Paragon è oggi una delle principali aziende israeliane nel settore della cyber intelligence. Fondata da sviluppatori con esperienze pregresse in progetti di sorveglianza digitale, tra cui NSO Group — nota per lo spyware Pegasus — Paragon opera sotto l’ombrello regolatorio del Ministero della Difesa israeliano. I suoi prodotti, classificati come tecnologie militari, possono essere venduti all’estero solo previo rilascio di un’apposita licenza. Tuttavia, il controllo esercitato da Tel Aviv si arresta alla fase autorizzativa: una volta concesse le licenze, non esiste alcun sistema di monitoraggio sull’uso effettivo delle tecnologie da parte dei governi clienti. Questo vuoto normativo ha consentito nel tempo l’impiego illecito di strumenti altamente invasivi, al di fuori dei contesti dichiarati e delle garanzie formali. Graphite è il prodotto di punta di Paragon: una piattaforma di sorveglianza avanzata progettata per compromettere dispositivi mobili, con particolare efficacia contro iPhone. Il software sfrutta vulnerabilità di tipo zero-click, che non richiedono alcuna azione da parte dell’utente (come, ad esempio, cliccare su un link). Basta un messaggio invisibile via iMessage per ottenere il pieno controllo del dispositivo.
Una volta infettato, lo smartphone si trasforma in un dispositivo di spionaggio remoto: Graphite consente l’attivazione di microfono e fotocamera, l’intercettazione ambientale, l’estrazione di e-mail, messaggi, file, cronologie di navigazione, credenziali e documenti. Le infezioni, progettate per essere temporanee, si cancellano automaticamente dopo giorni o settimane, rendendo quasi impossibile la rilevazione. Nel 2023, un rapporto di Citizen Lab ha documentato l’utilizzo di Graphite in almeno dieci Paesi, tra cui membri dell’Unione Europea. Ungheria e Grecia risultavano tra gli acquirenti sospetti, accusati di impiegare il software contro giornalisti, oppositori politici e attivisti civili. Le conferme non hanno tardato ad arrivare: nel biennio successivo, inchieste indipendenti di Haaretz, Der Spiegel e Le Monde hanno dimostrato come Graphite sia stato impiegato sistematicamente al di fuori di indagini giudiziarie, in violazione delle norme internazionali sui diritti umani. Amnesty International e Privacy International hanno denunciato l’assenza di trasparenza nei meccanismi di esportazione e la mancanza totale di tracciabilità operativa. Il caso italiano rappresenta una delle situazioni più gravi e opache. Secondo inchieste pubblicate da Haaretz e l’Inkiesta tra il 2023 e il 2025, Graphite sarebbe stato utilizzato da un ente governativo italiano per operazioni di sorveglianza interna illegittima. Tra gli obiettivi figura Roberto D’Agostino, fondatore di Dagospia, il cui telefono sarebbe stato infettato da uno spyware zero-click attribuibile a Graphite. Non emergono motivazioni di sicurezza nazionale: tutto lascia intendere un uso politico del software, volto al controllo dell’informazione.
In risposta a questi abusi, e all’inerzia delle autorità italiane, Paragon ha interrotto unilateralmente il contratto con il cliente, etichettandolo come “sospetto” o “problematico”. La rottura ha provocato una crisi diplomatica e acceso il dibattito politico interno, tra interrogazioni parlamentari e appelli della società civile per fare luce sull’accaduto. A oggi, però, nessuna istituzione ha fornito spiegazioni. Il governo non ha smentito né confermato. La magistratura tace. Non risultano documenti desecretati, né tracce di gare d’appalto, né richieste di autorizzazione formale. La responsabilità ricade quindi, per inerzia e omissione, sugli organi competenti: il Ministero dell’Interno, il Dipartimento delle informazioni per la sicurezza (DIS) e l’autorità giudiziaria. L’Italia si ritrova così priva di un sistema di controllo democratico efficace sull’uso delle tecnologie di sorveglianza digitale. Il nostro ordinamento prevede limiti stringenti, sanciti dalla Corte Costituzionale e dalla Corte europea dei diritti dell’uomo. Ma senza trasparenza, nessun limite può essere garantito. Graphite è il simbolo di questa zona grigia: un’area in cui strumenti di sorveglianza estrema vengono giustificati in nome della sicurezza, ma utilizzati senza controllo, senza responsabilità, e al di fuori di qualsiasi forma di verifica pubblica. Una minaccia non solo alla privacy, ma all’intero equilibrio tra potere e diritti in uno stato di diritto.
