Il caso Paragon e lo spyware Graphite: aspetti di privacy

Il caso Paragon rappresenta uno degli scandali più significativi degli ultimi anni in tema di cybersecurity e protezione dei dati personali. Al centro della vicenda vi è Graphite, uno spyware sviluppato dalla società israeliana Paragon Solutions, accusato di essere utilizzato per spiare giornalisti, attivisti per i diritti umani e altre figure sensibili o politicamente rilevanti.
L’uso di questo strumento ha sollevato importanti interrogativi legali, etici e politici, nonché gravi preoccupazioni per la sicurezza nazionale e la libertà di stampa.
In questo articolo analizzeremo insieme le dinamiche dello scandalo e proveremo a fare insieme qualche riflessione in tema di sorveglianza digitale, privacy ed etica.

1. Il caso Paragon

Il 31 gennaio 2025, Meta ha rivelato attraverso la propria App di messaggistica WhatsApp di aver mitigato una campagna di spionaggio globale avvenuta a dicembre 2024, condotta mediante lo spyware Graphite, sviluppato dalla società israeliana Paragon Solutions.
L’operazione ha coinvolto un centinaio di persone, tra cui giornalisti e attivisti, sollevando un dibattito acceso a livello internazionale su privacy, sorveglianza digitale e diritti fondamentali. Tra le vittime spiate ci sarebbero anche cittadini italiani, tra cui Luca Casarini di Mediterranea Saving Humans e il direttore di Fanpage, Francesco Cancellato.

2. Gli obiettivi della campagna di spionaggio

La campagna di spionaggio mirava a raccogliere informazioni su individui impegnati in attività sensibili o critiche verso alcuni governi. In Italia, tra gli obiettivi individuati vi sono Luca Casarini, noto per le sue attività a favore dei migranti con Mediterranea Saving Humans, un’organizzazione che spesso entra in contrasto con le politiche del governo italiano in tema di immigrazione, e Francesco Cancellato, direttore di Fanpage, testata giornalistica che ha pubblicato inchieste delicate, tra cui una sui raduni della sezione giovanile di Fratelli d’Italia.

Potrebbero interessarti anche:

• Il rapporto ONU sulla privacy nell’era digitale
• Il trojan horse nelle indagini penali tra limiti normativi ed operativi
• La lotta alla pirateria online in Italia: un modello di efficienza normativa

3. Chi ha commissionato la sorveglianza?

Ad oggi non è chiaro chi abbia commissionato la campagna di spionaggio. Paragon Solutions afferma di vendere Graphite esclusivamente a governi democratici, tra cui gli Stati Uniti e i loro alleati, per scopi di lotta al terrorismo e alla criminalità organizzata. Tuttavia, l’azienda non ha fornito dettagli sulle modalità di selezione dei propri clienti né su eventuali verifiche condotte sull’utilizzo delle sue tecnologie.
Meta, che ha avvisato le persone coinvolte suggerendo loro di gettare via gli smartphone, non ha identificato pubblicamente il mandante della sorveglianza, ma ha sollevato dubbi su possibili responsabilità istituzionali. Alcuni media internazionali hanno ipotizzato un coinvolgimento del governo italiano, ma al momento si tratta di mere speculazioni.

4. Il ruolo di Paragon Solutions

Fondata nel 2019 da ex membri dell’Unità 8200, corpo d’élite dell’esercito israeliano specializzato in cybersicurezza e intelligence elettronica, Paragon Solutions si è rapidamente affermata nel mercato degli spyware governativi. Al vertice della società vi è Ehud Schneerson, ex comandante dell’Unità 8200, mentre tra gli azionisti spicca il nome dell’ex primo ministro israeliano Ehud Barak.
A dicembre 2024, Paragon è stata acquisita dalla società americana AE Industrial Partners per 500 milioni di dollari, con una valutazione potenziale fino a 900 milioni al raggiungimento di specifici obiettivi di crescita.

5. Le conseguenze politiche in Italia

La rivelazione dello spionaggio ha avuto un forte impatto politico in Italia. Il Viminale ha negato ogni coinvolgimento nelle attività di sorveglianza contro Casarini e Cancellato. Enrico Borghi, membro del Copasir, ha presentato un’interrogazione parlamentare per fare chiarezza sulla vicenda. Il deputato Stefano Graziano ha chiesto che la Presidente del Consiglio Giorgia Meloni riferisca in aula sulla questione.

6. Ma che cos’è Graphite?

Graphite è uno spyware di nuova generazione, progettato per infiltrarsi nei dispositivi mobili attraverso tecniche sofisticate, tra cui gli attacchi zero-click. La sua principale peculiarità è la capacità di accedere ai dati degli utenti senza richiedere alcuna interazione, come il clic su link o l’apertura di allegati. Questa caratteristica lo rende estremamente pericoloso, soprattutto per i soggetti che operano in contesti ad alto rischio, come giornalisti e attivisti.

7. Caratteristiche principali

• Accesso completo al dispositivo: Graphite può acquisire informazioni sensibili, inclusi contatti, messaggi, e-mail, cronologia di navigazione e file multimediali.
• Controllo remoto: lo spyware consente agli operatori di attivare a distanza microfono e videocamera, trasformando il dispositivo in un sistema di sorveglianza ambientale.
• Evasione dei sistemi di sicurezza: Graphite sfrutta vulnerabilità non note (zero-day exploits) per aggirare le protezioni dei sistemi operativi mobili, con particolare riferimento a iOS e Android.
• Cifratura dei dati trasmessi: tutti i dati intercettati vengono inviati ai server di controllo attraverso protocolli cifrati, rendendo difficile individuare le attività di spionaggio.

8. Come funziona Graphite: tecniche di attacco e sfruttamento delle vulnerabilità

Gli attacchi zero-click
Gli attacchi zero-click rappresentano la metodologia principale utilizzata da Graphite per infettare i dispositivi mobili. A differenza degli attacchi tradizionali, non richiedono alcuna interazione da parte dell’utente:

• Individuazione della vulnerabilità: Graphite sfrutta falle nelle app di messaggistica istantanea (es. WhatsApp, iMessage), inviando pacchetti dati malevoli.
• Esecuzione del codice malevolo: lo spyware si installa in modo silente nel dispositivo, spesso utilizzando autorizzazioni di sistema per ottenere privilegi elevati.
• Accesso ai dati sensibili: Graphite può leggere e trasmettere messaggi, email, file e altre informazioni personali dell’utente.
• Controllo delle periferiche: lo spyware può attivare microfono e videocamera senza che l’utente se ne accorga.

Rischi e implicazioni per la privacy e la sicurezza
Come è ben intuibile, l’utilizzo di software come Graphite comporta rischi significativi per i diritti fondamentali, con particolare riferimento alla privacy, alla libertà di espressione e alla sicurezza delle informazioni personali.
 
Violazione della privacy
L’accesso non autorizzato ai dispositivi personali costituisce una palese violazione dell’art. 8 della Convenzione europea dei diritti dell’uomo (CEDU), che tutela il diritto alla privacy e alla vita privata, e dell’art. 7 del Regolamento UE 2016/679 (GDPR). L’installazione di spyware senza il consenso dell’utente si configura inoltre come una violazione dell’art. 5 GDPR, che richiede la liceità, la correttezza e la trasparenza nel trattamento dei dati personali da parte dei Governi mondiali.
 
Implicazioni per la libertà di stampa
La sorveglianza dei giornalisti mina la libertà di espressione, garantita dall’art. 21 della Costituzione italiana e dall’art. 11 della Carta dei diritti fondamentali dell’Unione Europea. Il rischio è che, sapendo di poter essere sorvegliati, i giornalisti possano adottare un atteggiamento di autocensura, limitando la diffusione di informazioni di interesse pubblico.
 
Sicurezza
Se utilizzato da governi autoritari, Graphite potrebbe diventare uno strumento di repressione politica, consentendo la sorveglianza massiva di oppositori, attivisti e dissidenti. Questo scenario contrasta con i principi dello Stato di diritto e della democrazia, minando la stabilità sociale e la tutela dei diritti umani.
 
Scenari futuri e strategie di tutela
Il caso Paragon e lo spyware Graphite rappresentano un punto di svolta cruciale nel dibattito internazionale sulla sorveglianza digitale e la protezione dei diritti fondamentali. Le implicazioni giuridiche, tecniche e sociali sono molteplici e richiedono un’analisi approfondita per delineare possibili scenari futuri e strategie di mitigazione efficaci.

9. Rafforzamento normativo: una priorità per l’Unione Europea

L’Unione Europea potrebbe adottare un approccio più rigido verso gli spyware commerciali, introducendo:

• Normative specifiche sugli spyware: analogamente al Regolamento sui prodotti a doppio uso, l’UE potrebbe elaborare un regolamento dedicato che limiti l’esportazione, l’utilizzo e la vendita di tecnologie di sorveglianza avanzate.
• Maggior controllo sulle tecnologie di sorveglianza: l’introduzione di una “blacklist tecnologica” che vieti l’uso di specifici strumenti all’interno dell’UE, soprattutto se prodotti da aziende che operano in regimi con scarse garanzie di tutela dei diritti umani.
• Revisione del GDPR: potrebbe essere valutata una modifica del Regolamento UE 2016/679 per includere disposizioni specifiche sugli spyware e sulle tecnologie di sorveglianza, con sanzioni rafforzate per le violazioni.

10. Implicazioni per le aziende: responsabilità e conformità

Le aziende tecnologiche coinvolte, come Meta, devono adottare misure proattive per garantire la sicurezza delle loro piattaforme:

• Valutazione d’impatto sulla protezione dei dati (DPIA): ogni nuovo aggiornamento delle piattaforme digitali dovrebbe includere una valutazione specifica per identificare e mitigare i rischi derivanti da possibili abusi di spyware.
• Collaborazione con le autorità competenti: le big tech dovrebbero instaurare un dialogo continuo con le autorità nazionali ed europee per segnalare attività sospette, favorendo indagini tempestive.
• Educazione e consapevolezza degli utenti: le piattaforme di comunicazione, come WhatsApp, potrebbero sviluppare campagne di sensibilizzazione per aiutare gli utenti a riconoscere segnali di compromissione dei propri dispositivi.

11. Sicurezza nazionale e politiche di sorveglianza

Il caso Paragon evidenzia la necessità per i governi di bilanciare la sicurezza nazionale con la protezione dei diritti individuali:

• Adozione di leggi chiare sulla sorveglianza: gli Stati membri dell’UE dovrebbero adottare normative trasparenti che stabiliscano quando e come gli strumenti di sorveglianza possono essere utilizzati dalle forze dell’ordine.
• Supervisione indipendente: è fondamentale che l’uso degli spyware sia soggetto a un controllo da parte di autorità indipendenti, per prevenire abusi e garantire la conformità con i principi dello Stato di diritto.

12. Strumenti tecnologici di difesa: proteggere gli utenti

Dal punto di vista tecnico, è necessario sviluppare e diffondere strumenti di cybersecurity che possano rilevare e neutralizzare spyware come Graphite:

• Software anti-malware avanzati: le aziende di sicurezza informatica dovrebbero potenziare i loro strumenti di rilevamento, in particolare per identificare attacchi zero-click.
• Cifratura end-to-end evoluta: l’uso di tecnologie di cifratura avanzate può impedire allo spyware di accedere ai contenuti dei messaggi anche se il dispositivo viene compromesso.
• Adozione di sistemi operativi sicuri: gli sviluppatori di iOS e Android dovrebbero implementare aggiornamenti frequenti e meccanismi di sandboxing più robusti per limitare i danni potenziali derivanti dalle vulnerabilità sfruttate dagli spyware.

Come Esopo ci insegna, anche dalla “favola” (si fa per dire) di Paragon possiamo imparare qualcosa. E in particolare, il caso Paragon ci insegna che la sorveglianza digitale non è più un concetto relegato alla narrativa distopica, ma una realtà concreta e pervasiva. La vicenda di Graphite dimostra quanto possano essere sottili i confini tra sicurezza e violazione dei diritti fondamentali, mettendo in evidenza il pericolo di strumenti tecnologici potenti nelle mani sbagliate.
La giustificazione etica addotta da Paragon, ossia la lotta al terrorismo e alla criminalità, si scontra con l’evidenza dei fatti: giornalisti, attivisti e dissidenti politici sono stati sorvegliati senza giustificazione apparente, sollevando legittimi interrogativi sulla trasparenza e sulla proporzionalità degli interventi. Quando la tecnologia di sorveglianza viene utilizzata contro chi esercita la libertà di espressione e il diritto all’informazione, il rischio è quello di scivolare in un regime di controllo dove la sicurezza prevale sulla democrazia.
A livello normativo, il caso evidenzia la necessità di un quadro giuridico più stringente e chiaro che regoli l’uso degli spyware, con regole precise per prevenire abusi da parte dei governi. L’Unione Europea, con il GDPR e la sua forte attenzione alla privacy, rappresenta un modello che tuttavia necessita di ulteriori sviluppi, in particolare nella regolamentazione delle tecnologie di sorveglianza. È fondamentale stabilire meccanismi di controllo indipendenti che monitorino l’uso di queste tecnologie e sanzionino comportamenti illeciti.
Il caso Paragon, infine, ci ricorda che la protezione dei dati personali non è solo una questione tecnica o legale, ma un pilastro della nostra società democratica. La sfida sarà bilanciare la necessità di sicurezza con il rispetto dei diritti individuali, senza permettere che la paura giustifichi l’erosione delle nostre libertà fondamentali.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!