Caso Paragon: cos’è lo spyware Graphite e come ha colpito i cittadini italiani

La vicenda nota come caso Paragon trae origine da una serie di notifiche inviate dalla società meta (proprietaria di piattaforme come WhatsApp, Facebook e Instagram) ad alcuni utenti tra la fine del 2024 e l’inizio del 2025. Queste comunicazioni avvertivano i destinatari della possibile compromissione dei loro dispositivi cellulari da parte di uno spyware (un programma software progettato per infiltrarsi in un sistema senza il consenso dell’utente per raccogliere dati) estremamente sofisticato.

Le indagini tecniche hanno successivamente identificato questo software come Graphite, un prodotto della società israeliana Paragon Solutions Ltd. Le tracce dell’infezione sono state rinvenute su dispositivi Android appartenenti a diverse personalità del mondo dell’informazione e dell’attivismo sociale.

Tra le vittime accertate figurano Francesco Cancellato, direttore della testata fanpage.it, il giornalista Ciro Pellegrino, il fondatore di Dagospia Roberto D’Agostino e la giornalista olandese Eva Vlaardingerbroek. Accanto a loro, l’attacco ha preso di mira esponenti della ONG Mediterranea Saving Humans, tra cui Luca Casarini, Giuseppe Caccia e don Mattia Ferrari. Secondo le rilevazioni fornite da wWhatsApp, sono circa 90 le persone colpite in Europa, di cui almeno 7 in Italia.

Dal punto di vista tecnico, la consulenza depositata presso le procure ha evidenziato che la compromissione dei dispositivi risale alle prime ore del 14 dicembre 2024. Gli analisti hanno riscontrato anomalie specifiche nei database di WhatsApp, dove sono state individuate interazioni coerenti con il funzionamento di Graphite.

Questo strumento permette l’esfiltrazione (ovvero il trasferimento non autorizzato verso l’esterno) di messaggi, file, contatti e dati sensibili, trasformando lo smartphone in una “cimice digitale” capace di operare anche in modalità ambientale. Il fatto che tre attacchi siano avvenuti nella stessa notte suggerisce l’esecuzione di una medesima campagna di infezione coordinata. Analizziamo il caso Paragon alla luce degli sviluppi più recenti.

Quali sono le responsabilità dell’AISI e dei servizi segreti?

Il coinvolgimento delle istituzioni italiane è emerso a seguito della relazione del Comitato parlamentare per la sicurezza della repubblica (COPASIR) del 4 giugno 2025. Il documento ha confermato che l’Agenzia informazioni e sicurezza interna (AISI) aveva regolarmente acquistato e utilizzato lo spyware graphite. In particolare, l’agenzia ha ammesso di aver effettuato operazioni di esfiltrazione dati nei confronti di Luca Casarini e Giuseppe Caccia, sostenendo di aver agito previa autorizzazione nelle forme di legge per attività di sicurezza nazionale.

Detto ciò, è sorta una discrepanza fondamentale per quanto riguarda la posizione di Francesco Cancellato. Mentre l’infezione sul suo telefono è stata confermata dalla perizia tecnica indipendente, l’analisi dei server Graphite utilizzato dall’AISI non ha rilevato nessuna attività riferibile al giornalista.

Questo elemento suggerisce due possibili scenari:

1. l’attività di sorveglianza contro la stampa è stata condotta da un soggetto diverso dai servizi segreti italiani;
2. i dati relativi a tale operazione sono stati cancellati o gestiti tramite server non riconducibili direttamente all’agenzia nazionale.

Nell’ambito dell’inchiesta sono stati ascoltati come testimoni i vertici dell’intelligence (i servizi di informazione per la sicurezza), tra cui il direttore dell’Agenzia informazioni e sicurezza esterna (AISE), Giovanni Caravelli e il direttore dell’AISI, Bruno Valensise. Le autorità giudiziarie hanno inoltre effettuato un accesso agli atti presso l’AISI ai sensi dell’articolo 256-bis cpp, volto ad acquisire documenti riservati necessari per le indagini. Nonostante la collaborazione dichiarata, la società Paragon Solutions Ltd. non sta fornendo informazioni alle autorità italiane circa il contenuto dei propri server o la possibilità di recuperare dati eventualmente cancellati.

