Në seancën e fundit të kësaj legjislature, Kuvendi i Shqipërisë ka miratuar vetëm raportin e mazhorancës socialiste të nxjerrë nga puna 4 mujore e Komisionit Hetimor për të dhënat e TIMS, të drejtuar nga deputeti demokrat Ervin Salianji.

Gjatë seancës së fundit të komisionit hetimor, palët nuk gjetën dakordësinë për të dalë me një raport të përbashkët mbi skandalin e rëndë, ku të dhënat personale të shqiptarëve dolën në pazar.

Raporti i PS u miratua në Kuvend me 76 vota ‘pro’ dhe 3 ‘kundër’.

Kryetari i komisionit, Ervin Salianji paralajmëroi se do t’i çojë në SPAK gjetjet e raportit të opozitës, duke thënë se duhet zbuluar kush është ai që i bën emërimet e paligjshme në strukturën e Policisë së Shtetit.

Salianji prezantoi raportin e opozitës në Kuvend, duke thënë se drejtori i IT, në Policinë e Shtetit, Ervin Muça është emëruar në mënyrë të paligjshme, ndërkohë që theksoi se të dhënat e TIMS i janë shitur grupeve kriminale.

Gjithashtu Salianji u shpreh se drejtuesit e lartë të Policisë së Shtetit, drejtuesi i AMP-së dhe ministri i Brendshëm, nuk kanë reaguar në kohë pas sinjalizimit për ndërhyrje në sistemin e të dhënavë TIMS.

Sipas deputetit demokrat, gjatë dëshmive të tyre në komision, ata kanë dhënë deklarata kontradiktore për sa i përket procedurave të veprimit pas njoftimit zyrtar që kanë marrë.

Raporti përfundimtar për hetimin parlamentar mbi të dhënat e sistemit TIMS

KUVENDI

KOMISIONI HETIMOR

 

V E N D I M

(përfundimtar)

 

Nr. _____, datë ____.____.2024

 

“PËR TRAJTIMIN E TË DHËNAVE TË SISTEMIT TIMS”

Në mbështetje të neneve 20 dhe 22 të ligjit nr. 8891, datë 2.5.2002 “Për Organizimin dhe Funksionimin e Komisioneve Hetimore të Kuvendit”, i ndryshuar, dhe pikës IV, të vendimit nr. 20/2024 të Kuvendit të Shqipërisë, me propozim të kryetarit të Komisionit,

KOMISIONI HETIMOR

 

V E N D O S I:

I. Miratimin e Raportit Përfundimtar, bashkëlidhur këtij vendimi.

II. Raporti Përfundimtar i dërgohet Kuvendit për miratim në seancë plenare.

III. Komisioni i kërkon Kuvendit që Raporti Përfundimtar t’i përcillet Prokurorisë së Posaçme kundër Korrupsionit dhe Krimit të Organizuar për fillimin e çështjes penale.

IV. Ky vendim hyn në fuqi menjëherë.

 

K R Y E T A R I

 

Ervin SALIANJI

 

RAPORTI PËRFUNDIMTAR
 

I KOMISIONIT HETIMOR

 

“PËR TRAJTIMIN E TË DHËNAVE TË SISTEMIT TIMS”

 

PËRMBAJTJA

HYRJE

I.          REKRUTIMI I STRUKTURËS SË IT DHE KRIMIT KIBERNETIK

A.        DEPARTAMENTI I IT-SË

B.        DREJTORIA E HETIMIT TË KRIMIT KIBERNETIK

II.        NDËRHYRJA NË SISTEMIN TIMS NË DATAT 2-3 GUSHT 2023

A.        PREZANTIM I SISTEMIT TIMS

B.        NDËRHYRJA NË SISTEM

C.        REAGIMI POST-NDËRHYRJE

III.       HAKERIMI I SISTEMIT TIMS

IV.       AKSESI I PAAUTORIZUAR NË SISTEMIN TIMS

V.        VËNIA NË DISPOZICION E TË DHËNAVE TË TIMS GRUPEVE KRIMINALE

VI.       MOSREGJISTRIMI I PERSONAVE ME REKORDE KRIMINALE NË TIMS

VIII.    KONKLUZIONE PËRFUNDIMTARE

IX.       REKOMANDIME

HYRJE

1.         Në datën 21.03.2024, Kuvendi i Shqipërisë, me kërkesë të Grupit Parlamentar të Partisë Demokratike, miratoi vendimin nr. 20/2024 “Për Ngritjen e Komisionit Hetimor të Kuvendit për Trajtimin e të Dhënave TIMS”.

2.         Sipas vendimit nr. 20/2024, Komisioni Hetimor Parlamentar kishte për objekt:

(i) shqyrtimin e çështjeve lidhur me kontrollin e veprimtarisë së institucioneve të ngarkuara me mbrojtjen e sistemit TIMS; dhe

(ii) vlerësimin e nevojës për marrjen e masave administrative apo ndërhyrjet ligjore në legjislacionin përkatës.

3.         Komisioni do të ushtronte veprimtarinë për një afat 4-mujor nga miratimi i këtij vendimi. Për shkak se Komisioni nuk e kishte ezauruar të plotë veprimtarinë e tij dhe ekspertët kërkuan më shumë kohë për përgatitjen e raportit përfundimtar, përfaqësuesit e Grupit Parlamentar të Partisë Demokratike kërkuan zgjatjen e afatit të veprimtarisë së komisionit hetimor për një periudhë 2-mujore, kërkesë e cila u refuzua nga përfaqësuesit e Grupit Parlamentar të Partisë Socialiste pa ndonjë justifikim të arsyeshëm.

4.         Me vendimin nr. 20/2024, Kuvendi miratoi përbërjen e Komisionit me 15 anëtarë të përhershëm, nga të cilët kryetari dhe 6 (gjashtë) anëtarë përfaqësues të Grupit Parlamentar të Partisë Demokratike dhe 8 (tetë) anëtarë përfaqësues të Grupit Parlamentar të Partisë Socialiste, si dhe 4 anëtarë zëvëndësues, 2 përfaqësues të PD-së dhe 2 përfaqësues të PS-së. Përbërja e Komisionit ishte si më poshtë:

                        1. Ervin Salianji                       Kryetar (PD)

                        2. Toni Gogu                           Nënkryetar (PS)

                        3. Nasip Naço                                     Anëtar (PS)

                        4. Blerina Gjylameti                Anëtare (PS)

                        5. Etilda Gjonaj                       Anëtare (PS)

                        6. Xhemal Qefalia                   Anëtar (PS)

                        7. Antoneta Dhima                 Anëtare (PS)

                        8. Bardhyl Kollçaku                Anëtar (PS)

                        9. Denis Deliu                         Anëtar (PS)

                        10. Lindita Metaliaj                Anëtare (PD)

                        11. Lefter Gështenja               Anëtar (PD)

                        12. Asllan Dogjani                  Anëtar (PD)

                        13. Ramadan Likaj                  Anëtar (PD)

                        14. Luan Baçi                          Anëtar (PD)

                        15. Elda Hoti                          Anëtare (PD)

                        Anëtarët zëvëndësues:

                        1. Eduart Ndreca                    Anëtar zëvëndësues (PS)

                        2. Laert Duraj                          Anëtar zëvëndësues (PS)

                        3. Bledion Nallbati                  Anëtar zëvëndësues (PD)

                        4. Isuf Celaj                            Anëtar zëvëndëues (PD)

 

5.         Gjatë periudhës së veprimtarisë së tij, Komisioni Hetimor zgjodhi sekretarin e tij, zotin Xhemal Qefalia, miratoi Planin Paraprak të Hetimeve dhe mblodhi dokumentet e provat e nevojshme, sipas kërkesave të anëtarëve të Komisionit. Nga ana e përfaqësuesve të Grupit Parlamentar të PS-së pati zvarritje të dërgimit të kërkesave për informacion me pretendimin se sipas ndryshimeve ligjore, marrja e provave duhet të bëhej me vendim të ndërmjetëm, ndryshe nga praktika e mëparshme që marrja e provave bëhej me kërkesë të secilit anëtar pa votim.Këshilli i Ministrave refuzoi të vinte në dispozicion të Komisionit Hetimor informacionet e kërkuara, ndërsa u administruan përgjigjet e Ministrisë së Brendshme, Policisë së Shtetit, Agjencisë së Mbikëqyrjes Policore, Shërbimit Informativ Shtetëror, Autoritetit Kombëtar të Sigurimit të Informacionit të Klasifikuar, Prokurorisësë Posaçme dhe Prokurorisëpranë Gjykatës së Shkallës së Parë të Juridiksionit të Përgjithshëm Tiranë.

6.         Në datën 08.05.2024, Komisioni Hetimor miratoi Planin e Hetimit dhe listën e dëshmitarëve. Nga data 15 Maj deri më 15 Korrik 2024, Komisioni zhvilloi seancat dëgjimore me dëshmitarët, përkatësisht u thirrën dhe dëshmuan Ministri i Brendshëm Taulant Balla, Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale Besnik Dervishi, Drejtori i Përgjithshëm i Policisë së Shtetit Muhamet Rrumbullaku, ish-Drejtori i Departamentit të IT-së në Policinë e Shtetit Ervin Muça, ish-Shefi i Sektorit tëServerave në Policinë e Shtetit Ardit Muço, ish-Drejtori i Sistemeve në Policinë e Shtetit Besjon Tanuzi, Drejtorja e Hetimit tëKrimit Kibernetik në Policinë e Shtetit Ervina Gjana, Drejtori i Departamentit të Policisë Kriminale në Policinë e Shtetit Neritan Nallbati, Drejtori i Burimeve Njerëzore në Policinë e Shtetit Zef Laska, Drejtori i Sistemeve në Policinë e Shtetit  Enri Ndoni, Drejtor i Departamentit për Kufirin dhe Migracionin Saimir Boshnjaku, Drejtorja e Shërbimit Informativ Shtetëror Vlora Hyseni, Drejtori i Agjencisë së Mbikëqyrjes Policore Florian Sulejmani, ish-Drejtori i Agjencisë së Mbikëqyrjes Policore Ardi Veliu, Drejtori i Përgjithshëm i Doganave Genti Gazheli, Drejtori i AKU-së Edmond Rrushi, Kryeinspektorja e ISHSSH Luneda Sufali, Drejtori i Agjencisë së Inteligjencës dhe Mbrojtjes Ardian Bali, Drejtori i Parandalimit të Pastrimit të Parave Ervin Koçi dhe ish-Drejtori i AKSIK Dorian Tola.

7.         Anëtarët, përfaqësues të Partisë Socialiste, refuzuan të thërrisnin për të dëshmuar kryeministrin Edi Rama, megjithëse në dokumentacionin e administruar dhe dëshmitë e marra emri i tij u përmend në mënyrë të përsëritur si person që kishte dijeni për rrethanat e objektit të hetimit, si dhe për deklaratat e bëra publikisht nga ana e tij. Po ashtu, anëtarët e mazhorancës refuzuan të thërrisnin për të dëshmuar ish-ministrin e Brendshëm Bledar Çuçi, i cili kishte pasur një rol të rëndësishëm për krijimin e funksioneve të veçanta për Drejtorin e Departamentit të IT dhe Drejtorin e Drejtorisë së Krimit Kibernetik në Policinë e Shtetit. Duke përdorur sërish argumentin e ndryshimeve ligjore dhe forcën e kartonit, anëtarët e mazhorancës vendosën që dëshmitë të merren me dyer të mbyllura, megjithëse në të shumtën e rasteve dëshmitë nuk përmbanin informacione të klasifikuara sekret shtetëror. Sjellim në vëmendje se ndryshimet e njëanshme në ligjin për komisionet hetimore u shfuqizuan nga Gjykata Kushtetuese me një vendim të shpallur në datën 9 Korrik 2024.

8.         Komisioni zhvilloi 16 (gjashtëmbëdhjetë) mbledhje dhe në përfundim miratoi Raportin Përfundimtar, i cili i paraqitet Kuvendit (seancës plenare) për miratim.

9.         Komisioni, gjatë të gjithë ushtrimit të veprimtarisë së tij, ka zbatuar me përpikëri ligjin nr. 8891, datë 2.5.2002 “Për Organizimin dhe Funksionimin e Komisioneve Hetimore të Kuvendit”, Kodin e Procedurës Penale dhe Rregulloren e Kuvendit, duke shfrytëzuar të gjitha mjetet ligjore në dispozicion për mbledhjen e provave, informacioneve dhe dëshmive të nevojshme për përmbushjen e planit të miratuar të hetimit dhe realizimin e qëllimit dhe objektit të komisionit hetimor.

 

I.          REKRUTIMI I STRUKTURËS SË IT DHE KRIMIT KIBERNETIK

 

A.        DEPARTAMENTI I IT-SË

10.       Në kuadër të hetimit parlamentar të kryer nga Komisioni Hetimor për Trajtimin e të Dhënave të Sistemit TIMS, u administrua dokumentacioni nga Policia e Shtetit dhe u pyetën në cilësinë e dëshmitarit drejtuesit e Policisë së Shtetit lidhur me kriteret, procedurat dhe përgjegjësitë për rekrutimin e ekipit të ri të Departamentit të Teknologjisë së Informacionit në Policinë e Shtetit. Konkretisht nga përgjigjet e marra me shkrim, materialet shkresore dhe dëshmitë e marra në Komision rezultoi se me anë të Urdhrit Nr. 47, datë 14.04.2023, të Ministrit të Brendshëm “Për miratimin e strukturës dhe të organikës në nivel qëndror, vendor dhe strukturat e vecanta të Policisë së Shtetit”, Drejtoria e Teknologjisë dhe Informacionit, u rikonceptua dhe ristrukturua nga nivel Drejtorie në nivel Departamenti. Ky department kishte për mision përmirësimin e mëtejshëm të organizatës nëpërmjet rritjes të cilësisë së shërbimeve të teknologjisë së informacionit dhe komunikimit.

11.       Në shpjegimet e dhëna me shkrim nëpërmjet shkresës me 3755/2 prot., datë 26.04.2024 nga Drejtori i Përgjithshëm i Policisë së Shtetit, zoti Muhamet Rrumbullaku sa i përket ristrukturimit të Drejtorisë së Teknologjisë së Informacionit, thuhet se nevoja e kushtëzuar nga dinamika në rritje e përdorimit të teknologjisë së informacionit dhe shërbimeve që ajo mundëson, si dhe për t’u përgjigjur në kohë nevojave të strukturave për informacion apo komunikim, solli domosdoshmëri për ndryshime strukturore në Drejtorinë e Teknologjisë së Informacionit, e cila ishte strukturë e vecantë e Policisë së Shtetit, në varësi të Drejtorit të Departamentit të Shërbimeve Mbështetëse. Në këtë kuadër, ngritja hierarkike e strukturës së Informacionit në nivel Departamenti, në varësi direkte të Drejtorit të Përgjithshëm, kordinuar edhe me ndryshimet strukturore përkatëse, do të mundësonte mbështetje më të madhe të këtyre strukturave në objektivat dhe nevojat e informatizimit dhe digjitalizimit të shërbimeve të administruara nga cdo strukturë e Policisë së Shtetit.

12.       Drejtori i Departamentit të Teknologjisë së Informacionit përgjigjet tek Drejtori i Përgjithshëmm i Policisë së Shtetit dhe është një punonjës policie i nivelit të lartë drejtues në Policinë e Shtetit, i cili përfaqëson skuadrën drejtuese në Policinë e Shtetit, me përgjegjësi mbikqyrëse dhe menaxhuese për të gjitha njësitë administrative në Departamentin për Teknologjinë së Informacionit. Ai është përgjegjës për studimin, projektimin, inplementimin e teknologjive të reja informatike, telefonisë, pajisjeve informatike në përdorim të Policisë së Shtetit, si dhe të monitorimit të mirëmbajtjes së tyre, me qëllim garantimin e menaxhimin total të informacionit policor.

13.       Drejtori i Drejtorisë së Teknologjisë së Informacionit siguron mbikqyrje direkte për Sektorin e Bazës së të Dhënave, Sektorin e Projekteve, Programimit dhe Zhvillimit, Sektorin e Sigurisë Informatike, Sektorin e Serverave dhe i Aplikacioneve për Servera, Sektorin e Rrjeteve dhe Komunikimeve, Sektorin Help-Desk dhe Shërbimeve të T.I, Sektorin e Infrastrukturës Elektrike, dhe T.I, dhe Sektorin e Shërbimeve Mbështetëse.

14.       Vetëm dy muaj pas daljes së Urdhrit Nr. 47, datë 14.04.2023 të Ministrit të Brëndshëm, Drejtoria e Përgjithshëme e Policisë së Shtetit, u vu në lëvizje për plotësimin e pozicioneve të reja të punës të krijuara sipas këtij urdhëri. Me Relacionin Nr. 5210 Prot, datë 09.06.2023 “Për caktimin e një funksioni të veçantë në Policinë e Shtetit”, Drejtoria e Përgjithshme e Policisë së Shtetit, ka argumentuar se nisur nga situatat e krijuara kohët e fundit, për shkak të hakerimeve të sistemeve të teknologjisë së informacionit në Policinë e Shtetit dhe jo vetëm, informacionin që administrohet në sistemet që administron Policia e Shtetit, ka lindur si nevojë ngritja e kapaciteteve për rritjen e parametrave të sigurisë informatike jo vetëm në aspektin teknik, por edhe në aspektin strukturor duke zgjeruar dukshëm fushat e përgjegjësisë.

