Od big data do sprawy karnej: jak analitycy łączą punkty w śledztwach

Przez
Jacek Szczepaniak
-
0
12
Rate this post

Od informacji do dowodu – linia, której nie wolno przekroczyć

Ciekawostka, trop, dowód – trzy różne kategorie

Każde śledztwo zaczyna się od informacji, ale tylko część z nich ma szansę stać się materiałem procesowym. Analityk danych śledczych musi od pierwszej minuty odróżniać trzy poziomy: ciekawostka, trop, dowód. Im szybciej ta selekcja będzie świadoma, tym mniejsze ryzyko budowania sprawy karnej na piasku.

Ciekawostka to każda informacja, która wydaje się interesująca, lecz nie ma jeszcze ustalonego kontekstu ani potwierdzenia. Przykładem jest anonimowy wpis sugerujący, że podejrzany bywał w danym lokalu. Nie wiadomo, kto to napisał, kiedy dokładnie, ani czy jest to wiarygodne. To może być inspiracja, ale nie fundament.

Trop to informacja, którą da się powiązać z konkretnym kierunkiem śledztwa i której pochodzenie można wstępnie opisać. Tropem będzie np. publiczny post w social media z widoczną datą publikacji, podpisany konkretnym profilem, na którym widać podejrzanego w miejscu potencjalnego przestępstwa. Nadal nie jest to pełnowartościowy dowód, ale już wskazuje, co trzeba zweryfikować w danych twardych: bilingi, monitoring, dane lokalizacyjne.

Dowód zaczyna się tam, gdzie informacja:

  • ma znane, opisane i możliwe do udokumentowania źródło,
  • jest możliwa do powtórnego pozyskania lub weryfikacji,
  • została zabezpieczona w sposób zgodny z procedurami (np. chain of custody),
  • ma jasny związek z tezą, którą śledczy chcą wykazać lub obalić.

Punkt kontrolny dla analityka: jeśli nie da się opisać, skąd, kiedy i w jakiej formie dana informacja została pozyskana, to wciąż jest tylko ciekawostką, nawet jeśli intuicyjnie „brzmi mocno”.

Rodzaje danych: od surowych sygnałów po wnioski analityczne

Na biurku analityka danych śledczych lądują różne klasy informacji. Dla jakości analizy kluczowe jest, by od początku przypisać je do właściwej kategorii:

  • Surowe sygnały – dane techniczne w minimalnie przetworzonej formie: bilingi, logi systemowe, eksporty z baz danych, zrzuty ekranów z narzędzi monitorujących, metadane plików. To fundament, z którego powstają dalsze poziomy analizy.
  • Dane przetworzone – raporty wygenerowane z systemów, zestawienia, tabele przestawne, eksporty z oprogramowania analitycznego, pierwsze wizualizacje. Są wynikiem działań człowieka lub algorytmów i zawsze wymagają informacji, jak zostały uzyskane (filtry, zakres czasu, kryteria).
  • Wnioski analityczne – interpretacje: hipotezy o przebiegu zdarzeń, sugestie powiązań, scenariusze zachowań. To już nie dane, lecz narracja nadbudowana nad danymi. W aktach sprawy powinny być wyraźnie oddzielone od materiału źródłowego.

Jeżeli w dokumentacji nie ma jasnego rozdziału na te trzy kategorie, dochodzi do niebezpiecznego zjawiska: wnioski analityka są traktowane tak samo jak dane surowe. To sygnał ostrzegawczy z perspektywy obrony procesowej – łatwo wówczas zarzucić śledztwu, że interpretacja została wpleciona w faktografię.

Rola analityka danych i analityka OSINT w zespole śledczym

W nowoczesnych sprawach karnych zespół śledczy rzadko ogranicza się do klasycznego duetu: prokurator – funkcjonariusz operacyjny. Coraz częściej w składzie pojawiają się dwie wyspecjalizowane funkcje: analityk danych śledczych oraz analityk OSINT. Ich zadania się zazębiają, ale nie pokrywają.

