U korespondenciji objavljenoj na WikiLeaksu o namjeri SOA-e da nabavi softver za nadzor Vibera, WhatsAppa i Skypea u prvom je planu tvrtka Alfatec Group. Kao što je Jutarnji već izvijestio, riječ je o nizu emailova u kojima su provaljeni osjetljivi i strogo povjerljivi podaci čime je ugrožena nacionalna sigurnost, a u cijelom slučaju nije pokrenuta nikakva istraga. Spomenuti emailovi s povjerljivim informacijama u javnost su procurili tek sada.
Tvrtki Alfatec Group sa sjedištem u Zagrebu Ured Vijeća za nacionalnu sigurnost izdao je tijekom 2014. godine certifikat poslovne sigurnosti s oznakom tajnosti “Tajno”.
Problem s fotografijama
Taj se certifikat dodjeljuje pravnoj osobi nakon što se utvrdi da ne postoje sigurnosne zapreke iz provedene sigurnosne provjere zaposlenika te da su primijenjene propisane mjere i standardi informacijske sigurnosti. Vlasnik certifikata može sklapati ugovore s državnim tijelima u Hrvatskoj, tijelima NATO-a i EU, kao i državnim tijelima zemalja članica NATO-a i EU. To, dakle, uključuje i ugovaranje poslova s obavještajnim agencijama, MUP-om, MORH-om i drugim institucijama. Iako su certifikat dobili tijekom 2014., iz objavljene elektroničke pošte jasno je da je Alfatec Group sa SOA-om na nabavi softvera surađivao još tijekom 2013. godine.
Uime Alfatec Groupa za komunikaciju s tvrtkom Hacking Team bio je zadužen djelatnik tvrtke Igor Stjepanović, koji je, što je vidljivo iz e-mailova s WikiLeaksa, uglavnom kontaktirao s Massimilianom Luppijem, predstavnikom talijanske tvrtke. Analiza upravo Stjepanovića apostrofira kao osobu koja je u nekoliko mailova otkrila identitet sedmorice djelatnika SOA-e. Riječ je o djelatnicima Z. K., I. M., B. C., D. D., P. C. i M. P. (puna imena objavljena su na WikiLeaksu, ali ih je redakcija Jutarnjeg ipak odlučila ne publicirati). Osim toga, otkriven je identitet i četvorice djelatnika MUP-a. I ne samo to, Stjepanović u jednom mailu od 6. ožujka 2014. od Massimiliana traži da fotografira hrvatske sudionike sastanka kako bi vidio tko je sve došao. Massimiliano mu odgovara da bi to bilo “problematično” pa da to ne može učiniti.
Inficirani mobiteli
Iz kojih je razloga djelatnik Alfatec Groupa tražio fotografiranje djelatnika SOA-e koji su prisustvovali sastanku, ostaje nejasno. Početkom 2014. godine Stjepanović Luppija obavještava kako je bio na sastanku u MUP-u te da se pojavio problem s novcem u proračunu, odnosno da nema novca za kupnju više softvera, nego možda samo jednog, koji bi bio smješten u Operativno-tehničkom centru. Prema dostupnim informacijama, cijena jednog softvera je oko milijun eura, a godišnja cijena održavanja je oko 250 tisuća eura.
Stjepanović ga je i obavijestio da postoji određena borba između MUP-a, SOA-e i OTC-a oko toga gdje bi softver mogao biti smješten. Informira ga, nadalje, o promjeni Kaznenog zakona koji bi omogućio korištenje softvera u Hrvatskoj. Usprkos nedostatku novca, početkom 2014. djelatnici SOA-e nosili su nekoliko mobitela kako bi se “inficirali” i vidjeli način djelovanja. Iz daljnje korespondencije bilo je vidljivo da su SOA-ini djelatnici bili jako zadovoljni viđenim. Ukratko, korespodencija razotkriva da strane tvrtke s lakoćom pribavljaju podatke o funkcioniranju i problemima hrvatskog obavještajnog aparata.
Nakon što je WikiLeaks u javnost izbacio spomenutu elektronsku poštu, svi su razgovori prestali i nabava softvera nikad nije realizirana.
Naši sugovornici tvrde da je ravnatelj SOA-e Dragan Lozančić morao otvoriti detaljnu istragu o svim kontaktima svojih djelatnika s predstavnicima talijanske tvrtke, ali i o njihovoj suradnji s Alfatec Groupom. Osim toga, istragu je trebao pokrenuti i Ured Vijeća za nacionalnu sigurnost.
Iz objavljenih dokumenata jasno je vidljivo da je djelatnik tvrtke trećoj strani iznosio osjetljive podatke o hrvatskom sigurnosnom sustavu.
Važeći certifikat
Također je trebalo preispitati zbog čega je tražio fotografiranje djelatnika SOA-e. UNVS bio je nadležan za pokretanje istrage s obzirom na to da je tvrtki izdao certifikat poslovne sigurnosti. Naši sugovornici tvrde da istraga o cijelom slučaju nije pokrenuta. Na stranicama UNVS-a i dalje stoji kako Alfatec Group ima važeći certifikat koji vrijedi do 19. studenog 2019. godine.