INTRODUZIONE | La nuova generazione di spyware “invisibili”
Negli ultimi anni, dopo lo scandalo Pegasus (NSO Group), la galassia della cyber-intelligence israeliana non si è fermata. Anzi: ha prodotto strumenti di sorveglianza ancora più sofisticati, mirati e difficili da rilevare. Tra questi, Graphite – lo spyware sviluppato da Paragon Solutions Ltd. – rappresenta la nuova frontiera.
Graphite è uno spyware “leggero” solo in apparenza. Il suo scopo principale è intercettare comunicazioni cifrate (WhatsApp, Signal, Telegram, iMessage) ed estrarre dati sensibili senza che l’utente faccia nulla. Sfrutta vulnerabilità cosiddette “zero-click”, in particolare nella catena di iMessage su iPhone: significa che l’infezione può avvenire senza cliccare alcun link o aprire nulla.
Una volta dentro, Graphite consente accesso praticamente totale al dispositivo: file, chat, rubrica, posizione GPS, registrazione microfono e fotocamera. Come Pegasus, Predator e altri spyware “militari”, opera sotto pieno controllo remoto. Ma si distingue su due punti:
- È disegnato per colpire aree specifiche del telefono (app di messaggistica cifrata) riducendo il “rumore” forense rispetto a una compromissione totale e permanente dell’intero sistema operativo.
- Lascia pochissime tracce tecniche. Questo rende difficile non solo per le vittime capire di essere state infettate, ma anche per altri servizi di intelligence individuare chi sta usando lo strumento in quel momento.
Secondo analisi tecniche attribuite a Citizen Lab e Amnesty Tech tra il 2024 e il 2025, Graphite è stato usato contro giornalisti e attivisti europei, inclusi cittadini italiani. È quindi uno strumento già in circolazione, non un prototipo.
In altre parole: se Pegasus è stato lo scandalo che ha reso pubblico il problema, Graphite è la dimostrazione che la tecnologia non solo sopravvive, ma si evolve verso modelli più discreti, modulari e politicamente “ripuliti”.
1. Paragon Solutions: dalla start-up israeliana alla bandiera USA
Paragon Solutions nasce nel 2019 in Israele. Tra i fondatori compaiono ex ufficiali dell’Unità 8200 (l’intelligence elettronica israeliana) e l’ex primo ministro Ehud Barak, figura chiave nell’ecosistema militare-tecnologico israeliano. Fin dall’inizio Paragon si presenta come l’alternativa “etica” a NSO Group: promette di vendere le proprie capacità di intrusione solo a governi “democratici e responsabili”, per scopi come antiterrorismo e contrasto al crimine grave.
Il prodotto di punta è Graphite. Nei materiali commerciali, Paragon insiste su tre elementi:
- capacità di infezione anche su dispositivi aggiornati (iPhone e Android recenti);
- accesso a conversazioni cifrate in tempo reale;
- sfruttamento di exploit zero-click, cioè senza interazione della vittima.
È lo stesso segmento tecnologico di Pegasus (NSO), Predator (Intellexa/Cytrox), Candiru e simili: spyware con potere di penetrazione “militare”, venduto sul mercato governativo e in grado di trasformare ogni smartphone in una cimice digitale completa.
Paragon tuttavia ha costruito una narrativa diversa. L’azienda sostiene di vendere solo a governi “occidentali o alleati dell’Occidente”, a differenza di altri vendor israeliani accusati di lavorare con regimi autoritari. In teoria, nessun dittatore. Nella pratica, l’uso documentato in Italia, Danimarca e Singapore tra il 2024 e il 2025 mostra che la definizione di “governo affidabile” è elastica e che la linea tra sicurezza nazionale e sorveglianza politica è rimasta ambigua.
Il passaggio cruciale arriva a fine 2024. Paragon Solutions viene acquisita dal fondo statunitense AE Industrial Partners (AEI). L’operazione è strutturata così:
- AEI crea Paragon Parent Inc., registrata nello Stato del Delaware;
- Paragon Parent Inc. viene integrata con REDLattice, una controllata AEI specializzata in cyber offensiva e supporto ai clienti governativi USA;
- Paragon Solutions Ltd. (Israele) confluisce di fatto sotto ombrello societario statunitense, mantenendo però il know-how tecnico israeliano.
Nasce così un soggetto ibrido: formalmente americano (utile per le relazioni politiche e contrattuali con agenzie statunitensi ed europee), ma con DNA tecnologico israeliano. L’obiettivo è duplice:
- Rendere nuovamente “vendibile” un prodotto sensibile. Marchiarlo come tecnologia USA attenua l’impatto reputazionale del “Made in Israel” dopo lo scandalo Pegasus e dopo i dossier sull’ecosistema Intellexa.
- Ottenere accesso diretto al mercato USA (agenzie federali di sicurezza e intelligence), tradizionalmente molto chiuso ai vendor stranieri.
Dal punto di vista geopolitico, l’operazione è una ricollocazione controllata. Israele non rinuncia al know-how, ma trasferisce la facciata societaria e la responsabilità politica. Washington ottiene influenza su una capacità tecnologica strategica. Gli alleati europei possono continuare a comprare senza apparire – almeno formalmente – legati a spyware israeliano.
In questo schema, Graphite diventa un prodotto con bollino “americano”, e quindi più facilmente difendibile a livello diplomatico rispetto a Pegasus.