Analityk danych śledczych odpowiada za:

  • inwentaryzację i porządkowanie zbiorów danych (billingi, logi, bazy),
  • dobór technik analizy (korelacje, profile czasowe, detekcja anomalii),
  • projektowanie struktur (np. graf relacji) i standardów opisu zdarzeń,
  • przygotowywanie materiału w formie zrozumiałej dla osób nietechnicznych (wizualizacje, raporty).

Analityk OSINT koncentruje się na:

  • identyfikacji i dokumentowaniu śladów cyfrowych w otwartych źródłach,
  • walidacji źródeł otwartych (wiarygodność kont, manipulacje w treści, deepfake),
  • łączeniu otwartych danych z danymi operacyjnymi (np. social media vs billing),
  • ściąganiu ryzyka prawnego – np. by nie naruszyć tajemnic prawnie chronionych.

Minimalny standard współpracy: analityk OSINT nie kończy pracy na „ciekawe linki i screeny”, a analityk danych nie traktuje OSINT jako „kolorowego dodatku”, lecz jako pełnoprawne źródło, które musi przejść tę samą ścieżkę dokumentacyjną co dane techniczne.

Kryteria jakości: weryfikowalność, powtarzalność, udokumentowane źródło

Żeby informacja z big data i OSINT przeszła drogę do materiału dowodowego, musi przejść przez kilka punktów kontrolnych. Minimum to:

  • Weryfikowalność – inny analityk, dysponując opisem procedury, jest w stanie dojść do tych samych danych. Jeśli dostępu nie da się powtórzyć (np. konto usunięto, system zmigrowano), konieczny jest trwały zapis (zrzut, eksport, hash pliku) z datą i opisem.
  • Powtarzalność – zastosowane filtry i parametry wyszukiwania są opisane w sposób umożliwiający ich ponowne użycie. Brak opisanych kryteriów to klasyczny błąd w analizie kryminalnej: nie wiadomo, czy nie pominięto danych przeciwstawnych.
  • Udokumentowane źródło – nie wystarczy „z social media” albo „z systemu operatora”. Potrzebne są: dokładny adres URL lub identyfikator rekordu, data i godzina pozyskania, wskazanie narzędzia oraz osoby pozyskującej.

Jeśli informacje śledcze nie spełniają choćby tego minimum, nie przechodzą testu audytu jakości analizy śledczej i pozostają jedynie materiałem orientacyjnym, który może uzasadniać dalsze czynności, ale nie powinien być filarem aktu oskarżenia.

Post w social media: trop czy dowód?

Krótki przykład pokazuje różnicę. Załóżmy, że w śledztwie dotyczącym rozboju w danym mieście analityk OSINT natrafia na publiczny post ze zdjęciem osoby podobnej do podejrzanego, opisany: „wczoraj wieczorem z ekipą na mieście”, z lokalizacją zbliżoną do miejsca zdarzenia.

  • Jako ciekawostka – post zapisany „na szybko”, bez metadanych, bez zrzutu źródła, bez informacji o dacie pobrania. Ktoś z zespołu go widział, pamięta, że był „jakiś post”, ale nie wiadomo, kiedy dokładnie został pozyskany i czy treść nie uległa zmianie.
  • Jako trop – istnieje zrzut ekranu z widoczną datą publikacji, adresem URL, nazwą profilu. Analityk sporządził notatkę służbową z datą i godziną pozyskania oraz krótkim opisem, dlaczego uznał ten materiał za istotny. Nadal nie wiemy, czy lokalizacja jest prawdziwa, ale to wystarcza, by zlecić sprawdzenie bilingów, danych GPS czy monitoringu.
  • Jako element materiału dowodowego – post został pozyskany według ustalonej procedury (np. narzędzie archiwizujące), opatrzony podpisanym protokołem z danymi osoby pobierającej, plik ma obliczoną sumę kontrolną (hash), a lokalizacja i czas zostały dodatkowo potwierdzone innymi źródłami (billing, monitoring, zeznania świadków). W takim kształcie staje się częścią większej układanki dowodowej, a nie pojedynczym obrazkiem z internetu.

    Jeżeli łańcuch pozyskania i weryfikacji tego posta nie jest przejrzysty, w sądzie taka informacja szybko zostanie zakwestionowana jako niepewna lub łatwa do sfałszowania.