15.       Po në këtë relacion është arsyetuar mbi domosdoshmërinë që funksioni i Drejtorit të Departamentit të Teknologjisë së Informacionit në Drejtorinë e Përgjithshme të Policisë së Shtetit, të jetë funksion me gradë policore “Drejtues i Lartë”, propozim i cili ju drejtua Ministrit të Brendshëm me anë të shkresës Nr. 5210/1 Prot, datë 09.06.2023. Në përgjigjje të shkresës së mësipërme, Ministri i Brendshëm ka nxjerrë UrdhrinNr. 84, datë 16.06.2023, me anë të së cilit është përcaktuar seDrejtori i Departamentit të Teknologjisë së Informacionit, në Drejtorinë e Përgjithshme të Policisë së Shtetit, është funksion i veçantë, me gradë policore “Drejtues i Lartë”.

Me Urdhrin Nr. 887/1, datë 19.06.2023, “Për fillimin e aplikimeve per pranimin në funksion të vecanta në Policinë e Shtetit”, Drejtoria e Përgjithshme e Policisë së Shtetit ka bërë shpalljen e aplikimeve për pozicionin e sipërpërmendur, që do të fillonin nga data 19.06.2023 deri më datë 21.06.2023. Për këtë pozicion pune aplikoi vetëm një kandidat, shtetasi Ervin Muça, i cili u shpall edhe fitues.

16.       Drejtori i Përgjithshëm i Policisë së Shtetit ka nxjerrë Urdhrin Nr. 1178/4, datë 23.6.2023“Për kryerjen e kualifikimit policor për z. Ervin Muça”. Rektori i Akademisë së Sigurisë ka nxjerrë Urdhrin Nr. 295, datë 27.6.2023 “Për kryerjen e kualifikimit policor për funksione të veçanta, Drejtor në Departamentin për Teknologjinë e Informacionit, në Drejtorinë e Përgjithshme të Policisë së Shtetit”. Akademia e Sigurisë ka nxjerrë Urdhrin Nr. 295/1, datë 27.6.2023 “Për miratimin e orarit mësimor, për zhvillimin e trajnimit për funksione të vecanta”. Me shkresën Nr. 1622, datë 18.07.2023 është dërguar rezultati i trajnimit, shoqëruar me proces-verbal të provimit të çertifikimit.

17.       Me Urdhrin Nr. 1178/5 datën 17.06.2023 ose 27.06.2023, është emëruar Z. Ervin Muca në postin e Drejtorit të DTI. Data e urdhërit të emërimit të Z. Ervin Muca, u interpretua si “lapsus” nga ana e Drejtuesit të Policisë së Shtetit, në dëshminë  e tij dhënë përpara Komisionit Hetimor. Shtetasi Ardit Muço, ish-Shefi i Sektorit të Serverave dhe BBC, në dëshminë e tij përpara Komisionit Hetimor, deklaroi se prezantimi i Drejtuesit të DTI ishte kryer në datë 19.06.2023, dhe këtë njoftim ja kishin dhënë kolegët e tij të Departamentit. Nga faktet dhe provat e administruara nga Komisioni Hetimor është e qartë se procedura e rekrutimit të Drejtorit të Departamentit të IT-së ishte fiktive dhe fituesi ishte paracaktuar.

18.       Pavarësisht datës së saktë, urdhri i emërimit bie në kundërshtim me parashikimet e nenit 40, pika 2 të Ligjit Nr. 108/2014 “Për Policinë e Shtetit” dhe nenit 155, pika 4 të “Rregullorës së Policisë së Shtetit”, të cilat parashikojnë se personi që shpallet fitues, dhe pranohet në këto funksione, kryen kualifikimin në Akademinë e Sigurisë, dhe pas përfundimit të tij, pranohet në Policinë e Shtetit, i jepet grada korrensponduese me funksionin e veçantë dhe emërohet në detyrë nga Drejtori i Përgjithshëm i Policisë së Shtetit. Referuar këtyre parashikimeve ligjore, urdhri për emërimin e Z. Ervin Muca, duhet të dilte mbas datës 18.07.2023. Pavarësisht parashikimeve ligjore të sipërpërmendura, Z. Ervin Muca, ka vazhduar ushtrimin e detyrës së Drejtorit të DTI.

19.       Sipas legjislacionit në fuqi, dhe konkretisht VKM-së Nr. 188, datë 04.03.2015 “Për miratimin e Rregullave për Sigurimin e Personelit”, Ligjit Nr. 128/2021 “Për Agjensinë e Mbikëqyrjes Policore”, dhe Urdhërit Nr. 251, datë 11.02.2019 të Ministrit të Brendshëm “Për Funksioniet Organike në Ministrinë e Brendshme”, për shkak të detyrës mund dhe duhet të njihen me informacion të klasifikuar, funksioni në të cilin ishte emëruar z. Ervin Muça, kërkon pajisjen me Certifikatë të Sigurimit të Personelit (CSP).

20.       Referuar shkresës Nr. 2249 prot, datë 24.04.2024 të Autoritetit Kombëtar për Sigurinë e Informacionit të Klasifikuar, drejtuar Kuvendit, rezulton se kërkesa institucionale drejtuar këtij institucioni për pajisjen me CSP të shtetasit Ervin Muça, bashkëngjitur dokumentacioni verfifikues, mban Nr. 2203/7 prot, datë 29.09.2023. Pyetësori i sigurisë dhe dy deklaratat shoqëruese mbajnë datën 21.08.2023. Me vendimin Nr. 147, datë 22.04.2024, AKSIK ka bërë refuzimin për pajisjen e shtetasit Ervin Muça me CSP. Pra Ervin Muça e ka ushtruar detyrën e tij si drejtues i DTI, gjatë gjithë kësaj periudhe pa qënë i pajisur me CSP, ashtu siç edhe ligji e parashikon.

21.       Përveç mungesës së Certifikatës së Sigurimit të Personelit, megjithëse nga dokumentacioni i administruar në Komision, por edhe dëshmitë e marra, veçanërisht dëshmia e Drejtores së Shërbimit Informativ Shtetëror, zonjës Vlora Hyseni në datën 02.07.2024, është e qartë se Drejtori i Departamentit të IT-së duhet të pajisjet me certifikatë sigurie, për zotin Ervin Muça rezultuan edhe fakte e prova të tjera, të cilat e bëjnë tërësisht të papërshtatshëm për emërimin në detyrë. Konkretisht, nga hetimet e kryera nga Prokuroria pranë Gjykatës së Shkallës së Parë të Juridiksionit të Përgjithshëm Tiranë ka rezultuar se ky shtetas është proceduar penalisht për falsifikim dokumentesh në vitin 2007 nga autoritetet ligjzbatuese italiane dhe në vitin 2008 i është refuzuar leja e qëndrimit. Zoti Muça nuk ka plotësuar formularin e dekriminalizimit dhe njëkohësisht rezultonte i dypunësuar si këshilltar i drejtoreshës së Agjencisë Shtetërore tëKadastrës, megjithëse nuk është gjetur ndonjë produkt pune konkret i kryer në këtë funksion (shih shkresën nr. 11097 prot., datë 09.05.2024 të Prokurorisë pranë Gjykatës së Shkallës së Parë të Juridiksionit të Përgjithshëm Tiranë). Po ashtu, zoti Muça nuk kishte asnjë eksperiencë të mëparshme në strukturat e Policisë së Shtetit apo në sistemet e saj informatike.

22.      Konkluzion: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se zoti Ervin Muça nuk përmbushte kushtet për t’u emëruar në detyrën e Drejtorit të Departamentit të IT-së. Konkretisht, ky shtetas ishte proceduar penalisht për falsifikim dokumentesh në shtetin italian në vitin 2007, ishte refuzuar leja e qëndrimit në vitin 2008, nuk kishte plotësuar formularin e dekriminalizimit, nuk kishte kryer trajnimet e detyrueshme në Akademinë e Sigurisë, nuk ishte pajisur me Certifikatën e Sigurimit të Personelit dhe ishte njëkoësisht i punësuar si këshilltar i drejtoreshës së Agjencisë Shtetërore të Kadastrës, megjithëse hetimet e kryera nga Prokuroria nuk kanë gjetur ndonjë produkt konkret pune.

23.       Pas marrjes së detyrës së Drejtorit të Departamentit të IT-së, zoti Muça me shkresën Nr.1315, datë 14.07.2023ka propozuar për emërim në pozicionin Drejtor të Sistemeve në DTI, zotin Besjon Tanuzi. Me urdhrin Nr. 3133/1, datë 18.07.2023, të Drejtorit të Përgjithshëm të Policisë së Shtetit, ku shtetas është emëruar në detyrën e Drejtorit të Sistemeve në DTI-në e Policisë së Shtetit. Ky punësim është kryer sipas Kodit të Punës, por në kundërshtim me parashikimet e nenit 41 të Ligjit Nr. 108/2014 “Për Policinë e Shtetit” dhe neneve 184 dhe 185 të “Rregullorës së Policisë së Shtetit”, për punësimin në funksione ndihmëse, pa kryer shpalljen e pozicionit vakant të punës, për fillimin e aplikimeve, me arsyetimin e nevojës së ngutshme për burime njerëzore në këtë departameet. Gjatë dëshmisë së dhënë në Komision, zoti Muça, ashtu edhe si zoti Tanuzi pranuan njohjen e tyre të mëparshme, si dhe se kishte qënë zoti Muça që i kishte prezantuar mundësinë e punësimit në këtë pozicion. Ky shtetas ka qëndruar rreth një muaj i punësuar në këtë pozicion dhe më pas ka dhënë dorëheqje.

24.       Sipas legjislacionit të sipërcituar edhe për këtë pozicion pune ka qënë e nevojshme pajisja me Certifikatë të Sigurisë së Personelit. Referuar shkresës me Nr. 2249 prot, datë 24.04.2024 të Autoritetit Kombëtar për Sigurinë e Informacionit të Klasifikuar, drejtuar Kuvendit, për këtë shtetas nuk është administruar asnjë kërkese për t’u pajisur me CSP. Në përgjigjjen e Drejtorisë së përgjithshme të Policisë së Shtetit, ky fakt justifikohet me qëndrimin për një kohë të shkurtër në detyrë të ketij shtetasi. Ky argumetim nuk është aspak ligjor, pasi që institucioni normalisht nuk mund të kishte informacion paraprak për kohëzgjatjen e punësimit të tij në detyrën e Drejtorit të Sistemeve në DTI-në e Policisë së Shtetit. Ky shtetas e ka ushtruar detyrën i papajisur me CSP, në kundërshtim me parashikimet ligjore.

25.       Referuar shkresës nr. 3755/2 prot., datë 26.04.2024 së Drejtorisë të Përgjithshme të Policisë së Shtetit, dokumentacioni i shtetasit Besjon Tanuzi është administruar në Sektorin e Kartotekës dhe Arkivës në Drejtorinë e Përgjithshme të Policisë së Shtetit me Nr. 1315, datë14.04.2023. Kjo do të thotë që zoti Tanuzi ka paraqitur dokumentacionin për t’u emëruar në detyrën e Drejtorit të Sistemeve në DTI-në e Policisë së Shtetit, në të njëjtën datë me daljen e urdhërit të Ministrit të Brendshëm për miratimin e strukturës së re. Edhe në rastin e zotit Tanuzi kemi të bëjmë vetëm me një kandidaturë të vetme të përcjellë nga Drejtori i Departamentit të IT-së, zoti Ervin Muça dhe pa ndjekur asnjë procedurë paraprake konkurrimi. Po ashtu, nga background-i arsimor, por edhe profesional është e qartë se zoti Tanuzi nuk kishte eksperiencë të mëparshme në Policinë e Shtetit apo sistemet informatike të kësaj të fundit.

26.       Pas largimit me dorëheqje të zotit Besjon Tanuzi, megjithëse gjatë dëshmisë së tij Drejtori i Burimeve Njerëzore në Drejtorinë e Përgjithshme të Policisë së Shtetit, zoti Zef Laska tha se ishte larguar për shkak të mospërmbushjes së kritereve ligjore, me shkresën Nr. 1570 Prot, datë 24.08.2023, të Drejtorit të Departamentit të Teknologjisë së Informacionit zotit Ervin Muça, është propozuar për emërim me detyrë Drejtor në Drejtorinë e Sistemeve, pranë Departamentit të Teknologjisë së Informacionit,  Z. Enri Ndoni.Ky propozim është miratuar me Urdhrin Nr. 3228/1, datë 24.08.2023 të Drejtorit të Përgjithshëm të Policisë. Edhe në këtë rast, punësimi është kryer sipas Kodit të Punës, por në kundërshtim me parashikimet e nenit 41 të Ligjit Nr. 108/2014 “Për Policinë e Shtetit” dhe neneve 184 dhe 185 të “Rregullores së Policisë së Shtetit”, për punësimin në funksione ndihmëse, pa kryer shpalljen e pozicionit vakant të punës, për fillimin e aplikimeve, me asryetimin e nevojës së ngutshme për burime njerëzore.

27.       Duke qenë i njëjti pozicion pune që ka mbajtur Z. Besjon Tanuzi, edhe Z. Enri Ndoni duhej të pajisej me çertifikatë sigurie. Sipas shkresës së Drejtorisë së Përgjithshme të Policisë Nr. 3755/2, prot, datë 26.04.2024, drejtuar Kuvendit të Shqipërisë, relatohet Z. Enri Ndoni ka aplikuar për pajisje me Certifikatë të Sigurisë së Personelit, por që deri në këto momente nuk është pajisur me një të tillë. Me shkresën Nr. 2249 prot, datë 24.04.2024 të AKSIK, ka informuar Kuvendin se nuk disponon asnjë kërkesë për pajisje me CSP për shtetasin Enri Ndoni. Pra, Enri Ndoni, e ka ushtruar detyrën në kundërshtim me dispozitat ligjore pasi ka qënë i papajisur me CSP.

28.       Referuar shkresës Nr. 3755/2 Prot, datë 26.04.2024, të DPPSH, konstatojmë se dokumenatcioni personal dhe kërkesa për punsim e paraqitur nga Z. Enri Ndoni, pas miratimit të urdhërit të pranimit dhe nënshkrimit të kontratës individuale të punës, gjendet në Sektorin e Kartotekës dhe Arkivës me Nr. E-75, datë 22.06.2023. Pra sipas kësaj shkrese, Enri Ndoni kishte dorëzuar dokumentacionin për punësim, ishte miratuar urdhëri i pranimit, kishte nënshkruar edhe kontratën e punës, një muaj më parë se të emërohej, kur kjo detyrë mbahej akoma nga Z. Besjon Tanuzi. Ndërkohë që propozimi për emërim dhe urdhëri për emërim i Enri Ndoni, mbajnë data të një muaji më pas. Për këto mospërputhje të datave dhe numrave të protokollit të shkresave përkatëse me anë të të cilave është kryer e gjithë procedura e emërimit të këtyre drejtuesve në funksionet e mësipërme, Drejtori i Përgjithshëm i Policisë së Shtetit deklaroi përpara Komisionit Hetimor se ato janë “lapsuse” të Drejtorisë së Burimeve Njerëzore.

29.       Konkluzion: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor rezulton se procedurat e rekrutimit të ish-drejtorit Besjon Tanuzi dhe drejtorit aktual Enri Ndoni kanë qenë fiktive dhe me rezultat të paracaktuar. Kjo duket nga fakti që ata kanë aplikuar dokumentet për t’u emëruar në këto pozicione para krijimit të vakancës, nuk ka pasur asnjë shpallje për vendin vakant në këto pozicione dhe kanë qenë kandidaturat e vetme që i janë paraqitur për miratim Drejtorit të Përgjithshëm të Policisë së Shtetit. Nga ana tjetër, rezulton se zoti Tanuzi nuk kishte asnjë eksperiencë të mëparshme në Policinë e Shtetit apo sistemet e informatike të kësaj të fundit dhe nuk ishte pajisur me çertifikatë sigurie, ndërsa duket se marrëdhënia miqësore me shtetasin Ervin Muça ka qenë vendimtare për emërimin e tij.

B.        DREJTORIA E HETIMIT TË KRIMIT KIBERNETIK

30.       Duke ju referuar Relacionit “Për miratimin e një funksioni të vecatë në Policinë e Shtetit” me Nr. 6604 prot, datë 21.07.2023 dhe Shkresës Nr. 6604/1, datë 21.07.2023, me lëndë “Propozim për caktimin e një funksioni të vecantë në Policinë e Shtetit”, Drejtori i Përgjithshëm i Policisë së Shtetit ka argumentuar se nisur nga rëndësia që ka menaxhimi dhe drejtimi i hetimeve në fushën e teknologjisë së informacionit, bazuar edhe në natyrën e punës së Drejtorisë për Hetimin e Krimeve Kibernetike, e cila ka në fokus parandalimin nëpërmjet informimit, identifikimit, gjurmimit dhe dokumentimit të provave kryesisht digjitale, drejtuesi duhet të ketë njohuri të thelluara në shkencat kompjuterike dhe të caktohet si funksion i vecantë në Policinë e Shtetit me gradë “Drejtues i Parë”.

