Paragon Graphite Spyware: la spia in tasca

Paragon graphite spyware: Giornalismo · Intelligence · Potere

Paragon Graphite spyware · Lo smartphone come archivio vulnerabile di fonti, contatti e comunicazioni giornalistiche.

Paragon graphite spyware: La crisi italiana dello spyware

Il caso esplode tra il 2025 e il 2026, dopo le notifiche inviate da WhatsApp a circa 90 utenti nel mondo bersaglio di spyware riconducibile a Paragon. Tra i profili coinvolti emergono giornalisti, attivisti e membri della società civile. In Italia, il governo riconosce che alcune utenze italiane risultano coinvolte, ma nega di aver spiato illegalmente giornalisti o soggetti protetti.

I nomi entrati nella ricostruzione pubblica sono politicamente sensibili: Francesco Cancellato, direttore di Fanpage.it; Ciro Pellegrino, giornalista della stessa testata; Luca Casarini e Giuseppe Caccia, legati a Mediterranea Saving Humans; Roberto D’Agostino, fondatore di Dagospia, indicato dalle organizzazioni europee per la libertà di stampa tra i casi rimasti irrisolti.

Graphite, sviluppato da Paragon Solutions, appartiene al mercato degli spyware governativi. È una categoria diversa dalle intercettazioni tradizionali. Non segue soltanto un flusso telefonico o una conversazione specifica. Può trasformare il telefono in una superficie di accesso: chat, archivi, contatti, metadati, notifiche, app cifrate, comunicazioni passate e future.

Il punto, quindi, non è solo chi sia stato colpito. È capire se il sistema democratico abbia strumenti sufficienti per ricostruire l’uso di tecnologie progettate per essere invisibili.

Paragon graphite spyware: Android e iOS

La ricostruzione pubblica più solida distingue due piani tecnici. Il primo riguarda i dispositivi Android di Francesco Cancellato, Luca Casarini e Giuseppe Caccia. Nel marzo 2026, la consulenza tecnica nelle indagini italiane individua tracce di malware su tre dispositivi Android, con anomalie nei database WhatsApp compatibili con il funzionamento di Graphite.

Il secondo piano riguarda iOS e il caso di Ciro Pellegrino. Citizen Lab ha confermato con alta affidabilità che il giornalista di Fanpage.it è stato preso di mira con lo spyware iOS di Paragon. Nei log compare un account iMessage indicato come ATTACKER1, osservato anche in un altro caso europeo.

Questa distinzione conta. Cancellato non va collocato nel filone iMessage/ATTACKER1. Nella versione più prudente, il suo caso appartiene al filone Android/WhatsApp emerso dagli accertamenti italiani del 2026. Pellegrino, invece, è il caso collegato al vettore iOS/iMessage documentato da Citizen Lab.

La trama resta comune: giornalisti e attivisti, strumenti zero-click, infrastrutture opache, responsabilità non ancora pienamente chiarite.

La notte del 14 dicembre 2024

Il dato temporale più delicato arriva dagli accertamenti tecnici del 2026. Secondo le ricostruzioni pubbliche, le compromissioni dei dispositivi Android di Cancellato, Casarini e Caccia sarebbero avvenute nelle prime ore del 14 dicembre 2024. La vicinanza temporale degli attacchi suggerisce una possibile campagna coordinata, anche se gli autori materiali restano oggetto d’indagine.

La sequenza tocca nello stesso arco temporale un direttore di testata e due attivisti legati al soccorso in mare. Una redazione investigativa, una ONG, un tema politico sensibile. Non basta a dimostrare un movente unico, ma definisce un perimetro che la magistratura deve ricostruire.

L’accesso ai server Graphite in uso all’AISI aggiunge il passaggio più controverso. Le ricostruzioni giornalistiche indicano che l’analisi avrebbe confermato operazioni sui dispositivi di Casarini e Caccia, ma non avrebbe rilevato tracce riferibili a Cancellato. Allo stato delle informazioni pubbliche, l’attacco contro il direttore di Fanpage non risulta attribuito all’AISI.

Questa assenza non chiude la vicenda. Se il dispositivo mostra tracce compatibili con Graphite, ma i server visionati non restituiscono un’operazione corrispondente, restano aperte più ipotesi: un altro operatore, una diversa infrastruttura, log incompleti, registrazioni mancanti, catene tecniche non pienamente verificabili.

Paragon graphite spyware: la filiera della sorveglianza

Il caso Paragon non si capisce guardando solo il telefono infettato. Il telefono è l’ultimo punto visibile di una catena più lunga: contratto, licenza, autorizzazione, vulnerabilità, infrastruttura tecnica, fornitore, server, log, dispositivo, fonti.

La sorveglianza contemporanea non funziona come una singola azione. Funziona come una filiera. Quando un anello resta opaco, la responsabilità si disperde.

La filiera della sorveglianza · Stato, fornitore, exploit, server, log e dispositivo personale dentro la stessa catena tecnica.

ATTACKER1 e CVE-2025-43200

Il filone iOS introduce un dettaglio tecnico decisivo: la vulnerabilità CVE-2025-43200. Apple ha confermato a Citizen Lab che l’attacco zero-click osservato era stato mitigato con iOS 18.3.1 e associato a questa vulnerabilità. Il vettore sfruttava Messages e contenuti condivisi tramite iCloud Link.

Zero-click significa che la vittima non deve toccare nulla. Non serve aprire un allegato, seguire un link, rispondere a un messaggio. Il dispositivo può essere raggiunto attraverso un canale apparentemente ordinario e compromesso senza un gesto visibile dell’utente.

Citizen Lab collega il caso di Ciro Pellegrino all’account iMessage ATTACKER1. Lo stesso indicatore compare in un altro caso europeo. Poiché nel mercato spyware ogni cliente tende ad avere infrastrutture operative dedicate, la ricorrenza dello stesso account suggerisce un collegamento tra le operazioni.

Non ogni responsabilità è definita in sede giudiziaria. Ma il livello tecnico indica una struttura, non un incidente casuale. Quando quella struttura tocca giornalisti, fonti e redazioni, la questione smette di essere solo informatica.

Paragon graphite spyware: il compagno di redazione invisibile

Uno smartphone non è un oggetto privato nel senso tradizionale. Nel telefono di un giornalista ci sono contatti, fonti, bozze, messaggi mai pubblicati, comunicazioni con avvocati, redattori, whistleblower, intermediari. Nel telefono di un attivista ci sono mappe operative, chat di coordinamento, documenti, fotografie, spostamenti.

Violando il dispositivo, lo spyware non entra in una conversazione. Entra in una vita organizzata. L’intercettazione classica segue un flusso. Uno spyware moderno può muoversi nell’archivio, leggere ciò che era già stato scritto e prepararsi a leggere ciò che verrà scritto dopo.

Per questo Graphite non può essere trattato come una semplice evoluzione tecnica delle intercettazioni. È una perquisizione remota, invisibile, potenzialmente continua. Un accesso al corpo digitale della persona.

Quando il bersaglio è un giornalista, il danno non riguarda solo la privacy individuale. Riguarda la libertà di informazione, perché ogni fonte potenziale impara una lezione pratica: il canale potrebbe non essere protetto.

Fanpage.it e l’effetto sulle fonti

Fanpage.it occupa una posizione centrale nella vicenda. La testata ha pubblicato inchieste politicamente sensibili, comprese indagini sulla galassia giovanile di Fratelli d’Italia. Le organizzazioni europee per la libertà di stampa hanno richiamato questo contesto nel discutere l’attacco a Francesco Cancellato, pur senza attribuire pubblicamente un movente certo al targeting.

La cautela è necessaria. Non si può affermare che l’attacco sia avvenuto a causa di quelle inchieste, se le prove pubbliche non lo dimostrano. L’effetto politico, però, non dipende solo dal movente.

Un direttore di giornale sorvegliato con spyware modifica il comportamento della redazione e delle fonti. Chi ha parlato con lui può chiedersi se il proprio nome, numero, messaggio o documento sia finito in mani sconosciute. Chi stava per farlo può fermarsi.

Questo è il chilling effect: non la censura dichiarata, ma il silenzio indotto. Nessun divieto formale. Nessuna chiusura della testata. Solo il sospetto che il canale non sia più sicuro.

Mediterranea e la sicurezza nazionale estesa

Il governo italiano ha riconosciuto l’uso dello spyware nei confronti di Luca Casarini e Giuseppe Caccia, ricondotto a finalità di sicurezza nazionale e immigrazione irregolare. Secondo la documentazione parlamentare riportata da Reuters, il controllo sui due attivisti di Mediterranea sarebbe stato autorizzato nel quadro delle competenze di sicurezza.

La questione non si esaurisce nella presenza di un’autorizzazione. Rimane il tema della proporzionalità. Casarini e Caccia sono figure legate a Mediterranea Saving Humans, ONG attiva nel soccorso in mare. Usare uno spyware di grado militare contro attivisti umanitari sposta il confine tra sicurezza e dissenso.

La categoria dell’immigrazione irregolare può diventare un contenitore elastico: dentro possono entrare criminalità, reti logistiche, attività politiche, solidarietà, relazioni internazionali. La tecnologia, però, non cambia natura a seconda dell’etichetta giuridica. Resta uno strumento capace di aprire l’intero dispositivo.

Il rischio è la normalizzazione dello strumento eccezionale. Prima terrorismo, poi criminalità organizzata, poi migrazione, poi attivismo. Ogni passaggio può sembrare giustificato nel caso specifico. Nel tempo, però, il perimetro si allarga.

Il rapporto spezzato tra Italia e Paragon graphite spyware

Il rapporto tra Italia e Paragon Solutions si rompe dentro versioni contrastanti. Alcune ricostruzioni hanno indicato che Paragon avrebbe interrotto il contratto con l’Italia dopo le accuse di uso dello spyware contro giornalisti, attivisti e membri della società civile, in possibile violazione dei termini contrattuali.

Reuters ha documentato una sequenza più complessa. Il Copasir ha sostenuto che l’Italia avesse prima sospeso e poi terminato i contratti con Paragon dopo il clamore mediatico. Paragon, invece, ha dichiarato di aver smesso di fornire il servizio e di aver proposto un meccanismo tecnico per chiarire se il sistema fosse stato usato contro Cancellato.

In questa frattura emerge il paradosso della sovranità digitale. Lo Stato acquista da un fornitore straniero uno strumento per operazioni di massima sensibilità. Quando nasce il sospetto di abuso, il fornitore difende la propria reputazione, lo Stato invoca sicurezza nazionale e segreto, il Parlamento riceve una versione filtrata, la magistratura cerca prove tecniche in un’infrastruttura che non controlla interamente.

La sovranità diventa dipendenza operativa. Non basta possedere la licenza. Bisogna controllare la catena tecnica, i log, le manutenzioni, gli accessi, le prove.

Copasir, segreto e controllo parziale

Il Copasir è uno degli snodi politici della vicenda. Da un lato, il Comitato parlamentare per la sicurezza della Repubblica è il luogo deputato al controllo sui servizi. Dall’altro, opera dentro un perimetro in cui Copasir è uno degli snodi politici della vicenda. Da un lato, il Comitato parlamentare per la sicurezza della Repubblica è il luogo deputato al controllo sui servizi. Dall’altro, il segreto limita ciò che può essere comunicato pubblicamente.

La documentazione parlamentare e le ricostruzioni successive indicano che il Copasir ha considerato legittimo l’uso di Graphite contro Casarini e Caccia, escludendo il coinvolgimento dei servizi italiani nel caso Cancellato. Questa ricostruzione istituzionale lascia comunque una lacuna: se Cancellato è stato colpito, ma non dai server AISI visionati, chi lo ha fatto?

La domanda non accusa automaticamente un soggetto preciso. Espone un problema di sistema. Una democrazia può tollerare strumenti invasivi solo se la catena di autorizzazione, uso, audit e responsabilità resta verificabile.

Se l’indagine si ferma davanti a log mancanti, fornitori non collaborativi o infrastrutture separate, il controllo parlamentare rischia di diventare parziale. E un controllo parziale, davanti a uno spyware totale, non basta.

Privacy, Costituzione e libertà dei media

Il Garante per la protezione dei dati personali è intervenuto nel febbraio 2025 con un avvertimento esplicito: l’uso di Graphite o di sistemi analoghi fuori dagli usi consentiti dalla legge viola il Codice privacy e può comportare sanzioni pesanti. Il passaggio sottrae il caso alla sola grammatica dell’intelligence.

Uno spyware è anche un sistema di trattamento dei dati personali. Raccoglie, trasferisce, organizza, consulta e potenzialmente conserva informazioni estremamente sensibili. Quando l’uso è illegittimo, il danno riguarda identità, relazioni, orientamenti politici, comunicazioni professionali, strategie legali, fonti giornalistiche.

Il caso arriva mentre l’Unione Europea prova a rafforzare la protezione dei media con l’European Media Freedom Act. L’EMFA introduce standard sulla protezione dell’indipendenza editoriale e delle fonti giornalistiche, anche contro software di sorveglianza intrusiva.

Il problema è operativo. Non basta avere una norma europea che limiti l’uso di spyware contro i giornalisti. Serve una struttura capace di accertare l’abuso, attribuirlo, documentarlo e sanzionarlo. Altrimenti, il diritto arriva dopo l’infezione, dopo la compromissione delle fonti, dopo la perdita di fiducia.

La fine dello spyware “etico”

Paragon si è presentata come alternativa più controllata rispetto al mercato tossico reso famoso da Pegasus e NSO Group. L’idea era semplice: strumenti invasivi, ma venduti solo a governi democratici; capacità offensive, ma regolate da clausole; tecnologie pericolose, ma guidate da un’etica commerciale.

Il caso italiano consuma questa promessa. Non perché ogni responsabilità sia già stata accertata in via definitiva. Ma perché mostra l’insufficienza del modello. Uno spyware può essere venduto con clausole etiche e finire comunque al centro di uno scandalo che coinvolge giornalisti, attivisti, servizi segreti, procure, Parlamento, fornitori stranieri e istituzioni europee.

L’etica contrattuale non basta quando la tecnologia permette una perquisizione invisibile dell’intera vita digitale. Servono log non alterabili, audit indipendenti, autorizzazioni rafforzate per i casi che coinvolgono giornalisti, registri delle licenze spyware, limiti chiari all’uso contro società civile e redazioni.

Soprattutto, serve riconoscere che uno spyware non è una normale intercettazione. È un accesso totale.

Il caso Paragon Graphite spyware resta aperto perché nessuno degli elementi emersi basta, da solo, a chiudere la catena delle responsabilità.

Ci sono tracce compatibili con Graphite su dispositivi di giornalisti e attivisti. Ci sono operazioni riconosciute come legittime nei confronti di Casarini e Caccia. C’è il caso Cancellato, confermato sul piano tecnico ma non attribuito ai server AISI visionati dagli inquirenti. C’è il filone iOS di Ciro Pellegrino, documentato da Citizen Lab. C’è un rapporto spezzato tra Italia e Paragon, con versioni divergenti. C’è un fornitore straniero che non sembra aver consegnato tutte le risposte richieste dagli investigatori italiani.

Il quadro non produce una conclusione semplice. Produce un problema strutturale.

Uno spyware di questa categoria non segue solo una conversazione. Entra in un dispositivo che contiene lavoro, fonti, memoria, relazioni, archivi, comunicazioni passate e future. Per questo, quando il bersaglio è un giornalista, il danno potenziale non riguarda solo la privacy individuale. Riguarda l’infrastruttura stessa dell’informazione.

La risposta democratica non può limitarsi a stabilire se un singolo uso fosse autorizzato. Deve stabilire se il sistema è controllabile. Senza registri, audit, log verificabili e limiti chiari, la sorveglianza resta più avanzata del controllo che dovrebbe contenerla.

Ascolta Paragon graphite spyware

Una sintesi audio-video del caso Paragon Graphite spyware: giornalisti, attivisti, intelligence, fornitori privati e controllo democratico dentro la nuova filiera della sorveglianza.

Click here to accept Marketing cookies and load this content