    Jeśli linia między „interesującą ciekawostką” a faktycznym dowodem pozostaje w zespole rozmyta, to śledztwo opiera się na intuicji, a nie na kontrolowalnych kryteriach. Jeżeli natomiast każda informacja musi przejść minimalny audyt: źródło – procedura – możliwość odtworzenia, wtedy nawet dane z chaotycznego OSINT zamieniają się w uporządkowany materiał.

    Krajobraz danych śledczych – co naprawdę widzi analityk

    Dane strukturalne: twardy szkielet sprawy

    Dane strukturalne stanowią kręgosłup większości spraw karnych, szczególnie tam, gdzie pojawia się analiza big data. Charakteryzują się ustaloną strukturą (wiersze, kolumny, pola) i przewidywalnym formatem. W praktyce to m.in.:

    • Billingi – rejestry połączeń, SMS-ów, sesji danych, często z metadanymi lokalizacyjnymi. Pozwalają budować profile czasowe aktywności, grafy powiązań komunikacyjnych i analizy ruchu między numerami.
    • Logi systemowe – zapisy zdarzeń z systemów informatycznych: logowania, operacje na plikach, zmiany konfiguracji, logi z systemów CCTV, logi serwerów aplikacyjnych i sieciowych.
    • Rejestry i bazy państwowe – ewidencja ludności, rejestr pojazdów, księgi wieczyste, KRS, CEIDG, bazy paszportowe. To główne źródło „twardych” danych identyfikacyjnych i własnościowych.

    Praca z tymi zbiorami wymaga dyscypliny: każdy eksport i każda filtracja powinny być opisane. Dla audytora jakości analiza danych śledczych zaczyna się od pytania: czy można odtworzyć dokładnie taki sam zestaw danych po roku? Jeśli nie – coś w procesie pozyskania lub dokumentowania jest nie tak.

    Dane niestrukturalne: treść, kontekst, niuanse

    Dane niestrukturalne to wszystko, co nie mieści się w prostych tabelach. Z punktu widzenia śledztwa są nie mniej ważne, bo niosą treść, emocje i kontekst. Należą do nich:

    • Treści komunikacji – e-maile, wiadomości z komunikatorów, treści SMS, rozmowy telefoniczne (nagrania lub transkrypcje), czaty w grach, komentarze na forach.
    • Pliki cyfrowe – dokumenty tekstowe, arkusze, prezentacje, archiwa, pliki konfiguracyjne. Często wraz z metadanymi (autor, data utworzenia, historia zmian).
    • Obrazy i nagrania – zdjęcia, filmy, nagrania audio. W połączeniu z analizą metadanych (EXIF, geolokalizacja, parametry urządzenia) stają się źródłem informacji technicznych, nie tylko wizualnych.

    Największym wyzwaniem jest tu standaryzacja: jak zamienić chaotyczną, różnorodną treść w struktury nadające się do analizy i korelacji z innymi źródłami. Krytycznym punktem kontrolnym jest konsekwentne tagowanie (np. kto mówi, do kogo, kiedy, jaki temat) i wyraźne oddzielenie oryginału od transkrypcji czy streszczeń – każde uproszczenie musi być oznaczone jako interpretacja.

    OSINT: otwarte źródła z ukrytą ceną

    Źródła OSINT – social media, rejestry firm, mapy, zdjęcia satelitarne, fora, a nawet open data administracji – wnoszą do śledztwa treści, które często są niedostępne inną drogą. Analityk OSINT ma jednak dwa zadania jednocześnie: szukać informacji i ograniczać entuzjazm wobec materiałów, które wyglądają zbyt dobrze.

    Typowe kategorie OSINT w sprawach karnych to:

    • Social media – posty, relacje, komentarze, listy znajomych, zdjęcia z oznaczeniami geograficznymi, grupy tematyczne.
    • Rejestry firm i powiązań – KRS, rejestry beneficjentów rzeczywistych, zagraniczne rejestry spółek, bazy domen.
    • Mapy i dane geoprzestrzenne – zdjęcia satelitarne, Street View, mapy własności, ślady GPS w aplikacjach fitness, dane AIS statków, informacje o lotach.
    • Fora i dark web – ogłoszenia, instrukcje, sprzedaż danych, wymiana narzędzi czy treści nielegalnych.