31.       Me urdhrin e Nr. 104, datë 25.07.2023, Ministri i Brendshëm, ka urdhëruar që Drejtori i Drejtorisë për Hetimin e Krimeve Kibernetike në Departamentin e Policisë Kriminale, në Drejtorinë e Përgjithshme të Policisë së Shtetit të jetë funksion i vecantë me gradë policore “Drejtues i Parë”.

32.       Me urdhërin Nr. 1073/1, datë 27.07.2023, kanë filluar aplikimet për pranimin në funksione të vecanta në DPPSH për pozicionin Drejtor i Drejtorisë për Hetimin e Krimeve Kibernetike, në Departamaentin e Policisë Kriminale në DPPSH, me afat nga data 28.07.2023 deri në datën 31.07.2023. Për këtë pozicion kishte vetëm një aplikant që u shpall edhe fitues, Zonja Ervina Gjana. Përsëri edhe në këtë rast, për një pozicion pune kaq të rëndësishëmkandidatura e vetme ishte ajo e Ervina Gjanës.

33.       Në datë 02.08.2023, me urdhrin Nr. 4836 të Drejtorit të Përgjithshëm të Policisë së Shtetit, është pranuar në funksione të vecanta në Policinë e Shtetit, Zj. Ervina Gjana. Urdhri i emërimit bie në kundërshtim me parashikimet e nenit 40, pika 2 të Ligjit Nr. 108/2014 “Për Policinë e Shtetit” dhe nenit 155, pika 4 të “Rregullorës së Policisë së Shtetit”, të cilat parashikojnë se personi që shpallet fitues, dhe pranohet në këto funksione, kryen kualifikimin në Akademinë e Sigurisë, dhe pas përfundimit të tij, pranohet në Policinë e Shtetit, i jepet grada korrensponduese me funksionin e vecantë dhe emërohet në detyrë nga Drejtori i Përgjithshëm i Policisë së Shtetit. Referuar këtyre parashikimeve ligjore, urdhri për emerimin e Zj. Ervina Gjana duhet të dilte mbas datës 15.09.2023, pas datës së supozuar të kryerjes së trajnimit në Akademinë e Sigurisë.

34.       Në datë 03.08.2023 ka dalë urdhëri nr. 1073/2, i Drejtorit të Përgjithshëm të Policisë së Shtetit për kryerjen e kualifikimit në Akademinë e Sigurisë për pranimin  në funksione të vecanta në Policinë e Shtetit të Ervina Gjana. Po në datë 03.08.2023 ka dalë Urdhëri i Rektorit të Akademisë se Sigurisë me nr. 339, “Për kryerjen e kualifikimit policor për funksione të vecanata për Zj. Ervina Gjana” dhe Urdhëri i Akademisë së Sigurisë Nr. 339/1, datë 03.08.2023, “Për miratimin e orarit mësimor për zhvillimin e trajnimit për funksione të vecanta në Policinë e Shtetit, Drejtor në Drejtorinë e Hetimit të Krimeve Kibernetike”. Pra në datën 03.08.2023, ditën e ngjarjes, janë nxjerrë të gjitha urdhërat përkatës si nga ana e Drejtorit të Përgjithshëm të Policisë së Shtetit dhe Akademia e Sigurisë, për kualifikim dhe trajnim të shtetases Ervina Gjana. Me anë të shkresës nr. 2053 Prot, datë 15.09.2023, janë dërguar rezultatat e trajnimit për Zj. Ervina Gjana.

35.       Në referim të shkresës nr. 3755/2 prot., datë 26.04.2024 drejtuar Kuvendit, konstatohet se dokumentacioni i punësimit të Zj. Ervina Gjana është adminsitruar nga Komisini i Vlerësimit dhe pas procesit të konkurimit, është administruar në dosjen personale nga Sektori i Kartotekës dhe Arkivës në DPPSH, me Nr. E-82, datë 04.07.2023, ndërkohë që aplikimet për pranim në pozicion pune kanë nisur në datën 28.07.2023. Pra, zonja Gjana ka kryer aplikimin dhe dorëzuar dokumentacionin, përpara shpalljes së vendit vakant të Drejtorit të Hetimit të Krimit Kibernetik.  Gjatë dëshimsë së saj, dhënë përpara Komisionit hetimor, Zj. Ervina Gjana deklaroi se dorëzimi i dokumentacionit përpra afatit të shpalljes së vendit vakant, është kryer për shkak se i ka thënë një “mik”, emrin e të cilit nuk pranoi ta thoshte. Pra punësimi i kësaj shtetasje në këtë Departament, ka qënë i orientuar dhe udhëzuar nga një “mik” i panjohur deri më tani.

36.       Vlen të theksohet fakti se, në një pozicion pune kaq të rëndësishëm sic është Drejtoria e Hetimit Kibernetik, kandidati për punësim, minimalisht duhet të kishte një eksperincë pune për sa i përket hetimit dhe proceseve hetimore, kriter që mungonte tek shtetasja Ervina Gjana, duke ju referuar dokumentacionit dhe CV-së që ajo ka depozituar. Ky fakt u pohua edhe nga vetë ajo gjatë dëshmisë dhënë përpara Komisionit Hetimor Parlamentar. E vetmja eksperiencë e saj e mëparshme në Policinë e Shtetit ishte specialiste në Drejtorinë e Teknologjisë së Informacionit, në periudhën 2010 – 2014, pra 9 vite përpara emërimit në detyrën e Drejtorit të Hetimit të Krimit Kibernetik, dhe që nuk kishte pasur ndonjë eksperiencë në hetimin e krimeve kibernetike.

37.       Po ashtu, nga përmbajtja e shkresës nr. 61 prot., datë 26.04.2024 e Drejtorit të Përgjithshëm të Agjencisë së Mbikëqyrjes Policore, zoti Florian Sulejmani rezultoi se: “Për shtetasen Ervina Bashkim Gjana, në atë kohë Specialiste në Sektorin e Serverave, në Drejtorinë e Teknologjisë së Informacionit, në DPPSH, Agjencia, me shkresën Nr. 1150/1, datë 30.05.2014, ka referuar materialet proceduriale në Prokurorinë e Rrethit Gjyqësor Tiranë, si e dyshuar për veprën penale të “Vjedhjes”, e parashikuar nga neni 134, i K.Penal. Prokuroria pranë Gjykatës së Shkallës së Parë Tiranë, me shkresën nr. 6170, datë 31.10.2014, ka dërguar në Agjencinë e Mbikëqyrjes Policore (SHKB), Vendimin e Mosfillimit penal për material kallëzues, duke urdhëruar kthimin e sendit të sekuestruar sipas dispozitivit të këtij vendimi.”.

38.       Konkluzion: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor rezulton se procedura e ndjekur për emërimin e Drejtores së Hetimit të Krimit Kibernetik Ervina Gjana ka qenë fiktive dhe me rezultat të paracaktuar. Kjo del qartazi nga fakti se zonja Gjana ka depozituar dokumentacionin përpara shpalljes së vendit vakant, ka qenë kandidaturë e vetme, aplikimet janë hapur vetëm për dy ditë dhe emërimi është kryer përpara trajnimit në Akademinë e Sigurisë, në shkelje të përcaktimeve ligjore të Ligjit nr. 108/2014 “Për Policinë e Shtetit”. Po ashtu, rezulton se zonja Gjana nuk kishte asnjë eksperiencë të mëparshme në hetimin e krimeve kibernetike, certifikata e saj e sigurisë nuk ishte konform detyrës së re dhe në vitin 2014 që përkon me largimin nga detyra e specialistes së Sektorit të Serverave në Drejtorin e Teknologjisë së Informacionit, ishin referuar materialet proceduriale si e dyshuar për kryerjen e veprës penale të “Vjedhjes”, e parashikuar nga neni 134 i Kodit Penal.

 

II.        NDËRHYRJA NË SISTEMIN TIMS NË DATAT 2-3 GUSHT 2023

 

            A.        PREZANTIM I SISTEMIT TIMS

39.       Nga përmbajtja e shkresës nr. 3755/2 prot., datë 26.04.2024 të Drejtorit të Përgjithshëm të Policisë së Shtetit, zotit Muhamet Rrumbullaku, por edhe dëshmive të marra nga Komisioni Hetimor sa i përket historikut dhe funksionimit të sistemit TIMS rezulton se pas viteve 2000 në Policinë e Shtetit ishte shfaqur nevoja për një sistem të centralizuar me qëllim modernizimin dhe transformimin e Policisë së Shtetit Shqiptar me anë të përdorimit të teknologjisë. Në vitin 2002 nga Programi ICITAP, i Departamentit të Drejtësisë së Shteteve të Bashkuara të Amerikës, filloi dizenjimi i sistemit TIMS në formë donacioni për Policinë e Shtetit. Implementimi i sistemit TIMS në Pikën e Kalimit Kufitar Rinas u realizua në vitin 2004, ndërsa është bërë funksional në të gjitha Pikat e Kalimit Kufitar në vitin 2010. Në vitin 2014 është kryer investimi i fundit mbi infrastrukturën fizike të serverave të bazës së të dhënave të sistemit TIMS. Përditësimi i fundit në kodin e sistemit TIMS është realizuar në vitin 2015. ICITAP e përfundoi projektin e mbështetjes për teknologjinë e informacionit të Policisë së Shtetit në vitin 2020.

40.       TIMS (Total Information Management System) është Sistemi i Menaxhimit Total të Informacionit në lidhje me: (i) gjeneralitetet e shtetasve shqiptar apo të huaj, të cilët kanë regjistruar të paktën një hyrje/dalje nga territori i Republikës së Shqipërisë apo kanë një dokument udhëtimi të lëshuar nga Republika e Shqipërisë; (ii) të dhënat e dokumenteve të identifikimit, të cilët kanë regjistruar të paktën një hyrje/dalje ose janë të lëshuara nga Republika e Shqipërisë; (iii) të dhëna për automjetet, të cilët kanë regjistruar të paktën një hyrje/dalje nga territori i Republikës së Shqipërisë; (iv) informacionin e shtetasve për hyrje/daljet nga territori i Republikës së Shqipërisë; (v) urdhër arrestimi, ndalimi, kërkimi, të dyshuar; (vi) shtetasve të kategorive Inad dhe Deportiv; (vii) njoftime (për shtetas, dokumente, automjete) në kufi nga çdo strukturë e Policisë së Shtetit; (viii) informacion mbi personat e ndaluar, arrestuar, shoqëruar; (ix) aplikimet për leje qëndrimi të personave me shtetësi të huaj (shkëputur nga TIMS në vitin 2024 me qëllim rritjen e performancës); (x) lejet e qëndrimit për personat me shtetësi të huaj (shkëputur nga TIMS në vitin 2024 me qëllim rritjen e performancës); (xi) kundravajtjet administrative të automjeteve dhe masat plotësuese mbi lejet e drejtimit (shkëputur nga TIMS në vitin 2024 me qëllim rritjen e performancës); (xii) personat në kërkim, dokumenta në kërkim, automjete në kërkim, kombëtar dhe ndërkombëtar etj.; (xiii) informacion për shtetas të huaj të shpallur non grata apo të cilëve ju ndalohet hyrja në Republikën e Shqipërisë.

41.       Mbledhja dhe trajtimi i të dhënave dhe të informacioneve të përmendura më lart, ka për qëllim ruajtjen e rendit dhe të sigurisë publike, parandalimin dhe hetimin e veprave penale, kontrollin kufitar dhe menaxhimin e migracionit.

42.       Sistemi TIMS aksesohet përmes rrjetit të Policisë së Shtetit. Sektori i Menaxhimit të Informacionit mundëson dhënien e aksesit për punonjësit e Policisë në bazë të parimit “nevojë për njohje” sipas detyrave funksionale. Duke qenë një sistem i qendërzuar, çdo informacion i hedhur apo përditësuar në sistemin TIMS i shfaqet menjëherë të gjithë përdoruesve të autorizuar për të parë këtë informacion, në çdo post pune në Policinë e Shtetit.

43.       Në sistemin TIMS, në bazë të marrëveshjeve të nënshkruara midis Policisë së Shtetit dhe institucioneve të tjera ligjzbatuese, kanë akses për të parë informacionin e tij sipas niveleve të ndryshme të aksesit edhe: (i) përdorues nga prokuroritë pranë Gjykatave të Shkallës së Parë të Juridiksionit të Përgjithshëm në të gjitha rrethet gjyqësore; (ii) përdorues pranë Prokurorisë së Përgjithshme; (iii) përdorues pranë Prokurorisë së Posaçme kundër Korrupsionit dhe Krimit të Organizuar; (iv) përdorues pranë Byrosë Kombëtare të Hetimit; (v) përdorues pranë Shërbimit Informativ Shtetëror; (vi) përdorues pranë Drejtorisë Rajonale të Doganave; (vii) përdorues pranë Drejtorisë së Përgjithshme të Doganave; (viii) përdorues pranë Drejtorisë së Përgjithshme të Transportit Rrugor; (ix) përdorues pranë përfaqësive diplomatike e konsullore të vendit tonë, kudo në botë.

44.       Në dëshminë e dhënë në datën 04.06.2024, ministri i Brendshëm, zoti Taulant Balla ka deklaruar se nga viti 2004 deri më sot, numri i llogarive që kanë pasur akses në sistemin TIMS janë 7 mijë e 452 përdorues, nga të cilët janë aktivë 4 mijë e 417 përdorues, çka në vlerësimin e ministrit përbën një numër shumë të madh dhe rrit mundësinë e ekspozimit.

45.       Me qëllim forcimin e kapaciteve dhe përditësimin e sistemit TIMS, në bazë të kërkesave për përmirësime të funksionaliteteve të kërkuara nga strukturat e saj, si dhe detyrimet që rrjedhin për integrimin në Bashkimin Evropian, Policia e Shtetit ka parashikuar një fond prej 160 milionë lekë ose 1.6 milionë euro për vitet 2024 – 2025 për ri-dizenjimin e plotë të këtij sistemi.

B.        NDËRHYRJA NË SISTEM

46.       Duke ju referuar shkresës Nr. 2707 Prot, datë 08.08.2023, të Drejtorisë së Përgjithshme të Policisë së Shtetit, me lëndë: “Dergim materali për fillimin e procedimit penal”, rezulton se në datën 02.08.2023, ora 14:51, punonjësi i Policisë, Z. Ardit Muço, ka dërguar një e-mail, nga e-maili i tij i punës, tek adresat sisteme-it@aso.gov.al; dba-it@asp.gov.al, siguria-it@asp.gov.al. Ky e-mail i është bërë CC Drejtorit të Përgjithshëm të Policisë së Shtetit, Drejtorit të Departamentit të Policisë Kriminale dhe Drejtorit të Drejtorisë së Mbrojtjes së të Dhënave. Po në datën 02.08.2023, ora 22:54, në adresat e sipërpërmendura, por edhe në adresën elektronike të Ministrit të Brendshëm dhe Drejtuesit të Agjensisë se Mbikqyrjes Policore, ka mbërritur një e-mail me subjekt “ndaloni vjedhjen e e të dhënave”, dërguar nga adresa denoncuesit@proton.me.

47.       Nga dokumentacioni i administruar nga Komisioni Hetimor dhe dëshmitë e mara nga personat e thirrur për të dëshmuar përpara Komisonit Hetimor, lidhur me momentin e marrjes së dijenisë mbi ngjarjen nga drejtuesit e instituioneve kryesore të linjës, si Minstri i Brendshëm, Drejtori i Përgjithshëm i Policisë së Shtetit dhe Drejtuesi i Agjensisë së Mbikqyrjes Policore, ka rezultuar se: 

47.1     Referuar shkresës me Nr. 4546/1, datë 29.04.2024 të Ministrisë së Brendshme, drejtuar Kuvendit të Shqipërisë dhe dëshmisë së Ministrit të Brendshëm përpara Komisionit Hetimor, del qartë fakti se Ministri i Brendshëm Z. Taulant Balla, është vënë në dijeni për ngjarjen në mbrëmjen e datës 02.08.2023, pas mbërritjes së e-mailit të sipërpërmendur në orën 22:54, në postën e tij elektronike zyrtare. Sapo është njohur me përmbajtjen e e-mail-it, ai ka njoftuar Drejtorin e Përgjithshëm të Policisë së Shtetit dhe Drejtorin e Agjencisë së Mbikqyrjes Policore për kryerjen e të gjitha verifikimeve në lidhje me rastin. Për ngjarjen Ministri i Brendshëm ka njoftuar edhe Kryeministrin i cili ka kërkuar ndjekjen e të gjitha procedurave të parashikuara nga kuadri ligjor përkatës.

47.2     Drejtoria e Përgjithshme e Policisë së Shtetit me anë të shkresës Nr. 3755/2 Prot, datë 26.05.2024, drejtuar Kuvendit të Shqipërisë, ka sqaruar se në adresën elektronike zyrtare të Drejtuesit të Policisë së Shtetit muhamet.rrumbullaku@asp.gov.al, kanë mbërritur dy mesazhe. Konkretisht e-mail-i i datës 02.08.2023, ora 14:51, me subjekt “Tërheqje vëmendje”, dërguar nga Z. Ardit Muco Shef i Sektorit të Serverave dhe ai i datës 02.08.2023 ora 22:54, me subjekt “Ndaloni vjedhjen e të dhënave të policisë së shtetit, drguar nga adresa e paidentifikuar denoncuesit@proton.me.

