Il miraggio dello spyware 'etico': perché Paragon sta ignorando i procuratori italiani

Molto prima che un giornalista riceva una notifica da Apple o WhatsApp che lo avverte di un attacco sponsorizzato da uno Stato, viene stretto un accordo in un ufficio silenzioso. Questi accordi — del valore di milioni — commerciano nella valuta delle nostre vite digitali. Ma mentre le presentazioni di vendita sono impeccabili e gli opuscoli di marketing promettono "sicurezza ed etica", la realtà dell'industria dello spyware spesso assomiglia di più a un numero di sparizione.

Per oltre un anno, i procuratori italiani hanno dato la caccia a un fantasma chiamato Paragon Solutions. Questa società israelo-americana, un tempo annunciata come l'alternativa "giusta" al famigerato NSO Group, sarebbe caduta nel silenzio. Nonostante le precedenti messinscene pubbliche in cui l'azienda sosteneva di voler aiutare a indagare sulle accuse di hacking, Paragon non ha risposto alle richieste giudiziarie formali di informazioni. Come giornalista che trascorre le giornate comunicando attraverso tunnel crittografati e verificando codici, questo schema di "responsabilità finché non conta davvero" è uno scenario che ho visto ripetersi fin troppo spesso.

Un colpo a mezzanotte a Milano

Lo scandalo non è iniziato con un colpo fisico alla porta, ma con uno digitale. Alla fine del 2023, WhatsApp e Apple hanno inviato notifiche a un gruppo di giornalisti e attivisti italiani. Il messaggio era agghiacciante: i loro dispositivi erano stati presi di mira da spyware di livello governativo. Tra i bersagli c'erano Francesco Cancellato e Ciro Pellegrino, giornalisti del sito di notizie Fanpage, e membri di Mediterranea Saving Humans, una ONG dedicata al salvataggio dei migranti.

L'analisi forense di WhatsApp ha puntato direttamente a "Graphite", un sofisticato strumento di sorveglianza sviluppato da Paragon Solutions. Nel mondo dello spionaggio digitale, Graphite è un grimaldello digitale. Non si limita a osservare ciò che fai; aspira i dati dal cloud, aggirando molte delle misure di sicurezza tradizionali su cui gli utenti fanno affidamento per mantenere private le proprie conversazioni.

Quando la notizia è emersa, l'opinione pubblica italiana è rimasta giustamente indignata. Le procure di Milano e Roma hanno aperto indagini. All'inizio, Paragon ha assunto una posizione audace, quasi di sfida. Hanno richiamato pubblicamente il governo italiano, sostenendo di aver offerto aiuto per indagare se un giornalista fosse stato hackerato, ma di essere stati respinti. In una mossa di alto teatro aziendale, Paragon ha persino annunciato di voler cancellare i propri contratti con le agenzie di intelligence interna ed esterna dell'Italia, AISI e AISE. Volevano che il mondo credesse che fossero troppo etici per lavorare con un governo che non rispettava le regole.

Il silenzio dell'hacker "etico"

Andando avanti fino ai giorni nostri, aprile 2026, quella posizione di principio sembra più un oggetto di scena. I procuratori italiani, cercando di capire come e perché Graphite sia stato usato contro i civili, hanno inviato richieste formali di informazioni a Paragon tramite il governo israeliano. Un anno dopo, il silenzio è assordante. Nessun dato, nessun registro, nessuna cooperazione.

Questa mancanza di trasparenza è un problema sistemico nel settore dell'intelligence privata. Dal punto di vista della conformità, queste aziende spesso si nascondono dietro la "sovranità" delle loro nazioni ospitanti. In questo caso, il governo israeliano — che deve approvare le licenze di esportazione per questi strumenti — sembra essere il collo di bottiglia. Abbiamo già visto questo copione. L'Alta Corte spagnola è stata costretta ad archiviare la sua indagine sul targeting dei politici spagnoli con lo spyware Pegasus di NSO perché le autorità israeliane si sono semplicemente rifiutate di cooperare.

Nel mondo legale, parliamo spesso di "extraterritorialità" — l'idea che un paese possa esercitare l'autorità oltre i propri confini. Ma quando si tratta dell'industria dello spyware, i confini sono fatti di vetro spesso e opaco. Puoi vedere il danno dall'altra parte, ma non puoi raggiungere la persona che impugna il martello.

Il paradosso americano

Ciò che rende il caso Paragon particolarmente sfumato è il profondo legame dell'azienda con gli Stati Uniti. Mentre NSO Group è stata inserita nella lista nera dal Dipartimento del Commercio degli Stati Uniti, Paragon è riuscita a mantenere la sua reputazione pulita a Washington. Infatti, l'azienda mantiene un contratto attivo con l'U.S. Immigration and Customs Enforcement (ICE).

