חברת NSO חויבה בפיצויים בסך 168 מיליון דולר ל- WhatsApp: מהן ההשלכות על חברות ישראליות?
תקציר
- רקע: פסק דין תקדימי והרחבת סמכות שיפוט – בתחילת מאי 2025 פסק בית משפט הפדרלי בארה"ב כי NSO תשלם ל-WhatsApp פיצויים בסך 168 מיליון דולר, בגין פריצות שבוצעו באמצעות תוכנת פגסוס. פסק הדין מעלה שאלות עקרוניות באשר להחלת סמכות שיפוט אמריקאית על חברות זרות, לרבות ישראליות, ולרגולציה על ייצוא טכנולוגיות ביטחוניות.
- ההליך וההכרעה: הפרת חובות גילוי והטלת אחריות – התביעה התבססה על טענות לפריצות שבוצעו דרך שרתי וואטסאפ בארה"ב. בית המשפט קיבל את עמדת התובעת, בין היתר בשל אי-עמידת NSO בחובות גילוי, והטיל עליה סנקציות ראייתיות שהובילו לקבלת טענות התביעה. בכך נקבעה סמכות שיפוט אמריקאית ונקבעה אחריות, כאשר שאלת הנזק בלבד נותרה להכרעת מושבעים.
- פסק הדין: פיצויים עונשיים חריגים – המושבעים קבעו כי הנזק הישיר לוואטסאפ נמוך יחסית, אך הטילו פיצויים עונשיים משמעותיים בהיקף של למעלה מ-167 מיליון דולר. הפער בין הנזק לפיצוי משקף את המשקל שניתן להיבטים רחבים יותר, ובפרט לטענות בדבר שימוש בתוכנה לפגיעה בזכויות אדם.
- השלכות: חשיפה משפטית ורגולטורית מוגברת – פסק הדין מדגיש את החשיפה הגוברת של חברות סייבר ישראליות להליכים אזרחיים בארה"ב, גם כאשר הפעילות מתבצעת מחוץ לתחומה. הוא מעלה שאלות בדבר פיקוח על ייצוא ביטחוני ויכולתן של חברות להתגונן מפני תביעות. לנוכח זאת, פעילות בתחום זה מחייבת בחינה משפטית מוקדמת והיערכות לסיכונים רגולטוריים ומשפטיים משמעותיים.
- עדכון חדש בנושא: בחודש אוקטובר 2025, הפחית בית המשפט את סכום הפיצויים שהושתו על NSO מ-168 מיליון דולר ל-4 מיליון דולר, והוציא צו מניעה האוסר על NSO לפרוץ למכשירים סלולריים באמצעות אפליקציית WhatsApp (הצו חל על אפליקציה זו בלבד), לאסוף נתונים ממשתמשי האפליקציה, ליצור סימולציות של האפליקציה, לפתוח חשבונות חדשים באפליקציה לצרכי מחקר או תקיפה, וכן לבצע הנדסה לאחור של קוד המקור שלה. הצו אינו חל על ממשלות זרות שהן לקוחות של NSO.
עדכון בנושא (אפריל 2026):
באוקטובר 2025, הפחית בית המשפט את סכום הפיצויים העונשיים שהושתו על NSO מ-168 מיליון דולר ל-4 מיליון דולר בלבד. לצד הפיצויים, הוציא בית המשפט צו מניעה האוסר על NSO לפרוץ למכשירים סלולריים באמצעות אפליקציית WhatsApp, לאסוף נתונים ממשתמשי האפליקציה, ליצור סימולציות של האפליקציה, לפתוח חשבונות חדשים באפליקציה לצרכי מחקר או תקיפה, וכן לבצע הנדסה לאחור של קוד המקור שלה. הצו חל על אפליקציית WhatsApp בלבד, ולא על פלטפורמות אחרות של META, כגון פייסבוק ואינסטגרם. כמו-כן, הצו אינו חל על ממשלות זרות שהן לקוחות של NSO, מאחר שאינן צד להליך והדין האמריקאי אינו חל עליהן.