47.3     Në kohën e mbërritjes së e-mail-eve Drejtori i Përgjithshëm i Policisë së Shtetit ka qenë në aktivitet në Drejtorinë Vendore të Policisë Dibër. Drejtuesi i Policisë së Shtetit Z. Muhamet Rrumbullaku, ka marë dijeni për ngjarjen kur ka aksesuar aksesuar  e-mail-in e tij zyrtar në datë 03.08.2024 rreth orës 08:00. Aksesi në postën elektronike kryhet vetëm nga zyra dhe jo nga celulari drejtuesve të Policisë, për shkak të sigurisë që prej sulmit kibernetik të shtatorit të vitit 2022. Këto rrethana u konfirmuan edhe nga Z. Muhamet Rrumbullaku gjatë dhënies së dëshmisë së tij përpara Komisionit Hetimor. Lidhur me njoftimin e marë nga Ministri i Brendshëm në datë 02.08.2023, ai nuk ka dhënë sqarime dhe ka rikonfimuar se dijeni për ngjarjen ka marrë në datë 03.08.2023 në mëngjes, pasi nëse do të ishte e kundërta ai do të ishte nisur menjëherë për në ambientet e DTI, për të verifikuar veprimet e vartësve të tij.

47.4     Të njëjtin qëndrim ka mbajtur edhe Agjensia e Mbikqyrjes Policore, në lidhje me dijeninë për ngjarjen. Me anë të shkresës Nr. 1561 Prot, datë 26.04.2024, drejtuar Kuvendit të Shqipërisë, ky institucion sqaron se në adresën e postës elektronike të Drejtorit të Përgjithshëm të AMP-së, në datë 02.08.2023 ora 10:54, ka ardhur një e-mail nga adresa denoncuesit@proton.me.E-mail është aksesuar nga drejtuesi i institucionit në datë 03.08.2023, që për atë periudhë, ka qenë Z. Ardi Veliu. Në dëshminë e tij përpara Komisionit Hetimor, Z. Ardi Veliu, shprehet se për ngjarjen është vënë në dijeni në datën 03.08.2024, kur ka aksesuar e-mail-in zyrtar të punës në ambientet e punës, pasi kjo adresë elektronike nuk mund të aksesohej nga një pajisje tjetër për arsye të sigurisë.

48.       Konkluzion: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se njoftimi i parë për një ndërhyrje të paligjshme në sistemin TIMS ka ardhur nëpërmjet një email-i në orën 14:51 të datës 02.08.2023 nga shefi i Sektorit të Serverave, zoti Ardit Muço, i cili iu është përcjellë drejtuesve kryesorë të Policisë së Shtetit. Më pas njoftimi i dytë ka ardhur nëpërmjet një email-i në orën 22:54 të datës 02.08.2023, ku krahas drejtuesve të Policisë së Shtetit, janë informuar mediat dhe drejtuesit kryesorë të shtetit, përfshirë Ministrin e Brendshëm dhe drejtorin e Agjencisë së Mbikëqyrjes Policore. Megjithë njoftimet e marra nga Ministri i Brendshëm, zoti Taulant Balla, Drejtori i Përgjithshëm i Policisë së Shtetit, zoti Muhamet Rrumbullaku, Drejtori i Agjencisë së Mbikëqyrjes Policore në datën 02.08.2023, datë në të cilën ka filluar edhe ndërhyrja në sistemin TIMS, reagimi institucional ka ardhur vetëm ditën e nesërme në datën 03.08.2023. Deklarimet e zotit Balla, zotit Rrumbullaku dhe zoti Veliu sa i përket marrjes dijeni dhe komunikimeve me njëri-tjetrin janë kontradiktore dhe nuk përputhen me njëra-tjetrën. Nëse reagimi do të kishte qenë në kohë, ndërhyrja e filluar në orën 18:00 të datës 02.08.2023 dhe e shtrirë deri në orën 02:00 të datës 03.08.2023, mund të ishte parandaluar.

49.       Me autorizimin nr. 939 datë 03.08.2023 të Drejtorisë së Përgjithshme të Policisë së Shtetit është ngritur grupi i punës nga punonjës të Drejtorisë së Standarteve Profesionale dhe Drejtorisë për Hetimin e Krimeve Kibernetike, me qëllim verifikimin e ankesës ardhur me anë të e-mail-ve të datës 02.08.2023, mbi mundësinë e vjedhjes së të dhënave të sistemit TIMS.Grupi i punës ka kryer disa veprime verifikuese procedurale, duke marrë deklarimet e punonjësve të Departamentit të Teknologjisë dhe Informacionit, këqyrjen e kamerave të sigurisë, sistemeve të hyrje-daljeve dhe sekuestrimin e pajisjeve fizike të gjendura në ambientet e DTI, të pasqyruara këto në Raport Vlerësimin “Për zbatimin e procedurave standarte të punës në Departamentin e Teknologjisë së Informacionit”, me Nr. 939/1-a Prot, datë 04.08.2023, përpiluar nga Drejtoria e Standarteve Profesionale.

50.       Nga analizimi të tërësi i deklarimeve të dhëna nga punonjësit e DTI, del qartë fakti se në datën 02.08.2023, rreth orës 13:00, në ambientet e DTI, është paraqitur Drejtori Ervin Muça, i cili i ka kërkuar vartësve të tij të kryenin një “Back-up të databazës së sistemit TIMS”. Gjithashtu drejtori i DTI, ka kërkuar që të mbylleshin akseset në sistem të Shefit të Sektorit të Serverave Z. Ardit Muço. Këto urdhëra janë dhënë në mënyrë verbale, duke ju drejtuar punonjësve me tone të larta dhe duke i vënë ata nën kushtet e një presioni të vazhdueshëm për zbatimin e tyre, deri edhe në kërcënime për ndjekje penale për moszbatim urdhëri. Të dhënat e sistemit do të eksportoheshin në një Hard Disk të jashtëm, të cilin e kishte sjellë vetë Ervin Muça. Mbetet e paqartë se nga ishte marrë kjo pajisje. Ky Hard Disk do të ruhej në një kasafortë në rast dëmtimi të sistemit apo sulmi të tij, për ta pasur si rezervë për ruajtjen e të dhënave. Gjatë këtij procesi, në ambientet e DTI-së janë paraqitur edhe dy persona të tjerë që punonjësit nuk i njihnin, por që më pas janë identifikuar si Klodian Mazari dhe Marjana Shehaj, përkatësisht njohje shoqërore e shtetasve Ervin Muça dhe Besjon Tanuzi.

51.       Specialistët e Sektorit kanë njoftuar shefin e Sektorit të Serverave në DTI, Z. Ardit Muça, i cili nodhej me leje, për këtë fakt. Ai i ka porositur specialistët e tij të mos kryejnë asnjë veprim pa miratimin e tij dhe pa parqitjen e një kërkese formale për kryerjen e tyre. Po në datën 02.08.2024, ora 14:34, Z. Ardit Muço është telefonuar nga Drejtori i DTI, Z. Ervin Muça, i cili i ka kërkuar vënien në dispozicion të kodeve të serverave të bazës së të dhënave të sistemit TIMS. Ardit Muço ka refuzuar ta kryejë një veprim të tillë dhe ka dërguar një e-mail vartësve të tij ku u kërkonte të mos kryenin asnjë veprim për eksportimin e bazës së të dhënave të sistemit TIMS, pasi ishte në kundërshtim me ligjin.

52.       Këto fakte janë pohuar edhe nga vetë shtetasi Ervin Muça, gjatë dëshmisë dhënë përpara Komisionit Hetimor, ku u thirr në cilësinë e dëshmitarit. Ky i fundit është shprehur se për veprimet e kryera nuk kishte marrë autorizim konkret nga eprorët e tij, pasi në asnjë moment ligji nuk e ndalonte shprehimisht kryerjen e këtyre veprimeve. Edhe Drejtori i Përgjithshëm i Policisë së Shtetit, gjatë dëshmisë së tij përpara Komisionit Hetimor, e konfirmoi faktin se nuk ka pasur dijeni për këto veprime dhe që në asnjë moment nuk është njoftuar mbi kryerjen e ndonjë procedurë Back-Up të sistemit TIMS, nga drejtuesi i DTI.    

53.       Në lidhje me personat e paautorizuar për të hyrë në ambientet e Departamentit të IT-së, të Policisë së Shtetit, gjatë dëshmisë së tij përpara Komisionit Hetimor, zoti Ervin Muça ka deklaruar se shtetasi Klodian Mazari ka qënë njohje personale e tij dhe se e ka patur vartës kur ka qënë i punësuar pranë AKSHI-it. Atë ditë e ka shoqëruar në ambientet e DTI, për të ndihmuar në kryerjen procesit të “Back-Up”, pasi nga punonjësit e DTI nuk po mundësohej kryerja e këtij procesi. Ndërsa për sa i përket shtetases Marjana Shehaj, Drejtori i Sistemeve pranë DTI Z. Besjon Tanuzi, deklaroi në dëshminë e tij se ajo ishte një njohje personale e tij dhe se ndodhej rastësisht në ambienetet e DTI, për ta uruar për marrjen e detyrës së re.

54.       Nisur nga hetimet dhe verifikimet e kryera në tërësi nga grupi i punës, i ngritur me autorizimin e sipërcituar të Drejtorit të Përgjithshëm të Policisë së Shtetit, ka rezultuar se:

Nga verifikimi i dy IP-ve dërguese të e-mail-eve që janë dërguar tek titullarët e Policisë së Shtetit dhe tek persona të tjerë jashtë Policisë, njëra IP dërguese rezulton brenda territorit të RSH dhe tjetra jashtë territorit të RSH.
Lidhur me ngjarjen është bërë verifikimi i pamjeve filmike, verifikimi i hyrje daljeve në institucion dhe verfikimi i IP-ve që janë përdorur për t’u loguar dhe lidhur me sistemet TIMS.
Janë administruar printimet e hyrje-daljeve në institucion dhe në dhomën e serverave.
Nga verifikimi i pamjeve filmike ka rezultuar se më datë 02.08.2023, në orën 17:45:33, tek porta kryesore kanë hyrë Besjon Tanuzi, së bashku me një shtetas të identifikuar si Klodian Mazari, me detyrë përgjegjës sektori në AKSHI, pranë QKB dhe një vajzë e identifikuar me emrin Marjana Shehi, e cila nuk është punonjëse e DTI. Këta dy persona të shoqëruar nga Besjon Tanuzi kanë hyrë në derën kryesore të godinës dhe më pas ngjiten lart në katin e dytë (hyrja tek porta kryesore është bërë duke futur kodin e Ljubica Dervishit nga ana e Besjon Tanuzi).
Më pas në orën 17:46:33, zbresin nga kati i dytë dhe futen tek zyra e BCC punojësit: Ervin Muça, Klodian Mazari, Xhulia Çollaku, Albana Vrapi, Elvis Hysi dhe Enkli Hoxha.
Gjatë kësaj kohe në zyrën BCC ka qëndruar gjatë gjithë kohës shtetasi Klodian Mazari dhe disa punonjës të DTI.
Më pas, në orën 23:52:33 kanë dalë nga zyra e BCC shtetasi Klodian Mazari dhe Albana Vrapi. Zyra mbyllet nga kjo e fundit dhe të dy ngjiten në katin e dytë.
Në orën 23:54:08 ka dalë nga zyrat e DTI punonjësja Albana Vrapi dhe më pas, në orën 00:19:03 të datës 03.08.2023, kanë zbritur nga kati i dytë dhe dalin jashtë drejtori i DTI Ervin Muça dhe Klodian Mazari;
Nga kqyrja e pamjeve filmike të korridorit kryesor të institucionit të DTI, rezulton se drejtori i DTI Ervin Muça dhe Drejtori i Drejtorisë së Sistemeve në DTI Besjon Tanuzi, kanë hyrë dhe kanë dalë disa herë nga ky institucion në periudha të ndryshme kohore.
Nga verifikimi ka rezultuar se në orën 23:01, ka dalë nga institucioni drejtori i DTI Ervin Muça dhe në sistemin e hyrje-daljeve rezulton se ka përdorur kodin e punës të punonjëses Ljubica Dervishaj. Në orën 23:16 Ervin Muça hyn përsëri në institucion duke përdorur kodin e hyrjes së Ljubica Dervishaj (gjatë deklarimeve kjo e fundit ka thënë se kodin ja kishte dhënë vetëm Drejtorit Besjon Tanuzi).
Është gjetur dhe hard disk që do të përdorej për ruajtjen e të dhënave sipas dëshmisë së punonjëses Xhuljeta Çollaku.
Nga kqyrja e të dhënave të serverit të bazës së të dhënave të sistemit TIMS, në user-in “oracle”, rezultoi se në dosjet me emërtime “fullBackup”,“fullBackup2” dhe “fullBackup3”, ndryshimi i fundit ishte bërë më datë 03.08.2023, ora 01:39:34. Gjithashtu brenda dosjes me emërtimin “fullBackup3” ndodheshin tre skedarë për të cilët ndryshimi i fundit ishte bërë në datë 02.08.2023, ora 23:53. Brenda dosjes me emërtimin “fullBackup2”, ndodheshin katër skedarë ku për tre prej tyre ndryshimi i fundit ishte bërë në datë 02.08.2023 ora 21:27, ndërsa për skedarin tjetër ndryshimi ishte bërë në datë 02.08.2023, ora 23:20. Në dosjen me emërtimin “fullBackup” ndodheshin dymbëdhjetë skedarë ku për nëntë prej tyre ndryshimi i fundit ishte bërë në datë 03.08.2023, ora 00:31, ndërsa për tre skedarët e tjerë ndrsyhimi I fundit ishte bërë në datë 03.08.2023 ora 00:30.
Gjatë intervistimit, Drejtori i Departamentit të DTI-së Ervin Muca, ka sqaruar se nuk ka të administruara rregullore apo procedura standarte, për funksionimin e DTI-së, dhe se nuk ka ndonjë urdhër apo material shkresor në lidhje me veprimet në fjalë. Nga verifikimet e kryera rezulton se janë administruar në librarinë elektronike, në faqen zyrtare të policisë së shtetit, procedura standarte dhe përshkrime të punës për DTI-në. Gjithashtu referuar Programit të Punës nr. 3410, datë 28.04.2023, miratuar nga Drejtori i Përgjithshëm i Policisë së Shtetit, “Për rishikimin e procedurave standarte të punës”, për të gjitha strukturat, nuk ka pasur dërgim materiali nga ana e DTI, në lidhje me këtë detyrim që lidhet me afatin 30.07.2023, pavarësisht komunikimeve apo kërkesave në rrugë elektronike me Sektorin e Koordinimit të Politikave dhe Procedurave Standarte.

55.       Pas vlerësimit dhe analizimit të të gjitha fakteve dhe provave të administruara, në Raport Vlerësimin “Për zbatimin e procedurave standarte të punës në Departamentin e Teknologjisë së Informacionit”, përpiluarnga Drejtoria e Standarteve Profesionale pranë Drejtorisë së Përgjithshme të Policisë së Shtetit, konstatohet se nga Drejtuesi i Departamentit të Teknologjisë së Informacionit Z. Ervin Muça dhe punonjësit në vartësi, janë kryer disa shhkelje të dispozitave ligjore në fuqi, si vijon:

Referuar ligjit nr. 10325, datë 23.9.2010 “Për bazat e të dhënave shtetërore”, në nenin 4 të tij “Krijimi i bazës së të dhënave shtetërore”, pika 3, “ndalohet krijimi i bazave të të dhënave shtetërore të vecanta për të njëjtin informacion ose qëllim” dhe nuk trajton transmetimin e bazës së të dhënave në databaza të tjera apo pajisje të tjera të ngjashme.
Drejtori i DTI ka shkelur parashikimet ligjore të VKM-së Nr. 710 datë 21.08.2013 “Për krijimin dhe funksionimin e sistemeve të ruajtjes së informacionit, vazhdueshmërisë së punës dhe marrëveshjeve të nivelit të shërbimit”, pika 1 shkroja c e cila parashikon se: “Institucioni duhet të hartojë dokumentin e politikave të vazhdueshmërisë së punës dhe një plan për ruajtjen e informacionit, në përputhje me udhëzimet të nxjerra nga ministri për çështjet e teknologjisë së informacionit.”
Referuar Procedurave Standarte “Për ruajtjen dhe sigurimin e objekteve nga punonjësit e policisë së shtetit” miratuar me Urdhër Nr. 429, datë 26.04.2017 të Drejtorit të Përgjithshëm të Policisë së Shtetit, konkretisht shkronja B pika 1/b “Sigurimi I jashtëm I objekteve synon në kontrollin e zbatimin e rregullave të regjimit të hyrje dakjeve së punonjësve të këtyre objekteve të personave të tjerë”, shkronja C,pika 5/d, “në rastst e konstatimit apo të prishjes së sigurisë në ndonjë ambient apo në zyrë, personi i cili ka bërë konstatimin njofon menjëherë shërbimin e drejtimit, I cili vë në dijeni titullarin e institucionit. Gjatë kësaj kohe ambienti ruhet derisa të mbërrijnë personat përgjegjës për menaxhimin e kësaj situate”, shkronja F, pika2, “Hyrja ose dalja e punjosëve në ambientet e punës jashtë orarit zyrtar dhe/ose në ditë pushimi, evidentohet nga punonjësit e shërbimit të ruajtjes”, shkronja F, pika 5, “Punonjësit e strukturave të varësisë që kërkojnë të hujnë për nevoja pune në institucione, do të lejohen pas konfirmimit nga struktura përkatëse dhe pajisjen me fletë hyrje-dalje ditore. Për rastet e parashikuara në këtë pikë, punonjësit e shërbimit bëjnë evidentimin e hyrje dakjeve në ndërtesa/mjediset e institucionit”, evidentohet moszbatimi i rregullave të sipërpërmendura të hyrjeve dhe të daljeve nga institucioni, s inga drejtuesit dhe punonjësit e institucionit, ashtu edhe nga punonjësit e shërbimit të ruajtjes së institucionit.
Titullari i institucionit, referuar nenit 35, 36, 37 të ligjit Nr. 10/2023 “Për informacionin e klasifikuar”, duhet të kishte miratuar me urdhër ndarjen e Zonave të Sigurisë, planin dhe skemën e ruajtjes së sigurisë fizike të objektit ku mbahet dhe ruhet informacion i klasifikuar. Me urdhër të titullarit duhet të përcaktohen Zonat Teknikisht të Sigurta. Gjithashtu duhet të ishte përcaktuar “Mënyra e ruajtjes fizike”. Këtu përfshihen tërësia e masave teknike dhe elektronike për të bërë të mundur shmangien e hyrjes me forcë ose të fshehtë të personave dhe mjeteve të paautorizuara, dhe vendosja e pajisjeve, mjeteve dhe sistemeve të vëzhgimit, sinjalizimit e kontrollit me qëllim parandalimin e hyrjes së personave të paautorizuar në zonat e sigurisë.
Drejtori i Departamentit të DTI, Ervin Muca dhe Drejtori i Sistemeve në këtë departament Besjon Tanuzi, nuk janë pajisur me CSP dhe as nuk kanë aplikuar. 
Ervin Muça dhe Besjon Tanuzi kanë lejuar hyrjen në institucion të personave të paautorizuar.
Kanë urdhëruar punonjësit e vartësisë, për të kryer veprime në kundërshtim me detyrën që ata ushtrojnë.
Në lidhje me veprimin që kanë ndërmarrë me gjithë stafin e tij, Ervin Muça, nuk ka informuar pranë DPPSH, nëpërmjet një memo infrmuese, informacioni apo një plan veprimi për problematikat e konstatuara dhe veprimet e ndërmarra nga ana e tij për rregullimin e tyre.
Fakti që veprimet janë kryer në orët e vona të natës, janë futur persona të paautorizuar jo pjesë e stafit, është check-uar me pinin personal të një punonjësi tjetër joprezent, krijon dyshime të arsyeshme për veprime jo korrekte dhe në kundërshtim me ligjin.

56.       Në analizë të veprimeve të mësipërme, dyshohet se në sistemet përkatëse ka patur ndryshime dhe pikërisht në skedarët e “back-up”, të cilat për t’u përcaktuar saktësisht kërkojnë ekspertim kompjuterik nga ekspertë të fushës.Nga ana e Strukturës së Posacme Kundër Korrupsionit dhe Krimit të Organizuar, me kërkesë të Prokurorisë pranë Gjykatës së Shkallës së Parë të Juridiksionit të Përgjithshëm Tirnanë, është kryer akt ekspertimi i provave digjitale, për efekt të hetimeve që po kryhen për ngjarjen, fakt për të cilin jemi vënë në dijeni nga ana e SPAK me anë të shkresës nr. 6123/1, datë 25.04.2024, drejtuar Kuvendit të Shqipërisë. Akti i ekspertimit nuk na është vënë në dispozicion.

57.       Lidhur me ngjarjen dhe për kryerjen e veprimeve të nevojshme proceduriale, është ngritur një grup pune edhe nga Agjencia e Mbikëqyrjes Policore, me qëllimin për verifikimin e problematikës së ngritur në e-mail-et e dërguara në adresat e drejtuesve të policisë dhe personave të tjerë. Në vijim të veprimeve proceduriale është kryer një inspektim të Departamentin e Teknologjisë së Informacionit. Në përfundim të këtyre hetimeve, referuar shkresës Nr. 2014/1 Prot, datë 07.08.2023, përpiluar nga Agjencia e Mbikëqyrjes Policore, ka rezultuar se nga ana e Drejtorit të DTI dhe vartësve të tij, janë kryer disa shkelje të ligjit, që vijojnë si më poshtë:

Drejtori i Departamentit të TI dhe Drejtori i Drejtorisë së Serverave në DTI, pavarësisht se janë funksione të cilat njihen dhe administrojnë informacion të klasifikuar, janë të papajisur me Certifikatë të Sigurisë së Personelit.
Drejtori i Departamentit të Teknologjisë së Informacionit ka urdhëruar kryerjen e procesit, të back up, pa një urdhër të Drejtorit të Përgjithshëm të Policisë së Shtetit, në kundërshtim me procedurën standarde të punës dhe në mungesë të një urdhëri ose dokumenti tjetër që e legjitimon këtë gjë.
Urdhri i Drejtorit të Departamentit të DTI për hapjen e portës USB bie ndesh me Telegramin nr. 4326, datë 15.05.2023 i DPPSH, “Mbi mënyrën e përdorimit dhe administrimit të sistemeve dhe pajisjeve teknologjike në të gjitha strukturat e Policisë së Shtetit”.
Hyrja e shtetasve të paautorizuar në ambjentet e laboratorit të DTI, i cili është ambient i sigurisë së lartë duke kryer edhe veprime të drejtpërdrejta në sistemet në administrim të Policisë së Shtetit është në kundërshtim me “Procedurat standarte të punës për rregullat e hyrje/daljeve të personave në mjediset e Policisë së Shtetit”, miratuar me urdhër nr. 508/1, dt. 17.6.2022 të DPPSH.

58.       Lidhur me hetimet e kryera për rastin dhe konstatimet e bëra gjatë tyre, nga ana e Drjtorisë së Përgjithshme të Policisë së Shtetit janë marrë disa masa disiplinore të përkohshme.Me Vendimin Nr. 409, datë 03.08.2023, Drejtori i Përgjithshëm i Policisë së Shtetit, ka pezulluar nga detyra për një periudhë 5-ditore Drejtorin e Departamentit të Teknologjisë së Informacionit Z. Ervin Muça dhe është filluar hetimi disiplinor për Drejtuesin e Lartë Ervin Muça, i cili do të kryhej nga Komisioni Qendror i Apelimit. Rezultatin e këtij hetimi nuk e kemi, por nga rrethanat del qartë fakti se Ervin Muça ka vazhduar ta mbajë postin e Drejtuesit të DTI, pasi gjatë kësaj kohe i ka propozuar për emërim Drejtorit të Përgjithshëm të Policisë së Shtetit, Drejtorin e Drejtorisë së Sistemeve në DTI-në e Policisë së Shtetit, Z. Enri Ndoni.

59.       Gjatë kësaj kohe ka nisur hetimi disiplinor për Drejtorin e Sistemeve në DTI, Z. Besjon Tanuzi. Rezultatin e këtij hetimi nuk e disponojmë, por nga vlerësimi i provave dhe fakteve rezulton se ndaj këtij punonjësi, nuk është marrë asnjë masë pezullimi nga detyra në momentin e parë. Ai është dorëhequr nga detyra pas ngjarjes së ndodhur në datat 2 – 3 Gusht 2023. Me vendimin Nr. 408, datë 03.08.2023, Shefi i Sektorit të Serverave, Ardit Muça, është pezulluar nga detyra. Është urdhëruar që për punonjësin administrativ Ardit Muco të fillojë hetimi administrativ për shkelje të rëndë, me arsyetimin se ka dy javë që nuk është paraqitur në detyrë. Ndërkohë që ky shtetas ka qënë me leje dhe është kthyer në punë normalisht pas përfundimit të periudhës së lejes. Pra, për punonjësin që ka denoncuar ngjarjen dhe që ka njoftuar vartësit për mos të zbatuar urdhëra të dyshuar si të kundraligjshëm, është vendosur masë pezullimi nga detyra, ndërsa për punonjësin që ka marrë pjesë në veprime të dyshuara si të kundraligjshme, është lejuar vijimi normal i detyrës.

60.       Për punonjësit e tjerë, pavarsisht se kanë marrë urdhër nga Drejtori DTI, përkatësisht specialistët Albana Vrapi, Xhuljana Collaku, Enkli Hoxha, Elvis Hysi, Egis Hidri, Ljubica Dervishaj dhe Griselda Sina, ka nisur hetimi administrativ për shkelje të rëndë disiplinore. Rezultatet e këtij procedimi disiplinor nuk na janë vënë në dispozicion. I pyetur gjatë dëshmisë së tij në Komisionin Hetimor mbi mosfillimin e procedurave për largimin nga strukturat drejtuese të Policisë së Shtetit të zotit Ervin Muça dhe personave të tjerë, që rezultojnë të përfshirë në këtë ngjarje, Drejtori i Përgjithshëm i Policisë së Shtetit u justifikua me faktin se janë në pritje të vendimit gjyqësor penal të formës së prerë. Megjithatë, siç u evidentua nga ana e deputetëve të Komisionit Hetimor, ky nuk ka qenë standardi i ndjekur nga Policia e Shtetit, në rastet e tjera, kur pavarësisht se nuk ka pasur vendim penal të formës së prerë, është marrë vendimi për përjashtimi nga strukturat e Policisë.

61.       Në datën 08.08.2023, me shkresën Nr. 2707 Prot., të Drejtorisë së Përgjithshme të Policisë së Shtetit, i është përcjellë Prokurorisë pranë Gjykatës së Shkallës së Parë të Juridiksionit të Përgjithshëm Tiranë, “Informacioni për referimin e veprës penale”.Me anë të shkresës me nr. 11097 Prot, datë 09.05.2024, drejtuar Kuvendit të Shqipërisë, Prokuroria pranë Gjykatës së Shkallës së Parë të Juridiksionit të PërgjithshëmTiranë, ka informuar se në bazë të materialit referues të Drejtorisë së Përgjithshme të Policisë së Shtetit, është regjistruar me Nr. Kallzimi 9866, datë 01.09.2023. Materiali i përcjellë për vlerësim nga Agjencia e Mbikëqyrjes Policore, i është bashkuar materialit procedurial me Nr. Kallzimi 9866, datë 01.09.2023.

62.       Prokuroria pranë Gjykatës së Shkallës së Parë të Juridiksionit të PërgjithshëmTiranë ka regjistruar procedimin penal Nr. 5404, datë 01.09.2023 për veprat penale “Shpërdorimi i detyrës” dhe “Hyrja e paautorizuar kompjuterike”, parashikuar nga nenet 248 dhe 192/b të Kodit Penal. Mbështetur në rrethanat e faktit si dhe tërësinë e akteve të procedimit penal Nr. 5404, datë 01.09.2023, nga ana e organit të akuzës është kërkuar caktmin e masës së sigurimit personal “Arrest në shtëpi” dhe “Pezullimi i ushtrimit të një detyre a shërbimi publik” për shtetasin Ervin Muça. Kjo kërkesë është miratuar nga Gjykata e Shkallës së Parë të Juridiksionit të Tiranë me anë të vendimit Nr. 919 Regj, datë 09.04.2024.

63.       Në datë 31.08.2023 Drejtori i Përgjithshëm i Policisë së Shtetit, ka nxjerrë urdhrin Nr. 1237 “Për miratimin e manualit për sigurinë e informacionit” dhe urdhrin Nr. 1238 “Për miratimin e manualit për vazhdueshmërinë e punës në rastet e ndodhjes së një incidenti, ndërprerje të shërbimeve apo fatkeqësie”. Këto urdhra janë nxjerrë pas ndërhyrjes në sistemin TIMS ndërkohë që ka qënë detyrë e Drejtorit të Përgjithshëm të Policisë dhe Drejtuesit të DTI, të merrnin masa për zbatimin e Urdhrit Nr. 47, datë 14.04.2023 të Ministrit të Brëndshëm “Për miratimin e structures së Policisë së Shtetit” dhe të Programit të Punës të miratuar nga vetë DPPSH, me Nr. 3410, datë 28.04.2023 “Për rishikimin e Procedurave Standarte të Punës për të gjithë strukturat e Policisë së Shtetit”.

64.       Konkluzioni: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se shtetasi Ervin Muça, me detyrë Drejtor i Departamentit të IT-së në Policinë e Shtetit, së bashku me Drejtorin e Drejtorisë së Sistemeve, Besjon Tanuzaj, dhe punonjës të tjerë të Departamentit të IT-së, kanë kryer një sërë shkeljesh ligjore, duke vënë në rrezik sigurinë e sistemit të dhënave TIMS. Konkretisht, këta shtetas në bashkëpunim me njëri-tjetrin kanë lejuar hyrjen e paautorizuar në ambientet e rëndësisë së veçantë të Policisë së Shtetit, nuk kanë marrë leje apo autorizim paraprak nga Drejtori i Përgjithshëm i Policisë së Shtetit për kryerjen e procesit të back-up-it, kanë bërë transferimin pjesërisht të të dhënave të sistemit TIMS në pajisje të jashtme, kanë hyrë në godinë duke përdorur kodin e një punonjëse që ishte me leje vjetore, kanë operuar në orët e vona të natës dhe jashtë orarit zyrtar, kanë urdhëruar vartësit për kryerjen e detyrave në kundërshtim me ligjin, si dhe nuk kanë hartuar aktet sipas Urdhërit Nr. 3410, datë 28.04.2023 të Drejtorit të Përgjithshëm të Policisë së Shtetit. Megjithë shkeljet flagrante të ligjit, këta punonjës janë pezulluar vetëm për një periudhë 5-ditore dhe më pas janë lejuar që të vijojnë punën normalisht, pa filluar procedura e shkarkimit nga detyra, në kushtet kur qoftë Drejtoria e Përgjithshme e Policisë së Shtetit, ashtu edhe Agjencia e Mbikëqyrjes Policore kishin konstatuar kryerjen e veprimeve a mosveprimeve në kundërshtim me ligjin, dhe duke vënë në rrezik sigurinë e një infrastrukture kritike për Policinë e Shtetit.

III.       HAKERIMI I SISTEMIT TIMS

65.       Gjatë dëshmisë së tij të datës 04.06.2024, Drejtori i Departamentit të Teknologjisë së Informacionit, zoti Ervin Muça deklaroi se ndaj sistemit TIMS kishte pasur dy sulme kibernetike, i pari i ndodhur në 14 tetor 2021 dhe i dyti i ndodhur në 9 shtator 2022. Sulmi i parë ishte mbajtur i fshehtë, pa u kryer ndonjë hetim apo marrë ndonjë masë konkrete, çka ishte bërë shkak që më pas të ndodhte edhe sulmi i dytë i hakerave iranianë. Si rezultati këtyre sulmeve, zoti Muça deklaroi se të dhënat e sistemit TIMS deri në shtator 2022, gjenden në kanalin online. Pra, ato janë lehtësisht të aksesueshme nga kushdo, që ka interes, duke përfshirë këtu edhe grupet e krimit të organizuar.

66.       Gjithashtu ai deklaroi se ka pasur edhe raste të tjera kur sistemet e Policisë së Shtetit janë prekur nga sulme Kibernetike, për të cilat duhej të ishte bërë një hetim i plotë, por që në cdo rast që ka pasur një problematikë të tillë, justifikimi kryesor ishte se e kanë bërë “Iranianët”. Kjo gjë nuk ishte e vërtetë, pasi hetimet nuk u thelluan në mënyrë që të zbulohej në të vërtetë kush ishin autorët e sulmeve në sistemet e Policisë së Shtetit.

67.       Kjo gjë vërtetohet edhe nga Memo nr. 2303 Prot, datë 08.10.2021, ku ish-drejtuesja e Drejtorisë së IT-së, Nevila Xoxa, konfirmon se në atë datë në orën 14:20, disa kompjutera të disa përdoruesve administrativë, pikërisht në sektorin e databazës, kanë ekzekutuar skedarë “malëare”, e thënë ndryshe kanë pësuar sulm kibernetik. Drejtuesit dhe punonjësit e Drejtorisë së IT-së dhe sektorit të krimit kibernetik, me veprimet dhe mosveprimete e tyre, nuk kanë bërë një analizë të situatës, për të evidentuar mënyrën e ndërhyrjes, nga vinte ndërhyrja dhe çfarë pasojash kishte dhe nëse mund të merreshin masa për neutralizimin dhe rikuperimin e të dhënave. Në fakt kjo ngjarje u fsheh, dhe pasojat u bënë evidente kur të dhënat u ekspozuan në shtator të vitit 2022, në kanale online.

68.       Gjatë deklarimeve të tij, Ervin Muca, shprehu se këto sulme, u kryen edhe në sistemet e Policisë “Ransomëare”, të cilët arritën të preknin cdo endpoint, ose pikë fundore, përdoruesit fundorë, sepse personat që e kanë pasur për detyrë nuk bënë asnjë izolim të infrastrukturës, kur u identifikua sulmi i tetorit të vitit 2022. Ky sulm mund të evidentohej nëse do të kishte një hetim dhe analizë të plotë të sulmit të vitit 2021, që ishte një indicie për evitimin e katastrofës së vitit 2022. Konstatimet e tij, zoti Muça i mbështeti edhe në hetimet e kryera nga agjencitë ligjzbatuese amerikane dhe ekipi DART i Microsoft, sipas të cilëve nuk u bë i mundur kthimi plotësisht i të gjitha të dhënave të sistemeve elektronike.