    Minimum proceduralne: każda porcja informacji z OSINT powinna mieć przypisane:

    • dokładne źródło (URL, identyfikator postu, nazwa serwisu),
    • datę i godzinę pozyskania,
    • narzędzie i osobę, która ją pobrała,
    • krótki opis tego, w jakim celu i w jakim kontekście została zarchiwizowana.

    Bez tego OSINT staje się „pamięcią zespołu”, a nie materiałem możliwym do pokazania i obrony w sądzie.

    Dane pochodne: notatki, raporty, protokoły

    Obok danych źródłowych analityk otrzymuje również dane pochodne – wszystkie materiały, które ktoś już przefiltrował, zinterpretował i streścił:

    • Raporty operacyjne – streszczenia działań terenowych, obserwacji, kontroli, działań pod przykryciem.
    • Notatki funkcjonariuszy – szybkie zapisy obserwacji, rozmów, spostrzeżeń, czasem w formie odręcznej, czasem w systemie informatycznym.

      • Przetwarzanie danych pochodnych: streszczenie to też decyzja analityczna

      Raporty, notatki i protokoły bywają traktowane jako „gotowe” informacje. Z punktu widzenia audytu to błąd: każde streszczenie jest już interpretacją i wymaga własnych punktów kontrolnych. Minimum jakości przy pracy z danymi pochodnymi obejmuje trzy warstwy:

    • Rozróżnienie faktów i ocen – w raporcie należy wyraźnie oznaczyć, które fragmenty opisują konkretne, zaobserwowane zdarzenia, a które są hipotezą lub przypuszczeniem funkcjonariusza. Mieszanie tych poziomów sprawia, że w dalszych analizach ocena zaczyna funkcjonować jak twardy fakt.
    • Przypisanie źródła pierwotnego – każda informacja wtórna powinna mieć odniesienie do dokumentu lub materiału źródłowego (nagranie, notatka, protokół). Brak linku do źródła to sygnał ostrzegawczy: nie da się skontrolować, czy streszczenie nie zniekształca treści.
    • Data powstania i wersjonowanie – raporty często są aktualizowane. Bez numeru wersji i daty modyfikacji łatwo o chaos: różne osoby w tym samym śledztwie operują innymi wersjami tej „samej” informacji.

    Jeżeli raport operacyjny nie wskazuje, co jest obserwacją, a co komentarzem, to przy budowie siatki powiązań analityk zaczyna mapować cudze interpretacje, a nie dane. Jeśli dodatkowo brakuje odwołań do źródeł pierwotnych, każda próba audytu po miesiącach lub latach kończy się stwierdzeniem: „nie wiadomo, skąd to dokładnie pochodzi”.

    Hierarchia wiarygodności: matryca źródło–treść

    W śledztwach obejmujących big data liczba informacji jest na tyle duża, że intuicyjne ocenianie wiarygodności przestaje działać. Przydatna staje się prosta matryca: z jednej strony wiarygodność źródła, z drugiej wiarygodność treści. To narzędzie porządkujące, a nie automat decyzyjny.

    • Źródło – kto lub co generuje dane (państwowy rejestr, system techniczny, osoba, konto w social media, anonimowy informator). Sprawdza się:
      • stabilność i reputację systemu (np. rejestr państwowy vs anonimowa witryna),
      • historię rzetelności nadawcy (czy wcześniej przekazywał dane potwierdzone innymi źródłami),
      • podatność na manipulację (łatwość założenia fałszywego konta, ręcznej edycji wpisów, „cofania” historii).
    • Treść – co dokładnie jest stwierdzane (konkretne fakty, ogólne opinie, emocjonalne relacje, techniczne pomiary). Sprawdza się:
      • poziom szczegółowości (dokładne daty, miejsca, osoby vs „kiedyś”, „gdzieś”),
      • spójność wewnętrzną (czy opis nie przeczy sam sobie),
      • spójność z innymi, już zweryfikowanymi elementami układanki.