חשיבות ההחלטה בדבר מתן צו המניעה נעוצה בכך שהיא משרטטת את גבולות האחריות של חברות המפתחות טכנולוגיות סייבר התקפי ביחס לזכויות המשתמשים בפלטפורמות דיגיטליות שונות, ומחזק את ההגנה המשפטית על אינטרס הפרטיות בזירה הבינלאומית.
____________________________________________________________________
במאי 2025 פסק בית המשפט הפדרלי במחוז הצפוני של קליפורניה כי חברת NSO הישראלית תשלם 168 מיליון דולר ל -WhatsApp שבבעלות מטא (הבעלים של פייסבוק, ווטסאפ, אינסטגרם ועוד). מדובר בפסק דין תקדימי שמעורר שאלות עקרוניות בנוגע לסמכות שיפוט אמריקאית כלפי חברות זרות, ביניהן חברות ישראליות הפועלות בארצות הברית, ולרגולציה על ייצוא טכנולוגיות ביטחוניות.
הרקע
NSO היא יצרנית של תוכנת פגסוס. התוכנה יכולה לחדור למכשירים ניידים – בין היתר דרך הוואטסאפ, ולעקוב אחר פעילות המשתמש. לטענת החברה, לקוחותיה הם בעיקר גופי אכיפה ממשלתיים הפועלים נגד פשיעה חמורה. עם זאת, לפי טענות מצד פעילי זכויות אדם, התוכנה שימשה לא פעם משטרים דיקטטוריים אשר ביקשו לרגל אחר מתנגדי משטר. על רקע זה, בשנת 2021 נכללהNSO ברשימת הישויות המוגבלות של משרד המסחר האמריקאי.
התביעה הוגשה לאחר שורה של פסיקות של בתי משפט בארצות הברית שדחו תביעות של תובעים שהטלפונים שלהם נפרצו, בטענה שבית המשפט בארצות הברית אינו הפורום המתאים לדון בתביעות אלו כיוון שלא מדובר באזרחים אמריקאים, והפריצות לא בוצעו על אדמת ארצות הברית.
המשמעות: מערכת המשפט האמריקאית משדרת מסר ברור –גם גופים הפועלים מחוץ לתחומי ארה״ב יישאו באחריות אם יפגעו באמצעים טכנולוגיים בחברות אמריקאיות.
הטענות: NSO השיגה מידע מוגן ללא אישור
לפני כשש שנים הגישה חברת ווטסאפ תביעה נגד חברת NSO בגין 1400 פריצות לטלפונים סלולריים אשר לכאורה בוצעו באמצעות תוכנת פגסוס ותוך שימוש בשרתים של חברת ווטסאפ בקליפורניה. ווטסאפ טענה כי NSO הפרה את החקיקה הפדראלית ואת חוקי קליפורניה האוסרים השגת מידע מוגן ממחשבים תוך גישה לא מאושרת אליהם. כמו כן טענה ווטסאפ כי NSO הפרה את תנאי השימוש שלה.
NSO טענה שורה של טענות הגנה, בין היתר, כי לבית המשפט הפדראלי אין סמכות שיפוט היות ולא נעשה שימוש מכוון בשרתים המצויים בארצות הברית. כמו כן טענה כי על פי החקיקה הרלוונטית זכות התביעה תלויה בכך שהגישה הלא מאושרת נעשתה לאותו המחשב ממנו נלקח המידע. במקרה של NSO, הגישה הלא מאושרת הייתה לשרתים של ווטסאפ, אך המידע נלקח ממכשירים של משתמשי הקצה. כמו כן טענה NSO כי הלקוחות הם האחראים לפריצה, וכי בפועל לווטסאפ לא נגרם כל נזק.
