GUERRE DI RETE - Perché (il caso) Paragon è persistente

GUERRE DI RETE – Perché (il caso) Paragon è persistente

-------------------------------------------------
Corso estivo di MONTAGGIO, dal 22 luglio

-------------------------------------------------

Nella nuova puntata della cybernewsletter, Carola Frediani ci aggiorna sui giornalisti e attivisti spiati attraverso il software Graphite della Paragon, un caso che si allarga sempre di più

19 Giugno 2025 di Carola Frediani

----------------------------
LA SCUOLA DI DOCUMENTARIO di SENTIERI SELVAGGI

----------------------------

Guerre di Rete – una newsletter di notizie cyber
di Carola Frediani
N. 207 – 16 giugno 2025

UNICINEMA scarica la Guida completa della Quadriennale di Sentieri Selvaggi

SORVEGLIANZA
Perché (il caso) Paragon è persistente

-----------------------------------------------------------------
SCUOLA DI CINEMA SENTIERI SELVAGGI, scarica la Guida completa della Triennale 2025/2026

-------------------------------------------------

“Qualsiasi tentativo di accedere illegalmente ai dati dei cittadini, compresi i giornalisti e gli oppositori politici, è inaccettabile, se confermato. La Commissione utilizzerà tutti gli strumenti a sua disposizione per garantire l’effettiva applicazione delle norme dell’Unione europea”.
11 giugno 2025. La Commissione europea interviene su alcune domande poste da membri del Parlamento Ue. Oggetto: l’Italia.
“La Commissione è a conoscenza dei recenti rapporti sull’uso di Paragon”, ha dichiarato la vicepresidente esecutiva e commissaria europea per le Tecnologie digitali e di frontiera Henna Virkkunen. Che ricorda all’Italia come il nuovo Regolamento europeo sulla libertà dei media (European Media Freedom Regulation – EMFA) sarà applicabile dall’8 agosto 2025.

-----------------------------------------------------------------
In occasione dell’uscita della 4a stagione di The Bear Sentieriselvaggi21st n. 17 SCONTATO DEL 50%! 15,00€ –> 7,50€

-------------------------------------------------

Il riferimento è a un articolo del regolamento che mira a salvaguardare le fonti giornalistiche vietando alle autorità statali di utilizzare strumenti di sorveglianza sui giornalisti, salvo circostanze eccezionali (“giustificato da un motivo imperativo di interesse generale”). Quindi no all’uso di spyware, anche se, come avevano commentato alcuni, rischia di rimanere sempre aperta la finestra delle esigenze di sicurezza nazionale che potrebbe essere sfruttata per far rientrare questi malware nei dispositivi di chi fa informazione.

Cosa dice la relazione Copasir

L’intervento della commissaria però arriva dopo giorni in cui sembrava che il caso Paragon fosse, se non chiuso, ibernato. Caso che invece, da quando è scoppiato, assomiglia sempre di più a un virus che non si riesce a eliminare. Che anche quando pensi di averlo rimosso ricompare, persistente.

La questione sembrava essere stata chiusa il 4 giugno, quando il Copasir (il Comitato parlamentare per la sicurezza della Repubblica) aveva confermato in una relazione che la società israeliana Paragon ha effettivamente venduto il suo spyware Graphite alle due agenzie di intelligence italiane, Aisi e Aise, a partire dal 2023. La versione di Graphite fornita non includeva la possibilità di attivare il microfono o la fotocamera del telefono, secondo la relazione. Ma consentiva agli operatori di accedere alle comunicazioni crittografate sui dispositivi violati.

Scrive il Copasir al riguardo: “A partire dal mese di gennaio 2024, lo spyware Graphite è stato utilizzato per acquisire dati dinamici, cioè comunicazioni in corso attraverso sistemi cifrati di messaggistica istantanea, relativamente a un numero estremamente limitato di utenze sempre con autorizzazione del Procuratore generale presso la Corte di appello di Roma, (…) nonché per esfiltrare messaggi di chat giacenti nella memoria di dispositivi di target (…)”.

