La consulenza tecnica depositata nelle scorse settimane nell’ambito dell’inchiesta sul caso Paragon ha prodotto risultati che aprono nuovi interrogativi sulle attività di spionaggio digitale in Italia. Su sette dispositivi cellulari analizzati dalla Polizia postale insieme a un collegio di docenti universitari, solo tre hanno mostrato tracce concrete di infezione da malware. Un dato già di per sé significativo, che però nasconde un dettaglio ancora più inquietante: mentre per due dei telefoni compromessi è stata confermata l’attività dei servizi segreti italiani, per il terzo le responsabilità rimangono avvolte nel mistero.
Le procure di Roma e Napoli, coordinate dalla Procura nazionale Antimafia e Antiterrorismo sotto la guida dei procuratori aggiunti Sergio Colaiocco e Vincenzo Piscitelli, procedono contro ignoti per accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni e installazione non autorizzata di apparecchiature destinate alla captazione di conversazioni. L’indagine si muove su un terreno scivoloso, dove il confine tra sicurezza nazionale e diritti costituzionali si fa sottile come un filo di rasoio. I dispositivi sotto la lente degli inquirenti appartenevano a figure pubbliche di rilievo: il fondatore di Dagospia Roberto D’Agostino, i giornalisti Eva Vlaardingerbroek, Francesco Cancellato e Ciro Pellegrino, oltre agli attivisti di Mediterranea Saving Humans Luca Casarini, Giuseppe Caccia e don Mattia Ferrari. Tutti avevano ricevuto una notifica da Meta, la società madre di WhatsApp, che li avvertiva della possibile compromissione dei loro dispositivi. Una comunicazione che ha innescato la catena di denunce da cui è scaturita l’inchiesta.
La perizia tecnica, definita irripetibile per la delicatezza delle operazioni compiute, ha individuato anomalie significative esclusivamente sui telefoni Android di Caccia, Casarini e Cancellato. Le tracce scoperte nei database di WhatsApp risultano compatibili con il funzionamento di Graphite, lo spyware prodotto dalla società israeliana Paragon Solutions. Un software sofisticato, capace di estrarre dati, intercettare comunicazioni e trasformare uno smartphone in un dispositivo di sorveglianza totale senza che l’utente se ne accorga. Quello che rende particolarmente interessante l’analisi forense è la tempistica degli attacchi. Tutti e tre i dispositivi sarebbero stati compromessi nelle prime ore del 14 dicembre 2024, con una sequenza ravvicinata che i consulenti tecnici hanno interpretato come parte di una medesima campagna di infezione. Un’operazione coordinata, eseguita con precisione quasi militare nel cuore della notte, quando le vittime dormivano ignare che i loro telefoni venivano trasformati in strumenti di spionaggio.
Ma è qui che la vicenda prende una piega inaspettata. La relazione del Copasir approvata il 4 giugno 2025 aveva già documentato l’utilizzo dello spyware Graphite da parte dell’Aisi, l’Agenzia informazioni e sicurezza interna, per attività di esfiltrazione dati nei confronti di Caccia e Casarini. Un’operazione condotta previa autorizzazione nelle forme previste dalla legge, come ha tenuto a precisare il sottosegretario alla Presidenza del Consiglio Alfredo Mantovano durante la presentazione della Relazione annuale dell’intelligence. Per verificare se l’Aisi avesse utilizzato lo stesso software anche contro il giornalista Francesco Cancellato, i magistrati hanno disposto un accesso agli atti ai sensi dell’articolo 256-bis del codice di procedura penale. Le autorità giudiziarie hanno potuto esaminare i dati del server Graphite in uso all’Agenzia, un’operazione senza precedenti che testimonia la determinazione degli inquirenti nel fare chiarezza. Il risultato è stato chiaro: l’analisi ha confermato le operazioni effettuate quella notte nei confronti dei due attivisti di Mediterranea, ma non ha rilevato alcuna attività riferibile al direttore di Fanpage.it.
Allo stato attuale delle indagini, quindi, non emergono elementi che colleghino l’Aisi al tentativo di accesso abusivo e di intercettazione ai danni del giornalista. Una conclusione che solleva più domande di quante ne risolva. Se non sono stati i servizi segreti italiani a infettare il telefono di Cancellato, chi lo ha fatto? E con quale finalità? Si tratta di un’operazione di intelligence straniera, di un attore privato con accesso a tecnologie militari, o di qualcosa di ancora diverso? Il caso Paragon sta assumendo contorni sempre più complessi. Lo spyware della società israeliana, come hanno dimostrato diverse inchieste internazionali, non è in vendita sul mercato libero ma viene fornito esclusivamente a governi e agenzie di intelligence attraverso contratti riservati. La sua presenza su tre telefoni attaccati simultaneamente suggerisce un livello di sofisticazione e di risorse che difficilmente appartiene a criminali comuni o hacker isolati.
Mantovano, nel suo intervento pubblico, ha voluto rassicurare sull’operato delle agenzie italiane, sottolineando che i contratti con Paragon sono stati interrotti da tempo e che l’intelligence ha rispettato in pieno le disposizioni di legge. Una dichiarazione che conferma l’utilizzo passato dello spyware israeliano da parte dei servizi, ma che non risolve il nodo del terzo attacco, quello contro Cancellato, rimasto orfano di paternità. Le indagini proseguono per identificare gli autori dell’attacco informatico e chiarire le responsabilità dietro il tentativo di intrusione. I vertici dei servizi di intelligence, il direttore dell’Aise Giovanni Caravelli e il direttore dell’Aisi Bruno Valensise, sono stati ascoltati come testimoni, fornendo la massima collaborazione agli inquirenti. Un atteggiamento che, secondo le procure, testimonia la volontà di fare trasparenza su una vicenda che tocca temi sensibili come la libertà di stampa, il diritto alla privacy e i limiti costituzionali delle attività di intelligence.
La consulenza tecnica rappresenta un tassello fondamentale, ma non conclusivo, di un puzzle ancora incompleto. Gli esperti sono riusciti a individuare l’impronta digitale dello spyware, quel codice alfanumerico che costituisce la firma distintiva di Graphite, ma il cerchio degli autori deve ancora chiudersi. Il fatto che solo tre dispositivi su sette abbiano mostrato tracce di infezione suggerisce che le notifiche di Meta potrebbero aver lanciato l’allarme anche per tentativi di attacco non andati a buon fine o per falsi positivi, un aspetto che dovrà essere ulteriormente approfondito. La vicenda riaccende il dibattito sull’uso degli spyware da parte degli stati democratici e sui necessari bilanciamenti tra esigenze di sicurezza nazionale e tutela dei diritti fondamentali. L’Italia, come altri paesi occidentali, si trova a gestire la difficile equazione tra la necessità di dotare i propri servizi di intelligence di strumenti tecnologici all’avanguardia e l’obbligo di rispettare le garanzie costituzionali che proteggono i cittadini da sorveglianze arbitrarie.
