Rozpoczęcie dochodzenia w sprawie CatalanGate przez Citizen Lab jest również otoczone nieścisłościami i nie jest jasno uzasadnione. Raport CatalanGate twierdzi, że badania w Katalonii zostały rozpoczęte po wykorzystaniu luki przez NSO Group do hakowania telefonów z Androidem na całym świecie za pomocą Pegasus za pośrednictwem WhatsApp. WhatsApp załatał tę lukę i zidentyfikował listę 1400 użytkowników, którzy prawdopodobnie byli celami oprogramowania szpiegującego Pegasus. Wśród nich było prawdopodobnie kilku polityków w Katalonii. Citizen Lab pomógł WhatsApp w powiadomieniu ofiar. Jednakże formalna skarga WhatsApp przeciwko NSO (która kilkakrotnie cytowała Citizen Lab) wspomniała o wielu różnych krajach, ale nigdy o Hiszpanii. Podobnie, żaden z poprzednich raportów sporządzonych przez Citizen Lab odnoszących się do wykorzystania oprogramowania szpiegującego NSO nie wspomniał o podejrzeniach ataków w Katalonii ani w pozostałej części Hiszpanii. Tymczasem ruch niepodległościowy cierpiał na gwałtowny spadek poparcia społecznego od początku 2019 roku, co można powiązać z niepowodzeniem inicjatywy Tsunami Democràtic, która nie zebrała oczekiwanego poparcia, gdy policja zaczęła neutralizować ich działania.

W wywiadzie telewizyjnym pan Elies Campo został przedstawiony jako koordynator raportu. Wyjaśnia, że ​​w październiku 2019r. Citizen Lab zaczął kontaktować się z ofiarami naruszenia bezpieczeństwa WhatsApp, które miało miejsce wcześniej w tym samym roku. Najwyraźniej WhatsApp zlecił Citizen Lab skontaktowanie się z potencjalnymi ofiarami społeczeństwa obywatelskiego. Według książki pana Torrenta, pan Scott-Railton potwierdził następujące informacje 9 lipca 2020 r.:

„Jak wiesz, współpracujemy z WhatsApp. Przekazują nam informacje o urządzeniach, które zostały zaatakowane, a my szukamy i znajdujemy właścicieli, którzy stoją za telefonami komórkowymi i stali się ofiarami szpiegostwa… kiedy doszło do incydentu, próbowałem skontaktować się z panem Torrentem, ale nie udało mi się”.

Jak wyjaśniono wcześniej, pan Campo twierdzi, że skontaktowały się z nim niektóre z tych ofiar, które zostały ostrzeżone o potencjalnej infekcji i które wiedziały, że pracował dla WhatsApp kilka lat temu. Poprosili go o potwierdzenie, że naruszenie bezpieczeństwa było prawdziwe. Pan Campo twierdzi, że skontaktował się z byłymi współpracownikami w WhatsApp, którzy potwierdzili, że szpiegostwo miało miejsce. Po tym, jak skontaktował się z Citizen Lab i zaoferował swoje usługi, wyjaśniając, że zaczął koordynować drugą fazę śledztwa, które rozpoczęło się po tym, jak pierwsze przypadki ujawniono publicznie w lipcu 2020r. Co zaskakujące, pan Campo twierdzi, że nie pamięta, kim była pierwsza ofiara w Katalonii, chociaż wyjaśnia, że ​​odkryli Pegasusa w komputerze pana Joana Matamali pod koniec lipca lub na początku sierpnia 2020r.

Raport CatalanGate stwierdza, że ​​pan Roger Torrent był pierwszym publicznie znanym liderem ruchu niepodległościowego, który został powiadomiony przez Citizen Lab i WhatsApp. Wbrew temu, co stwierdza raport CatalanGate, pan Torrent twierdzi w swojej książce Pegasus i w wywiadzie opublikowanym w ARA, że nie otrzymał żadnych powiadomień z WhatsApp i że pierwsze powiadomienie o podejrzewanym ataku Pegasus na niego zostało wysłane przez dziennikarzy pana Joaquina Gila (El País), pana Sama Jonesa (The Guardian) i panią Stephanie Kirchgaessner (The Guardian) 8 lipca 2020r. Co więcej, ci dziennikarze nalegali, aby pan Torrent skontaktował się z CitizenLab, odnosząc się konkretnie do pana Ronalda Deiberta i pana Johna Scotta-Railtona. Pani Kirchgaessner napisała dziesiątki artykułów o Citizen Lab w The Guardian, szczegółowo opisała przypadki ujawnione przez tę organizację i często przeprowadzała wywiady z autorami.

