Na profilu Ministerstwa Cyfryzacji na platformie X pojawił się fragment wypowiedzi Krzysztofa Gawkowskiego, ministra cyfryzacji, w którym tłumaczy on, dlaczego zostały opublikowane tylko śladowe ilości kodu mObywatela (tj. tylko komponenty interfejsu aplikacji).

Dla kontekstu, oto wypowiedź min. Gawkowskiego:

Ujawnienie mObywatela, jak został napisany, i udostępnienie tego całego programu, skryptu, to służyłoby rosyjskim i każdym innym służbom, które by go zinfiltrowały.

~ wypowiedź ministra cyfryzacji w Radiu ZET z 20 stycznia 2026 roku

Co do tej pory wiemy

W październiku 2025 roku udało nam się dotrzeć do opinii jednego z trzech rządowych CSIRT-ów (zespołów reagujących na zagrożenia komputerowe), który zgodnie z wymogami prawnymi musiał opracować ekspertyzę mającą na celu ocenić, które części kodu się nadają do publikacji, a które należy pozostawić niejawnymi.

Wszystkie CSIRT-y musiały wydać opinię pozytywną, żeby ewentualna publikacja kodu mogła zostać uznana za dopuszczalną.

– Opinia zespołu informatyków Ministerstwa Obrony Narodowej […] sama w sobie nie jest przeciwstawna do ewentualnej publikacji kodu źródłowego mObywatela – pisałem w październiku 2025 roku.

Jednocześnie dowiedzieliśmy się też, że pozostałe dwie ekspertyzy – te przygotowane przez CSIRT GOV oraz CSIRT NASK – zostały uznane za tajemnicę państwową.

O tej sprawie wypowiedziano się na łamach CyberDefence24 oraz blogu „Informatyk Zakładowy”. Tomasz Zieliński z tego drugiego serwisu poprosił ministerstwo o przynajmniej częściowe odtajnienie wyżej wskazanych opinii.

– W opinii Ministerstwa Cyfryzacji […] nie występują jednak przesłanki, aby wystąpić do CSIRT GOV i CSIRT NASK z prośbą o wyrażenie zgody na zniesienie klauzuli niejawności – odpisał Zielińskiemu przedstawiciel Ministerstwa Cyfryzacji.

Przykład ukraińskiej aplikacji rządowej

Ukraińska Diia może być przykładem, jak kraj – mimo tego, że na jego terytorium toczy się od prawie 4 lat wojna – informuje, jak funkcjonują „od kuchni” usługi rządowe.

Ważną, fundamentalną różnicą jest też to, że Ukraińcy zdecydowali się otworzyć kod źródłowy swojej kluczowej usługi rządowej na wszystkich – nawet spoza granic swojego kraju. To, co do tej pory zostało opublikowane, jest dostępne „otwartym tekstem” na GitHubie.

– Miło się zaskoczyliśmy widząc, jaki otrzymaliśmy feedback od technicznie zdolnej części społeczności, i pracujemy nad tym, żeby móc w przyszłości akceptować Wasze poprawki – napisali zarządzający repozytoriami ukraińskiej Dii.

Jednocześnie nadmienili, że prezentowany kod „odpowiada temu, co obecnie użytkownicy aplikacji widzą po swojej stronie”, i że „repozytoria usług rządowych nie są aktualizowane wraz z każdą kolejną wprowadzaną zmianą w kodzie”.

W swoich artykułach na temat kodu mObywatela na wcześniej wspomnianą ukraińską aplikację powoływał się redaktor serwisu CyberDefence24, Oskar Klimczuk.

Co ważne, do tej pory w żadnych mediach – czy to międzynarodowych, czy ukraińskich portalach – nie słyszeliśmy o żadnych poważnych problemach będących bezpośrednim następstwem publikacji kodu wybranych usług rządowych.

Wręcz przeciwnie, ukraińska prasa donosi o tym, że to właśnie dzięki otwartości kodu każdy o zdolnościach technicznych mógł sprawdzić, czy domniemany wyciek danych, który miał dotknąć nawet 20 milionów Ukraińców we wrześniu 2025 roku, był prawdziwy (do incydentu w rzeczywistości nie doszło).

Werdykt „Kontrabandy”

Na podstawie tego, co zostało powyżej napisane – wypowiedź Krzysztofa Gawkowskiego można uznać za manipulację.

Dlaczego nie jako fałsz? Oczywistym jest, że nieumiejętnie napisany (i potem opublikowany) kod źródłowy może być przyczyną problemów z bezpieczeństwem – co w przypadku elektronicznych usług rządowych rzeczywiście mogą wykorzystać służby zagraniczne na swoją korzyść.

Niemniej w przypadku aplikacji spełniającej normy bezpieczeństwa upublicznienie jej kodu nie powinno przekładać się na zwiększenie zagrożenia dla jej integralności.

Warto też zaznaczyć, że mObywatel był oskarżany wielokrotnie o szpiegowanie Polaków. Ponieważ zaufanie do obecnego rządu zauważalnie spadło w przeciągu ostatnich dwóch lat, same zapewnienia o tym, jak funkcjonują chociażby uprawnienia systemowe na platformach mobilnych mogą nie wystarczyć.

Na to odpowiednich kontrargumentów jest w stanie udzielić właśnie publicznie dostępny kod źródłowy. Jednak do tej pory nie wiemy, jakie komponenty mObywatela CSIRT–y uznały za bezpieczne do publikacji. Uniemożliwia to komukolwiek spoza samego Ministerstwa Cyfryzacji (oraz Centralnego Ośrodka Informatyki) niezależne zweryfikowanie i ewentualne sprostowanie poszczególnych tez.

Autor tekstu: Oliwier Jaszczyszyn, korekta: Łukasz Szczęsny

Źródła

Zdjęcie tytułowe zrobione zostało przez Klub Lewicy i jest ono dostępne na Wikimedia Commons w domenie publicznej. Treść artykułu powstała na podstawie następujących źródeł tekstowych i/lub audiowizualnych:

• Wpis na platformie X z konta @CYFRA_GOV_PL z dnia 20.01.2026
• Ministerstwo Cyfryzacji opublikowało część kodu aplikacji mObywatel odpowiedzialną za interfejs aplikacji, opublikowany w serwisie kontrabanda.net przez Oliwiera Jaszczyszyna w dniu 29.12.2025
• Co pokazuje opinia CSIRT MON o kodzie mObywatela?, opublikowany w serwisie cyberdefence24.pl przez Oskara Klimczuka w dniu 30.10.2025
• Rzekoma publikacja kodu źródłowego aplikacji mObywatel, opublikowany w serwisie informatykzakladowy.pl przez Tomasza Zielińskiego w dniu 6.01.2026
• Strona opensource.diia.gov.ua, ostatnio odwiedzana w dniu 20.01.2026
• Repozytoria pod egidą organizacji diia-open-source na GitHubie
• There were no leaks from “Diia” — the Ministry of Digital Affairs explained the info about the “leaking” of data of 20 million Ukrainians, opublikowany w serwisie babel.ua w dniu 21.09.2025
• Czy mObywatel szpieguje obywateli?, opublikowany w serwisie gov.pl w dniu 29.07.2025