Според номинирания за главен прокурор Иван Гешев целта на хакерската атака срещу Националната агенция за приходите е политическа.

В интервю за БНТ заместникът на Сотир Цацаров нарече единствения обвиняем - Кристиян Бойков „маша“ и обяви, че фирмата, в която работи момчето се занимава с „киберрекет“.

Макар досега единствен обвиняем за изтеклите лични данни на милиони българи да е Бойков и то по текст от Наказателния кодекс, за който се предвижда само глоба, пред БНТ Иван Гешев разви тезата, че фирмата, за която работи Бойков, си намира клиенти с такива пробиви:

„Удряне на търговски дружества, държавни организации с цел нарушаване на тяхната компютърна информационна сигурност и съответно по-късно да бъдат привлечени като клиенти. Вече знаем, макар и една милионна част от това, което се съдържа в него, то е потресаващо. Вътре има информация за нерегламентиран достъп върху 106 бази данни. 57 са само тези, които станаха известни на обществото. Това, което се вижда вътре, е опит за нерегламентиран достъп върху сайтове и свързани с тях база данни на застрахователни дружества, на търговски организации и на какво ли още не“.

Гешев видя в атаката срещу НАП „координирана атака срещу държава“, заради интензивните медийни изяви на политици от „Да, България" в телевизии и медии, които той нарече „протестърски“.  Единственият кандидат за главен прокурор все пак направи уточнението, че новите версии били въпрос на доказване.

Според него Кристиян е бил използван от хора от фирма "ТАД Груп", която пък се проверява за връзки с политически структури:

"Погледнете как интересно съвпадна всичко с политическата реакция примерно на "Да, България". В рамките на дни беше поискана оставката не на шефа на НАП, а на министъра Горанов. Дните в политическия живот представляват мир и секунди по същество. Това е една координирана атака срещу държавата, както каза, мисля, че Томислав Дончев. Тази фирма - водеща версия естествено е това и е въпрос на доказване - просто е съчетала основната си дейност, която вероятно е киберрекет, с политически интереси".

Междувременно от прокуратурата излязоха със специално прессъобщение във връзка с разследването.

В хода на извършеното на 16.07.2019 г. претърсване и изземване в офиса на дружеството „TAD GROUP“ в гр. София, разследващите органи иззеха веществени доказателства, включително и служебния компютър на Кристиян Бойков, който по-рано бе задържан за хакерската атака срещу Националната агенция за приходите.

От анализираните данни към момента може да се направи заключение, че той е разполагал с базата данни на НАП преди разпространението ѝ в интернет пространството. Към настоящия момент продължава работата по декриптиране на информацията, съдържаща се в иззетите веществени доказателства, както и по анализ на вече декриптираната такава информация от компютъра на Бойков.

Кристиян Бойков е извършвал различни търсения по единни граждански номера в базата данни на НАП, както и е променял оригиналната дата на файловете с датата 10.11.1989 г., която съвпада с датата на файловете, разпространени в интернет пространството. Установено е, че между 10.07.2019 г. и 12.07.2019 г. – три дни преди публикуването на базата данни на НАП в интернет, на служебния компютър на Кристиян Бойков са правени търсения в тази база данни с единни граждански номера на няколко лица: министър-председателя Бойко Борисов, главния прокурор Сотир Цацаров и народния представител Делян Пеевски. Непосредствено преди това търсене е извършено търсене с единните граждански номера на други две лица, както и за адвокатска кантора „Авиора консулт“. Резултатът от тези търсения Бойков е съхранил във файл, именуван „Търсене за бивол“. След тези действия от него е извършено търсене в базата данни на НАП  с единния граждански номер на Емил Радев – евродепутат. Резултатите от тези търсения са обменяни от Бойков с друго лице.

В дигитална папка на служебния компютър на Бойков е наличен файл с име „математика за домашно“, с дата на създаване 11.07.2019 г., който съдържа специфичните наименования на 106 бази данни и множество техни таблици, които са идентични с частично разпространените 57 бази данни на НАП в интернет пространството. Това е индикатор, че Бойков разполага с пълната база данни, изтекла от НАП, а не само с тази, вече публикувана в интернет пространството. В първия имейл от 15.07.2019 г. до няколко медии лицето, представящо се за „руски хакер“, твърди, че е публикувал само една част от базата данни на НАП, както и че разполага с допълнителна база данни, която ще разпространи на по-късен етап. В друга дигитална папка на служебния компютър на Бойков е наличен файл с име „броене за домашно“ с дата на създаване 11.07.2019 г., който съдържа специфично именувани бази данни, идентични с тези от базата данни на НАП, множество други специфични наименования на таблиците от тези бази данни, както и броя на записите във всяка от таблиците. Установено е, че на служебния компютър на Бойков са били въвеждани команди за промяна на датата на оригиналните файлове от базата данни на НАП с датата 10.11.1989 г. от манипулираните файлове, изтекли в интернет пространството. При декриптирането е установено и наличие на файлове с бази данни на клиенти на частни търговски дружества.

На 16.07.2019 г., в 11:50 ч на електронните пощи на телевизиите БТВ и НОВА и в. „Капитал“ e получено съобщение от “анонимния руски хакер” чрез e-mail “minfin@mail2tor.com”. За разследването на този етап няма съмнение, че Кристиян Бойков е автор и разпространител на писмото до медиите, чийто автор се представя за “анонимен руски хакер”.