69.       Zoti Muça solli në vëmendje faktin se edhe pse policia dispononte zyrtarisht të gjithë indikatorët e sulmit të korrikut të vitit 2022 të institucioneve publike shqiptare, punonjësit e Drejtorisë së TI, nuk kryen asnjë skanim të mjedisit të tyre, për prezencën e këtyre indikatorëve, edhe pse ishin në dijeni të faktit që ishin sulmuar qënë vitin 2021. Kjo të çon në konkluzionin se ky fakt ishte fshehur në mënyrë të qëllimshme. Ky mosveprim, solli si pasojë fshirjen e çdo sistemi dhe çdo back-up-i, në sulmin e shtatorit të vitit 2022, duke çuar për javë të tëra në rrëzimin e të gjitha sistemeve.

70.       Në përfundim, rikuperimi i sistemeve dhe të dhënave u arrit vetëm falë skuadrës së “Microsoft-it”. Nëse stafi i drejtuar nga ish-drejtuesja e Drejtorisë së IT-së, zonja Xoxa, do të kishte kryer detyrën dhe do të skanonte mjedisin për “inicators of compromise” (IOC), ose indikatorët e kompromentimit të korrikut 2022, do të ishte stopuar fshirja masive e të dhënave të sulmit të shtatorit të vitit 2022, në sistemet e Policisë së Shtetit, dhe këto janë fakte të pakontestueshme – shpreh zoti Muça.

71.       Ekzistenca e sulmeve kibernetike në vitet 2021 – 2022 është konfirmuar edhe nga zoti Endri Ndoni. Konkretisht, gjatë dëshmisë së tij të datës 26.06.2024, Drejtori i Sistemeve në Departamentin e IT-së, zoti Endri Ndoni ka deklaruar se: “Në vitin 2021, unë kisha rreth 6 muaj që isha shkëputur totalisht nga Policia e Shtetit dhe merresha esksluzivisht me SPAK-un dhe BKH-në. Sidoqoftë, në qoftë se nuk gaboj, por është edhe te memoja, diku rreth datës 10 tetor, e quajmë diku nga tetori, është memoja, ka pasur një sulm kibernetik ndaj rrjetit të Policisë së Shtetit, ku u arrit të enkriptoheshin disa kompjutera që i përdorte IT-ja e Policisë së Shtetit, të gjithë ata persona që rrinin në katin e katërt dhe merreshin me administrimin e sistemeve, jo vetëm sistemi TIMS, por të gjitha sistemeve. Unë nuk di ta them dhe ky është opinion, por unë besoj se Policia e Shtetit është hakeruar që në tetor të 2021-t dhe njerëzit kanë ndenjur aty brenda, kanë marrë informacion, sepse, po ta shikoni, i gjithë informacioni i sistemeve që ka dalë me email-e të ish-drejtorit të Përgjithshëm, Gledis Nano, e me informacione, me hyrje-dalje njerëzish, ky nuk është një informacion, të cilit ti mund ta marrësh sot për sot, sepse flasim për terrabite informacion.”.

72.       I pyetur specifikisht nëse sistemi i TIMS është hakeruar, zoti Ndoni është përgjigjur: “A është hakeruar? Po, është hakeruar, sepse ty të doli, sikur hiç fare, informacioni i fluturimeve të kryeministrit tënd në faqen e Telegramit; ty të dolën e-mail-et e drejtorit të Përgjithshëm të Policisë nëçastin kur ai ishte drejtor i Antiterrorit, qëështë edhe më problematike. Sepse, normalisht, drejtori i Përgjithshëm i Policisë mund të njihet me disa informacione, por ai i antiterrorist të gjithë informacionin e ka të tmerrshëm, sepse flitet për emra, grupe, njëra, tjetra. Kështu që, a është hakeruar? Po, është hakeruar.”.

73.       Po ashtu, gjatë dëshmisë së saj të datës 02.07.2024, drejtoresha e Shërbimit Informativ Shtetëror, zonja Vlora Hyseni e pyetur lidhur me hakerimin e të dhënave të sistemit TIMS, ka deklaruar se: “Duhet t’i ndajmë momentet, sulmet kibernetike nga Irani ndaj infrastrukturës elektronike kritike dhe dyshimet për kopjim të paautorizuar të qëllimshme të të dhënave të sistemit TIMS, në rastin konkret gjykojmë se në dark ëeb janë të dhëna të eksfiltruara nga aktorët kibernetikë, gjatë sulmeve kibernetike ndaj infrastrukturës elektronike shtetërore. Të dhënat janë të analizuara, të ndryshuara, të ndërlidhura nga të dhënat e marra nga sistemet dhe janë hedhur qëllimisht në dark ëeb, nëpërmjet llogarisë “Homeland Justice” dhe në momente të caktuara do të vijojnë t’i përdorin për publikime.”.

74.       Konkluzion: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor rezultoi se në datën 14 tetor 2021, ka pasur një sulm kibernetik në sistemet informatike të Policisë së Shtetit, përfshirë edhe sistemin TIMS. Ky sulm nuk është raportuar, nuk janë kryer verifikime apo hetime të thelluara, si dhe nuk janë marrë masa për pastrimin e sistemeve nga viruse të mundshme apo forcimin e masave të sigurisë për rreziqe që mund t’i kanoseshin sistemit nga sulme kibernetike. Po ashtu, rezultoi se në datën 9 shtator 2022 ka pasur një sulm të dytë të sistemeve informatike të Policisë së Shtetit, përfshirë sistemin TIMS, i cili sipas dëshmive ishte pasojë e drejtpërdrejtë e mosmarrjes së masave në rastin e sulmit kibernetik të tetorit 2021. Si rezultat i këtyre dy sulmeve, drejtuesit e Departamentit të IT-së në Policinë e Shtetit kanë deklaruar se të dhënat e sistemit TIMS deri në shtatorin e vitit 2022 gjendet nëkanale online dhe mund të blihen nga çdo person që mund të jetë i interesuar. Lidhur me këto pretendime, të cilat mbështeten edhe në dokumentacion zyrtar nuk rezulton që të ketë pasur hetime të thelluara administrative apo penale nga institucionet ligjzbatuese. Moskryerja e këtyre hetimeve dhe marrja e masave të nevojshme rrit rrezikun për përsëritjen e sulmeve kibernetike me pasoja shkatërruese për sistemet kritike të Policisë së Shtetit në të ardhmen.

IV.       AKSESI I PAAUTORIZUAR NË SISTEMIN TIMS

75.       Në përmbajtje të shkresës nr. 3755/2 prot., datë 26.04.2024, Drejtorit i Përgjithshëm i Policisë së Shtetit, zotit Muhamet Rrumbullaku ka shpjeguar procedurën se si bëhet dhënia e aksesit për një funksionar të caktuar në sistemin TIMS dhe rregullat e përdorimit të këtij sistemi. Konkretisht, në shkresën e zotit Rrumbullaku thuhet se: “Procedura standarde e punës “Për dhënien e të drejtës dhe mënyrës së përdorimit të llogarive në sistemet e teknologjisë së informacionit në Policinë e Shtetit”, është miratuar me Urdhër nr. 143, datë 04.02.2022 të Drejtorit të Përgjithshëm të Policisë së Shtetit. Kjo procedurë standarde pune ka për qëllim përcaktimin e rregullave, që duhen zbatuar nga punonjësit e strukturave të Policisë së Shtetit, gjatë përdorimit të llogarive në Sistemet e Teknologjisë së Informacionit.”.

76.       Më pas, në përmbajtje të shkresës së Drejtorit Rrumbullaku shpjegohet se:

-           Drejtoria e Menaxhimit të Informacionit dhe Mbrojtjes së të Dhënave, është struktura përgjegjëse e cila pasi bën verifikimin e punonjësit, përcakton të drejtat duke krijuar një profil, sipas detyrës funksionale të tij dhe vazhdon me procedurat e mëtejshme, për krijimin e përdoruesve (user) në këtë sistem.

-           Sistemet e Teknologjisë së Informacionit monitorohen nga DTI, për mënyrën e menaxhimit të informacionit dhe aksesin e paautorizuar. Gjatë monitorimit, informacioni mund të shqyrtohet, regjistrohet, kopjohet dhe përdoret vetëm për qëllime të autorizuara hetimi. Ndalohet dhënia e informacionit një pale të tretë pa paautorizim.

-           Drejtoria e Menaxhimit të Informacionit dhe Mbrojtjes së të Dhënave, në koordinim me Departamentin e Teknologjisë së Informacionit, në mënyrë periodike, duhet të rishikojë të gjithë përdoruesit dhe nivelin e qasjes së tyre, në përputhje me pozicionin aktual të punës.

-           Departamenti për Teknologjinë e Informacionit ka përgjegjësi  të plotë, për të gjitha çështjet lidhur me kompjuterët zyrtarë. Asnjë ndryshim, plotësim apo instalim të çfarëdo lloji qofshin, nuk mund të bëhen në kompjuterët zyrtarë pa autorizimin e këtij departamenti.

-           Hyrja në bankën e të dhënave, përdorimi, printimi dhe nxjerrja e të dhënave të Sistemeve të Teknologjisë së Informacionit, jashtë organizatës në kundërshtim me këtë procedurë standarde dhe aktet normative në fuqi, ndëshkohet me masë (administrative) të rëndë disiplinore ose sipas rastit ndiqet penalisht.

77.       Në përmbajtje të shkresës nr. 2014/1 prot., datë 07.08.2023 të Drejtorit të Përgjithshëm të Agjencisë së Mbikëqyrjes Policore, zotit Ardi Veliu, drejtuar Drejtorit të Përgjithshëm të Policisë së Shtetit, zoti Muhamet Rrumbullaku, citohet përmbajtja e një email-i të dërguar nga Shefi i Sektorit të Sistemeve dhe BCC në DTI, Ardit Muço, në datën 02.08.2023, ora 14:51, në të cilin thuhet se: “Më lejoni t’ju kujtoj gjithashtu se çdo lejim i aksesit në databazat e Policisë nga persona të paautorizuar, që nuk përfaqësojnë Policinë e Shtetit apo një marrëdhënie që rregullohet sipas kontratave apo ligjeve në fuqi, është e ndaluar dhe në kundërshtim me parimet, rregulloren dhe bazën ligjore për administrimin e të dhënave. Çdo eksportim që kryhet deri ditën time të fundit në detyrë, pa autorizim tim në formë të shkruar, është shkelje dhe ngarkon me përgjegjësi personat e përfshirë.”.

78.       Megjithëse, parashikimet ligjore rezultojnë shumë të qarta sa i përket mënyrës se si një person mund t’i jepet e drejta e aksesit dhe rregullat e përdorimit të sistemit TIMS, në fakt gjatë hetimit parlamentar ka rezultuar se persona të paautorizuar, të cilët nuk ushtrojnë funksione në Policinë e Shtetit, kanë pasur akses në sistemin TIMS. Lidhur me këtëçështje, gjatë dëshmisë së ministrit të Brendshëm, zotit Taulant Balla, në datën 04.06.2024, kryetari i Komisionit Hetimor e pyeti nëse kishte dijeni që të paktën pesë persona të paautorizuar, sipas një shkrese të vetë strukturave të Policisë së Shtetit, kanë pasur akses të paautorizuar, si dhe mundësinë që dokumentet e tyre, pavarësisht se skanoheshin në sistem, nuk regjistroheshin si të tilla në sistemin TIMS.

79.       Lidhur me këtë pyetje, ministri Balla ka dëshmuar se: “Po është e vërtetë që më kanë vënë në dijeni dhe kjo është pjesë e nevojës për ta rregulluar tërësisht, jo vetëm listën e institucioneve që kanë edhe një herë akses, por për të rregulluar në mënyrë definitive dhe për të zvogëluar maksimalisht numrin e user-ave aktivë, duke ruajtur historikun e user-ave për efekt të çdo lloj hetimi të ngjashëm apo hetime të tjera që lidhen me këtë sistem.”. Për të njëjtën problematikë, u pyetën edhe Drejtori i Përgjithshëm i Policisë së Shtetit, zoti Muhamet Rrumbullaku, drejtori i Departamentit të IT-së, zoti Ervin Muça, drejtori i Drejtorisë së Sistemeve në Departamentin e IT-së, zoti Enri Ndoni dhe paraardhësi i tij në detyrë zoti Besjon Tanuzi. Të gjithë konfirmuan ekzistencën e kësaj problematike dhe nevojën për marrjen e masave për parandalimin e saj në të ardhmen.

80.       Konkluzion: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se persona të caktuar kanë pasur akses të paautorizuar në sistemin TIMS. Megjithëse, ligji dhe aktet nënligjore parashikojnë në mënyrë të detajuar se si një personi i jepet akses në sistemin TIMS, mbetet e paqartë se si persona privatë, pra që nuk ushtrojnë një detyrë shtetërore që lidhet me aksesimin dhe përdorimin e sistemit TIMS, iu është akses në këtë bazë të dhënash me rëndësi të veçantë. Jo vetëm mënyra, por edhe personat që iu kanë dhënë këtë akses, qëllimet dhe motivet e këtyre personave privatë që kanë pasur akses në sistemin TIMS mbeten të paqarta dhe ngrejnë dyshime serioze për paligjshmëri. Sistemi TIMS përmban një shumëllojshmëri të dhënash, ashtu siç e kemi shpjeguar më lart, dhe aksesi i lirë nga persona të paautorizuar përbën një rrezik serioz për rendin dhe sigurinë në vendin tonë. Kjo situatë, për të cilën qoftë Ministri, ashtu edhe drejtuesit më të lartë të Policisë së Shtetit duken se ishin në dijeni, duhet të kishte nxitur këta të fundit për marrjen e masave urgjente për kryerjen e një hetimi të thelluar të hyrjeve të paautorizuar në sistemin TIMS dhe marrjen e masave që situata të tilla të mos përsëriten në të ardhmen.

IV.       VËNIA NË DISPOZICION E TË DHËNAVE TË TIMS GRUPEVE KRIMINALE

81.       Nga hetimet e kryera nga agjencitë ligjzbatuese dhe veçanërisht Prokuroria e Posaçme kundër Korrupsionit dhe Krimit të Organizuar, është konstatuar se punonjës të Policisë së Shtetit apo strukturave të tjera ligjzbatuese, që e kanë për detyrë funksionale ruajtjen dhe administrimin e të dhënave të sistemit TIMS, i kanë vënë në dispozicion të grupeve kriminale përkundrejt përfitimeve monetare. Këto grupe kriminale i kanë përdorur këto të dhëna për t’u informuar lidhur me hyrje-daljet e kundërshtarëve të tyre nga vendi, urdhërat e arrestit, ndalimi apo kërkimit nga agjencitë ligjzbatuese, deportimet apo masat e tjera ndaluese nga shtetet e tjera etj.

82.       Referuar raportit të veprimtarisë të SPAK për vitin 2023, është vërejtur një bashkëpunim i grupeve kriminale edhe me oficerët e policisë së shtetit të rangjeve të ndryshme në territorin shqiptar, si dhe funksionarë tëorganeve të drejtësisë, të cilët kanë luajtur role të ndryshme, duke filluar që nga dekonspirimiioperacionevepolicore,njoftimipërpersonatkundërshtarëtëvënënëshënjestërnga grupet kriminale, dhënie informacioni për individë të ndryshëm, dhe aktivitetet të tjera në pengimin e drejtësisë.Gjithashtu në këtë raport, konstatohet se ajo që vihet re në disa raste janë edhe lidhjet e krijuara me përfaqësues të policisë së shtetit qoftë në nivel lokal, por dhe qendror, të cilët kanë ndihmuar grupet kriminale kryesisht në dhënien e informacioneve apo ndjekjen e lëvizjeve të kundërshtarëve të tyre. Në raportimin vjetor përpara KLP-së dhe Kuvendit të Shqipërisë, drejtuesi i SPAK, zoti Altin Dumani shprehu shqetësimin e tij lidhur me përfshirjen e punonjësve të Policisë së Shtetit, në krimin e organizuar, ku vetëm në tre vitet e fundit janë proceduar penalisht 69 punonjës policie.

83.       Funksionarë të lartë të Drejtorisë së Përgjithshme të Policisë së Shtetit dhe ish-zyrtarë të Drejtorive Vendore të Policisë Shkodër dhe Lezhë, janëtashmë duke u përballur me disa akuza penale në proceset gjyqësore që po zhvillohen kundër tyre. Duke pasur akses në informacione të klasifikuara dhe në të dhënat e sistemit TIMS, ata jua kanë  vënë në dispozicion grupeve të ndryshme kriminale apo individëve të caktuar me rekorde penale. Në shumë raste, duke aksesuar të dhënat e sistemit TIMS, janë gjurmuar persona të caktuar kundër të cilëve janë kryer atentate për eleminimin e tyre fizik, ose ka pasur plane të kësaj natyre. Kërkimi për persona specifik në këtë sistem, për të gjurmuar lëvizjet e tyre, është informacioni më i shpeshtë që kërkohet nga grupet e ndryshme kriminale.