LEGGI ANCHE Assumere un investigatore privato è legale?

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza

Cosa rischia chi commette un accesso abusivo a sistema informatico?

L’impianto accusatorio costruito dalle procure di Roma e Napoli si fonda su diverse fattispecie previste dal codice penale in materia di reati informatici. La condotta principale contestata è quella descritta dall’articolo 615-ter cp, che punisce chiunque si introduca abusivamente in un sistema informatico protetto da misure di sicurezza.

La tabella seguente riassume le pene previste per i reati informatici legati all’uso di spyware.

L’accesso abusivo si considera perfezionato non appena l’agente supera le barriere digitali poste a protezione del sistema, indipendentemente dal fatto che riesca o meno a sottrarre dei dati. Nel caso Paragon, l’invio del malware Graphite e la sua successiva installazione silenziosa integrano pienamente la condotta criminosa. Se il reato è commesso da un operatore di sistema o da un soggetto che abusa della propria qualifica professionale, le sanzioni sono ulteriormente inasprite, con la reclusione che può arrivare fino a 5 anni.

Oltre al profilo penale, la vittima può avviare un’azione civile per ottenere il risarcimento del danno. La giurisprudenza riconosce solitamente somme comprese tra 1.000 euro e 15.000 euro per la semplice violazione della privacy, ma l’importo può salire significativamente (fino a 50.000 euro o oltre) se si dimostra che la sorveglianza ha danneggiato l’attività professionale o la reputazione del soggetto colpito.

Approfondisci leggendo Accesso abusivo a un sistema informatico: pena, esempio, prescrizione e procedibilità

Quali sono le sanzioni del Garante Privacy per l’uso dello spyware?

Il Garante per la protezione dei dati personali ha assunto una posizione di estremo rigore rispetto alla vicenda Paragon, definendo la sorveglianza operata tramite captatori informatici come una potenziale minaccia ai diritti fondamentali. Con il provvedimento del 13 febbraio 2025, l’autorità ha rivolto un avvertimento formale a tutti i soggetti, pubblici e privati, che utilizzano Graphite o software analoghi.

L’autorità ha chiarito che l’impiego di questi strumenti al di fuori dei limiti tassativi previsti dalla legge (principalmente per finalità di indagine penale sotto il controllo del giudice) costituisce una violazione del codice in materia di protezione dei dati personali.

Le conseguenze amministrative per i trasgressori sono particolarmente pesanti, e corrispondono a:

• sanzioni pecuniarie fino a 20.000.000 euro per le persone fisiche o gli enti non societari;
• multe fino al 4% del fatturato mondiale annuo per le imprese e le società coinvolte;
• misure correttive che possono includere il divieto immediato di trattamento dei dati e l’ordine di distruzione delle informazioni raccolte illegalmente.

L’autorità sta attualmente indagando su come i dati esfiltrati siano stati conservati e se siano stati trasmessi a terzi, riservandosi di individuare e sanzionare ogni anello della catena di comando che ha permesso l’abuso.

Ti potrebbe interessare Utilizzabilità nel processo ex art. 609 bis e 609 ter c.p. dei dati ricavati da dispositivi informatici

Quali sono i dati ufficiali sulle intercettazioni in Italia?

Il ricorso alle intercettazioni e all’uso di trojan (software che si nascondono all’interno di altri programmi per infettare il sistema) è un fenomeno in costante monitoraggio da parte del Ministero della giustizia. Nel 2023, i dati indicano una recrudescenza nell’uso delle tecnologie di captazione, nonostante una flessione registrata negli anni precedenti a causa della pandemia.

I numeri chiave forniti dal Ministero e dal rapporto clusit 2025 sono i seguenti:

• nel 2023 sono stati intercettati 83.433 bersagli (utenze o dispositivi), rispetto agli 82.206 del 2022;
• l’uso dei trojan o captatori informatici è salito a 4.321 casi annui;
• le intercettazioni telefoniche tradizionali sono state 59.361, mentre quelle ambientali sono state 14.294;
• il distretto giudiziario più attivo nell’uso dei trojan è quello di Palermo con 867 autorizzazioni, seguito da Roma (404) e Napoli (372).