Gli attivisti di Mediterranea

La relazione conferma anche che Graphite ha sfruttato una vulnerabilità di WhatsApp che Meta aveva identificato e chiuso (“patchato”) nel dicembre 2024, un mese prima che l’attività dello spyware venisse rivelata pubblicamente. Ma la conferma più importante della relazione è che sono stati davvero intercettati attraverso questo software sia Luca Casarini (che avevo intervistato qua) sia Giuseppe Caccia, figure di spicco della ong Mediterranea SavingHumans. David Yambio, portavoce dell’ONG Refugees in Libya, sarebbe stato intercettato, scrive la relazione, in modo tradizionale mentre il cappellano di Mediterranea don Mattia Ferrari non sarebbe stato intercettato direttamente. Si tratta, ricordiamolo, di attivisti coinvolti nel salvataggio di migranti in mare. Non solo: questi attivisti – in particolare Luca Casarini – sono sono stati spiati ripetutamente, e da diversi esecutivi. Anche se l’uso dello spyware sarebbe recente e nato sotto l’attuale governo.

Riprendo al riguardo direttamente la sintesi della relazione Copasir che ha fatto Fanpage: “Casarini sarebbe stato colpito da “due operazioni condotte dai servizi”, entrambe autorizzate da Giuseppe Conte nel suo secondo governo. La prima sarebbe durata qualche mese a cavallo tra 2019 e 2020. La seconda, “di natura più ampia”, partita il 26 maggio 2020, “inizialmente come intercettazione telefonica, si è conclusa nel mese di maggio 2024, sotto il controllo dei Governi Draghi e Meloni”. Inizialmente non veniva utilizzato Graphite, che invece è stato “autorizzato in data 5 settembre 2024” dall’attuale sottosegretario Mantovano.
Nel corso di questa operazione sono stati “attenzionati” non solo Casarini e Beppe Caccia, ma “anche il cittadino sudanese David Yambio”. Non sarebbe stato colpito don Mattia Ferrari, anche se era sottoposta a intercettazione “un’utenza nella disponibilità di David Yambio, tuttavia intestata a don Ferrari”, ma senza utilizzare Graphite. Queste operazioni, secondo quanto verificato dal Copasir, sarebbero state autorizzate “nelle forme e nei limiti previsti” e non avrebbero infranto la legge.”

”Francesco Cancellato non è stato sorvegliato”

Per quanto riguarda invece proprio il direttore di Fanpage, Francesco Cancellato, la relazione del Copasir è categorica nell’escludere che sia stato sorvegliato dai servizi.
Così dice la relazione: “Con riferimento, invece, alla posizione del giornalista Francesco Cancellato, sulla base degli elementi acquisiti e dalle verifiche svolte dal Comitato risulta che questi non sia stato sottoposto ad alcun tipo di attenzione da parte dei servizi di informazione per la sicurezza italiani attraverso l’utilizzo dello spyware prodotto dalla società Paragon. Il Comitato ha avuto peraltro modo di verificare direttamente, nel corso dei sopralluoghi svolti presso AISI e AISE e presso la Procura generale presso la Corte di appello di Roma, la mancata sottoposizione del giornalista Cancellato ad attività intercettiva da parte dei servizi di informazione per la sicurezza. In particolare, nel corso dei sopralluoghi effettuati presso le due Agenzie, i componenti del Comitato, come segnalato sopra, hanno potuto interrogare direttamente il database e il registro di audit del sistema Paragon, inserendo il numero dell’utenza del giornalista oggetto dell’alert di WhatsApp acquisito autonomamente dal Comitato stesso, constatando l’assenza di qualunque attività intercettiva attraverso l’utilizzo dello spyware Graphite relativamente a tale utenza”

La relazione del Copasir aggiungeva anche un dettaglio come vedremo più importante di quel che appare a prima vista.
“A seguito del clamore mediatico suscitato dalla vicenda, il 14 febbraio 2025 Paragon, AISI e AISE hanno concordemente deciso – secondo quanto chiarito in sede di audizioni al Comitato – di non impiegare, dunque di sospendere temporaneamente, le capacità del software Graphite su nuovi target”.

Dunque, ricapitoliamo. A fine gennaio Meta/Whatsapp manda un avviso a decine di utenti in Europa, tra cui il giornalista Cancellato e alcuni degli attivisti citati sopra dicendo che sono stati presi di mira dallo spyware di Paragon (spyware venduto esclusivamente a governi per fare indagini). Dopo una serie di balletti istituzionali su chi stia usando Paragon in Italia, il Copasir conferma infine quanto era per altro già trapelato, ovvero che sono i servizi a usarlo. La relazione conferma anche che i servizi hanno usato Paragon contro gli attivisti (uno dei quali però era già stato intercettato telefonicamente dai precedenti governi) per questioni di sicurezza nazionale e secondo le procedure delle intercettazioni preventive. Quindi tutto a posto, per loro, a livello procedurale.

