Lo scorso 31 gennaio WhatsApp (e quindi Meta, il gruppo che controlla l’app di messaggistica) ha annunciato che, a dicembre del 2024, ha mitigato una campagna di spionaggio globale ai danni di un centinaio tra giornalisti e attivisti condotta mediante l’uso dello spyware Graphite, prodotto dalla società israeliana Paragon Solutions.
Una notizia che è rimbalzata sulle pagine dei media di tutto il mondo e che sta facendo discutere in più ambienti e a livelli diversi. Tra gli obiettivi della campagna di spionaggio anche degli italiani, ossia Luca Casarini di Mediterranea Saving Humans e il direttore di Fanpage Francesco Cancellato. Secondo repubblica.it tra i sorvegliati ci sarebbe almeno un’altra mezza dozzina di attivisti residenti in Italia.
È stata la stessa Meta ad avvertire le persone spiate, suggerendo loro di gettare gli smartphone.
Indice degli argomenti
Quello che non sappiamo di Graphite di Paragon
Iniziamo da ciò che sappiamo, che è poco. La società Paragon vende lo spyware Graphite esclusivamente ai governi. Il 4 febbraio il presidente esecutivo di Paragon John Fleming ha dichiarato a TechCrunch che l’azienda concede in licenza le proprie tecnologie a un gruppo scelto di democrazie, su tutte gli Stati Uniti e i Paesi alleati.
Paragon, come riporta il Guardian, ha sospeso ogni contratto con il governo italiano, sostenendo di mettere i propri software al servizio dei governi che vogliono sorvegliare criminali e terroristi. Paragon ha quindi scelto di rendere etica una questione che è soprattutto tecnologica. Di questo parleremo brevemente dopo.
Sappiamo quindi che Paragon fa molta attenzione nello scegliere i governi a cui vende i propri prodotti ma non sappiamo né quali politiche applica per selezionarli né come le applica. Per il momento l’azienda israeliana non ha risposto alle accuse di abuso che sono state sollevate da Meta.
Non sappiamo per conto di quale governo o ente, i giornalisti e gli attivisti sono diventati bersaglio della campagna spyware. Non sappiamo quali dati sono stati esfiltrati e analizzati dagli spianti. I media internazionali additano il governo in carica e, benché si tratti di un’ipotesi da non escludere a priori, è opportuno trattarla come tale.
Gli interrogativi sono ancora tanti e, benché importanti, non spostano di una virgola la realtà delle cose: il cyber spionaggio è reale e attualissimo.
Come funziona Graphite
Grapithe è uno spyware che può essere diffuso mediante attacchi “zero-click”, ossia quelli che non richiedono interazioni da parte degli utenti. Una volta installato, lo spyware consente agli attaccanti di accedere a qualsiasi dato del dispositivo mobile, applicazioni di messaggistica istantanea, password e localizzazione inclusi. Altrettanto vale per l’attivazione di microfono e videocamera.
Quindi si instaura un flusso di dati continuo tra spiati e spianti, e questo travalica il senso stretto della privacy, arrivando a minare i pilastri delle democrazie. Le persone sorvegliate non si accorgono di nulla né hanno modo di farlo: Graphite è silenzioso e non lascia traccia di sé, evitando così di insospettire chi ne è vittima.
Meta ha pubblicamente accusato Paragon Solutions di avere sfruttato una vulnerabilità di WhatsApp per infettare gli smartphone delle persone target ed è stata la stessa Meta ad accorgersi delle attività di Graphite.
Il rischio sorveglianza digitale
Non serve fare totale chiarezza per comprendere che il rischio di una sorveglianza digitale è tangibile e sottostà a dinamiche persino machiavelliche. Paragon Solutions, nello specifico, è un’azienda israeliana nata nel 2019 da ex membri dell’Unità 8200, un corpo dell’esercito israeliano deputato al controllo dello spazio cyber e di quello elettromagnetico, ossia i confini invisibili di uno Stato.
Al vertice di Paragon Solutions siede Ehud Schneerson, ex comandante dell’Unità 8200 e, tra gli azionisti di rilevanza, figura anche l’ex primo ministro e generale delle Forze di difesa israeliane (IDF) Ehud Barak.
A dicembre del 2024 Paragon è stata acquisita dall’azienda americana di investimenti AE Industrial Partners per 500 milioni di dollari che potrebbero diventare 900 milioni al raggiungimento di alcuni obiettivi di crescita e redditività.
Sulla scacchiera figurano quindi elementi geopolitici ed economici, con giocatori che hanno passaporti, interessi e obiettivi potenzialmente diversi.
L’opinione dell’esperto
Abbiamo chiesto a Pierluigi Paganini, Ceo Cybhorus e direttore dell’Osservatorio sulla Cybersecurity di Unipegaso, di approfondire l’argomento partendo dall’uso che si fa di questi spyware: “Iniziamo con il sottolineare che negli ultimi anni si sono moltiplicate le aziende che forniscono software di sorveglianza a governi e ad agenzie di intelligence di tutto il mondo. Si tratta di applicazioni estremamente diffuse che sono spesso finite all’attenzione dei media per un uso improprio. Infatti, sono stati documentati utilizzi per attività di spionaggio ai danni di giornalisti, attivisti, politici e oppositori“.
I software per lo spionaggio seguono diverse logiche, come spiega Paganini: “Queste soluzioni possono essere fornite con modalità differenti, anche a seconda di chi si fa carico della gestione della componente di comando e controllo degli spyware. Qualora un governo pagasse la soluzione e si facesse carico della gestione dei server di comando e controllo, potrebbe essere complesso, ma non impossibile, per le aziende fornitrici tracciare le infezioni di dispositivi con il proprio software spia. È chiaro che l’azienda, una volta a conoscenza dell’abuso di un software, può decidere di rescindere il contratto con il proprio cliente”.
Quindi, nel caso specifico, è più che plausibile che Paragon non sappia come è stato usato Graphite dagli attaccanti, sia questo il governo italiano oppure un altro attore.
Perché proprio Paragon Solutions?
Le soluzioni per lo spionaggio sono tante. Riuscire a capire perché è stata scelta proprio Graphite di Paragon Solutions potrebbe aiutare gli inquirenti a fare luce sui fatti: “Rifacendoci al caso Paragon, mi preme sottolineare che esistono diverse aziende italiane che sviluppano software analoghi, e allora per quale motivo utilizzare un software di un’azienda straniera?
Le risposte possono essere molteplici. Ad un’analisi tecnica il software potrebbe esser stato valutato migliore e più difficile da individuare. Oppure, trattandosi di un’azienda extra europea, qualcuno ha pensato che eventuali procedimenti legali sarebbero stati ostacolati dai differenti framework giuridici dei paesi coinvolti, con maggiori opzioni per mantenere massimo riserbo sulla questione.
Qualora fosse confermato il coinvolgimento del governo italiano, occorrerà spiegare chi è per quale motivo ha autorizzato l’installazione del software spia sui dispositivi di un giornalista ed un attivista. Ci sono sospetti di un loro coinvolgimento in atti di terrorismo o attività criminale?“, illustra ancora Paganini.
Le indagini sono appena all’inizio e già Citizen Lab – laboratorio specializzato nell’analisi di sorveglianza digitale con sede presso l’Università di Toronto – ha sollevato gli aspetti più allarmanti relativi a questi tipi di attacchi.
“Quando Citizen Lab renderà pubbliche le informazioni sulla sua investigazione avremo conferma di quali strutture sono state utilizzate per il comando e controllo del dispositivo e se il cliente di Paragon, si esso il governo italiano o una terza parte, abbia usato una sua infrastruttura per queste operazioni di sorveglianza”, conclude Paganini.
Le conseguenze politiche
Il Viminale si dice estraneo al dossieraggio ai danni degli italiani coinvolti. Tuttavia, le attività per la difesa degli immigrati di Luca Casarini sono invise al governo e, non di meno, Francesco Cancellato ha raccontato su Fanpage cosa accade durante i raduni della sezione giovanile di Fratelli d’Italia.
Enrico Borghi del Copasir (il Comitato parlamentare per la sicurezza della Repubblica) ha presentato un’interrogazione al governo e altrettanto ha fatto il deputato Stefano Graziano, convinto che la presidente del Consiglio Giorgia Meloni debba riferire in aula.
Alle azioni intraprese da Borghi e Graziano (entrambi di centro-sinistra) potrebbero seguirne altre perché si fa largo l’impressione che le attività di dossieraggio e spionaggio siano ormai fuori controllo.
Sul piatto ci sarebbe una violazione profonda dei diritti costituzionali ma, come detto, è ancora presto per tirare conclusioni e questo vale tanto per l’ambito della cyber security quanto per quello politico o partitico.
La questione etica
Paragon, come detto, ha rescisso i contratti in essere con il governo italiano. L’azienda sostiene che i propri software servono per combattere la criminalità e il terrorismo ma non le attività di giornalisti, dissidenti e attivisti.
Questo rimanda all’estate del 2024 quando, con l’arresto del fondatore e amministratore delegato di Telegram Pavel Durov, il dibattito sulla profondità della privacy si è infiammato per l’ennesima volta.
Le discussioni che sono nate vertevano sulla salvaguardia della privacy anche dei delinquenti. Parallelamente, il considerando 4 del GDPR, sostiene che la protezione dei dati è una misura per la tutela dell’uomo e non può essere inteso come un diritto assoluto, perché va bilanciato con altri diritti, tra i quali la libertà di espressione e il dovere di informazione. Non di meno, occorre osservare il principio di proporzionalità evitando che le norme in essere limitino altri diritti.
È il lettore che deve giungere alle proprie conclusioni: la privacy può essere ridotta a qualcosa di superfluo? Quando? E, soprattutto, le limitazioni della privacy possono essere considerate ragionevoli quando si parla di attivisti e giornalisti?
Non è possibile dare risposte chiare e univoche a queste domande senza conoscere fino in fondo quali poteri beneficiano dalle limitazioni alla privacy (spionaggio e dossieraggio in cima alla piramide).
Ciò che è accaduto va chiarito: vanno individuati i responsabili, vanno individuati i motivi per i quali le vittime sono state spiate. Queste risposte – semmai arriveranno – non cambiano molto il quadro della situazione in sé: lo spionaggio è questione reale e, se applicato senza misure strettissime, diventa un danno per le libertà individuali e per le democrazie.
