"I 90 casi noti sono solo una frazione del totale degli 'spiati' da Paragon": il rapporto di Citizen Lab

03/19/2025 11:01 AM

Il caso era esploso a febbraio, quando la stessa Whatsapp aveva comunicato agli utenti risultati “infetti” la notizia che i loro dispositivi erano stati infiltrati dallo spyware Graphite, della società israeliana ParagonSolutions, fondata nel 2019 in Israele dall'ex premier Ehud Barak ed Ehud Schneorson, l'ex comandante dell'Unità 8200, gruppo d'elite delle forze armate israeliane attivo nella guerra cibernetica che, secondo alcuni analisti avrebbe condotto l'operazione che ha fatto esplodere lo scorso anno i cercapersone di esponenti di Hezbollah. Ora è arrivato il rapporto di Citizen Lab, team dell'Università di Toronto che ha svolto analisi forensi sui telefoni del direttore di Fanpage, Francesco Cancellato, del fondatore di Mediterranea Luca Casarini e dell'armatore Beppe Caccia, rilevando infezioni con il virus di Paragon.

“I circa 90 obiettivi notificati da WhatsApp rappresentano probabilmente una frazione del numero totale di casi Paragon. Tuttavia, nei casi già esaminati, c’è un modello preoccupante e familiare di prendere di mira gruppi per i diritti umani, critici del governo e giornalisti”, si legge nel rapporto di Citizen Lab, a cui si sono rivolti gli “spiati” su consiglio di Meta (proprietaria di Whatsapp che ieri è stata sentita dal Copasir) e che ha bonificato e analizzato a fondo i telefonini compromessi dal malware. L'intelligence italiana si avvaleva dello spyware e quando si è saputo che tra le vittime italiane del virus installato tramite Whatsapp c'erano attivisti di Mediterranea Saving Humans e Cancellato, l'uso di Graphite è stato sospeso. I responsabili dei servizi hanno assicurato che l'utilizzo del programma è avvenuto entro i confini previsti dalla legge. Il presidente esecutivo di Paragon Solutions, John Fleming, si è espresso sul rapporto di Citizen Lab che, ha dichiarato, “include diverse inesattezze, ma senza ulteriori dettagli non possiamo essere più specifici o fornire commenti per la cronaca. Vorremmo anche sottolineare che, come parte del nostro impegno nei confronti dei nostri clienti e delle loro missioni di sicurezza nazionale – prosegue Fleming -, ci impegniamo a mantenere la riservatezza delle loro operazioni, assicurandoci al contempo che siano agenzie adeguatamente controllate. Inoltre, le restrizioni legali relative alla sicurezza nazionale e alle relazioni estere potrebbero limitare la nostra capacità di commentare”.

“Abbiamo condiviso la nostra analisi dell'infrastruttura di Paragon – informa The Citizen lab – con Meta, che ci ha detto che i dettagli sono stati fondamentali per la loro indagine in corso su Paragon. WhatsApp ha scoperto e mitigato uno sfruttamento zero-click” del software “ed in seguito ha avvisato oltre 90 individui che riteneva fossero stati presi di mira, tra cui membri della società civile in Italia”. Una sezione del rapporto, chiamata ‘The italian connection‘, dà conto dei risultati dell'analisi forense svolta sui cellulari di Cancellato, Casarini – definito “amico personale di di Papa Francesco” – e Caccia. “Nel corso della nostra investigazione su Paragon – spiega il Lab – abbiamo ottenuto Bigpretzel, un artefatto forense Android che riteniamo identifichi in modo univoco le infezioni con lo spyware Graphite di Paragon. Abbiamo analizzato i dispositivi dei tre. In base alla notifica ricevuta da WhatsApp, riteniamo che tutti siano stati presi di mira dallo spyware Paragon“. Il telefonino di Caccia ha mostrato tracce di Bigpretzel in diverse occasioni tra il 22 dicembre 2024 ed il 31 gennaio 2025, mentre quello di Casarini in almeno una data, il 23 dicembre scorso. Ma l’attività di spionaggio potrebbe anche essere retrodatata.

Un'ulteriore possibile vittima dello spionaggio è David Yambio, attivista legato a Casarini e Caccia e fondatore dell'associazione Refugees in Libya, che ha ricevuto una notifica da Apple per informarlo che il suo cellulare era stato preso di mira da uno spyware. “Mentre la nostra indagine era in corso – si legge nel rapporto – anche diversi stretti collaboratori di Yambio, tra cui Casarini e Caccia, hanno ricevuto notifiche da WhatsApp riguardanti gli attacchi Paragon ai loro dispositivi Android”. Lo spyware utilizzato potrebbe essere attribuito a Paragon, ma l'accertamento sta tuttora proseguendo. Intanto, il 24 febbraio, Casarini e don Mattia Ferrari, cappellano di bordo di Mediterranea, hanno ricevuto una notifica da Meta sul possibile hackeraggio dei loro account Facebook. “Anche se lo spyware mercenario è stato acquisito per uno scopo primario, come l'indagine su gruppi criminali organizzati – evidenzia il report – l'esperienza dimostra che, nel tempo, la tentazione di utilizzare queste potenti tecnologie per scopi politici è forte”.

“Adesso disponiamo del riconoscimento legale dello spionaggio ai nostri danni”, ha dichiarato Casarini dopo la divulgazione del rapporto. “Il report del team di Toronto – prosegue – è servito a fornire le prove legali e non solamente supposizioni della presenza di Graphite dentro i nostri telefoni. Siamo riusciti ad impedire che ci fosse un oblio. Tramite il nostro team legale – prosegue – consegneremo questo report alle procureinteressate (Palermo, Venezia, Bologna, Roma e Napoli). Il prossimo passaggio, citato nel report, sarà il riconoscimento degli indirizzi Ip di origine dell'operazione di spionaggio“, conclude Casarini.

L'articolo “I 90 casi noti sono solo una frazione del totale degli ‘spiati’ da Paragon”: il rapporto di Citizen Lab proviene da Il Fatto Quotidiano.