    Dane z rejestru państwowego mogą mieć wysoką wiarygodność źródła, ale niską aktualność treści (np. nieodnotowana jeszcze sprzedaż nieruchomości). OSINT z social media ma często niską wiarygodność źródła, ale bywa, że treść (nagranie wideo z datownikiem) jest bardzo silna. Jeśli zespół nie ma wspólnej matrycy oceny, każda osoba hierarchizuje dane po swojemu, a audyt po czasie pokazuje przypadkowy, a nie systemowy sposób ważenia informacji.

    Detektyw analizuje tablicę śledczą z fotografiami i notatkami
    Źródło: Pexels | Autor: cottonbro studio

    Łączenie kropek: od surowych danych do hipotez śledczych

    Modele analityczne: od grafów powiązań do osi czasu

    Łączenie punktów w śledztwie to przede wszystkim konstruowanie modeli: uproszczonych obrazów rzeczywistości, które da się kontrolować, aktualizować i krytykować. Najczęściej używane konstrukcje to:

    • Graf powiązań – węzłami są osoby, numery, konta, pojazdy, firmy; krawędziami – relacje (kontakt telefoniczny, wspólne logowanie z tego samego IP, wspólny adres, współwystępowanie w tym samym czasie i miejscu). Punkt kontrolny: każda krawędź powinna mieć etykietę (rodzaj relacji, data, źródło).
    • Oś czasu – uporządkowanie zdarzeń według czasu pozyskania i czasu zaistnienia. Dwie osie są kluczowe: „co się działo” i „kiedy się o tym dowiedzieliśmy”. Mieszanie tych perspektyw to częste źródło błędnych wniosków.
    • Mapa przestrzenna – geolokalizacja logowań, nadajników, kamer, przejazdów, transakcji. Dobrą praktyką jest oznaczanie precyzji lokalizacji (np. sektor BTS, ulica, współrzędne GPS) zamiast jednej, pozornie dokładnej kropki „na mapie”.

    Jeżeli graf powiązań nie przechowuje etykiet krawędzi, to po kilku miesiącach nie da się ustalić, dlaczego dwie osoby zostały skojarzone. Jeśli oś czasu nie odróżnia daty zdarzenia od daty ujawnienia, to porządek przyczynowo-skutkowy łatwo zastąpić przypadkową kolejnością wpływu dokumentów do akt.

    Hipoteza robocza vs narracja końcowa

    W toku analizy powstają dziesiątki hipotez: częściowo sprzecznych, niedokończonych, opartych na szczątkowych danych. Problem zaczyna się wtedy, gdy szkicowa hipoteza zaczyna funkcjonować w zespole jak prawda, bo „dobrze się opowiada” i spina wiele punktów jednocześnie.

    Żeby temu przeciwdziałać, użyteczny jest prosty rejestr hipotez z trzema polami obowiązkowymi:

    • Opis hipotezy – możliwie konkretny („Osoba X była obecna w miejscu zdarzenia w godzinach 20:00–21:00”, a nie „X jest zamieszany”).
    • Zakres danych wspierających – wskazanie konkretnych dowodów i ich siły (np. bilingi, zapis z monitoringu, zeznanie świadka). Ważny punkt kontrolny: wyraźne zaznaczenie, które elementy są tylko orientacyjne.
    • Dane przeciwstawne – choćby jedno miejsce w formularzu wymuszające wpisanie, co aktualnie przeczy hipotezie albo co mogłoby jej zaprzeczyć po zbadaniu. Puste pole w tej rubryce to sygnał ostrzegawczy, że zespół patrzy jednostronnie.

    Jeśli hipoteza nie ma jawnie opisanych danych przeciwstawnych, szybko przeradza się w narrację, a dalsze pozyskiwanie danych ma charakter „potwierdzający” zamiast weryfikującego. Jeśli natomiast każda hipoteza ma przypisane zarówno wsparcie, jak i potencjalne falsyfikatory, to analiza zbliża się do standardów pracy naukowej, a nie storytellingu.

    Mit pojedynczego „twardego dowodu”

    W sprawach big data bardzo rzadko pojawia się jeden, absolutnie rozstrzygający dowód. Zwykle mamy do czynienia z konstelacją powtarzających się, średnio silnych sygnałów z różnych źródeł. Analityk musi więc myśleć nie tylko w kategoriach „czy to prawda?”, lecz także „z czym jeszcze to się składa na spójną całość?”.

