Nel dicembre 2024, gli analisti di Meta individuano un’anomala attività di sorveglianza condotta attraverso Graphite, un software spyware di livello avanzato sviluppato dall’azienda israeliana Paragon Solutions, utilizzato per infiltrarsi nei dispositivi di utenti WhatsApp. L’attacco viene rilevato e bloccato, ma nel frattempo circa 90 persone in oltre 14 paesi europei risultano colpite, tra cui attivisti, giornalisti e membri della società civile.

A seguito della scoperta, Meta avvia una campagna di notifiche, avvisando direttamente le vittime dell’attività malevola ai loro danni.
In Italia, il primo a rendere pubblica la ricezione della notifica è Francesco Cancellato, direttore di Fanpage.it, magazine particolarmente critico verso il Governo italiano, che il 31 gennaio 2025 dichiara di aver ricevuto un avviso da WhatsApp, informandolo di un’attività di spionaggio subito nei mesi precedenti, fino a dicembre 2024.

Secondo le informazioni disponibili, tra le circa 90 persone colpite, almeno sette risultano in Italia, mentre le altre vittime si trovano in diversi paesi europei. Tra di loro figura anche Luca Casarini, fondatore della ONG Mediterranea Saving Humans, e l’attivista libico in esilio Husam El Gomati.

Graphite, la punta di diamante della sorveglianza digitale

Lo spyware utilizzato, chiamato Graphite, è stato sviluppato da Paragon Solutions, un’azienda israeliana oggi posseduta da un fondo con sede negli Stati Uniti. Graphite sarebbe in grado di accedere a tutte le informazioni presenti su uno smartphone, compromettere le app di messaggistica come Signal e WhatsApp e infettare i dispositivi senza bisogno di cliccare su link o allegati utilizzando vulnerabilità non ancora rilevate, le cosiddette 0-day, ovvero vulnerabilità per cui non sono ancora state sviluppate contromisure.

Meta ha riferito che gli utenti colpiti sono stati aggiunti a gruppi WhatsApp compromessi e hanno ricevuto PDF infetti, che hanno innescato l’infezione automaticamente, senza necessità di interazione.

Le restrizioni di Paragon e la revoca della licenza all’Italia

Paragon Solutions ha sempre adottato una politica molto più restrittiva rispetto ad altre aziende operanti nel settore della sorveglianza digitale, come NSO Group, produttrice dello spyware Pegasus. Le condizioni di servizio di Graphite, il software fornito da Paragon, erano chiaramente aderenti alla policy aziendale, che limitava il suo utilizzo esclusivamente alla sorveglianza di sospetti criminali di una certa gravità, come membri di organizzazioni terroristiche o della criminalità organizzata.

A differenza di altre aziende del settore, Paragon non offre i propri servizi a clienti privati, ma esclusivamente a enti statali, previa verifica dell’aderenza ai requisiti imposti dall’azienda. Il mancato rispetto di tali condizioni ha già portato Paragon in passato a revocare licenze a governi che ne avevano fatto un uso improprio, e proprio in questa direzione si sarebbe mossa la decisione di interrompere la collaborazione con le autorità italiane.

Secondo quanto emerso, la licenza concessa all’Italia per l’utilizzo di Graphite sarebbe stata revocata da Paragon stessa, a seguito di verifiche interne che avrebbero evidenziato un uso non conforme alle finalità stabilite, aprendo interrogativi sul reale obiettivo della sorveglianza condotta.

Il governo italiano nega ogni coinvolgimento e avvia un’indagine

Dopo la pubblicazione delle prime notizie, l’ufficio della presidente del Consiglio Giorgia Meloni ha negato ogni coinvolgimento del governo o dei servizi segreti italiani, pur definendo le accuse “particolarmente gravi”.

Il governo ha incaricato l’Agenzia per la Cybersicurezza Nazionale (ACN) di indagare sulla vicenda. L’ACN ha consultato lo studio legale Advant, che rappresenta WhatsApp Ireland, e ha confermato che il numero di utenti italiani colpiti “sembrerebbe essere sette”. Tuttavia, non è stato fornito l’elenco dei nomi.

Dai dati disponibili, le persone colpite hanno numeri con prefissi internazionali appartenenti a Belgio, Grecia, Lettonia, Lituania, Austria, Cipro, Repubblica Ceca, Danimarca, Germania, Paesi Bassi, Portogallo, Spagna e Svezia.

Citizen Lab: “Chi era il cliente?”

Il caso ha attirato anche l’attenzione del Citizen Lab, centro di ricerca dell’Università di Toronto specializzato nel monitoraggio della sorveglianza digitale e dell’uso di spyware da parte dei governi di tutto il mondo. Il ricercatore John Scott Railton

Il ricercatore John Scott Railton, intervistato da The Guardian, ha dichiarato:

“È ormai chiaro: l’Italia ha un problema con Paragon. Dato il numero di casi già emersi, è il momento di chiedersi: chi era il cliente? E fino a che punto si estende questa vicenda?”

Una persona vicina a Paragon Solutions, contattata da The Guardian, ha rifiutato di commentare l’identità dei clienti, ma ha dichiarato che “non nega che l’Italia sia un cliente”.

Sorveglianza digitale e libertà civili: un equilibrio sempre più fragile

WhatsApp non ha reso noto per quanto tempo gli obiettivi siano stati sotto sorveglianza, ma ha confermato che il monitoraggio è stato rilevato a dicembre 2024 e successivamente interrotto.

Le indagini dell’ACN sono ancora in corso, mentre aumentano le pressioni su Paragon Solutions per chiarire chi abbia commissionato l’uso dello spyware e con quale obiettivo. Il caso Paragon, però, va oltre il singolo episodio di sorveglianza e solleva interrogativi più ampi sul rischio che strumenti così invasivi possano essere utilizzati contro giornalisti e attivisti sgraditi ai governi in carica in Europa e nel resto del mondo.

La possibilità che tecnologie di intrusione avanzata vengano impiegate per spiare chi critica il potere rappresenta una minaccia diretta alla libertà di stampa e ai diritti civili. Attivisti e giornalisti indipendenti, spesso impegnati a denunciare violazioni e abusi, rischiano di diventare bersagli di un sistema di controllo sempre più pervasivo, che mina la trasparenza e il diritto all’informazione.