84.       Aksesi në databazën e të dhënave të sistemit TIMS, i shërben grupeve kriminale edhe për të regjistruar apo jo, hyrje-daljet e personave të ndryshëm sipas interesit të tyre, duke u bërë qartazi manipulimi i sistemit, për mos të regjistruar asnjë të dhënë. Në të dhënat e këtij sistemi, mund të kërkohen informacione për rekorde të ndryshme penale për persona të ndryshëm, por vlen të theksohet fakti se në këtë sistem gjenden edhe personat që janë në hetim, apo ka informacion për përfshirje në veprimtari kriminale. Pra grupet e ndryshme mund të merrnin informacion për këdo që ata kishin interes, qoftë për anëtarët e organiztaës së tyre, apo për persona të tjerë. Aksesimi në këto të dhëna është përdorur edhe si mjet shantazhi për persona të ndryshëm, pasi duke pasur informacion të drejtpërdrejt për hyrje-daljet e tyre në pikat kufitare, mjete e përdorura dhe personat që kanë qenë të shoqëruar, grupet kriminale e kanë patur më të lehtë për të vënë nën presion individë të ndryshëm, në mënyrë që këta të fundit mund të kryenin veprime në interes të këtyre grupeve. 

85.       Konkluzion: Nga të dhënat publike dhe faktet e njohura botërisht, të cilat u sollën nga anëtarët e Komisionit Hetimor, rezulton se punonjës të Policisë së Shtetit, të cilët kanë për detyrë të ruajnë dhe administrojnë të dhënat e sistemit TIMS, e kanë përdorur të drejtën e aksesit për t’ua vënë në dispozicion të dhënat e këtij sistemi elementëve të krimit të organizuar, të cilët kanë interes të veçantë për t’u njohur me hyrje-daljet e shtetasve nga territori i Shqipërisë, urdhërat e arrestit, ndalimit, kërkimit, masat ndaluese nga shtetet e huaja, vendimet gjyqësore penale nga autoritetet shqiptare apo të huaja, automjetet me të cilat lëvizin shtetas të caktuar etj. Për marrjen e këtij informacioni, këta shtetas janë të gatshëm të ofrojnë shuma të konsiderueshme monetare, në mënyrë që të mësojnë në kohë reale informacione që përmban sistemi TIMS pë rata vetë apo kundërshtarët e tyre. Të dhënat e sistemit TIMS iu kanë shërbyer grupeve kriminale për të bërë eleminimin e kundërshtarëve të tyre, për të kufizuar lëvizjet jashtë vendit apo edhe për t’u arratisur në rastet kur ndaj tyre janë lëshuar urdhër arreste kombëtare apo ndërkombëtare.

V.        MOSREGJISTRIMI I PERSONAVE ME REKORDE KRIMINALE NË TIMS

86.       Në Ligjin nr. 71/2016 “Për Kontrollin Kufitar”, i ndryshuar, neni 2, pika 6 parashikon: ““Verifikim kufitar” është veprimtaria që kryhet në pikën e kalimit të kufirit për të garantuar se personat, përfshirë mjetet e tyre të transportit dhe sendet që kanë në zotërim, mund të lejohen për të hyrë në territorin e Republikës së Shqipërisë, ose për të dalë prej tij.”. Ndërsa, neni 14, pika 1 parashikon: “Në hyrje dhe në dalje, të gjithë personat janë subjekt i verifikimit kufitar minimal, i cili pëbërhet nga: a) verifikimi i identitetit e i shtetësisë së personit, si dhe i vlefshmërisë e i origjinalitetit të dokumentit të udhëtimit, duke përdorur pajisje teknike dhe duke u konsultuar me bazat përkatëse të të dhënave e, veçanërisht, me: i) bazat kombëtare të të dhënave që përmbajnë informacion mbi dokumentet e vjedhura, të përditësuara, të humbura dhe të zhvleftësuara të udhëtimit; ii) bazën e të dhënave të INTERPOL-it për dokumentet e vjedhura dhe të humbura të udhëtimit; iii) bazat ndërkombëtare të të dhënave të njohura nga Republika e Shqipërisë; b) verifikimi që personi, mjeti i tij transportit dhe sendet që ai transporton nuk përbëjnë rrezik për rendin dhe sigurinë publike, shëndetin publik dhe marrëdhëniet ndërkombëtare me shtetet e tjera, duke u konsultuar me regjistrat dhe bazat e të dhënave përkatëse. Kur ka dyshime mbi origjinalitetin e dokumentit të udhëtimit ose mbi identitetin e mbajtësit të tij, në verifikime përfshihet verifikimi i identifikuesve biometrikë të integruar në pasaportat dhe dokumentet e udhëtimit.”.

87.       Nga ana tjetër, referuar shkresës nr. 3755/2 prot., datë 26.04.2024 të Drejtorit të Përgjithshëm të Policisë së Shtetit, zotit Muhamet Rrumbullaku sa i përket përmbajtjes së të dhënave të sistemit TIMS, rezulton se ky sistem përmban informacione në lidhje me: (i) gjeneralitetet e shtetasve shqiptar apo të huaj, të cilët kanë regjistruar të paktën një hyrje/dalje nga territori i Republikës së Shqipërisë apo kanë një dokument udhëtimi të lëshuar nga Republika e Shqipërisë; (ii) të dhënat e dokumenteve të identifikimit, të cilët kanë regjistruar të paktën një hyrje/dalje ose janë të lëshuara nga Republika e Shqipërisë; (iii) të dhëna për automjetet, të cilët kanë regjistruar të paktën një hyrje/dalje nga territori i Republikës së Shqipërisë; (iv) informacionin e shtetasve për hyrje/daljet nga territori i Republikës së Shqipërisë; (v) urdhër arrestimi, ndalimi, kërkimi, të dyshuar; (vi) shtetasve të kategorive Inad dhe Deportiv; (vii) njoftime (për shtetas, dokumente, automjete) në kufi nga çdo strukturë e Policisë së Shtetit; (viii) informacion mbi personat e ndaluar, arrestuar, shoqëruar; (ix) aplikimet për leje qëndrimi të personave me shtetësi të huaj (shkëputur nga TIMS në vitin 2024 me qëllim rritjen e performancës); (x) lejet e qëndrimit për personat me shtetësi të huaj (shkëputur nga TIMS në vitin 2024 me qëllim rritjen e performancës); (xi) kundravajtjet administrative të automjeteve dhe masat plotësuese mbi lejet e drejtimit (shkëputur nga TIMS në vitin 2024 me qëllim rritjen e performancës); (xii) personat në kërkim, dokumenta në kërkim, automjete në kërkim, kombëtar dhe ndërkombëtar etj.; (xiii) informacion për shtetas të huaj të shpallur non grata apo të cilëve ju ndalohet hyrja në Republikën e Shqipërisë.

88.       Megjithëse, parashikimi ligjor është shumë i qartë sa i përket detyrimit qëçdo shtetas shqiptar apo i huaj që hyn apo del nga territori i Republikës së Shqipërisë, duhet të regjistrohet në sistemin TIMS dhe për secilin duhet të kryhen kërkime të plota në të gjitha bazat e të dhënave të këtij sistemi, në fakt rezulton se në raste të caktuara hyrje-daljet nuk janë regjistruar ose sistemi nuk ka kryer kërkime të plota, si p.sh. në sistemin e INTERPOL-it nëse personi është në kërkim ndërkombëtar, ndaj tij është lëshuar urdhër arresti ndërkombëtar apo ka një vendim gjyqësor penal nga autoritetet e huaja. Ky trajtim i paligjshëm i personave të caktuar bëhet me qëllim që në rast qëndrimi më të gjatë jashtë territorit të Republikës së Shqipërisë të mos penalizohen, ose në rastet e individëve me rekorde kriminale, që sistemi të mos regjistrojë hyrje-daljet e tyre, ose të mossinjalizojë rastet kur janë subjekte të urdhërave të kërkimit, arrestit apo ndalimit kombëtar a ndërkombëtar.

89.       Konkretisht, gjatë dëshmisë së Drejtorit të Përgjithshëm të Policisë së Shtetit, zotit Muhamet Rrumbullaku, në datën 04.06.2024, kryetari i Komisionit Hetimor, solli në vëmendje shkresën nr. 4065 prot., datë 20.12.2023 të Departamentit për Teknologjinë e Informacionit, sipas të cilës rezulton se gjatë një ekzaminimi të kryer u konstatua se për një grup prej pesë dokumentesh udhëtimi të tipit pasaportë që përkonin me shtetasit Tedi Spiro Malaveci, Aida Jaupllari, Bruno Veizaj, Nevila Xoxa dhe Lorela Shehu, sistemi nuk kryente kërkim në TIMS Kriminal, duke sjellë kështu moskontrollin e tyre ndaj listës së personave të kërkimit. Pasi u verifikuan numrat e dokumenteve, rezulton se këto dokumente janë shqiptare.

90.       Lidhur me këtë pyetje, Drejtori i Përgjithshëm i Policisë së Shtetit, zotit Muhamet Rrumbullaku ka pranuar vërtetësinë e dokumentit të cituar nga zoti Salianji, por është shprehur se në këtë rast kemi të bëjmë me një luftë të brendshme brenda dy niveleve, ata që humbën funksionet me ata që morën funksionet dhe luftojnë me letrat e njëri-tjetrit. Po ashtu, gjatë dëshmisë së tij, Drejtori Rrumbullaku është shprehur se: “Mund të mos regjistrohesh dhe të biesh në kompromis me kontrollorin, por të regjistrohesh dhe të fshihen të dhënat kjo nuk ekziston. Kjo ekspertizëështë e sqaruar një herë e mirë. Kjo është thjesht për siguri. Askush nga person me rekorde kriminale, me hyrje dhe dalje në sistemin TIMS, nëse regjistruar njëherë, aty i ka të pëjetshme që nga momenti i fillimit të funksionalitetit të sistemit TIMS.”.

91.       Gjatë dëshmisë së tij të datës 04.06.2024, Drejtori i Departamentit të Teknologjisë së Informacionit, zoti Ervin Muça ka deklaruar se: “Në datën 20.12.2023, i është dërguar memo për ndërhyrje të paautorizuar në sistemin E-gate, drejtorit të Përgjithshëm, në të cilën janë lejuar 5 numra pasaportash, për favorizime personale, duke shmangur kontrollin gjatë kufitar si person në kërkim, të cilët mund të kenë probleme me ligjin, ndërkohë që ky fakt lë shteg se kjo lloj procedure mund të jetë përdorur edhe për persona të tjerë me rekorde kriminale, që këta persona të mos kërkoheshin në regjistrin TIMS-kriminal, veprim flagrant në kundërshtim me Rregulloren e Policisë së Shtetit, i kryer dhe i pranuar nga zoti Veizaj.”.

92.       Më tej, zoti Muça shprehet: “Ky fakt i evidentuar bën që nëse kërkohen në sistemin E-gate këto pesë pasaporta të dalin “Don’t care condition”. Pra nuk shkojnë të kontrollohen në TIMS-Kriminal nëse janë apo nuk janë në kërkim persona. Pra pavarësisht se mund të jetë në kërkim ai person kalon si i lirë. Ky është një manipulim i sistemit. Pyetja ime është shumë e thjeshtë, kjo ishte një indicia, sepse pot ë ishte gjetje duhej ta referoja unë në organet kompetente, e cila më lë mua të kuptoj se ky personi në momentin që ka bërë këtë gjurmën që ka menduar se nuk do të zbulohej kurrë mund të ketë bërë edhe 25 mijë gjurmë të tjera, sepse askush nuk e kontrollonte dhe monitoronte. Pra, kishim një vresht pa rojtar.”.

93.       Gjatë dëshmisë së tij të datës 26.06.2024, Drejtori i Sistemeve në Departamentin e IT-së, zoti Enri Ndoni ka konfirmuar ekzistencës e memos dhe saktësinë e përmbajtjes së saj, pasi sipas tij ajo është njëçështje e verifikuar, ndërsa pretendimet për persona të tjerë që mund të kenë përdorur të njëjtën mënyrë kalimi, duhet të hetohen nga strukturat përgjegjëse të Policisë së Shtetit. Nga sa më sipër, është e qartë se sistemi është manipuluar që për persona të caktuar sistemi TIMS të mos kryejë regjistrimin e hyrje-daljeve nga territori i Republikës së Shqipërisë, ose në rast të kryerjes së këtij regjistrimi, kërkimi të mos bëhet i plotë në databazat kriminale, duke lejuar kështu që të hyjnë apo të dalin nga territori i vendit persona me rekorde kriminale, të cilët mund të jenë në kërkim kombëtar a ndërkombëtar për kryerjen e veprimtarive të paligjshme.

94.       Konkluzion: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se në sistemin TIMS janë kryer ndërhyrje, të cilat mundësojnë që për persona të caktuar, të mos regjistrohen hyrje-daljet e tyre nga territori i Republikës së Shqipërisë, si dhe nëse regjistrohen, kërkimi në bazën e të dhënave të TIMS nuk bëhet i plotë duke shmangur databazat e të dhënave kriminale, çka mundëson që shtetas shqiptar apo të huaj që mund të jenë në kërkim kombëtar a ndërkombëtar, apo të dënuar për kryerjen e krimeve, të hyjnë dhe dalin lirisht nga territori pa pasur ndonjë alert nga sistemi. Ky devijim, siçështë shprehur edhe Drejtori i Departamentit të IT-së, zoti Ervin Muça, iu shërben kryesisht individëve me rekorde kriminale dhe mund të shpjegojë edhe faktin se si persona në kërkim nga organet shqiptare të drejtësisë ia kanë dalë të dalin apo hyjnë në territorin e vendit tonë pa u zbuluar nga institucionet ligjzbatuese. Edhe kjo problematikë meriton vëmendje të veçantë dhe adresim të menjëhershëm pasi përbën një rrezik serioz për rendin dhe sigurinë, si dhe dëmton rëndë punën e organeve të drejtësisë, qofshin ato shqiptare apo të huaja.

VII.     KONKLUZIONE PËRFUNDIMTARE

95.       Konkluzioni i parë: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se zoti Ervin Muça nuk përmbushte kushtet për t’u emëruar në detyrën e Drejtorit të Departamentit të IT-së. Konkretisht, ky shtetas ishte proceduar penalisht për falsifikim dokumentesh në shtetin italian në vitin 2007, ishte refuzuar leja e qëndrimit në vitin 2008, nuk kishte plotësuar formularin e dekriminalizimit, nuk kishte kryer trajnimet e detyrueshme në Akademinë e Sigurisë, nuk ishte pajisur me Certifikatën e Sigurimit të Personelit dhe ishte njëkoësisht i punësuar si këshilltar i drejtoreshës së Agjencisë Shtetërore të Kadastrës, megjithëse hetimet e kryera nga Prokuroria nuk kanë gjetur ndonjë produkt konkret pune.

96.       Konkluzioni i dytë: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor rezulton se procedurat e rekrutimit të ish-drejtorit Besjon Tanuzi dhe drejtorit aktual Enri Ndoni kanë qenë fiktive dhe me rezultat të paracaktuar. Kjo duket nga fakti që ata kanë aplikuar dokumentet për t’u emëruar në këto pozicione para krijimit të vakancës, nuk ka pasur asnjë shpallje për vendin vakant në këto pozicione dhe kanë qenë kandidaturat e vetme që i janë paraqitur për miratim Drejtorit të Përgjithshëm të Policisë së Shtetit. Nga ana tjetër, rezulton se zoti Tanuzi nuk kishte asnjë eksperiencë të mëparshme në Policinë e Shtetit apo sistemet e informatike të kësaj të fundit dhe nuk ishte pajisur me çertifikatë sigurie, ndërsa duket se marrëdhënia miqësore me shtetasin Ervin Muça ka qenë vendimtare për emërimin e tij.

97.       Konkluzioni i tretë: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor rezulton se procedura e ndjekur për emërimin e Drejtores së Hetimit të Krimit Kibernetik Ervina Gjana ka qenë fiktive dhe me rezultat të paracaktuar. Kjo del qartazi nga fakti se zonja Gjana ka depozituar dokumentacionin përpara shpalljes së vendit vakant, ka qenë kandidaturë e vetme, aplikimet janë hapur vetëm për dy ditë dhe emërimi është kryer përpara trajnimit në Akademinë e Sigurisë, në shkelje të përcaktimeve ligjore të Ligjit nr. 108/2014 “Për Policinë e Shtetit”. Po ashtu, rezulton se zonja Gjana nuk kishte asnjë eksperiencë të mëparshme në hetimin e krimeve kibernetike, certifikata e saj e sigurisë nuk ishte konform detyrës së re dhe në vitin 2014 që përkon me largimin nga detyra e specialistes së Sektorit të Serverave në Drejtorin e Teknologjisë së Informacionit, ishin referuar materialet proceduriale si e dyshuar për kryerjen e veprës penale të “Vjedhjes”, e parashikuar nga neni 134 i Kodit Penal.