L'ICE ha riferito ai legislatori che il suo braccio preposto all'applicazione della legge, Homeland Security Investigations (HSI), utilizza Graphite per rintracciare trafficanti di droga e terroristi. Ciò crea un contrasto stridente: lo stesso strumento usato per deportare migliaia di persone negli Stati Uniti è sotto inchiesta per aver preso di mira attivisti per i diritti umani e giornalisti in Europa.

Questo è il paradosso del mercato delle tecnologie a duplice uso. Uno strumento venduto come arma contro "i cattivi" viene quasi inevitabilmente usato per mettere a tacere "gli scomodi". Quando un'azienda afferma di avere un "comitato etico" o un "vagliatura rigorosa", dovremmo essere scettici. Senza standard internazionali vincolanti, trasparenti ed eseguibili, l'"etica" è solo il modo in cui un ufficio marketing dice "fidatevi di noi".

La privacy come diritto fondamentale, non come funzionalità

La Presidente del Consiglio italiana, Giorgia Meloni, ha costantemente negato che il suo governo fosse dietro l'hacking dei giornalisti di Fanpage. Eppure, un'indagine forense dei procuratori ha recentemente confermato che il telefono di Cancellato è stato effettivamente compromesso. Se non è stato il governo a farlo, e l'azienda che ha prodotto lo strumento non vuole dire chi sia stato, ci ritroviamo in un pericoloso vuoto di responsabilità.

Per le vittime, questo non è un dibattito astratto sulla cyber-politica. Per gli attivisti di Mediterranea Saving Humans, si tratta della sicurezza delle loro operazioni e delle vite delle persone che stanno cercando di salvare. Quando lo spyware viene usato contro le ONG, trasforma le loro impronte digitali in una scia di briciole di pane per coloro che vorrebbero far loro del male.

In definitiva, la saga di Paragon dimostra che non possiamo fare affidamento sulle "buone intenzioni" dei produttori di tecnologie di sorveglianza. La conformità non dovrebbe essere una scelta; dovrebbe essere un prerequisito per l'esistenza sul mercato. Quando un'azienda ignora una richiesta giudiziaria di un alleato democratico, non dovrebbe esserle permesso di mantenere il proprio posto al tavolo del commercio internazionale.

Proteggere il perimetro digitale

Mentre aspettiamo che il panorama normativo si adegui alla realtà dello spionaggio digitale, ci sono passi concreti che gli individui — specialmente quelli in professioni ad alto rischio — possono intraprendere per ridurre al minimo la propria vulnerabilità. Pensate alla vostra igiene digitale non come a un compito gravoso, ma come a una corazza.

• Blocca il tuo cloud: Gli spyware come Graphite spesso prendono di mira i backup sul cloud. Se non hai bisogno che i tuoi messaggi siano salvati sul cloud, disattiva quella funzione. Usa servizi crittografati end-to-end che non memorizzano metadati sui loro server.
• Chiudi la porta con l'hardware: Per gli account che lo supportano, usa chiavi di sicurezza fisiche (come le Yubikey) per l'autenticazione a due fattori. Questo rende significativamente più difficile per un aggressore dirottare i tuoi account anche se possiede la tua password.
• Il potere del riavvio: Molti ceppi di spyware moderni sono "non persistenti", il che significa che risiedono nella memoria temporanea del telefono e vengono cancellati al riavvio del dispositivo. Sviluppare l'abitudine di riavvii quotidiani può essere un deterrente semplice ma efficace.
• Controlla i permessi: Controlla periodicamente quali app hanno accesso al microfono, alla fotocamera e alla posizione. Se un'app non ha bisogno di un permesso per funzionare, revocalo. La minimizzazione digitale è la tua migliore difesa.

Potremmo non ricevere mai una risposta diretta da Paragon, ma possiamo rendere i "Graphite" del mondo molto meno efficaci essendo proattivi riguardo ai nostri diritti digitali.

Fonti:

• Regolamento Generale sulla Protezione dei Dati (GDPR): Articolo 5 (Principi applicabili al trattamento dei dati personali) e Articolo 32 (Sicurezza del trattamento).
• Corte Europea dei Diritti dell'Uomo: Caso Szabó e Vissy c. Ungheria (riguardo alla necessità di supervisione nella sorveglianza).
• Codice di Procedura Penale Italiano: Articoli riguardanti le Rogatorie Internazionali e la cooperazione giudiziaria.
• Wired Italia: Reportage investigativo sullo scandalo italiano Paragon/Graphite.
• Citizen Lab: Analisi tecnica delle implementazioni dello spyware Graphite.

Dichiarazione di non responsabilità: Questo articolo è solo a scopo informativo e giornalistico e non costituisce consulenza legale formale. Le leggi sulla privacy variano significativamente a seconda della giurisdizione e dovresti consultare un professionista legale qualificato in merito a specifiche questioni di conformità o diritti digitali.