Citizen Lab niechętnie dzieli się podstawowymi informacjami dotyczącymi tego, kiedy, gdzie i jak przeprowadzono badanie „CatalanGate”. Zapytany o harmonogram, pan Deibert twierdzi, że „działalność informacyjna i badawcza rozpoczęła się jesienią 2019r. i trwała do czasu publikacji” (18 kwietnia 2022r.). Ten harmonogram jest problematyczny na różnych poziomach. Pan Roger Torrent, członek secesjonistycznej partii ERC i były przewodniczący katalońskiego parlamentu, który został oskarżony przez Trybunał Konstytucyjny o naruszenie praw katalońskich posłów w opozycji i który został osądzony, ale uniewinniony z zarzutów nieposłuszeństwa, został zidentyfikowany w raporcie CatalanGate jako pierwszy kataloński polityk, o którym publicznie wiadomo, że padł ofiarą ataku Pegasus. Według pisemnych zeznań pana Rogera Torrenta, dochodzenie w sprawie jego telefonu zostało wszczęte zdalnie za pośrednictwem wirtualnej sieci prywatnej (VPN) 10 lipca 2020r. przez pana Johna Scotta-Railtona, który był w Toronto.
Pan Torrent wspomina w swojej książce Pegasus L’estat ens espia, że 21 lipca 2020r. powiedziano mu, że: „Scott-Railton i Campo pracują nad końcowym raportem w tej sprawie we współpracy z amerykańską agencją komunikacyjną firma”. Jest to bardzo zaskakujące, ponieważ na tym etapie nie potwierdzono jeszcze żadnej infekcji analizą kryminalistyczną. Odniesienie do amerykańskiej firmy komunikacyjnej jest również godne uwagi, ponieważ sugeruje, że raport od początku miał być wykorzystywany w kampanii aktywizmu politycznego. Czy pan Scott-Railton lub pan Campo współpracowali z profesjonalnym lobby lub agencją/firmą komunikacyjną w lipcu 2020r. lub w kwietniu 2022r.? Jeśli tak, to dlaczego i kto zapłacił za ich usługi?
Chociaż w polityce i przemyśle korzystanie z usług profesjonalnych firm komunikacyjnych jest powszechną praktyką, nie jest tak w środowisku akademickim. Bardzo kosztowne usługi infograficzne (46 900 CAD), które Munk School of Global Affairs & Public Policy zamówiła w katalońskiej firmie po prostu w celu zwiększenia wpływu wyników raportu CatalanGate, są niezwykle nietypowe w kontekście badań uniwersyteckich. Nie znaleziono podobnie wyrafinowanej witryny z infografikami dla żadnego z poprzednich raportów Citizen Lab.
Sprawa domniemanego szpiegostwa pana Torrenta była szeroko komentowana w prasie w lipcu 2020 r. i została wykorzystana przez ruchy niepodległościowe do uruchomienia międzynarodowej kampanii komunikacyjnej, w której uczestniczyły również Amnesty International i Komitet Praw Człowieka Rady Europy. Jednakże ta wczesna kampania komunikacyjna budzi pewne wątpliwości, biorąc pod uwagę, że 16 lipca 2020r. Citizen Lab poinformował gabinet pana Torrenta, że wynik zdalnej analizy jego telefonu nie wykazał aktualnej infekcji:

„Możesz potwierdzić Prezydentowi Torrentowi, że w tej chwili jego terminal telefoniczny nie jest zainfekowany żadnym oprogramowaniem szpiegującym”.

27 lipca 2020r. ERC otrzymało powiadomienie, że żaden z 9 telefonów katalońskich polityków i członków ich bliskiego otoczenia, które zostały przeanalizowane zdalnie z Kanady i USA przez Citizen Lab, nie został zainfekowany; Pan Torrent stwierdza:

„Przesłano nam pierwsze wnioski ze śledzenia numerów telefonów komórkowych, które przekazaliśmy do Citizen Lab — przekazałem Marcie informacje, które mój zespół mi przekazywał. – Co mówią? —W tej chwili nie ma żadnych innych zhakowanych telefonów komórkowych. Zidentyfikowaliśmy jednak kilka SMS-ów, które z pewnością były atakami Pegasus”.