    Przykładowo: ten sam telefon loguje się do sieci w pobliżu miejsca zdarzenia; to samo urządzenie płaci kartą w pobliskim sklepie; a na nagraniu z monitoringu widać osobę w charakterystycznej kurtce, którą potem rozpoznaje świadek. Każdy element z osobna jest wrażliwy na krytykę, jednak w zestawie, z poprawnie opisanym łańcuchem pozyskania, tworzą silną wiązkę dowodową.

    Jeżeli zespół skupi się na szukaniu „złotego naboju”, a bagatelizuje mozolne dokładanie średniej siły dowodów z wielu kierunków, to śledztwo staje się hazardem: albo trafimy na cudownie mocny dowód, albo cała konstrukcja się rozsypie.

    Od hałasu do sygnału: selekcja i filtrowanie w praktyce

    Kryteria włączenia i wyłączenia danych

    W śledztwach opartych na big data kluczowa staje się nie tylko umiejętność znajdowania informacji, ale przede wszystkim umiejętność ich odrzucania. Bez jasno opisanych kryteriów selekcji zespół tonie w dokumentach i plikach, które niczego nie wnoszą, a zaciemniają obraz.

    Minimum to pisemne, zrozumiałe dla osób z zewnątrz kryteria:

    • Kryteria włączenia – np. „wszystkie połączenia głosowe i SMS-y z udziałem numerów X, Y, Z w okresie 01–31.03, niezależnie od geolokalizacji” albo „wszystkie płatności kartą A w promieniu 5 km od miejsca zdarzenia w dniu D”.
    • Kryteria wyłączenia – np. „odrzucamy wszystkie logi techniczne typu keep-alive”, „odrzucamy połączenia krótsze niż 1 sekunda jako potencjalne próby połączeń bez nawiązania rozmowy, chyba że powtarzają się z tą samą parą numerów”.
    • Kryteria priorytetyzacji – co analizować najpierw (np. kontakty w określonych godzinach, dane z określonego rejonu, transakcje powyżej określonej kwoty).

    Jeśli kryteria selekcji nie są zapisane i udokumentowane, audyt jakości sprowadza się do prostego pytania, na które nikt nie potrafi odpowiedzieć: „czego dokładnie tutaj nie ma i dlaczego?”. Jeśli natomiast da się jednoznacznie wskazać, co zostało włączone, co odrzucone i czym to uzasadniono, wtedy nawet bardzo obszerna dokumentacja pozostaje kontrolowalna.

    Pułapka „wszystko się może przydać”

    W naturalnym odruchu zespół śledczy gromadzi „na zapas” wszystko, co może mieć związek ze sprawą. W sprawach na styku z big data kończy się to setkami gigabajtów materiału przy braku jakiejkolwiek strategii jego obróbki. Prosty punkt kontrolny: czy dla danego rodzaju danych istnieje plan analizy, czy tylko plan magazynowania?

    Przykład z praktyki: zabezpieczono pełen obraz dysku kilku komputerów oraz serwera pocztowego. Jeżeli jedynym opisem czynności jest „do akt”, to po roku nikt nie potrafi odpowiedzieć, które fragmenty zostały realnie przeanalizowane, a które leżą nietknięte. Tymczasem minimum to:

    • opis obszaru poddanego analizie (np. „katalog użytkownika X, okres 01–30.04, słowa kluczowe A, B, C”),
    • informacja, czego nie analizowano (np. „archiwum sprzed 2 lat, brak związku z okresem czynu”),
    • wskazanie, jakich rezultatów poszukiwano (np. „śladów komunikacji z określonymi domenami”).

    Jeżeli plan analizy jest nieistniejący, to rośnie ryzyko wybiórczego korzystania z danych: analityk przypadkiem trafi na coś interesującego, ale nie ma żadnej gwarancji, że nie pominął jednocześnie materiału przeciwstawnego.

