Il primo report sul caso Paragon: così sono stati attaccati gli smartphone di giornalisti e attivisti

Il documento è lungo giusto 25 pagine. È scritto in modo sintetico, spesso per punti ma paragrafo dopo paragrafo analizza tutti i passaggi che hanno scandito il caso Paragon, la storia del software con cui qualcuno in Italia ha spiato per mesi diversi telefoni di attivisti e giornalisti. Tra questi Francesco Cancellato, direttore di Fanpage.it. Il report è stato scritto da Citizen Lab, il gruppo di ricerca dell’Università di Toronto che ha scoperto cosa stava succedendo. Qui potete leggere la versione completa del rapporto.

Prima di riportare i risultati dell’analisi di Citizen Lab ricordiamo solo il contesto da cui partiamo. Nel report possiamo leggere una definizione molto efficace di cos’è Graphite, il software che dalle analisi sembra sia stato usato per lo spionaggio. Graphite viene paragonato a una “arma ipersonica ma nel mondo della sicurezza”. Uno strumento da milioni di dollari, così avanzato che è stato in grado di agire sulla più importante app di messaggi usata nel mondo.

Paragon, l’azienda che lo distribuisce, non è nata in un garage. È un’azienda israeliana, fondata nel 2019 da Ehud Barak, ex Prime Minister di Israele e da Ehud Schneorson, ex comandate della Unit 8200, un gruppo di intelligence dell’esercito israeliano. Graphite è un’arma sofisticata che dovrebbe essere usata solo da agenzie di Paesi democratici e solo per crimini gravi. Criteri che non sembrano essere stati rispettati in questo caso, visto che ora Paragon ha sospeso il contratto con l’Italia.

Come è stato scoperto il software di Paragon

Con ordine. Il caso Paragon si è aperto il 31 gennaio del 2024, quando Meta ha avvisato con un messaggio su WhatsApp gli account coinvolti. Il testo arrivava da WhatsApp Supprto e iniziava scrivendo: “A dicembre WhatsApp ha interrotto le attività di una società di spyware che riteniamo abbia attaccato il tuo dispositivo”. Ma da quando è partito lo spionaggio? In alcuni casi da febbraio 2024, come hanno mostrato le analisi sullo smartphone di Luca Casarini, fondatore di Mediterranea Saving Humans.

Ma come ha fatto Meta a scoprire dell’esistenza di questo spyware? Nel report di Citizen Lab abbiamo un primo chiarimento su questo. Tutto è partito dai ricercatori di Citizen Lab che partendo delle informazioni di un collaboratore sono riusciti a mappare una rete di server che hanno poi ricondotto a Paragon Solutions e al software Graphite.

Il primo caso: la polizia dell’Ontario

L’inizio del caso Paragon però non è stato in Italia. Prima di arrivare al gruppo di account italiani spiati Citizen Lab ha individuato una serie di prove sull’uso di Paragon da parte della polizia dell’Ontario, in Canada. È con questo prove che hanno avviato una prima collaborazione con Meta.

Come ormai sappiamo infatti, Graphite si innesta sul telefono proprio a partire da un semplice pdf inviato su WhatsApp. Non serve nemmeno aprirlo, basta riceverlo. Una volta che Citizen Lab ha inviato il suo rapporto a Meta sono cominciate le indagini.

A dicembre 2024 ha bloccato le attività di Graphite e a fine gennaio 2025 ha iniziato a inviare messaggi agli account spiati. Parliamo di 90 contatti tra cui troviamo anche quello che poi è stato ribattezzato “gruppo italiano”.

Come nasce l’infezione di Graphite

Il report di Citizen Lab puntualizza anche un’altra cosa. Come viene spiegato nel capitolo sulle indagini condotte da WhatsApp, l’app di messaggistica gestita da Meta non è mai stato l’unico bersaglio dell’attacco. Il processo con cui sono stati infettati gli smartphone è chiaro:

• La vittima viene aggiunta a un gruppo WhatsApp
• Nel gruppo chi porta avanti l’attacco invia un pdf
• Una volta ricevuto il pdf lo smartphone delle vittima lo analizza in automatico
• In questo momento si apre il caricamento di Graphite
• Graphite si propaga anche nelle altre app del telefono.

Si possono vedere i registri di Paragon?

Non è chiaro come proseguirà ora il caso Paragon. Il governo guidato da Giorgia Meloni ha messo il segreto di Stato sulla questione e in questo modo potrà evitare di rispondere a due interrogazioni parlamentari dell’opposizione. Intanto però quattro procure in quattro città diverse hanno aperto un’inchiesta sulla vicenda e il caso è arrivato anche al Parlamento Europeo.

Alla fine del report di Citizen Lab viene però citato un dato. Citando fonti stampa, i ricercatori dicono che Paragon avrebbe mantenuto negli anni dei registri dettagliati delle attività dei governi. Secondo i ricercatori di Citizen Lab questi registri potrebbe essere aperti da chi sta lavorando sul caso per capire meglio “lo scopo e le dimensioni del suo utilizzo in Italia”.