Czyli do 27 lipca 2020r. nie wykryto żadnych przypadków zakażenia. ERC liczyło na potwierdzenie niektórych ataków, aby rozszerzyć skargę sądową, którą mimo to złożyli. Do kwietnia 2022r. nie ogłoszono żadnych nowych nazwisk domniemanych ofiar, a skarga sądowa nie została zmieniona, aby uwzględnić nowe ofiary. Co wydarzyło się między tymi datami? Wygląda na to, że albo Citizen Lab nie znalazło żadnych zakażeń w 2020r., albo postanowiło ukryć tę informację przez ponad półtora roku. Ale dlaczego milczeć, skoro znaleźli inne przypadki, a była już sformalizowana skarga sądowa? Przy całym zainteresowaniu mediów w lipcu 2020 r. nie ma jasnego wyjaśnienia, dlaczego tak długo wstrzymywano dowody kryminalistyczne domniemanych naruszeń praw człowieka.

Według artykułu Ronana Farrowa w The New Yorker, telefon pana Jordiego Solégo został przeanalizowany w marcu 2022r. Bardziej niezwykły jest przypadek pana Jordiego Sàncheza. W wywiadzie wideo przyznaje, że przeprowadzono kilka testów na jego telefonie, kiedy był w więzieniu, prawdopodobnie w 2020r. lub wcześniej, i że były one negatywne (brak infekcji). Jednak:

„Pan Elies Campo i ludzie z Citizen Lab nalegali na [sic] ponowne sprawdzenie mojego telefonu komórkowego i telefonów komórkowych członków mojej rodziny, i zrobili to dopiero na początku kwietnia (2022r.) i to w tej drugiej analizie odkryli, że został zainfekowany”.

To również rzuca cień na walidację przeprowadzoną przez Amnesty Tech. Jeśli nadal sprawdzali telefony i odkrywali nowe infekcje na początku kwietnia, ile czasu Amnesty Tech miało na walidację 4 próbek infekcji, które otrzymali? To również niezwykłe, ponieważ teoretycznie Citizen Lab zebrało już dziesiątki innych infekcji, które mogło wysłać wcześniej w celu walidacji. Wydaje się, że kampania komunikacyjna, która była koordynowana z organizacjami secesjonistycznymi, Ronanem Farrowem i innymi interesariuszami, zmusiła ich do przyspieszenia końcowych etapów śledztwa, aby wszystko było gotowe 18 kwietnia 2022r.
Zapytany o eksploracyjne i potwierdzające analizy kryminalistyczne urządzeń katalońskich polityków, pan Deibert twierdzi, że „aby chronić prywatność uczestników badań, nie mogę podać informacji dotyczących tego, gdzie przeprowadzono analizę techniczną na potrzeby Raportu. Wszystkie analizy zostały potwierdzone przez
dr Marczaka.” Jest to bardzo nietypowe uzasadnienie braku przejrzystości w raporcie CatalanGate odnośnie tego, gdzie przeprowadzono analizy kryminalistyczne. Wspomnienie miasta lub laboratorium, w którym analizowano urządzenia lub określenie, czy fizyczne badanie telefonów było częścią zagadnienia, nie naruszyłoby w żaden sposób prywatności uczestników badań.
Preambuła do Zasad dobrego zarządzania Uniwersytetem w Toronto odnosi się do „potrzeby bycia postrzeganym jako odpowiedzialny – poprzez przejrzystość – wobec wszystkich stron zainteresowanych i wspierających Uniwersytet”. Śledztwo i raport CatalanGate nie wydają się spełniać tych standardów.
Dlaczego ujawnienie, gdzie przeprowadzono analizy kryminalistyczne urządzeń, miałoby być problemem z punktu widzenia prywatności uczestników? W rzeczywistości wydaje się, że Citizen Lab nie czuje się komfortowo, przyznając, że nie przeanalizowali fizycznie (nie zdalnie) żadnego z telefonów. Pan Roger Torrent w swojej książce wyjaśnia, że badanie jego telefonu zostało przeprowadzone tylko zdalnie z Toronto: 10 lipca został poproszony o połączenie się z VPN przez pana Scotta-Railtona. Czy inne analizy przeprowadzone przez pana Scotta-Railtona, pana Billa Marczaka i pana Bahra Abdula Razzaka również zostały przeprowadzone zdalnie? Czy którekolwiek z 65 urządzeń podróżowało do Kanady lub innego miejsca, aby zostać poddane badaniu fizycznemu/na miejscu?
Zgodnie z literaturą naukową, analizy kryminalistyczne wyłącznie cyfrowe wiążą się z wieloma ograniczeniami i wyzwaniami (np. Krishnan i in. 2019; Montasari i in. 2019; Yaacoub i in. 2021), co sugeruje potrzebę uzupełnienia ich o analizy nieodległe. Z zeznań uczestników wynika, że telefony nigdy nie podróżowały do Toronto i nigdy nie zostały zbadane
fizycznie przez nikogo pracującego w Citizen Lab. Pan Campo mógł zbadać niektóre z nich fizycznie, ale nie był częścią Citizen Lab do stycznia 2022r.; ponadto nie był specjalistą
od kryminalistyki cyfrowej. Nie ma dowodów na to, że którykolwiek członek Citizen Lab podróżował do Katalonii w trakcie badań.