2. Cosa fa davvero Graphite
Riassumendo gli elementi tecnici e commerciali chiave:
Accesso totale al dispositivo
Graphite, una volta installato, garantisce controllo quasi completo sul telefono della vittima: chat, file, posizione GPS, password, rubrica, possibilità di attivare microfono e fotocamera. È nella stessa categoria di Pegasus e Predator sotto il profilo operativo.
Zero-click e alta furtività
L’infezione può sfruttare vulnerabilità zero-click, in particolare sulla superficie iMessage di iOS. Questo significa: niente link sospetti, niente SMS di phishing visibili, niente app manualmente installate dal bersaglio. L’utente non sa di essere entrato nel mirino.
In più, l’architettura è progettata per lasciare tracce minime. Citizen Lab e Amnesty Tech descrivono Graphite come estremamente difficile da attribuire a un operatore specifico: anche altri servizi di intelligence (non solo la vittima) fanno fatica a capire da chi parte l’operazione.
Target: app cifrate e messaggistica privata
Graphite è pensato per estrarre in chiaro le conversazioni e gli allegati da app cifrate end-to-end come WhatsApp, Signal, Telegram, iMessage. Invece di intercettare la linea, entra nel telefono e legge ciò che è già decifrato.
Fascia clienti dichiarata
Paragon sostiene che Graphite venga venduto solo a governi democratici, per antiterrorismo e criminalità grave. È la linea ufficiale con cui l’azienda ha chiesto licenze e con cui ha fatto lobbying internazionale.
In pratica: Paragon è il fornitore; Graphite è lo strumento operativo. È a tutti gli effetti uno spyware militare di nuova generazione, con una comunicazione “ripulita”.
3. Le motivazioni geopolitiche della cessione
La vendita di Paragon agli Stati Uniti è una manovra di ricollocamento geopolitico.
Per Washington:
- controllo diretto su una tecnologia di intrusione top-tier;
- possibilità di decidere chi può usare Graphite e in quali condizioni;
- narrativa pubblica: strumento per “sicurezza e antiterrorismo” sotto valori democratici occidentali.
Per Tel Aviv:
- riduzione dell’esposizione politica dopo gli scandali Pegasus e Intellexa;
- continuità del know-how tecnico;
- depoliticizzazione apparente: lo spyware non è più (solo) un prodotto israeliano, ma una tecnologia “alleata” sotto bandiera USA.
È, di fatto, una normalizzazione transatlantica: la capacità resta israeliana nella sostanza, ma viene americanizzata per tornare accettabile nei rapporti tra servizi occidentali.
4. L’Italia: la zona grigia dell’uso interno
Le analisi di Citizen Lab e Amnesty International nel 2025 hanno individuato infrastrutture operative riconducibili a Graphite attive in Italia. Diversi attivisti e giornalisti italiani – tra cui Luca Casarini, Giuseppe Caccia e un reporter di Fanpage.it – hanno ricevuto notifiche di compromissione: avvisi tecnici da Apple e Meta che parlavano esplicitamente di un attacco riconducibile a un attore “state-sponsored”.
Questo è politicamente esplosivo. Perché smentisce la narrativa rassicurante di Paragon (“vendiamo solo ai governi affidabili contro il crimine grave”): le persone colpite non erano terroristi, ma figure civili impegnate su temi come migrazione nel Mediterraneo, ONG, corruzione finanziaria.
Nel giugno 2025 il COPASIR (Comitato parlamentare per la sicurezza della Repubblica) ha riconosciuto l’esistenza di contratti tra i servizi italiani (AISE e AISI) e Paragon. Giustificazione ufficiale: contrasto al traffico di migranti, contrasto al terrorismo, tutela della sicurezza nazionale.
Ma emergono incongruenze:
- la cronologia degli attacchi non coincide sempre con operazioni antiterrorismo;
- alcune infrastrutture di comando e controllo riconducibili a Graphite risultavano all’estero;
- il COPASIR non ha poteri di analisi forense propri: deve basarsi su quanto riferiscono i servizi, che possono fornire versioni formalmente corrette ma parziali.
La Procura di Roma ha aperto un fascicolo conoscitivo. Apple e Meta hanno notificato alle vittime che l’attacco era “state-sponsored”. Restano tre ipotesi operative:
- uso eccessivo o fuori perimetro da parte dei servizi italiani;
- abuso da parte di contractor privati;
- deleghe operative ad agenzie straniere con interessi convergenti (per esempio sui flussi migratori).
Questo avviene in un paese – l’Italia – che è già nodo storico dell’industria di sorveglianza commerciale: Tykelab e RCS Lab sono basate in Italia; Hacking Team (oggi Memento Labs) è italiana. Hacking Team forniva il sistema RCS / “Galileo”, capace di prendere il controllo dei dispositivi, a governi inclusi regimi autoritari; questo portò a una stretta sull’export con clausole “catch-all” per rischio diritti umani. L’azienda ha poi cercato di riottenere margine politico facendo leva sui rapporti con apparati di sicurezza italiani.
Ufficialmente “non risulta” un acquisto pieno di spyware di ultima generazione da parte dello Stato italiano. Ma:
- esistono possibili vittime italiane già notificate come target;
- il COPASIR ha ammesso rapporti con Paragon;
- le procure stanno guardando.
Tradotto: l’eccezione italiana non è più così pulita.
5. L’ecosistema dello spyware in Europa
Il caso Graphite è l’ultimo capitolo di una storia che il Parlamento europeo (commissione PEGA) ha già descritto.
Spyware principali in uso o offerta a governi UE:
- Pegasus (NSO Group, Israele): usato in Polonia, Ungheria, Spagna; tentativi/contatti in Grecia. È la “pistola fumante” più famosa.
- Predator (Intellexa / Cytrox, asse greco-israelo-macedone): usato in Grecia contro politici e giornalisti; associato a campagne di sorveglianza su opposizione e media.
- Cytrox: sviluppa exploit, infrastrutture di infezione e server di comando per Predator; in Grecia sono stati individuati decine di domini trappola riconducibili a Cytrox.
- Candiru / Saito Tech: spyware israeliano per Windows, impiegato in Europa contro dissidenti e giornalisti; compare accanto a Pegasus nel caso catalano (“Catalangate”).
- RCS / Remote Control System (“Galileo”): prodotto storico di Hacking Team / RCS Lab (Italia). È venduto come piattaforma di intrusione remota e viene promosso in fiere tipo ISS World, la cosiddetta “Wiretappers’ Ball”, dove gli apparati di sicurezza europei fanno shopping.
- Intellexa Alliance: non è solo un software, è un pacchetto chiavi in mano. Vende Predator ma anche l’infrastruttura di comando e controllo, il training, l’assistenza operativa, la copertura contrattuale.
Altri attori collegati (sorveglianza + operazioni sporche):
- Black Cube: società privata israeliana composta da ex 8200/Mossad. Attiva in Ungheria. È collegata a campagne contro ONG, giornalisti, oppositori politici e figure collegate a George Soros. Non solo sorveglianza digitale: anche pressione, delegittimazione, ricatto.
- Krikel / Ketyak (Grecia): società/broker che avrebbero fornito apparati e infrastrutture di sorveglianza all’intelligence greca (EYP), potenzialmente fungendo da canale per Predator. Il governo greco nega acquisti diretti, ma le tracce societarie li collegano.
Nota chiave: gli Stati spesso non comprano formalmente lo spyware. Usano società intermediarie, appalti chiamati “supporto tecnologico”, “servizi investigativi”, “cyber threat intelligence”. In questo modo evitano trasparenza parlamentare e scaricano la responsabilità politica.
6. Chi è stato spiato e perché | Schede Paese
Qui sotto: casi dove lo spyware è stato usato per obiettivi politici interni, giornalisti, oppositori. Non solo antiterrorismo.
POLONIA
- Strumento: Pegasus (NSO Group).
- Bersagli principali:
• Krzysztof Brejza – senatore e stratega della campagna dell’opposizione “Civic Coalition”. Telefono violato ripetutamente nel 2019 durante la campagna elettorale; il contenuto rubato è poi finito sui media pro-governo.
• Roman Giertych – avvocato di oppositori del partito di governo PiS; sorveglianza tra 2019 e 2020.
• Ewa Wrzosek – procuratrice indipendente; telefono infettato più volte nell’estate 2020 dopo che aveva aperto un’indagine sulle modalità di voto durante la pandemia COVID.
• Altri attivisti, consulenti politici e funzionari, inclusi ex membri del PiS diventati scomodi. - Valutazione PEGA: Pegasus è stato un’arma politica interna, con controllo giudiziario quasi inesistente.
UNGHERIA
- Strumento: Pegasus acquistato dal Ministero dell’Interno, con autorizzazioni dal Ministero della Giustizia, motivate come “sicurezza nazionale”.
- Bersagli principali:
• Szabolcs Panyi – giornalista investigativo di Direkt36. Sorvegliato nel 2019 mentre indagava su affari sensibili per il governo (banche, influenza russa).
• András Szabó – giornalista di Direkt36, coautore di inchieste su corruzione.
• Zoltán Varga – imprenditore dei media (24.hu), voce critica verso Orbán; colpito da sorveglianza digitale e campagne di pressione.
• László Pann – avvocato, presidente dell’Ordine degli Avvocati ungherese.
• Adrien Beauduin – dottorando canadese e attivista studentesco coinvolto nelle proteste anti-Orbán.
• Sindaci dell’opposizione, attivisti civici, e perfino persone interne al potere Fidesz quando diventavano “problematiche”. - Valutazione PEGA: l’Ungheria è uno dei peggiori casi UE. Lo spyware è strumento di controllo politico e mediatico. Le autorità che dovrebbero vigilare rispondono allo stesso governo.
GRECIA
- Strumenti: Predator (Intellexa/Cytrox) tramite link SMS malevoli; intercettazioni “ufficiali” dell’EYP coperte da “sicurezza nazionale”.
- Bersagli principali / tentati:
• Nikos Androulakis – eurodeputato e oggi leader del PASOK-KINAL. Nel 2021, in piena corsa alla leadership, riceve un tentativo Predator. Parallelamente, l’EYP lo intercettava formalmente.
• Thanasis Koukakis – giornalista economico; infezione Predator 2020-2021 mentre indagava su scandali finanziari e corruzione.
• Christos Spirtzis – deputato SYRIZA, ex ministro; tentativo Predator nel 2021.
• Stavros Malichoudis – giornalista su migrazione e frontiere; sorvegliato dall’EYP con il pretesto della “sicurezza nazionale”.
• Altri giornalisti investigativi (Deca, Inside Story), nel mirino tra 2021 e 2022. - Valutazione PEGA: “Predatorgate” dimostra l’uso parallelo di spyware commerciale illegale e intercettazioni istituzionali per scopi politici interni, non per antiterrorismo.
SPAGNA
- Strumenti: Pegasus (NSO) e Candiru (Windows spyware).
- Bersagli principali:
• Pere Aragonès – allora vicepresidente della Catalogna (poi presidente). Target nel 2019-2020: sorveglianza diretta dell’indipendentismo catalano.
• Collaboratori di Carles Puigdemont – ex presidente catalano in esilio. Il targeting passa spesso dallo staff e dagli avvocati.
• Gonzalo Boye – avvocato di Puigdemont; sorvegliato nel 2020, chiaro attacco al rapporto avvocato-cliente.
• Decine di figure dell’indipendentismo catalano: politici eletti, attivisti, società civile, eurodeputati.
• Pedro Sánchez – presidente del governo spagnolo. Nel 2021 il suo telefono viene infettato con Pegasus in un’operazione attribuita a un attore straniero (spesso indicato come Marocco). Colpita anche la ministra della Difesa Margarita Robles. - Valutazione PEGA: doppio livello. Interno (contro l’indipendentismo catalano, giustificato come “sicurezza nazionale”) ed esterno (attacco straniero fino al vertice del governo centrale).
FRANCIA
- Strumento: Pegasus.
- Bersagli principali:
• Emmanuel Macron – Presidente della Repubblica. Il suo numero compare nelle liste dei potenziali target 2019-2020, con attribuzione ai servizi marocchini.
• Jean-Yves Le Drian, Édouard Philippe e altri ministri francesi – stessi elenchi di targeting.
• Giornalisti francesi di alto profilo e direttori di testate investigative. - Valutazione PEGA: qui emerge la dimensione di interferenza estera. Non è (solo) la Francia che spia i dissidenti: è un Paese terzo, il Marocco, che punta ai massimi vertici francesi. Questo è considerato un caso di intrusione politica diretta contro la sovranità di uno Stato membro UE.
GERMANIA
- Strumento: versione “limitata” di Pegasus acquistata dal Bundeskriminalamt (BKA) per antiterrorismo e criminalità grave.
- Posizione ufficiale: Berlino sostiene di aver disattivato le funzioni più intrusive e di usare lo strumento solo con autorizzazioni giudiziarie puntuali.
- Problemi aperti:
• anche una versione “limitata” di Pegasus consente accesso retroattivo a messaggi passati, password, rubriche e archivi;
• è tecnicamente possibile impersonare la vittima usando le sue credenziali, con rischi di manomissione delle prove digitali;
• dal punto di vista dei diritti fondamentali europei, restano dubbi enormi: la CEDU richiede limiti rigorosi, reale proporzionalità e notifica ex post agli spiati. - Valutazione PEGA: la Germania racconta un uso “giudiziario e mirato”, ma giuridicamente le garanzie tradizionali reggono poco contro strumenti che per natura svuotano l’intero telefono.
7. Riassunto rapido dell’inchiesta
• Germania → uso dichiarato “solo giudiziario/antiterrorismo”, ma con forti dubbi legali perché Pegasus resta intrusivo e capace di accesso retroattivo totale.
• Paragon / Graphite → nuovo player israeliano di fascia “premium”: infezioni zero-click stile Pegasus, vendita dichiarata solo a governi “amici occidentali”. Dopo la ristrutturazione societaria sotto AE Industrial Partners/USA, Graphite diventa politicamente più spendibile per gli alleati.
• Sistemi principali nel mercato UE → Pegasus (NSO), Predator (Intellexa/Cytrox), Cytrox stessa, Candiru, RCS/Galileo, e strutture collaterali come Black Cube / Krikel che fanno da contractor e copertura operativa, inclusa infrastruttura e campagne di pressione.
• Chi spia chi (uso politico interno, non antiterrorismo):
– Polonia → opposizione, avvocati, procuratori scomodi.
– Ungheria → giornalisti indipendenti, imprenditori media critici, opposizione, perfino studenti stranieri e anche alleati interni diventati “scomodi”.
– Grecia → leader dell’opposizione parlamentare, giornalisti economici e su migrazione, altri politici; con Predator e intercettazioni dell’EYP mascherate da “sicurezza nazionale”.
– Spagna → movimento indipendentista catalano (Pegasus/Candiru) + hack Pegasus contro il Primo Ministro e ministri del governo centrale attribuiti a un attore straniero.
– Francia → vertice dello Stato francese e ministri selezionati come target Pegasus da un Paese terzo (Marocco).
Questo riassunto mostra che lo spyware non è più solo uno strumento di contrasto al terrorismo: è diventato arma politica, mezzo di controllo interno e strumento di pressione tra Stati.
8. Analisi conclusiva
Il caso Graphite dimostra come, dopo Pegasus, lo spionaggio digitale stia migrando da Israele verso nuove forme di partnership transatlantiche.
La filiera funziona così:
- il marchio americano protegge politicamente gli Stati democratici che lo impiegano, offrendo “copertura etica”;
- Israele conserva la leadership tecnologica dietro le quinte, mantenendo il know-how, la filiera di exploit e la capacità operativa reale;
- l’Europa diventa campo di prova politico, legale e mediatico, dove lo spyware viene usato non solo contro terroristi e reti criminali, ma contro giornalisti, oppositori, avvocati e movimenti sociali.
In Italia, le dichiarazioni istituzionali mostrano più una gestione di immagine che una reale trasparenza, confermando la difficoltà di bilanciare sicurezza e libertà. La linea ufficiale parla di sicurezza nazionale, migrazioni e terrorismo. Ma gli obiettivi includono attori civili e politici. Questo scarto è il cuore della vicenda: dimostra quanto sia fragile, oggi, l’equilibrio tra sicurezza e libertà.
Lo spyware di nuova generazione non è soltanto uno strumento investigativo. È uno strumento di governo del dissenso.
9. Fonti principali
- Citizen Lab, “Virtue or Vice? A First Look at Paragon’s Spyware Operations”, 2025
- Citizen Lab, “Graphite Caught: First Forensic Confirmation”, 2025
- Rapporto COPASIR, Parlamento Italiano, giugno 2025
- Reuters, “AE Industrial Partners acquires Paragon Solutions”, 2024
- Forbes, “Israel’s Paragon Builds a New Kind of Spyware”, 2021
- Wired / The Guardian / AP, inchieste 2024–2025
- Commissione PEGA del Parlamento europeo, Relazione A9-2023-0189 e audizioni successive
- Documentazione tecnica Amnesty International Security Lab, 2024-2025
10. APPROFONDIMENTO A – Filiera USA
Sintesi verificabile:
Paragon Parent Inc. risulta registrata nello Stato del Delaware nell’autunno 2024; a dicembre 2024 AE Industrial Partners annuncia l’acquisizione di Paragon e l’integrazione con REDLattice. AEI deteneva già dal 2023 una partecipazione significativa in REDLattice. Le società sono private: non risultano filing 8-K/SEC obbligatori.
La catena di controllo diventa quindi:
Paragon Solutions Ltd. (Israele) → Paragon Parent Inc. (USA/Delaware) → AE Industrial Partners (controllo) con integrazione operativa REDLattice.
RedLattice:
REDLattice è un fornitore focalizzato sulla missione di capacità informatiche a spettro completo e soluzioni tecnologiche per i clienti della sicurezza nazionale, della difesa e delle comunità commerciali degli Stati Uniti. REDLattice aiuta i propri clienti a raggiungere il successo della missione progettando, sviluppando e implementando rapidamente applicazioni e soluzioni ingegneristiche all’avanguardia per alcune delle loro sfide più complesse. Gli esperti in materia dell’azienda in ricerca sulle vulnerabilità (VR), reverse engineering (RE), sviluppo di strumenti, analisi del malware e capacità operative avanzate aiutano a sviluppare la prossima generazione di strumenti e soluzioni informatiche per il campo di battaglia.
L’obiettivo principale del passaggio a “bandiera USA” è ridare credibilità commerciale e politica al prodotto (Graphite) dopo gli scandali del comparto israeliano: il marchio statunitense facilita contratti con agenzie federali e Stati alleati, riducendo i costi reputazionali per governi democratici che lo impiegano.
Elementi chiave confermati:
- Registrazione di Paragon Parent Inc. in Delaware (Q4 2024).
- Annuncio di acquisizione da parte di AE Industrial Partners (dicembre 2024).
- Integrazione prevista con REDLattice (AEI già azionista dal 2023).
- Assenza di documentazione SEC pubblica (società non quotate).
- Narrativa di “ri-accreditamento” sotto governance statunitense.
Chi ha fondato/dirige REDLattice
- John Ayers — Founder & CEO. È indicato come fondatore/CEO in più fonti (comunicati AE Industrial, profili esecutivi e stampa di settore).
- Kevin Rummel — President & COO. Manager storico, rimasto in carica dopo l’ingresso di AE Industrial Partners (AEI).
- Brian Knobbs — CTO. Elencato tra i key executives.
Altri dirigenti tecnici (VP/EVP) compaiono su directory di settore. Tutti riconducibili a un perimetro contractor che lavora per clienti della sicurezza nazionale USA.
Risultato politico: Graphite diventa un prodotto “americano”, quindi più difendibile in termini di alleanze occidentali e più facile da acquistare per governi europei senza ammettere un rapporto diretto con uno spyware israeliano sotto inchiesta globale.
l governo USA ha comprato questi servizi. Immigrations and Customs Enforcement (ICE) ha firmato un contratto da circa 2 milioni di dollari con Paragon nell’autunno 2024 per ottenere accesso allo spyware e formazione. Questo contratto era stato messo in pausa (stop work order) per verificare la conformità a un ordine esecutivo USA che limita l’uso di spyware commerciale, ma poi la pausa è stata rimossa e ICE ora può usare di nuovo lo spyware.
11. APPROFONDIMENTO B – UE & Cooperazione transfrontaliera
Quadro europeo: nel 2025 la Commissione UE spinge su un accesso “legale ed efficace” ai dati (e-evidence) tramite cooperazione con provider e con Eurojust/Europol. Non emergono prove pubbliche di procurement diretto di Graphite da parte di agenzie UE (Europol, Frontex). Il focus è sulla cooperazione giudiziaria e sulla conservazione dei dati, non sull’acquisto di spyware mercenario.
Italia: nel 2025 fonti giornalistiche riportano la sospensione/chiusura dei rapporti con Paragon, con posizioni governative non sempre allineate nel tempo. Le ONG (Amnesty, Access Now) denunciano la normalizzazione dello spyware contro giornalisti e società civile; i servizi italiani giustificano l’uso nell’ambito di migrazione, contrasto a reti criminali e sicurezza.
Piste di verifica suggerite (UE/Italia):
- Banche dati appalti UE (TED/eTendering) per voci su “lawful intercept”, “remote device access”, “surveillance platform”.
- Registro Trasparenza UE per incontri/consulenze con soggetti riconducibili a Paragon/AEI/REDLattice.
- Atti e interrogazioni al Parlamento europeo (commissioni LIBE, ITRE) su spyware mercenario 2024–2025.
Tuttavia, vi sono ampie prove che lo spyware è stato utilizzato in diversi Stati membri per scopi puramente politici, rivolti a critici e oppositori dei partiti al potere o in relazione alla corruzione. I risultati delle indagini collegano Pegasus e altri spyware di sorveglianza a varie violazioni dei diritti umani da parte dei governi, tra cui monitoraggio, ricatti, campagne diffamatorie, intimidazioni e molestie.
Contrariamente alle intercettazioni telefoniche convenzionali, che consentono solo il monitoraggio in tempo reale delle comunicazioni, lo spyware può fornire un accesso completo e retroattivo a file e messaggi creati in passato, password e metadati relativi alle comunicazioni passate. Di conseguenza, una decisione giudiziaria su una data di inizio e una durata per un’operazione di sorveglianza fornisce garanzie inefficaci quando lo spyware concede l’accesso retroattivo completo ai dati. È anche tecnicamente possibile impersonare la persona presa di mira ottenendo l’accesso alle sue credenziali digitali e alla sua identità. È estremamente difficile per l’obiettivo rilevare se c’è stata un’intrusione con spyware. Lo spyware lascia poche o nessuna traccia sul dispositivo del bersaglio e, anche se viene rilevato, è molto difficile dimostrare chi è stato responsabile dell’attacco.
Dalle informazioni fornite da NSO Group, è noto che Pegasus è stato venduto in almeno 14 paesi dell’UE fino alla risoluzione dei contratti con due paesi. Non si sa di quali paesi si tratti, ma si presume che si tratti della Polonia e dell’Ungheria. Tuttavia, fino a quando il gruppo NSO o il governo israeliano non rilasciano alcuna dichiarazione ufficiale in merito alla risoluzione del contratto, ciò non può essere verificato.
Italia – posizione ufficiale e realtà industriale
Finora non vi sono state segnalazioni di un possibile acquisto di spyware da parte delle autorità italiane. Non sono stati segnalati casi di spionaggio ad alto livello, anche se il numero di telefono dell’ex Presidente del Consiglio e Presidente della Commissione Romano Prodi è stato trovato nell’elenco pubblicato dal Pegasus Project. Come ex inviato speciale delle Nazioni Unite per il Sahel, avrebbe potuto essere un obiettivo interessante per il Marocco, considerando la sua possibile rete con figure di alto livello nel Sahara Occidentale e in Algeria.
Le aziende di spyware Tykelab e RCS Lab hanno scelto l’Italia come base per il loro business.
Un’altra azienda che offre software di intrusione offensiva dall’Italia almeno dal 2012 è stata Hacking Team, ora chiamata Memento Labs. L’azienda ha guadagnato notorietà dopo un hack che ha rivelato vendite a diversi paesi autoritari che hanno usato lo spyware RCS per attaccare dissidenti politici, giornalisti e difensori dei diritti umani. Un’indagine avviata da ONG e investigatori ONU sull’esportazione di RCS in Sudan ha portato le autorità italiane a imporre una clausola “catch-all” sulle licenze di esportazione per rischio diritti umani, costringendo l’azienda a chiedere autorizzazioni individuali per ogni vendita. Hacking Team ha poi fatto pressione sul Ministero dello Sviluppo Economico per recuperare una licenza globale, sfruttando i rapporti con alti funzionari di governo, intelligence e forze dell’ordine per presentarsi come “risorsa nazionale di sicurezza”.
Piste finali di verifica concreta (Italia):
- Procure italiane (Roma / Palermo): verificare fascicoli su uso improprio, eventuali rogatorie e perizie forensi.
- Raccolta testimonianze: giornalisti/attivisti italiani con notifiche Apple/Meta nel 2024–2025.
Conclusione operativa finale
Graphite non è un incidente isolato ma il nuovo standard.
È l’evoluzione del modello Pegasus: stessa logica di intrusione totale, ma con una filiera politico-industriale ripulita e transatlantica. Il marchio USA funziona da scudo reputazionale. Israele resta la centrale tecnologica. L’Europa – Italia inclusa – è il terreno dove questa infrastruttura viene testata, normalizzata e, sempre più spesso, usata per controllare il dissenso politico e civile.
Polonia – Ungheria – Grecia – Spagna -Francia – Germania
| Persona / gruppo | Ruolo / affiliazione | Periodo infezione (o tentato) | Spyware | Contesto / motivo |
|---|---|---|---|---|
| Krzysztof Brejza | Senatore, stratega della campagna elettorale di “Civic Coalition” (opposizione) | 2019 (più volte durante la campagna) | Pegasus | Manipolazione politica: SMS rubati e montati nei media pro-governo. |
| Roman Giertych | Avvocato di oppositori e figure anti-PiS | 2019-2020 | Pegasus | Sorveglianza legale di alto profilo. |
| Ewa Wrzosek | Procuratrice indipendente | estate 2020 | Pegasus | Aveva avviato un’inchiesta sul voto per corrispondenza durante la pandemia. |
| Altri (non nominati) | Attivisti, consulenti e funzionari | 2019-2020 | Pegasus | Sorveglianza sistemica di oppositori politici. |
| Persona / gruppo | Ruolo | Periodo | Spyware | Contesto |
|---|---|---|---|---|
| Szabolcs Panyi | Giornalista investigativo, Direkt36 | 2019 | Pegasus | Indagava su affari finanziari legati al governo. |
| András Szabó | Collega giornalista Direkt36 | 2019 | Pegasus | Coautore di inchieste su corruzione. |
| Zoltán Varga | Imprenditore media, proprietario 24.hu | 2019 | Pegasus | Critico verso il governo Orbán. |
| László Pann | Avvocato, presidente Ordine degli Avvocati | 2019 | Pegasus | Figura indipendente in cause scomode. |
| Adrien Beauduin | Dottorando canadese, attivista studentesco | 2019 | Pegasus | Partecipò a proteste anti-Orbán. |
| Persona / gruppo | Ruolo | Periodo | Spyware | Contesto |
|---|---|---|---|---|
| Nikos Androulakis | Eurodeputato, leader PASOK-KINAL | 2021 (tentativo) | Predator + intercettazione EYP | Spionaggio politico durante elezioni interne al partito. |
| Thanasis Koukakis | Giornalista economico | 2020-2021 | Predator | Indagava su scandali finanziari e banche greche. |
| Christos Spirtzis | Deputato SYRIZA, ex ministro | 2021 | Predator (tentato) | Figura di opposizione. |
| Stavros Malichoudis | Giornalista su temi migrazione | 2021 | Sorveglianza ufficiale EYP | Inchieste sui rifugiati e frontiere. |
| Altri giornalisti (Deca, Inside Story) | Reporter indipendenti | 2021-2022 | Predator / EYP | Target per articoli su corruzione e sicurezza nazionale. |
| Persona / gruppo | Ruolo | Periodo | Spyware | Contesto |
|---|---|---|---|---|
| Pere Aragonès | Vicepresidente catalano (poi presidente) | 2019-2020 | Pegasus | Sorveglianza politica di indipendentisti. |
| Carles Puigdemont (staff) | Ex presidente Catalogna (in esilio) | 2019-2020 | Pegasus | Target indiretto via collaboratori. |
| Gonzalo Boye | Avvocato di Puigdemont | 2020 | Pegasus | Sorveglianza legale. |
| Pedro Sánchez | Primo ministro spagnolo | 2021 | Pegasus | Attacco da attore esterno (attribuito a Marocco). |
| Margarita Robles | Ministra Difesa | 2021 | Pegasus | Stesso attacco esterno confermato. |
| Persona / gruppo | Ruolo | Periodo | Spyware | Contesto |
|---|---|---|---|---|
| Emmanuel Macron | Presidente della Repubblica | 2019-2020 (target list) | Pegasus | Target selezionato da servizi marocchini. |
| Jean-Yves Le Drian, Édouard Philippe, altri ministri | Governo francese | 2019-2020 | Pegasus | Target list marocchina. |
| Giornalisti francesi | Vari media | 2018-2020 | Pegasus | Sorveglianza da parte del Marocco e altri stati terzi. |
Come funziona un elenco ragionato per i non esperti:
1. Obiettivo di Graphite
Graphite è uno spyware governativo pensato per:
- entrare nel telefono della vittima (iPhone o Android);
- leggere e copiare dati da app cifrate tipo WhatsApp, Signal, Telegram, iMessage;
- monitorare l’utente in tempo reale (posizione, microfono, fotocamera, ecc.).
Questa è la differenza strategica rispetto al vecchio modello Pegasus:
- Pegasus prende il controllo totale del dispositivo e quindi lascia molte tracce forensi.
- Graphite viene pubblicizzato come “più mirato”: entra soprattutto nelle app di messaggistica e nei contenuti di comunicazione privata, quindi è più difficile da rilevare e più facile da difendere politicamente (“serve solo contro crimine grave e terrorismo”).
Il Citizen Lab però sottolinea che nella pratica l’accesso che Graphite ottiene è comunque profondo e altamente invasivo, non una cosetta “chirurgica”.
2. Come entra nel telefono (la catena di infezione)
Graphite usa tecniche di infezione di fascia alta, paragonabili a quelle dei servizi di intelligence nazionali.
Ci sono due macro modalità documentate:
a) Zero-click via iMessage (iPhone)
- L’attaccante manda alla vittima un contenuto malevolo (per esempio un messaggio iMessage costruito ad hoc) che sfrutta una vulnerabilità sconosciuta (“zero-day”) in iOS.
- La vittima non deve fare nulla: non deve cliccare link, non deve aprire allegati. Basta che l’iPhone riceva il messaggio.
- La vulnerabilità viene sfruttata per eseguire codice sul telefono e installare lo spyware.
- Citizen Lab ha confermato che nel 2025 due giornalisti europei (uno italiano, Ciro Pellegrino di Fanpage.it, e uno che ha chiesto anonimato) sono stati infettati proprio così. Gli attacchi sono avvenuti su iPhone aggiornati, a inizio 2025, e Apple ha poi corretto la falla in iOS 18.3.1, assegnandole l’identificatore CVE-2025-43200.
Questa è la stessa filosofia tecnica già vista con Pegasus (es. FORCEDENTRY su iMessage nel 2021), cioè sfruttare il sistema di messaggistica Apple per eseguire codice remoto senza interazione dell’utente.
b) Zero-click/low-click su WhatsApp
- In altri casi (Italia compresa), WhatsApp ha avvisato attivisti e giornalisti che erano stati colpiti da una tecnica di infezione che sfruttava la gestione dei gruppi.
- Meccanica descritta: venivi aggiunto a una chat/gruppo e veniva inviato nel gruppo un file manipolato (ad esempio un PDF “truccato”). L’utente non doveva cliccare nulla perché il solo parsing automatico del contenuto bastava a eseguire l’exploit.
- Meta / WhatsApp ha detto di aver chiuso la falla e notificato più di 90 persone, tra cui attori della società civile italiana legati a ONG per i migranti e giornalisti d’inchiesta.
Questa parte è importante politicamente: vuol dire che Paragon è in grado di bucare sia iOS sia piattaforme di messaggistica mainstream, e di farlo in modo invisibile alla vittima.
3. Cosa fa una volta dentro
Dopo l’infezione, Graphite si comporta come una “cimice digitale completa”:
- Estrae messaggi e allegati da app cifrate end-to-end (WhatsApp, Signal, iMessage, Telegram, ecc.). Nota bene: non “intercetta la linea” dall’esterno, li prende dopo che il telefono li ha già decifrati, quindi li vede in chiaro.
- Può accedere a rubrica, log di chiamate, file salvati, note, posizione GPS.
- Può attivare microfono e fotocamera per trasformare lo smartphone in un dispositivo di ascolto ambientale e sorveglianza visiva. (Questo tipo di funzionalità è standard per spyware governativi di fascia Pegasus e Citizen Lab la considera plausibile anche per Graphite, che viene descritto come “mercenary spyware” con capacità full device, malgrado il marketing più “pulito”.)
- Può esfiltrare i dati verso server di comando e controllo controllati dall’operatore.
In pratica: l’operatore (cioè il cliente governativo di Paragon) ottiene accesso alle conversazioni private in tempo reale e all’archivio storico. Questo permette sia monitoraggio continuo sia retrospettivo (chi hai parlato, quando, con che allegati).
4. Come comunica con chi lo controlla
Citizen Lab ha mappato l’infrastruttura usata da Graphite e dai suoi operatori:
- server di comando e controllo (C2) su cloud commerciale;
- server ospitati direttamente presso strutture riconducibili ai clienti governativi;
- infrastrutture “per paese”, cioè cluster tecnici che sembrano corrispondere a singoli clienti nazionali.
Sul telefono delle vittime sono rimaste tracce (log di rete) che puntavano agli stessi server di comando e controllo, permettendo ai ricercatori di dire: “Questi due giornalisti sono stati attaccati dallo stesso operatore Graphite”. Quindi: stessa infrastruttura → stesso cliente.
Questo è fondamentale in tribunale o in Parlamento, perché dimostra che non parliamo di hacker freelance, ma di una catena operativa coerente, riconducibile a una struttura statale o para-statale.
5. Perché è difficile da attribuire (e perché i governi lo adorano)
Graphite è progettato per essere:
- difficile da vedere (zero-click, nessun pop-up, niente messaggi strani tipo phishing classico);
- difficile da analizzare dopo (pochissimi file residui, cancellazione aggressiva delle tracce, attività che si muove dentro processi di sistema già esistenti);
- difficile da attribuire pubblicamente perché Paragon vende il tool ma poi è il cliente governativo che esegue l’operazione. Quindi un governo può dire “non siamo stati noi” o “era tutto legale, contro criminalità organizzata”, anche se le vittime sono giornalisti e ONG.
Citizen Lab nel report lo dice chiarissimo: l’industria (Paragon inclusa) sostiene “noi vendiamo solo a governi responsabili per usi legittimi”, ma nella pratica lo spyware è apparso sui telefoni di:
- giornalisti italiani (Fanpage.it),
- attivisti coinvolti nel salvataggio migranti nel Mediterraneo,
- difensori dei diritti umani,
- reporter economici che indagavano su corruzione.
Quindi l’uso reale è politico/societario, non solo anti-terrorismo.
Riassumendo la “meccanica” di Graphite così come la descrive Citizen Lab:
- Preparazione dell’attacco
- Il cliente (polizia, intelligence, ecc.) identifica un bersaglio e configura un server di comando e controllo tramite l’infrastruttura Paragon.
- Infezione
- Il bersaglio riceve un payload exploit zero-click tramite iMessage (iOS) o un vettore analogo tipo WhatsApp group exploit.
- Nessuna azione richiesta alla vittima.
- Stabilizzazione
- Lo spyware ottiene esecuzione di codice sul dispositivo, aggira le protezioni del sistema operativo e si impianta.
- Mantiene la persistenza (quanto a lungo rimane dentro dipende dalla catena exploit e dalle patch successive).
- Raccolta
- Estrae chat, allegati, rubrica, posizione, contenuti privati da app cifrate.
- Può accendere microfono e fotocamera per sorveglianza ambientale.
- Esfiltrazione
- Manda tutto ai server sotto controllo dell’operatore usando canali cifrati, spesso passando da infrastrutture cloud mascherate.
- Pulizia / difficoltà forense
- Lascia pochissime tracce; senza notifiche di Apple o Meta sarebbe quasi impossibile capire di essere stati colpiti.
Gli altri Spy funzionano piu’ o meno nello stesso modo