Paragon continua a non collaborare con la magistratura italiana che, da oltre un anno, prova a far luce sugli abusi legati al suo software spia Graphite. Le richieste formali sono partite verso le autorità di Tel Aviv mesi fa, eppure i pubblici ministeri aspettano ancora risposte che potrebbero offrire prove tecniche concrete sugli attacchi subiti dalle vittime. Pubblicamente la società israeliana, fondata nel 2019, ha più volte dichiarato di essere disposta a chiarire i presunti abusi che coinvolgono i suoi prodotti. Nei fatti, però, il silenzio resta. E il nodo va ben oltre la singola azienda: tocca il ruolo del governo israeliano nel proteggere le imprese che considera strategiche.
Spyware Graphite: come è esploso il caso in Italia
Tutto comincia all’inizio del 2025. A gennaio WhatsApp e il Citizen Lab dell’Università di Toronto annunciano di aver individuato Graphite sui telefoni di giornalisti e attivisti italiani. Si tratta di un programma malevolo sofisticatissimo, capace di installarsi su un dispositivo tramite un attacco zero click, cioè senza che la vittima debba fare nulla. Una volta dentro, può leggere le chat su WhatsApp, Signal e Telegram. Il governo italiano ha poi ammesso che i servizi segreti hanno usato lo spyware contro Beppe Caccia e Luca Casarini, cofondatori di Mediterranea Saving Humans, la ong che soccorre i migranti nel Mediterraneo. Ha invece sempre negato di aver preso di mira i giornalisti Francesco Cancellato e Ciro Pellegrino, rispettivamente direttore e cronista di Fanpage, avvisati da Meta e Apple, il 31 gennaio e il 29 aprile 2025, di essere stati bersaglio di un mercenary spyware come Graphite.
C’è un dettaglio che pesa: solo Paragon può davvero investigare su Paragon. Lo ha detto, sotto anonimato, un esperto di cybersicurezza. I pubblici ministeri italiani hanno avviato rogatorie internazionali, lo strumento con cui l’autorità di un Paese chiede a un altro di compiere atti per suo conto. La richiesta a Israele riguarda informazioni sul software, sui clienti e sull’attribuzione degli attacchi. Secondo due fonti qualificate, finora nessuna risposta utile è arrivata.
Lo scudo israeliano e gli effetti in Europa
«Queste aziende non vogliono rivelare informazioni sensibili sui loro software o sui clienti, ma non sono indipendenti», spiega Eitay Mack, avvocato per i diritti umani. Le società che producono spyware trattano tecnologia considerata strategica per la sicurezza di Israele, e operano sotto la supervisione del Ministero della Difesa, che concede le licenze di esportazione e l’ultima parola sulla collaborazione con autorità straniere. Risultato: con quell’approvazione le imprese potrebbero essere obbligate a cooperare con i giudici esteri, ma non è mai accaduto. Per Tel Aviv non sono responsabili di ciò che fanno i loro clienti.
Lo confermano le risposte a due richieste di accesso agli atti. Sul caso Paragon, il 9 aprile il ministero guidato da Israel Katz ha dichiarato di aver controllato cinque volte le attività di esportazione senza trovare irregolarità. Su NSO, la società dietro Pegasus, nove ispezioni e mai una sanzione per violazione delle licenze. Eppure Pegasus è al centro del più grande scandalo di abusi spyware in Europa. L’unica multa, nel 2019 e solo per attività di marketing, è stata di 355.950 shekel, circa 91.000 euro dell’epoca.
Lo scudo ha già lasciato il segno. A gennaio 2026 l’Alta Corte spagnola ha chiuso un’indagine sull’uso di Pegasus contro alcuni politici, citando la mancata cooperazione israeliana. Stessa storia in Polonia, dove l’eurodeputato Krzysztof Brejza, colpito durante una campagna elettorale, aspetta ancora di sapere chi sia stato il mandante.
Fondata dall’ex premier Ehud Barak e da Ehud Schneorson, già al comando dell’Unità 8200, Paragon è stata venduta nel 2024 alla statunitense Red Lattice per oltre mezzo miliardo di dollari. Si è sempre presentata come attore più responsabile, sostenendo di lavorare solo con «Paesi democratici». Ma Natalia Krapiva di Access Now taglia corto: «Gli scandali ripetuti, anche in Europa, dimostrano che non basta dire di vendere solo a democrazie». L’organizzazione ha inviato a Paragon una lettera aperta. La risposta, tramite intermediari: non parliamo con voi.
In Italia il banco di prova si stringe attorno a sette utenti avvisati da WhatsApp. Tra loro Cancellato, Caccia, Casarini, il consulente politico Francesco Nicodemo e, secondo IrpiMedia, l’imprenditore Francesco Caltagirone. Erano noti due contratti tra Paragon e le autorità italiane, AISI e AISE, per un totale di 2 milioni di euro. A febbraio 2026 le analisi tecniche ordinate dai pubblici ministeri hanno individuato «anomalie compatibili con l’attività di Graphite» nei database WhatsApp legati a tre telefoni Android. Sul caso Pellegrino, invece, nessuna prova conclusiva è emersa dal suo iPhone.
Ed è qui che il silenzio di Paragon pesa di più. Gli esperti coinvolti nelle analisi hanno spiegato di non poter individuare le tracce dello spyware perché privi di informazioni su come funziona e quali indicatori lascia. «I ricercatori del Citizen Lab sono tra i migliori al mondo, e sono stati chiari: il mio telefono è stato attaccato con Graphite», ha detto Pellegrino, lanciando un avvertimento: «Oggi questa tecnologia è in mano a pochi, ma col tempo diventerà più facile da sviluppare. Se non mettiamo limiti adesso, quali garanzie abbiamo che domani non finiscano nel mirino molte più persone?».
Le analisi tecniche segnalano anche un elemento inquietante: anomalie compatibili con una «manipolazione post compromissione», come se Graphite fosse progettato per cancellare le proprie tracce. Per l’avvocato Mack, lo stallo conviene a tutti gli attori del triangolo: «Hanno interesse a tirarla per le lunghe. Non il governo italiano, non quello israeliano, non l’azienda».