Pani Niamh Sweeney, była dyrektorka ds. polityki publicznej WhatsApp, w swoim oficjalnym oświadczeniu dla The Guardian z 28 lipca 2020 r. stwierdziła, co następuje:

„Na podstawie dostępnych nam informacji nie jesteśmy w stanie potwierdzić, czy urządzenie pana Torrenta zostało naruszone, ponieważ można to było ustalić jedynie poprzez wyczerpującą analizę kryminalistyczną urządzenia”.

To oświadczenie wskazuje, że WhatsApp nie przeprowadził żadnej wyczerpującej analizy kryminalistycznejurządzenia pana Torrenta. Jeśli Citizen Lab kiedykolwiek przeprowadziło dokładną analizę kryminalistyczną tego telefonu, wyniki nie zostały udostępnione WhatsApp, co również rzuca pewne wątpliwości na rodzaj współpracy, jaką Citizen Lab i WhatsApp nawiązały w związku z dochodzeniem dotyczącym domniemanych ofiar Pegasusa wśród klientów amerykańskiej firmy.

Citizen Lab twierdzi, że:

„Nasza analiza kryminalistyczna pozwala nam wyciągnąć z dużą pewnością wniosek, że spośród 63 osób, które zostały zaatakowane przez Pegasusa, przynajmniej 51 osób zostało zainfekowanych”.

Liczba ta pokrywa się z sumą ofiar, które pojawiają się w tabeli celów w załączniku, albo z przybliżoną datą zakażenia, albo z „[Nie można ustalić konkretnej daty(dat) zakażenia]”. Oznacza to, że Citizen Lab nigdy nie znalazło dowodów zakażenia w telefonie pana Torrenta ani żadnego z innych liderów ruchu niepodległościowego, którzy byli powodem, dla którego sprawa stała się międzynarodowym skandalem prasowym w lipcu 2020r., co skłoniło Citizen Lab do dokładniejszego przyjrzenia się tej sprawie.
Na koniec pan Deibert wyjaśnia w oświadczeniu dla Europa Press, że pan Campo został zatrudniony 1 lutego 2022r. w celu pomocy w identyfikacji potencjalnych ofiar, w celu przeprowadzania wywiadów i analiz, pracując jako wolontariusz od lipca 2020 r. Wydaje się to wskazywać, że do lutego 2022r. Citizen Lab nie znalazło jeszcze wystarczających dowodów, aby opublikować raport i dlatego potrzebowało wsparcia, aby znaleźć więcej ofiar. To podejście jest nietypowe w badaniach akademickich, chyba że zlecono dochodzenie lub raport — do czego pan Deibert się nie przyznaje —; jednak wydaje się, że zgadza się z relacjami niektórych uczestników, którzy przyznają, że ich telefony zostały przeanalizowane wiosną 2022 r. CitizenLab nadal niechętnie potwierdza, z iloma spośród 65 ofiar się skontaktowano i których urządzenia zostały przeanalizowane w 2020, 2021 i 2022r. To pominięcie można interpretować jako próbę ukrycia problematycznej osi czasu w dochodzeniu, która może wskazywać na ingerencję podmiotów i interesów obcych oczekiwanym standardom postępowania akademickiego.