Certo, sul piano politico qualcuno potrebbe domandarsi se intercettare in modo preventivo, per anni, attivisti che si occupano di salvare migranti in mare non sia un’operazione discutibile. Un tema che però sembra interessare poco la politica e la stampa italiana.
Anche qui occorre citare la relazione Copasir, che riconosce come Graphite non potesse essere usato contro giornalisti ma nemmeno contro attivisti, e tuttavia puntualizza che l’uso fatto dall’Italia sarebbe stato diverso. Ovvero, gli attivisti sono stata intercettati non perché attivisti ma per le loro attività potenzialmente relative all’immigrazione irregolare.

Dice la relazione: “Risulta al Comitato che l’atto negoziale con cui è stata acquisita la licenza del sistema Graphite reca clausole che non consentono, tra l’altro, l’approccio nei confronti di device e/o di obiettivi provenienti da determinati Paesi. Inoltre, i termini contrattuali prevedono il divieto di infliggere danno su individui o gruppi di individui semplicemente per religione, sesso, genere, razza, gruppo etnico, orientamento sessuale,nazionalità, Paese d’origine, opinione o affiliazione politica, età, stato personale, nonché di far uso del sistema nei confronti di giornalisti e attivisti per i diritti umani”(…) Con riferimento alle posizioni di Luca Casarini e Giuseppe Caccia, secondo quanto riferito nelle audizioni svolte, oltre al rispetto della citata normativa in materia di intercettazioni preventive e di garanzie funzionali, è stato altresì evidenziato il rispetto anche dei termini contrattuali sopra richiamati in quanto tali soggetti sono stati sottoposti ad attività intercettiva non in qualità di attivisti per i diritti umani, ma in riferimento alle loro attività potenzialmente relative all’immigrazione irregolare”.

In quanto a Cancellato, come dicevo sopra, non risulta nulla. Perché sia stato oggetto di quest’attacco con lo spyware di Paragon, e soprattutto da chi, resta un mistero.
La relazione del Copasir ricorda anche che nel rapporto pubblicato da Citizen Lab a marzo 2025 su Cancellato non c’era una “conferma diretta di infezione del dispositivo mobile del giornalista, mentre viene riportata conferma espressa dell’infezione, sulla base di analisi forensi già conclusesi, limitatamente ai dispositivi di Casarini e Caccia”.

E quindi, conclude il Copasir, “sulla base delle informazioni emerse nel corso delle audizioni, l’unico elemento che, allo stato, confermerebbe un’eventuale intrusione nel dispositivo di Cancellato, peraltro non espressamente attribuita al software Graphite, sarebbe rappresentato dalla notifica [da Meta/Whatsapp, ndr] ricevuta sul dispositivo del giornalista”.

La dichiarazioni di Paragon sui contratti italiani e sulla procedura di controllo

Ma poi arriva il 9 giugno. Quando Paragon, l’azienda israeliana di spyware, ha dichiarato di aver rescisso tutti i contratti con le agenzie di intelligence italiane a causa della decisione italiana di non andare avanti con il procedimento tecnico proposto dalla stessa azienda, procedimento che avrebbe confermato se il suo software di spionaggio sia stato utilizzato contro il giornalista Francesco Cancellato.
“L‘azienda ha offerto al governo e al parlamento italiano un modo per determinare se il suo sistema fosse stato usato contro il giornalista”, e poiché ‘le autorità italiane hanno scelto di non procedere con questa soluzione, Paragon ha rescisso i suoi contratti in Italia’, ha dichiarato Paragon in un comunicato, riferisce il quotidiano israeliano Haaretz.

Sempre ad Haaretz, Paragon aveva detto in passato di aver disconnesso i suoi sistemi da tutti i clienti in Italia, dopo aver ricevuto la notizia che un giornalista aveva ricevuto lo spyware in attesa di avere i risultati dell’indagine. E già quel primo passaggio avrebbe prodotto tensioni ai livelli più alti. “Secondo un reportage del programma televisivo israeliano Zman Emet (Real Time), i funzionari italiani erano così irritati dalla decisione di Paragon che il primo ministro italiano avrebbe chiamato il primo ministro Benjamin Netanyahu per avere chiarimenti”, scrive Haaretz.

Dunque Paragon con quell’uscita su Haaretz sembra voler smentire la relazione del Copasir.

La replica di Copasir e servizi

Così entro il 10 giugno arriva la risposta del Comitato parlamentare. Che, con una nota, nega con forza la versione di Paragon riportata da Haaretz e si dice pronto a desecretare, in via straordinaria, il resoconto stenografico dell’audizione dei rappresentanti della società.

“Non vi è mai stato alcun rifiuto, o opposizione, da parte del Governo e dei Servizi italiani, di prestare collaborazione al predetto Comitato: il Copasir ha potuto effettuare accertamenti sui log delle inoculazioni realizzate dalle Agenzie, operazione di verifica che non ha precedenti, riscontrando la conformità a quanto dichiarato da queste ultime”, hanno fatto sapere fonti del Dis, in merito alle polemiche sul caso Paragon, riferisce Fanpage. Che continua riportando sempre le parole del Dis, il nostro Dipartimento delle informazioni per la sicurezza:

“Quanto alla disponibilità di un’azienda privata, qual è Paragon, a installare un proprio software su server di strutture che si occupano della sicurezza nazionale va precisato che gli strumenti di controllo che erano stati offerti dalla società israeliana si limitavano alle seguenti due opzioni: l’analisi delle attività di inoculazione (e perciò dei log di sistema) tramite un software proprietario della stessa società, oppure l’analisi diretta da parte di personale Paragon presso le sedi e i sistemi dei Servizi italiani“. Una proposta ritenuta inaccettabile dalle Agenzie. “Vi è stata invece la concreta disponibilità, raccolta dal Copasir, a far effettuare gli accessi informatici prima indicati”.

Il caso Pellegrino e il nuovo report Citizen Lab

Nel frattempo però succede dell’altro. Succede che alla fine di aprile un altro giornalista di Fanpage, Ciro Pellegrino, aveva ricevuto una notifica in merito a uno spyware governativo, notifica arrivata da Apple, questa volta. Pellegrino quindi fa analizzare il suo dispositivo al laboratorio di analisi di malware e spyware governativi Citizen Lab.

E dunque, il 12 giugno, a stretto giro dopo il battibecco a distanza tra Copasir, Paragon e Dis, arriva la relazione tecnica di Citizen Lab.

Che scrive: “La nostra analisi ha rilevato prove forensi che confermano con elevata sicurezza che sia un importante giornalista europeo (che ha richiesto l’anonimato), sia il giornalista italiano Ciro Pellegrino, siano stati presi di mira con lo spyware Graphite di Paragon. Abbiamo identificato un indicatore che collega entrambi i casi allo stesso operatore Paragon”.

Ma dice anche altro quella relazione. Spiega in pratica che non è così strano che sul telefono di Cancellato non siano state trovate tracce, perché si tratta di un Android su cui trovarle è più difficile, detto in soldoni (mentre quello del suo collega Pellegrino è un iPhone, e infatti se ricordate era stato avvisato da Apple).

Il Fanpage cluster

Scrive ancora Citizen Lab: “Abbiamo condotto un’analisi forense del dispositivo Android di Cancellato. Tuttavia, al momento del nostro primo rapporto, non siamo riusciti a ottenere la conferma forense dell’avvenuta infezione del dispositivo Android di Cancellato. Come abbiamo spiegato all’epoca: “Data la natura sporadica dei log di Android, l’assenza di un riscontro di BIGPRETZEL [l’artefatto che indicherebbe l’infezione da Graphite, come da precedente report Citizen Lab, ndr] su un particolare dispositivo non significa che il telefono non sia stato violato con successo, ma semplicemente che i log pertinenti potrebbero non essere stati catturati o potrebbero essere stati sovrascritti”.

In ogni caso, conclude Citizen Lab, “dopo il caso di Cancellato, l’identificazione di un secondo giornalista di Fanpage.it preso di mira con Paragon suggerisce uno sforzo per colpire questa organizzazione giornalistica. Questo sembra essere un gruppo (cluster) specifico di casi che merita un ulteriore controllo.”

E dunque?

Proviamo a tirare le somme come alle elementari. Abbiamo due giornalisti della stessa testata. A distanza di pochi mesi uno riceve una notifica da Meta, uno da Apple, di essere stati target di spyware governativi. Sul dispositivo di uno dei due giornalisti viene anche trovata traccia forense dell’infezione, secondo un terzo soggetto specializzato, Citizen Lab. Abbiamo dunque due importanti aziende tech che da anni lavorano sul tracciamento degli spyware, e un laboratorio indipendente che fa lo stesso, che ci dicono che un giornalista “europeo” (che vuole restare anonimo) e due giornalisti italiani della stessa testata sono stati presi di mira da uno spyware – che ora sappiamo essere stato in uso ai nostri servizi. Che però negano di intercettare giornalisti, e dalle verifiche del Copasir non ci sarebbe traccia di Cancellato (in quanto a Pellegrino, non risulta dalla relazione che abbiano fatto verifiche su di lui).

Ecco a voi il rompicapo dell’estate. Poteva essere un errore di Meta, come ho sentito alludere da qualcuno in tv? Può essere un errore di Meta, Apple, e Citizen Lab? Può essere uno Stato straniero che smania di spiare Fanpage? Possiamo rimanere con questi dubbi?

QUI LA VERSIONE COMPLETA DELLA NEWSLETTER

----------------------------
BORSE DI STUDIO per LAUREATI DAMS e Università similari per la Scuola di Cinema Sentieri selvaggi

----------------------------

taggato con Carola Frediani, Guerre di Rete, paragon, società della sorveglianza

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_WYFPW5DGD5	2 years	This cookie is installed by Google Analytics.
_gat_UA-56827900-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ir	session	This is a Pinterest cookie that collects information on visitor behaviour on multiple websites. This information is used on the website, in order to optimize the relevance of advertisement.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
language	session	This cookie is used to store the language preference of the user.
ssupp.vid	6 months	Cookie set by Smartsupp to record the visitor ID.
ssupp.visits	6 months	Cookie set by Smartsupp to record the number of previous visits, necessary to track automatic messages.

Newsletter

GUERRE DI RETE – Perché (il caso) Paragon è persistente

In occasione dell’uscita della 4a stagione di The Bear Sentieriselvaggi21st n. 17 SCONTATO DEL 50%! 15,00€ –> 7,50€

Dal 1 al 15 luglio tutti i libri di Sentieri selvaggi al 30% di sconto!!!

Dal 1 al 15 luglio tutti i numeri di Sentieriselvaggi21st sono scontati del 30%!

Sentieriselvaggi21st n.20, scegli la versione cartacea o digitale!

Corso estivo di MONTAGGIO, dal 22 luglio

LA SCUOLA DI DOCUMENTARIO di SENTIERI SELVAGGI 2024/2025

SCUOLA DI CINEMA TRIENNALE SENTIERI SELVAGGI, scarica la Guida completa della Triennale 2025/2026

UNICINEMA scarica la Guida completa della Quadriennale di Sentieri Selvaggi

SPECIALIZZAZIONI: la Biennale Professionale della Scuola Sentieri selvaggi

Tutte le ARENE ESTIVE DI CINEMA 2025 a Roma

BORSE DI STUDIO per LAUREATI DAMS e Università similari per la Scuola di Cinema Sentieri selvaggi

Corsi di cinema per ragazzi, dai 15 anni in su!

KIM KI-DUK: la monografia definitiva

GUERRE DI RETE – Perché (il caso) Paragon è persistente

ISCRIVITI ALLA NEWSLETTER DI SENTIERI SELVAGGI

In occasione dell’uscita della 4a stagione di The Bear Sentieriselvaggi21st n. 17 SCONTATO DEL 50%! 15,00€ –> 7,50€

Dal 1 al 15 luglio tutti i libri di Sentieri selvaggi al 30% di sconto!!!

Dal 1 al 15 luglio tutti i numeri di Sentieriselvaggi21st sono scontati del 30%!

Sentieriselvaggi21st n.20, scegli la versione cartacea o digitale!

Corso estivo di MONTAGGIO, dal 22 luglio

LA SCUOLA DI DOCUMENTARIO di SENTIERI SELVAGGI 2024/2025

SCUOLA DI CINEMA TRIENNALE SENTIERI SELVAGGI, scarica la Guida completa della Triennale 2025/2026

UNICINEMA scarica la Guida completa della Quadriennale di Sentieri Selvaggi

SPECIALIZZAZIONI: la Biennale Professionale della Scuola Sentieri selvaggi

Tutte le ARENE ESTIVE DI CINEMA 2025 a Roma

BORSE DI STUDIO per LAUREATI DAMS e Università similari per la Scuola di Cinema Sentieri selvaggi

Corsi di cinema per ragazzi, dai 15 anni in su!

KIM KI-DUK: la monografia definitiva