פסק הדין החלקי בשאלת האחריות
עוד ב-20 בדצמבר פסק בית המשפט הפדרלי פסק דין חלקי ובו קיבל את עמדתה של ווטסאפ בעניין האחריות. הפסיקה כללה דיון קצר בלבד בסוגיות האחריות שהועלו על ידי התובעת. עיקר הפסיקה נובעת מכך שבית המשפט פסק ש-NSO לא עמדה בחובות הגילוי שלה. על-פי החלטת בית המשפט היה על הנתבעת לספק לתובעת את קוד המקור של תוכנת פגסוס. לטענת NSO – ההוראות של משרד הביטחון מנעו ממנה להעביר את קוד המקור מחוץ לישראל, ולמי שאינו אזרח ישראלי. במקום זאת הציעה NSO כי גישה לעורכי הדין הישראלים של ווטסאפ לקוד המקור, או כי ווטסאפ תבקש אישור ממשרד הביטחון לייצא את התוכנה לשם הדיון המשפטי. בית המשפט דחה את טענותיה והצעתה של NSO כבלתי מעשית, וקבע כי היא הפרה את צווי הגילוי שניתנו על ידי בית המשפט.
בשל כך הטיל בית המשפט על NSO "סנקציות ראייתיות":- ובהן קביעה כי טענות ווטסאפ שניתן היה להוכיח באמצעות קוד המקור של פגסוס התקבלו כנכונות. בהתאם לכך, קבע בית המשפט כי יש לו סמכות שיפוט היות ולטענת ווטסאפ התוכנה השתמשה בשרתים בקליפורניה. כמו כן קיבל בית המשפט את טענת ווטסאפ כי NSO עשתה שימוש במידע שהוצא משרתים שלה לצורך פריצה למכשירים נוספים.
ממילא, קבע בית המשפט כי אין צורך במשפט בפני מושבעים על מנת לקבוע את אחריותה של NSO, וכי השאלה היחידה בה יש צורך בהחלטה על ידי מושבעים היא היקף הנזק.
פסק הדין: פיצויים עונשיים חריגים
בפסק הדין קבעו המושבעים כי הנזק שנגרם לווטסאפ כתוצאה מהפריצה היא בשיעור של פחות מחצי מיליון דולר. עם זאת, המושבעים הטילו על NSO פיצויים עונשים בשיעור של יותר מ 167 מיליון דולר. כפי הנראה, הטלת הפיצויים העונשיים נבעה בעיקר מהעדויות שנשמעו בבית המשפט על כך שתוכנת פגסוס היוותה כלי מרכזי בהפרה של זכויות אדם על ידי משטרים שונים ברחבי העולם.
חברת NSO צפויה לערער על פסק הדין לבית המשפט הפדראלי לערעורים.
השלכות פסק הדין: חשיפה משפטית ורגולטורית מוגברת לתאגידים ישראליים
הפיצויים שהוטלו על NSO לשלם, אם לא יבוטלו בערעור, משמעותיים ביותר. הנזק שנגרם לווטסאפ היה זניח יחסית. יותר מ -99% מהפיצויים הם פיצויים עונשיים. במילים אחרות, בית המשפט בארצות הברית פסק כי יש לו סמכות שיפוט בתביעה כנגד חברה ישראלית, רק בשל נזק עקיף וזניח יחסית שנגרם בארצות הברית. אך משעה שנקבע שיש סמכות לבית המשפט בארצות הברית, מעשיה של NSO נבחנו בהקשר הכולל, ולא רק בהקשר הנזק הספציפי שנגרם.
תעשיית הסייבר ההתקפי הישראלי הייתה אחד מהתחומים הדינאמיים ביותר בקרב מגזר ההייטק הישראל בעשור הקודם. אלא שבכמה מקרים נחשף כי חברות אלו פעלו תוך פגיעה בפרטיות, הפרת חוק במדינות שונות, וסיוע לממשלות בדיכוי התנגדות – תופעות שגררו בין היתר סנקציות על אותן חברות.
פסק דין זה ממחיש את החשיפה הגוברת של חברות סייבר ישראליות לתביעות אזרחיות בארה"ב, אשר עשויות להוביל לפסיקות בסכומי עתק. גם כאשר הלקוח הוא מדינה לגיטימית, עצם השימוש שנעשה במוצר למטרות השנויות במחלוקת עלול לחשוף את החברה לתביעה – ולהוביל ל"אפקט מצנן" בפעילותה הבינלאומית .נקודה נוספת שיש לתת לה תשומת הלב היא שאלת הפעילות של החברות המפוקחות על-ידי משרד הביטחון – אגף הפיקוח על היצוא הבטחוני במשרד הביטחון מפקח על ייצוא של מוצרים ביטחוניים למדינות זרות, וכל ייצוא כזה דורש רישיון. ככל שמדובר במוצרי תוכנה, מעלה פסק הדין בעניין NSO שאלות בדבר היכולת של משרד הביטחון לשלוט בייצוא של תוכנות, ובדבר יכולתן של חברות ישראליות להגן על עצמן מפני תביעות בהעדר אישור כזה.
פעילות הכרוכה בייצוא של מוצרים שיש להם שימושים ביטחוניים למדינות אחרות כרוכה, אם כן, בשאלת משפטיות משמעותיות, ויש להיעזר בייעוץ משפטי לפני פעילות בינלאומית בתחום זה.
***
פרופ' עמיחי כהן הוא יועץ מיוחד למשפט הבינלאומי במשרד.
ד"ר רן כרמי הוא עורך דין במחלקת תחרות והגבלים עסקיים במשרד.
מחלקת משפט בינלאומי במשרד מתמחה במתן ייעוץ ללקוחות בנושאים הקשורים לסחר בינלאומי, ביטחון לאומי, משפט חוקתי ישראלי, משפט פלילי בינלאומי ויישום הדין הבינלאומי במערכת המשפט הישראלית.
שאלות נפוצות
אכיפת פסק דין אמריקאי מחוץ לארה"ב אינה אוטומטית, אלא מחייבת הליך נפרד של "הכרה ואכיפה" בכל מדינה שבה מצויים נכסי החברה. רק לאחר קבלת הכרה, ניתן לנקוט צעדים אופרטיביים כמו עיקול חשבונות או תפיסת נכסים. במקביל, במדינות שבהן פועלת החברה, ניתן לפתוח בהליכי אכיפה מקבילים, ליצירת לחץ רב-זירתי.
ההשלכות על החברה הן משמעותיות מאוד: עיקולים והקפאת נכסים כשלב ראשון, ואחריו הפגיעה העמוקה יותר – פגיעה במוניטין החברה שמערער את בסיס פעילותה ועשוי להוביל לקושי בפעילות מול בנקים ומוסדות בינ"ל, לחשש של שותפים עסקיים להתקשרויות, ואף לביטול או להקפאה של חוזים עם לקוחות ממשלתיים.
ויותר מכך, אכיפה חוצת-גבולות מייצרת אפקט מצטבר: גם אם החברה מצליחה לעכב או לצמצם אכיפה במדינה אחת, היא עלולה להיתקל בחסמים במדינות אחרות. הפעילות הבינלאומית הופכת מורכבת יותר, יקרה יותר, ותלויה לא רק בשיקולים עסקיים אלא גם בהערכת סיכונים משפטיים גלובליים.
חברות צריכות לשנות לא רק נהלים, אלא גם את כל תפיסת הציות עצמה – לעבור מגישת "ציות פורמלי" של רשימת דרישות, לגישה רחבה יותר של ניהול סיכונים מתמשך. לטובת כך, אלה הצעדים המרכזים שיש ליישם:
- בדיקות עומק ללקוחות בשלב בחירת הלקוח – רקע, אינטרסים, שימושים פוטנציאליים בטכנולוגיה ובדגש על חשיפות. לצד זאת, פיקוח על העובדים במטרה לוודא שאין הפרות בשטח.
- תוכנית ציות מעודכנת כמרכיב קריטי – לא עדכון נהלים, אלא בנייה מחדש של מערכת הציות יחד עם עורכי דין מומחים בסייבר, פרטיות ודין בינלאומי. על התוכנית לכלול – אילו עסקאות מותרות, אילו דורשות אישורים מיוחדים ואילו אסורות לחלוטין, וכן הטמעת הדרכות שוטפות לעובדים ומנהלים.
- פיקוח על הכלים הטכנולוגיים גם לאחר המכירה ומעקב אחר השימוש בפועל – למשל, מנגנונים טכנולוגיים שמגבילים שימוש, בדיקות תקופתיות, ואפילו אפשרות להפסיק שירות במקרים חריגים.
- הגברת מנגנונים פנימיים – צוותי ציות עצמאיים, ועדות אתיקה, והטמעה של תהליכי קבלת החלטות שמתחשבים גם בהיבטים של זכויות אדם ולא רק ברווחיות.
- שקיפות ואחריותיות כלפי חוץ – חברות נדרשות לתיעוד איכותי, מנגנוני ממשל תאגידי חזקים ושקיפות מול רגולטורים, עמידה בסטנדרטים בינלאומיים של פרטיות ופיקוח ועוד.
למרות שלא בהכרח מדובר ב"תקדים מחייב" במובן הפורמלי שלו, בכל מדינה בעולם, מדובר בפסק דין בעל השפעה רחבה – שמשפיע על החלטות בתי המשפט, רגולטורים וחברות טכנולוגיה. חברות סייבר אינן אחראיות רק לפיתוח הכלי – אלא גם לשימוש שנעשה בו. כך, גבולות האחריות מתרחבים, מהמשתמש ליצרן.
בהקשר פרטיות וסייבר – פסק הדין מרחיב את האחריות, לא רק על עצם הפגישה, אלא גם על מי שאפשר אותה והאם ניתן היה למנוע אותה. חברות טכנולוגיה עלולות להיתבע בעולם לפי סטנדרטים מחמירים יותר, גם כשמדובר שימושים ביטחוניים.
זהו איתות ברור לתעשייה הטכנולוגית בישראל והסייבר בפרט: פעילות גלובלית מלווה באחריות משפטית בינלאומית. חברות יידרשו לחזק ציות, בקרה וניהול סיכונים כדי להימנע מחשיפה משפטית ונזק תדמיתי. מעבר לכך, הפסיקה עשויה להאיץ רגולציה בתחום הסייבר ולהפוך ציות ליתרון תחרותי: חברות אחראיות יחזקו אמון בשוק, בעוד שאחרות עלולות להיחשף לסיכון עסקי ממשי.
פסק הדין מדגיש את הצורך בניהול סיכונים משפטיים גלובליים באופן אקטיבי ובצורה שקולה.
חברות ומנהלים נדרשים להקים מערך ציות אפקטיבי בפועל – כולל בקרה על לקוחות ושימוש במוצר, תיעוד החלטות, הדרכות, ובדיקות תקופתיות. לצד זאת, חשוב לפעול בליווי משפטי שוטף ובתיאום עם רגולטורים, לרבות קבלת אישורי ייצוא והבנה כי עמידה בדין המקומי אינה מספקת הגנה מלאה בחו״ל.
בעלי מניות צריכים לוודא קיום מנגנוני ציות וניהול סיכונים, ולדרוש בדיקות כאשר עולים סימני אזהרה.
נפגעים נדרשים לאסוף ולשמור ראיות, להיעזר במומחי סייבר ולפנות לייעוץ משפטי – לעיתים גם לצורך נקיטת הליכים מחוץ למדינתם.
בסופו של דבר, תיאום עם רשויות רגולציה, ייעוץ משפטי שוטף וניהול נכון של ראיות אינם צעדים טכניים בלבד, אלא חלק מרכזי מהגנה משפטית רחבה ומניהול סיכונים בעידן שבו פעילות טכנולוגית גלובלית.