98.       Konkluzioni i katërt: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se njoftimi i parë për një ndërhyrje të paligjshme në sistemin TIMS ka ardhur nëpërmjet një email-i në orën 14:51 të datës 02.08.2023 nga shefi i Sektorit të Serverave, zoti Ardit Muço, i cili iu është përcjellë drejtuesve kryesorë të Policisë së Shtetit. Më pas njoftimi i dytë ka ardhur nëpërmjet një email-i në orën 22:54 të datës 02.08.2023, ku krahas drejtuesve të Policisë së Shtetit, janë informuar mediat dhe drejtuesit kryesorë të shtetit, përfshirë Ministrin e Brendshëm dhe drejtorin e Agjencisë së Mbikëqyrjes Policore. Megjithë njoftimet e marra nga Ministri i Brendshëm, zoti Taulant Balla, Drejtori i Përgjithshëm i Policisë së Shtetit, zoti Muhamet Rrumbullaku, Drejtori i Agjencisë së Mbikëqyrjes Policore në datën 02.08.2023, datë në të cilën ka filluar edhe ndërhyrja në sistemin TIMS, reagimi institucional ka ardhur vetëm ditën e nesërme në datën 03.08.2023. Deklarimet e zotit Balla, zotit Rrumbullaku dhe zoti Veliu sa i përket marrjes dijeni dhe komunikimeve me njëri-tjetrin janë kontradiktore dhe nuk përputhen me njëra-tjetrën. Nëse reagimi do të kishte qenë në kohë, ndërhyrja e filluar në orën 18:00 të datës 02.08.2023 dhe e shtrirë deri në orën 02:00 të datës 03.08.2023, mund të ishte parandaluar.

99.       Konkluzioni i pestë: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se shtetasi Ervin Muça, me detyrë Drejtor i Departamentit të IT-së në Policinë e Shtetit, së bashku me Drejtorin e Drejtorisë së Sistemeve, Besjon Tanuzaj, dhe punonjës të tjerë të Departamentit të IT-së, kanë kryer një sërë shkeljesh ligjore, duke vënë në rrezik sigurinë e sistemit të dhënave TIMS. Konkretisht, këta shtetas në bashkëpunim me njëri-tjetrin kanë lejuar hyrjen e paautorizuar në ambientet e rëndësisë së veçantë të Policisë së Shtetit, nuk kanë marrë leje apo autorizim paraprak nga Drejtori i Përgjithshëm i Policisë së Shtetit për kryerjen e procesit të back-up-it, kanë bërë transferimin pjesërisht të të dhënave të sistemit TIMS në pajisje të jashtme, kanë hyrë në godinë duke përdorur kodin e një punonjëse që ishte me leje vjetore, kanë operuar në orët e vona të natës dhe jashtë orarit zyrtar, kanë urdhëruar vartësit për kryerjen e detyrave në kundërshtim me ligjin, si dhe nuk kanë hartuar aktet sipas Urdhërit Nr. 3410, datë 28.04.2023 të Drejtorit të Përgjithshëm të Policisë së Shtetit. Megjithë shkeljet flagrante të ligjit, këta punonjës janë pezulluar vetëm për një periudhë 5-ditore dhe më pas janë lejuar që të vijojnë punën normalisht, pa filluar procedura e shkarkimit nga detyra, në kushtet kur qoftë Drejtoria e Përgjithshme e Policisë së Shtetit, ashtu edhe Agjencia e Mbikëqyrjes Policore kishin konstatuar kryerjen e veprimeve a mosveprimeve në kundërshtim me ligjin, dhe duke vënë në rrezik sigurinë e një infrastrukture kritike për Policinë e Shtetit.

100.     Konkluzioni i gjashtë: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor rezultoi se në datën 14 tetor 2021, ka pasur një sulm kibernetik në sistemet informatike të Policisë së Shtetit, përfshirë edhe sistemin TIMS. Ky sulm nuk është raportuar, nuk janë kryer verifikime apo hetime të thelluara, si dhe nuk janë marrë masa për pastrimin e sistemeve nga viruse të mundshme apo forcimin e masave të sigurisë për rreziqe që mund t’i kanoseshin sistemit nga sulme kibernetike. Po ashtu, rezultoi se në datën 9 shtator 2022 ka pasur një sulm të dytë të sistemeve informatike të Policisë së Shtetit, përfshirë sistemin TIMS, i cili sipas dëshmive ishte pasojë e drejtpërdrejtë e mosmarrjes së masave në rastin e sulmit kibernetik të tetorit 2021. Si rezultat i këtyre dy sulmeve, drejtuesit e Departamentit të IT-së në Policinë e Shtetit kanë deklaruar se të dhënat e sistemit TIMS deri në shtatorin e vitit 2022 gjendet nëkanale online, dhe mund të blihen nga çdo person që mund të jetë i interesuar. Lidhur me këto pretendime, të cilat mbështeten edhe në dokumentacion zyrtar nuk rezulton që të ketë pasur hetime të thelluara administrative apo penale nga institucionet ligjzbatuese. Moskryerja e këtyre hetimeve dhe marrja e masave të nevojshme rrit rrezikun për përsëritjen e sulmeve kibernetike me pasoja shkatërruese për sistemet kritike të Policisë së Shtetit në të ardhmen.

101.     Konkluzioni i shtatë: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se persona të caktuar kanë pasur akses të paautorizuar në sistemin TIMS. Megjithëse, ligji dhe aktet nënligjore parashikojnë në mënyrë të detajuar se si një personi i jepet akses në sistemin TIMS, mbetet e paqartë se si persona privatë, pra që nuk ushtrojnë një detyrë shtetërore që lidhet me aksesimin dhe përdorimin e sistemit TIMS, iu është akses në këtë bazë të dhënash me rëndësi të veçantë. Jo vetëm mënyra, por edhe personat që iu kanë dhënë këtë akses, qëllimet dhe motivet e këtyre personave privatë që kanë pasur akses në sistemin TIMS mbeten të paqarta dhe ngrejnë dyshime serioze për paligjshmëri. Sistemi TIMS përmban një shumëllojshmëri të dhënash, ashtu siç e kemi shpjeguar më lart, dhe aksesi i lirë nga persona të paautorizuar përbën një rrezik serioz për rendin dhe sigurinë në vendin tonë. Kjo situatë, për të cilën qoftë Ministri, ashtu edhe drejtuesit më të lartë të Policisë së Shtetit duken se ishin në dijeni, duhet të kishte nxitur këta të fundit për marrjen e masave urgjente për kryerjen e një hetimi të thelluar të hyrjeve të paautorizuar në sistemin TIMS dhe marrjen e masave që situata të tilla të mos përsëriten në të ardhmen.

101.     Konkluzioni i tetë: Nga të dhënat publike dhe faktet e njohura botërisht, të cilat u sollën nga anëtarët e Komisionit Hetimor, rezulton se punonjës të Policisë së Shtetit, të cilët kanë për detyrë të ruajnë dhe administrojnë të dhënat e sistemit TIMS, e kanë përdorur të drejtën e aksesit për t’ua vënë në dispozicion të dhënat e këtij sistemi elementëve të krimit të organizuar, të cilët kanë interes të veçantë për t’u njohur me hyrje-daljet e shtetasve nga territori i Shqipërisë, urdhërat e arrestit, ndalimit, kërkimit, masat ndaluese nga shtetet e huaja, vendimet gjyqësore penale nga autoritetet shqiptare apo të huaja, automjetet me të cilat lëvizin shtetas të caktuar etj. Për marrjen e këtij informacioni, këta shtetas janë të gatshëm të ofrojnë shuma të konsiderueshme monetare, në mënyrë që të mësojnë në kohë reale informacione që përmban sistemi TIMS pë rata vetë apo kundërshtarët e tyre. Të dhënat e sistemit TIMS iu kanë shërbyer grupeve kriminale për të bërë eleminimin e kundërshtarëve të tyre, për të kufizuar lëvizjet jashtë vendit apo edhe për t’u arratisur në rastet kur ndaj tyre janë lëshuar urdhër arreste kombëtare apo ndërkombëtare.

102.     Konkluzioni i nëntë: Nga dokumentacioni i administruar dhe dëshmitë e marra nga Komisioni Hetimor ka rezultuar se në sistemin TIMS janë kryer ndërhyrje, të cilat mundësojnë që për persona të caktuar, të mos regjistrohen hyrje-daljet e tyre nga territori i Republikës së Shqipërisë, si dhe nëse regjistrohen, kërkimi në bazën e të dhënave të TIMS nuk bëhet i plotë duke shmangur databazat e të dhënave kriminale, çka mundëson që shtetas shqiptar apo të huaj që mund të jenë në kërkim kombëtar a ndërkombëtar, apo të dënuar për kryerjen e krimeve, të hyjnë dhe dalin lirisht nga territori pa pasur ndonjë alert nga sistemi. Ky devijim, siçështë shprehur edhe Drejtori i Departamentit të IT-së, zoti Ervin Muça, iu shërben kryesisht individëve me rekorde kriminale dhe mund të shpjegojë edhe faktin se si persona në kërkim nga organet shqiptare tëdrejtësisë ia kanë dalë të dalin apo hyjnë në territorin e vendit tonë pa u zbuluar nga institucionet ligjzbatuese. Edhe kjo problematikë meriton vëmendje të veçantë dhe adresim të menjëhershëm pasi përbën një rrezik serioz për rendin dhe sigurinë, si dhe dëmton rëndë punën e organeve të drejtësisë, qofshin ato shqiptare apo të huaja.

103.     Përgjegjësitë institucionale: Në vijim të konkluzioneve të mësipërme, kanë përgjegjësi për kryerjen e veprimeve a mosveprimeve në kundërshtim me ligjin, në bashkëpunim me njëri-tjetrin, duke dëmtuar rëndë interesat e shtetit dhe duke sjellë përfitime të paligjshme për shtetas të caktuar, funksionarët si vijon:

(i)         Ministri i Brendshëm, zoti Taulant Balla;

(ii)        Ish-Ministri i Brendshëm, zoti Bledar Çuçi;

(iii)       Drejtori i Përgjithshëm i Policisë së Shtetit, zoti Muhamet Rrumbullaku;

(iv)       Ish-Drejtori i Agjencisë së Mbikëqyrjes Policore, zoti Ardi Veliu; 

(v)        Drejtori i Departamentit të IT-së në Policinë e Shtetit, zoti Ervin Muça;

(vi)       Ish-Drejtori i Drejtorisë së Sistemeve në Policinë e Shtetit, zoti Besjon Tanuzi;

(vii)      Ish-Drejtorja e Drejtorisë së IT-së në Policinë e Shtetit, zonja Nevila Xoxa;

(viii)     Drejtori i Drejtorisë së Burimeve Njerëzore në Policinë e Shtetit, zoti Zef Laska;

(ix)       Specialisti i Drejtorisë së IT-së në Policinë e Shtetit, zoti Bruno Veizaj.

104.     Për hetimin e rolit dhe veprimtarisë së paligjshme të këtyre shtetasve, vlerësojmë se është e nevojshme të kryhet një hetim i plotë, i thelluar dhe i gjithëanshëm nga Prokuroria e Posaçme kundër Korrupsionit dhe Krimit të Organizuar (SPAK). Kjo e fundit mund të nxjerrë në dritë edhe fakte të reja të paligjshme, ashtu si edhe të identifikojë persona të tjerë, që mund të jenë identifikuar gjatë hetimit parlamentar. Sjellim në vëmendje, se për shkak të zvarritjes së dërgimit të kërkesave për informacion nga deputetët e mazhorancës, vonesës në kthimin e përgjigjeve nga institucioneve apo moskthimin e përgjigjeve nga institucionet, si në rastin e Këshillit të Ministrave, rrëzimit të kërkesave për thirrjen e dëshmitarëve të tjerë dhe kohës së shkurtër në dispozicion, Komisioni Hetimor i Kuvendit ka qenë në pamundësi objektive për të kryer të gjitha veprimet e nevojshme hetimore që do tëçonin në zbardhjen e plotë të së vërtetës. Prandaj, SPAK, pasi t’i vihet në dispozicion ky material, në përputhje edhe me kompetencën e saj lëndore të parashikuar nga neni 135, pika 2, e Kushtetutës së Shqipërisë, dhe neni 75/a të Kodit të Procedurës Penale, ka mundësi të hetojë dhe zbardhë të plotë veprimtarinë e paligjshme të personave të sipërcituar.

VIII.    REKOMANDIME

105.     Rekomandimi i parë: Nga dokumentacioni shkresor i administruar, por edhe dëshmitë e marra, rezultoi se ka një kuadër ligjor të plotë që rregullon në tërësi bazën e të dhënave të sistemit TIMS. Në shpjegimet me shkrim apo me gojë institucionet shtetërore dhe personat e thirrur si dëshmitarë iu referuan akteve të ndryshme ligjore dhe nënligjore, si kuadri mbi të cilën operohet për administrimin, mbrojtjen dhe sigurinë e të dhënave të sistemit TIMS. Në të shumtën e rasteve, dëshmitarët iu referuan akteve nënligjore në formën e procedurave standarde të punës apo manualeve të miratuar nga Drejtori i Përgjithshëm i Policisë së Shtetit. Ndërkohë, që të gjithë dëshmitarët pranuan nevojën për ndërhyrje legjislative me qëllim që të adresohen problematikat e evidentuara. Në këtë kuptim, rekomandimi ynëështë që për sistemin TIMS duhet të miratohet një ligj i posaçëm, i cili të ketë për qëllim të rregullojë në mënyrë tërësore administrimin, ruajtjen, mbrojtjen, aksesimin dhe përdorimin e të dhënave të sistemit TIMS, në mënyrë që të shmanget çdo lloj abuzimi apo paligjshmërie që personat e ngarkuar me detyra konkrete lidhur me këtë sistem mund të shkaktojnë në të ardhmen.

106.     Rekomandimi i dytë: Nisur nga problematikat që kanë rezultuar në procedurat dhe kriteret e emërimit të drejtuesve të Departamentit të IT-së dhe Hetimit të Krimit Kibernetik, rekomandojmë rishikimin e kuadrit ligjor të aplikueshëm, në mënyrë që të qartësohen dhe përforcohen kriteret ligjore për emërimin në këto pozicione. Po ashtu, të qartësohet procedura e verifikimit të kandidaturave dhe të garantohet procedura në respekt të parimeve të konkurrencës dhe meritokracisë. Këto ndërhyrje legjislative kanë për qëllim që të eleminojnë në të ardhmen përsëritjen e situatave, ku persona me të kaluar kriminale, pa kualifikimet dhe trajnimet e nevojshme, pa dorëzuar dokumentacionin e nevojshëm, të pa pajisur me certifikimet e sigurisë, me procedura fiktive dhe kandidatura unike, të mund të emërohet në pozicione të rëndësishme në Policinë e Shtetit. Kjo e fundit duhet të garantojë se çdo person që pranohet në Policinë e Shtetit, por veçanërisht ata që emërohen në nivele të larta drejtuese të përmbushin standardet më të larta të integritetit dhe profesionalizmit.

107.     Rekomandimi i tretë: Nisur nga problematikat që kanë rezultuar në cënimin e sigurisë së të dhënave të sistemit TIMS që ruhen në godinën e Departamentit të IT-së të Policisë së Shtetit, hyrjes së personave të paautorizuar dhe përpjekjes për të transferuar të dhënat në pajisje të jashtme, rekomandojmë që të rishikohet kuadri ligjor, me qëllim që të përforcohen masat e sigurisë për këto ambiente, që nëçdo zonë të jetë rreptësisht e përcaktuar lista e personave që mund të hyjnë dhe detyrat konkrete që ata kryejnë, dhe të merren masa që asnjë person i paautorizuar me shkrim nga titullari i institucionit të mos mundet të hyjë në këto mjedise. Çdo lloj veprimtarie e kryer në këto godina duhet t’i nënshtrohet parimit të dokumentimit, në formë shkresore ose elektronike, dhe t’i nënshtrohet kontrolleve të vazhdueshme nga një strukturë e pavarur auditi. Në këtë kuptim, rekomandojmë që Policia e Shtetit të marrë masa për të kryer një auditim ndërkombëtar të Departamentit të IT-së në Policinë e Shtetit, dhe raporti përkatës t’i vihet në dispozicion Komisionit Parlamentar të Sigurisë Kombëtare.

108.     Rekomandimi i katërt: Me qëllim adresimin e këtyre rekomandimeve, veçanërisht ato që lidhen me plotësimin, ndryshimin apo rishikimin e kuadrit ligjor, rekomandojmë që në Kuvendin e Shqipërisë të ngrihet një grup i përbashkët pune, me përfaqësues nga ky Komision dhe Komisioni i Sigurisë Kombëtare, si dhe përfaqësues nga Ministria e Brendshme, Drejtoria e Përgjithshme e Policisë së Shtetit, Agjencia e Mbikëqyrjes Policore dhe partnerët ndërkombëtarë, i cili të konkludojë me ndryshimet ligjore që janë të nevojshme dhe të miratohen me konsensus të të gjitha palëve. Kjo pasi, për shkak të kohës së shkurtër në dispozicion, volumit të madh të punës, zvarritjeve të qëllimshme, por veçanërisht për shkak se nisma të tilla ligjore kërkojnë kohë dhe një ekspertizë të lartë teknike, Komisioni Hetimor e ka pasur të pamundur për të konkluduar vetë me një projektligj. Por, ky qëllim mund të realizohet nëpërmjet grupi të përbashkët dhe gjithëpërfshirës pune, nisur edhe nga deklarimi i bërë nga Ministria e Brendshme, Policia e Shtetit dhe Shërbimi Informativ Shtetëror se janë duke punuar për të propozuar disa ndryshime ligjore relevante.

 

K R Y E T A R I

 

Ervin SALIANJI