Jest autorką i współautorką wielu artykułów dotyczących ataków Pegasus w Katalonii, w tym ekskluzywnego artykułu dla The Guardian i El País, w którym ogłoszono, że wysocy rangą politycy nacjonalistyczni w Katalonii prawdopodobnie zostali zaatakowani przez Pegasus 13 lipca 2020r.

Zaangażowanie dziennikarzy na tym wstępnym etapie projektu badawczego jest bardzo niezwykłe. Dlaczego ci dziennikarze nawiązali pierwszy kontakt z panem Torrentem? Czy pan Scott-Railton lub ktoś inny z Citizen Lab poprosił dziennikarzy, panią Stephanie Kirchgaessner, pana Sama Jonesa i/lub pana Joaquína Gila, o skontaktowanie się z panem Rogerem Torrentem i ostrzeżenie go, że może paść ofiarą cybernetycznego szpiegostwa? Jeśli Citizen Lab otrzymał zlecenie od WhatsApp, aby skontaktować się z członkami społeczeństwa obywatelskiego, których celem był WhatsApp, jak wyjaśnia pan Elies Campo w wywiadzie telewizyjnym, dlaczego nie zrobili tego bezpośrednio, dlaczego polegali na dziennikarzach w kwestii pierwszego kontaktu? Nawet pan Gil wyraził, jak niezwykły był ten pierwszy kontakt, w wiadomości do pana Joana Serry:

„A pierwszy telefon, który do ciebie wykonałem, był dziwny: zadzwoniłem do polityka, żeby zadzwonił do Kanadyjczyka i spytał go, czy był podsłuchiwany!”.

W artykule w El País pan Gil wyjaśnia, że ​​według prawnika pani Anny Gabriel, pana Oliviera Petera, otrzymała ona powiadomienie od WhatsApp informujące ją, że jej telefon komórkowy mógł zostać zhakowany. Tymczasem w tym samym artykule pan Jordi Domingo mówi, że pan Scott-Railton zadzwonił do niego w październiku 2019r. Jeśli Citizen Lab miał pozwolenie na kontaktowanie się z osobami z listy potencjalnych ofiar naruszenia bezpieczeństwa WhatsApp, dlaczego zaangażowali dziennikarzy w ten pierwszy kontakt z panem Torrentem? Dlaczego spośród 1400 użytkowników na liście WhatsApp domniemanych osób zaatakowanych programem szpiegującym, zdecydowali się w lipcu 2020r. skupić się na Katalonii? Pomimo wielokrotnych kontaktów WhatsApp nigdy nie odpowiedział na żadną z wiadomości dotyczących śledztwa Citizen Lab w Katalonii.

Przed naruszeniem bezpieczeństwa WhatsApp w 2018r. Citizen Lab wyjaśniło, że zidentyfikowało łącznie 45 krajów, w których operatorzy Pegasusa mogą prowadzić operacje nadzoru. Wspomnieli Bahrajn, Kazachstan, Meksyk, Maroko, Arabię Saudyjską i Zjednoczone Emiraty Arabskie, ale nie Hiszpanię. Ponad dwadzieścia krajów zostało dotkniętych atakami spyware podczas naruszenia bezpieczeństwa w WhatsApp. Na przykład we wrześniu 2019r. WhatsApp poinformował rząd Indii, że 121 osób zostało potencjalnie narażonych na spyware NSO. W formalnej skardze WhatsApp Inc przeciwko NSO Group nie wspomniano o Hiszpanii ani Katalonii, podczas gdy wymieniono kilka autorytarnych reżimów i krajów z istotnymi deficytami demokratycznymi.

Podobnie, szef WhatsApp Will Cathcart, w wywiadzie dla The Washington Post na temat ataków Pegasus związanych z naruszeniem bezpieczeństwa odkrytym w 2019r., nie wspomniał o Hiszpanii ani Katalonii, odnosząc się zamiast tego do krajów takich jak Arabia Saudyjska, Francja, Republika Południowej Afryki, Irak, Pakistan, Egipt i Maroko.

Ponadto w lipcu 2021r. konsorcjum dziennikarskie Forbidden Stories, które również bada Pegasus, przy wsparciu technicznym Amnesty International, ujawniło wyciek ponad 50 000 numerów telefonów wybranych do inwigilacji przez klientów NSO Group od 2016r. Na swojej stronie internetowej wspominają o co najmniej 180 dziennikarzach, którzy stali się celem spyware, ale wspominają tylko o jednym hiszpańskim dziennikarzu, panu Ignacio Cembrero, korespondencie El Confidencial z Maghrebu.

Jaka była prawdziwa motywacja wyboru Hiszpanii zamiast wielu innych krajów, o znacznie gorszych wynikach w zakresie praw człowieka i praworządności, takich jak te wymienione w analizach Pegasus, Forbidden Stories i poprzednich analizach Citizen Lab? Dlaczego Citizen Lab było tak zaniepokojone sprawą, w której kilka osób, których telefony były prawdopodobnie celem, było publicznie badanych z powodu ich udziału w nielegalnych działaniach? Na przykład, pan Roger Torrent i pani Anna Gabriel byli badani pod zarzutem nieposłuszeństwa, ta druga była zbiegiem na mocy międzynarodowego nakazu przeszukania; pan Sergi Miquel był badany pod kątem udziału w Tsunami Democratic, podobnie jak pan Jordi Domingo ze względu na jego udział w grupie, która koordynowała nielegalne działania w celu przejęcia kontroli nad Katalonią i promowania katalońskiej kryptowaluty w celu uniknięcia hiszpańskiej kontroli fiskalnej.

Kiedy pana Deiberta zapytano o wybór Hiszpanii spośród ponad 20 krajów dotkniętych atakami spyware ujawnionymi przez WhatsApp, nie uzasadnił on jasno wyboru, ale po prostu stwierdził, że „The Citizen Lab jest niezależnym laboratorium badawczym z siedzibą na Uniwersytecie w Toronto i nie przyjmuje kierownictwa badawczego od firm ani rządów”. Twierdził również, że badają inne kraje, takie jak Togo i Rwanda, w związku z naruszeniem bezpieczeństwa WhatsApp w 2019r., że „w żadnych okolicznościach nie podjęlibyśmy się zleconych badań będąc pod czyimś kierownictwem” i że „żadne inne instytucje ani grupy nie były zaangażowane w analizę kryminalistyczną przeprowadzoną na potrzeby Raportu”.

Jednakże w przypadku śledztwa w Katalonii, wydaje się jasne, że Citizen Lab mogło postępować zgodnie z instrukcjami, a także otrzymać pomoc techniczną w analizie telefonów i identyfikacji ofiar, od partii secesjonistycznych (ERC, JxCat i CUP), aktywistów politycznych (takich jak współautor pan Campo i organizacje niepodległościowe ANC i Òmnium), a nawet od organizacji rządu katalońskiego, takich jak Agència de Ciberseguretat de Catalunya (Katalońska Agencja Bezpieczeństwa Cybernetycznego). Zeznania pana Rogera Torrenta, pana Oriola Tortuelli i pana Van den Eynde174 potwierdzają, że oświadczenia pana Deiberta nie były prawdziwe. W wywiadzie dla La Vanguardia, pan Tortuella wyjaśnił, że ta agencja ściśle współpracowała z Citizen Lab w początkowych badaniach kryminalistycznych. Co ważniejsze, potwierdza on również, co pan Torrent ujawnił w swojej książce, że partie secesjonistyczne ERC, JxCat i CUP oraz organizacje polityczne Òmnium i ANC instytucjonalnie współpracowały przy wyborze urządzeń, które miały zostać przetestowane przez Citizen Lab. Pan Torrent napisał, że nie będą nawet potrzebować informatyków do filtrowania podejrzanych wiadomości i że „stali się ekspertami w śledzeniu”. Pan Andreu Van Den Eynde wyjaśnił w PEGA Komitet Śledczy, że Citizen Lab, Amnesty Tech i ich własny zespół ekspertów byli zaangażowani w analizy kryminalistyczne.

Udział katalońskich organizacji secesjonistycznych w dochodzeniu i kampanii komunikacyjnej oraz fakt, że analizowano tylko telefony polityków i aktywistów secesjonistycznych, pokazują, że badanie to nie było kierowane przez neutralne względy badawcze. Decyzja o poświęceniu tak dużej uwagi przypadkowi Katalonii, wiara w istnienie masowego szpiegostwa wykraczającego poza teoretyczne pięć ofiar na liście WhatsApp i swoboda przyznana podmiotom secesjonistycznym w ramach śledztwa, wydają się sugerować, że albo Citizen Lab rzeczywiście zlecono to śledztwo, albo nawet, że było to przede wszystkim śledztwo prowadzone przez podmioty katalońskie, gdzie rolą Citizen Lab było głównie potwierdzenie zasadności oskarżeń przeciwko Hiszpanii. Jak pokaże następna sekcja, liczne sprzeczności dotyczące zeznań autorów i uczestników zdają się potwierdzać, że nie był to w żadnym wypadku normalny projekt badawczy na uniwersytecie, zaplanowany i wykonany zgodnie z zasadami akademickimi.