    Technik kryminalistyki w rękawiczkach zabezpiecza dowód nocą
    Źródło: Pexels | Autor: cottonbro studio

    Automatyzacja i algorytmy: kiedy narzędzie staje się uczestnikiem śledztwa

    Systemy scoringowe i wykrywanie anomalii

    W nowoczesnych śledztwach big data niemal zawsze pojawiają się narzędzia, które „pomagają” analitykowi, np. systemy scoringowe, silniki korelacyjne, moduły wykrywania anomalii. W praktyce wiele decyzji śledczych opiera się później na ich wynikach, często bez głębszego zrozumienia, jak do nich doszły.

    Z perspektywy audytora jakości kluczowe są cztery pytania kontrolne:

    • Jakie dane wejściowe są używane? – z jakich źródeł, z jakiego okresu, z jakimi filtrami. Jeżeli tego nie wiadomo, nie da się sprawdzić, czy system nie wzmacnia błędów już obecnych w danych.
    • Jak zdefiniowano „anomalię” lub „ryzyko”? – czy istnieje zrozumiały opis zasad scoringu (np. progi, wagi, kryteria), czy tylko marketingowa etykieta „sztuczna inteligencja”.
    • Jak wyglądał proces testowania? – czy przeprowadzono testy na znanych, opisanych przypadkach, z dokumentacją skuteczności i błędów (false positive / false negative).
    • Kto odpowiada za interpretację wyniku? – czy jest jasno wskazane, że wynik systemu jest podpowiedzią, a nie dowodem samym w sobie.

    Jeżeli system scoringowy nie ma żadnej dokumentacji wejść, zasad działania i testów, to w praktyce staje się „czarną skrzynką” wpływającą na śledztwo bez odpowiedzialności. Jeśli natomiast każdy wynik jest opatrzony opisem parametrów i zostaje zweryfikowany klasycznymi metodami (inne dane, analiza ręczna), to automatyzacja staje się narzędziem, a nie ukrytym decydentem.

    Ryzyko automatycznego tworzenia profili

    Łączenie danych z wielu rejestrów, logów i OSINTu często prowadzi do automatycznego budowania profili osób: ich zwyczajów, kontaktów, preferencji. Dla śledztwa to cenne, ale dla jakości dowodowej – obszar wysokiego ryzyka. Profil jest w istocie zbiorem uogólnień, które łatwo pomylić z faktami.

    Minimum bezpieczeństwa przy tworzeniu profili to:

    • Wyraźne oznaczenie statusu – profil jako kategoria „informacji analitycznej”, a nie „dowodu”. Brak takiej etykiety jest sygnałem ostrzegawczym: profil może zacząć funkcjonować jak opis rzeczywistości, a nie postulowana interpretacja.

      • Co warto zapamiętać

    • Kluczowy jest podział informacji na ciekawostki, tropy i dowody: ciekawostka inspiruje, trop kieruje śledztwo, a dopiero dowód – z opisanym źródłem, możliwością weryfikacji i prawidłowym zabezpieczeniem – może utrzymać się w sądzie. Jeśli nie da się precyzyjnie opisać „skąd, kiedy i jak” coś pozyskano, to wciąż tylko ciekawostka.
    • Trzy poziomy danych – surowe sygnały, dane przetworzone, wnioski analityczne – muszą być w aktach wyraźnie rozdzielone. Gdy interpretacje analityka zaczynają wyglądać jak twarde fakty, pojawia się poważny sygnał ostrzegawczy z punktu widzenia obrony i rzetelności analizy.
    • Analityk danych śledczych i analityk OSINT pełnią odrębne, uzupełniające się role: pierwszy porządkuje zbiory, dobiera metody analizy i buduje struktury danych, drugi dokumentuje ślady z otwartych źródeł i weryfikuje ich wiarygodność. Minimum współpracy to traktowanie OSINT jako pełnoprawnego źródła, które przechodzi tę samą ścieżkę dokumentacyjną co dane techniczne.
    • Weryfikowalność, powtarzalność i udokumentowane źródło to kryteria minimum, by informacja mogła stać się materiałem dowodowym. Jeśli inny analityk nie jest w stanie odtworzyć ścieżki dojścia do danych, analiza nie przejdzie testu jakości i nadaje się co najwyżej jako punkt wyjścia do dalszych czynności.

Poznaj powiązane treści: