Il caso Paragon: opacità che offre spunti di cybersicurezza ed etica

La recente decisione di Paragon di interrompere i contratti con il governo italiano, a seguito del rifiuto delle autorità di collaborare nelle indagini sull’uso improprio del proprio spyware, rappresenta un evento di grande rilevanza nel panorama della cybersicurezza e della sorveglianza digitale. Questo episodio, che si inserisce in un contesto internazionale già segnato da tensioni tra esigenze di sicurezza e tutela dei diritti fondamentali, offre numerosi spunti di riflessione, sia dal punto di vista tecnico che da quello normativo ed etico.

Al centro della vicenda si trova Graphite, uno spyware di nuova generazione sviluppato da Paragon, che si colloca nella stessa categoria di strumenti come Pegasus. Graphite è progettato per colpire dispositivi mobili sfruttando vulnerabilità zero-day, spesso senza alcuna interazione da parte dell’utente, attraverso cosiddetti attacchi “zero-click”. Questo tipo di malware è in grado di penetrare nei sistemi tramite vettori come SMS, email o messaggi su applicazioni di uso quotidiano, approfittando di falle nei protocolli di comunicazione. Una volta installato, Graphite consente di monitorare in tempo reale le attività dell’utente, accedendo a chiamate, fotocamera, microfono e persino a chat cifrate su piattaforme come Signal o Telegram. La sua persistenza è garantita da tecniche avanzate di rootkit, che gli permettono di sopravvivere anche a riavvii o tentativi di ripristino del dispositivo.

Secondo quanto emerso da rapporti istituzionali, in Italia Graphite sarebbe stato utilizzato con autorizzazioni giudiziarie in operazioni di contrasto al terrorismo e al traffico di esseri umani. Tuttavia, la mancanza di trasparenza e la difficoltà di accedere ai log delle attività rendono complesso verificare se l’uso di questo spyware sia stato sempre conforme alle finalità dichiarate. Il caso è esploso quando, a gennaio 2025, WhatsApp (Meta) ha notificato a novanta utenti in tutto il mondo, tra cui il giornalista Francesco Cancellato di Fanpage, di essere stati oggetto di tentativi di infezione. Le analisi forensi condotte da Meta hanno individuato firme digitali riconducibili proprio a Graphite, sollevando immediatamente dubbi sulla legittimità delle operazioni di sorveglianza.

Il governo italiano ha ammesso che sette cittadini erano stati effettivamente presi di mira, giustificando l’azione con la necessità di indagini legali, ma negando qualsiasi coinvolgimento in attività illecite. Tuttavia, la vicenda ha assunto contorni ancora più controversi quando Paragon ha chiesto alle autorità italiane di collaborare per verificare se il targeting del giornalista fosse avvenuto nell’ambito di operazioni ufficiali. Il rifiuto del governo, motivato da presunti rischi per la sicurezza nazionale, ha impedito ogni forma di audit indipendente, lasciando irrisolti i dubbi sull’effettiva responsabilità dell’attacco.

Questa mancanza di trasparenza ha alimentato sospetti di un possibile utilizzo dello spyware al di fuori dei canali ufficiali, magari da parte di clienti non statali o tramite meccanismi non autorizzati. La discrepanza tra le versioni fornite da COPASIR, che ha negato il targeting del giornalista, e le insinuazioni di Paragon, secondo cui il governo avrebbe occultato dati, evidenzia le criticità dei sistemi di controllo e rendicontazione nell’uso di strumenti così invasivi.

Dal punto di vista tecnico, l'episodio mette in luce alcune vulnerabilità strutturali dei sistemi di comunicazione. Gli attacchi zero-click, infatti, dimostrano come anche piattaforme dotate di crittografia end-to-end possano essere aggirate sfruttando debolezze nei livelli di autenticazione e nella gestione delle richieste di rete. Non meno preoccupante è il targeting di organizzazioni non governative, come Mediterranea Saving Humans e Refugees in Libya, che sono state colpite tramite tecniche di geofencing basate sulla localizzazione dei dispositivi. Questo modus operandi rappresenta una minaccia concreta per chi opera in contesti sensibili e mette a rischio la sicurezza di attivisti e operatori umanitari.

Sul piano normativo, la vicenda italiana evidenzia la mancanza di standard internazionali vincolanti per la regolamentazione dell’export e dell’uso degli spyware. Attualmente, il settore si muove in un vuoto normativo, dove le linee guida del Wassenaar Arrangement restano sostanzialmente volontarie e facilmente aggirabili. In risposta a questi eventi, l’Unione Europea sta valutando la possibilità di rafforzare il GDPR, includendo gli spyware tra le tecnologie dual-use e imponendo autorizzazioni più stringenti per il loro impiego da parte dei governi.

Sul fronte della difesa, le principali aziende tecnologiche, come Apple e Google, hanno già iniziato a implementare aggiornamenti per bloccare le firme note di Graphite, mentre la società civile e le organizzazioni per i diritti digitali promuovono l’adozione di strumenti open-source come il Mobile Verification Toolkit, che consente agli utenti di rilevare eventuali infezioni sui propri dispositivi.

Infine, non si può ignorare la dimensione etica di questa vicenda. L’uso opaco degli spyware, in assenza di un controllo indipendente e trasparente, rischia di minare i principi democratici e di mettere in pericolo la libertà di stampa e i diritti fondamentali dei cittadini. Il caso italiano, quindi, non rappresenta soltanto un conflitto contrattuale tra un’azienda e uno Stato, ma è il sintomo di una crisi più profonda che riguarda l’equilibrio tra sicurezza nazionale e tutela delle libertà civili. E' necessario sviluppare contromisure tecniche sempre più sofisticate e promuovere standard di trasparenza e accountability, affinché la tecnologia resti uno strumento al servizio della società e non un’arma di controllo indiscriminato.