A livello di cybersecurity (sicurezza informatica), l’Italia nel 2024 ha subito il 10% degli attacchi globali rilevati da fonti pubbliche, una cifra sproporzionata se confrontata con il peso economico e demografico del Paese. La criminalità informatica è responsabile dell’86% degli incidenti, con una crescita degli attacchi di tipo spionaggio e sabotaggio, che rappresentano l’8% del totale.

In questo contesto, il caso Paragon si inserisce come un episodio di spionaggio mirato, dove la tecnologia viene utilizzata non per scopi criminali comuni, ma per finalità politiche o di controllo sociale.

Come si orienta la Cassazione sulle intercettazioni con spyware?

La giurisprudenza della Corte di Cassazione ha affrontato il delicato tema della legittimità delle prove raccolte tramite captatori informatici, stabilendo limiti rigorosi per evitarne un uso indiscriminato. La pronuncia più significativa del 2024 è la sentenza n. 36764 del 3 ottobre 2024 delle Sezioni Unite penali, che ha fatto chiarezza sull’applicabilità dell’articolo 270 cpp riguardante l’uso dei risultati delle intercettazioni in procedimenti diversi.

I principi cardine espressi dalla suprema corte includono:

• il divieto di utilizzare i risultati di intercettazioni disposte in un altro procedimento, a meno che non risultino indispensabili per l’accertamento di delitti per i quali è obbligatorio l’arresto in flagranza;
• la disciplina introdotta dalla riforma del 2020 opera solo se il procedimento originario (quello in cui sono state effettuate le captazioni) è stato iscritto dopo il 31 agosto 2020;
• la messaggistica archiviata (le chat già lette e salvate sul telefono) deve essere considerata corrispondenza tutelata dall’articolo 15 della Costituzione e non può essere acquisita come un semplice documento, ma richiede un decreto di sequestro motivato ex art. 254 cpp.

Un’altra decisione importante è la sentenza n. 24968 del 2025, la quale ha stabilito che la mancata allegazione dei verbali di intercettazione alla richiesta del PM per l’interrogatorio preventivo non annulla l’ordinanza cautelare, purché alla difesa sia garantito l’ascolto diretto delle registrazioni nell’archivio informatico. Questo orientamento conferma la prevalenza della “sostanza” del diritto di difesa sulla forma della trascrizione cartacea.

Ti potrebbe interessare Misure cautelari personali: cosa sono e come si suddividono

Quali sono le implicazioni per la libertà di stampa?

Il caso Paragon solleva gravi preoccupazioni per la tenuta del segreto professionale dei giornalisti, un pilastro fondamentale dell’articolo 21 della costituzione. L’uso di uno spyware come Graphite permette infatti di accedere non solo alle comunicazioni in tempo reale, ma anche all’intero archivio di fonti, documenti e contatti riservati che un cronista custodisce sul proprio dispositivo.

L’ordinamento italiano prevede tutele specifiche per i giornalisti, rinforzate dalla recente riforma dell’articolo 103 cpp, che proibisce l’acquisizione delle comunicazioni tra il difensore e l’assistito, estendendo implicitamente garanzie analoghe al materiale coperto da segreto professionale. Nel caso di Francesco Cancellato e Ciro Pellegrino, l’infezione dei telefoni rappresenta un’interferenza diretta nell’attività di informazione.

Elisabetta Piccolotti, deputata dell’Alleanza Verdi e Sinistra, ha definito lo spionaggio ai danni dei giornalisti come un atto “incompatibile con la democrazia”, sollecitando il governo a chiarire chi abbia ordinato l’attacco informatico se, come dichiarato dall’AISI, i servizi segreti non sono coinvolti nella sorveglianza della stampa. La Federazione Nazionale della Stampa Italiana (FNSI) sta seguendo da vicino le indagini, sottolineando come tali pratiche possano generare un effetto dissuasivo sulle fonti, impedendo loro di collaborare con i media per timore di ritorsioni o sorveglianza.

Ti suggeriamo di leggere anche È legale registrare una telefonata col cellulare senza consenso?

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza