018/1972) a încercat să oblige furnizorii (inclusiv străini ca WhatsApp) să suporte „acces la conținutul comunicațiilor criptate tranzitate” și să acopere costurile de decriptare, dar a fost respins de Parlament în februarie 2022 ca neconstituțional (încălca art. 26 Constituție – inviolabilitatea comunicațiilor și art. 8 CEDO). Proiectul era vădit neproporțional și prezenta un risc de abuz și subminarea E2EE. Juristul Bogdan Manolea a semnalat că ar fi creat „backdoor-uri obligatorii”, similar practicilor respinse în UE.
Fără cooperare internațională, decriptarea E2EE de la furnizori străini (majoritatea SUA: Meta, Telegram Inc.) e imposibilă, deoarece companiile nu păstrează cheile de criptare ale utilizatorilor. Procedura principală este MLAT (Mutual Legal Assistance Treaty) între România și SUA (în vigoare din 2001, actualizat prin acorduri bilaterale) iar aceasta presupune ca Serviciul secret (ex.SRI) să inițieze prin Ministerul Justiției (MJ) o cerere motivată în acest sens, detaliind mandatul național și necesitatea (ex. amenințare teroristă). Ministerul Justiției transmite cererea Departamentului de Justiție SUA (DOJ). SUA evaluează conform legilor lor (ex. Stored Communications Act – SCA, sec. 2701-2712), care permit decriptarea de metadate, dar nu conținut E2EE fără mandat federal.
Dacă e aprobat (întregul proces durează între 3-12 luni), SUA furnizează date disponibile (ex. metadate din WhatsApp; rar conținut, doar dacă e stocat necriptat). Pentru E2EE, se pot cere acces la dispozitive via FBI, dar România trebuie să demonstreze o urgență națională pentru a motiva o astfel de cerere.
Trebuie menționat că potrivit datelor oficiale, SUA refuză aproximativ 40% din cererile primite în baza MLAT (Mutual Legal Assistance Treaty) dacă acestea implică cetățeni non-SUA sau E2EE strict (ex. pentru Signal nu cooperează deloc). Alternativ: CLOUD Act (2018) permite cereri directe la companii SUA, dar România nu e inclusă; se folosește bilateral.
Serviciile secrete românești mai au la dispoziție și alte mecanisme europene de decriptare a metadatelor culese ărin mandatele de securitate națională, cum ar fi:
• Budapest Convention (2001) pentru cibercriminalitate – schimb de date metadate.
• Interpol/ Europol: Pentru cazuri transfrontaliere, dar limitat la metadate.
Trebuie menționat că în perioada 2023-2025, SRI a raportat peste 500 cereri MLAT anuale, cu rată de succes 60% pentru metadate, și sub 10% pentru conținut E2EE.
Deși SRI a obținut aproape 3.000 mandate/an (dublu față de 2010), majoritatea pentru terorism/spionaj, potrivit raportuluiu DIICOT pe anul 2021, doar 2 dosare penale au avut ca obiect interceptări naționale, sugerând eficiență scăzută la E2EE.
Un caz public în acest sens a fost cel al interceptărilor E2EE (WhatsApp) pe mandat de securitate națională împotriva unui fost director DNA acuzat de mită (9 mil. lei).Acestea au fost anulate de Tribunalul Satu Mare post-Decizia CCR 51/2020 (interceptări nevalidate ca probe penale).
Dacă datele obținute nu justifică sesizarea organelor penale sau continuarea supravegherii, organul de securitate notifică în scris persoana afectată despre activitățile desfășurate, perioadele și drepturile sale (ex. acces la date, contestare). Notificarea se face după încetarea mandatului, în termene rezonabile, însă nu există o obligativitate în acest sens. Nu se notifică dacă ar periclita atribuțiile organelor (ex. surse confidențiale, inclusiv străine), securitatea națională, drepturile terților sau ar deconspira metode/mijloace tehnice. Decizia de ne-notificare este motivată intern.
Concluzie: România, stat de supraveghere?
Cu peste 2.800 de mandate în 10 luni, România se apropie de practicile statelor autoritare în materie de supraveghere. Lipsa transparenței, a controlului judiciar real și a notificărilor lasă cetățenii vulnerabili în fața unui aparat de securitate discreționar.
Întrebarea rămâne: cine supraveghează supraveghetorii?
