I tuoi messaggi WhatsApp sono già spiati: il caso Paragon che ha scosso l’Italia

16 Luglio 2025 Carlo Denza

Nel gennaio 2025, sette giornalisti italiani hanno scoperto che i loro telefoni erano diventati strumenti di sorveglianza senza che se ne accorgessero. Francesco Cancellato (direttore di Fanpage), Roberto D’Agostino (fondatore di Dagospia), Ciro Pellegrino e altri quattro colleghi sono stati spiati per mesi attraverso Graphite, un avanzato spyware probabilmente prodotto da un’azienda israeliana. Ogni chiamata, ogni messaggio WhatsApp, ogni email: tutto intercettato in tempo reale.

La scoperta è avvenuta grazie a un’analisi forense condotta dal Citizen Lab , che ha identificato le tracce dell’infezione sui dispositivi¹. Il caso ha scatenato un’inchiesta della Procura di Roma e sollevato interrogativi sulla sicurezza delle comunicazioni digitali in Italia.

Ma la domanda che inquieta tutti è: se è successo a loro, può succedere a chiunque?

Ogni giorno compiamo decine di gesti nei quali riponiamo la nostra fiducia. Ci fidiamo quando attraversiamo con il semaforo verde, quando ci rivolgiamo agli istituti di credito per custodire i nostri risparmi, quando aggiorniamo il nostro profilo su un social network o quando utilizziamo portafogli digitali per i nostri documenti. Questa fiducia è l’amalgama invisibile del nostro vivere comune. Ma questo patto, già largamente traslato nell’infosfera, ci permette di affidarci ciecamente a quel mondo digitale e caotico in perenne espansione? I nostri dati, la nostra identità, possono essere più esposti di quanto pensiamo?

Il caso, che venuto agli onori della cronaca, dimostra che la paura di essere spiati non è infondata, ma pura consapevolezza. La sicurezza informatica non è più un argomento per soli addetti ai lavori: riguarda tutti noi, ogni volta che tocchiamo lo schermo del nostro smartphone.

Unsplash senza nessuna royalty

L’anatomia di Graphite: come ti spiano senza che tu lo sappia

Secondo il report forense, Graphite è uno spyware di classe militare sviluppato da Paragon Solutions che può sfruttare vulnerabilità zero-day su piattaforme mobili moderne, inclusi iOS e WhatsApp. Il suo funzionamento utilizza exploit zero-click che non richiedono interazione dell’utente per compromettere i dispositivi target Attacco Zero-Click

Non bisogna cliccare nulla, non si ricevono notifiche sospette. Il telefono viene compromesso semplicemente ricevendo un messaggio apparentemente innocuo su WhatsApp. Può essere un’immagine, un video, persino un messaggio di testo normale.

Installazione Silenziosa

Una volta ricevuto il messaggio-vettore, questo tipo di software si installa automaticamente sfruttando una falla nel sistema operativo. Il processo avviene in background, senza richiedere permessi o autorizzazioni.

Capacità di Intercettazione

Una volta installato, il trojan può:

  • Registrare chiamate telefoniche
  • Intercettare messaggi WhatsApp, Telegram e Signal
  • Accedere alla fotocamera e al microfono
  • Leggere email e documenti
  • Tracciare la posizione GPS
  • Copiare contatti e cronologia di navigazione

Persistenza e Mascheramento

Questo spyware si nasconde nei processi di sistema, rendendosi invisibile agli antivirus tradizionali. Può sopravvivere anche ai riavvii del dispositivo e agli aggiornamenti software.

Segnali di allarme

Alcuni indicatori che potrebbero suggerire un’infezione:

  • Batteria che si scarica più velocemente del solito
  • Surriscaldamento anomalo del dispositivo
  • Connessioni di rete inaspettate
  • Rallentamenti improvvisi delle prestazioni
  • Notifiche che scompaiono subito dopo essere apparse

La scienza dietro l’informazione: perché i tuoi dati valgono oro

Per comprendere la posta in gioco, dobbiamo fare una distinzione fondamentale formalizzata da Claude Shannon nella sua teoria dell’informazione del 1948 e sviluppata nell’ambito computazionale da studiosi come John von Neumann: la differenza tra dato e informazione.

Un dato è un elemento grezzo che conserviamo in memoria. L’informazione è il risultato dell’elaborazione di più dati e possiede un valore strategico perché ci fornisce maggiore conoscenza della realtà.

Shannon legò il valore dell’informazione al concetto di entropia: maggiore è l’imprevedibilità di un messaggio, maggiore è la quantità di informazione che contiene.

Immaginate di essere nel deserto del Sahara. Il servizio meteo vi invia un messaggio: “domani pioverà”. Il contenuto è talmente improbabile da contenere un’informazione di enorme valore (alta entropia). Se invece dicesse “domani ci sarà il sole”, sarebbe talmente prevedibile da non contenere quasi nessuna informazione utile (bassa entropia).

Nel caso dei giornalisti spiati, gli attaccanti non cercavano singoli messaggi, ma schemi comportamentali: con chi parlano, quando, dove si trovano, quali fonti contattano. Correlavano migliaia di dati per estrarre informazioni strategiche.

Proteggere i nostri dati significa salvaguardare un patrimonio di valore inestimabile. Nell’era digitale, l’informazione è potere, e il potere richiede protezione.

I pilastri violati: quando la sicurezza crolla

La sicurezza informatica poggia su tre pilastri fondamentali, la cosiddetta triade CIA: Confidenzialità, Integrità, Disponibilità e, se i sospetti fossero confermati, Graphite avrebbe violato tutti e tre questi pilastri.

  • Confidenzialità violata: Leggono i tuoi messaggi privati, ascoltano le tue chiamate, accedono ai tuoi documenti personali.
  • Integrità compromessa: Potrebbero modificare quello che scrivi, alterare i tuoi file, manipolare le tue comunicazioni.
  • Disponibilità negata: Possono bloccare i tuoi dispositivi, cancellare i tuoi dati e rendere inaccessibili i tuoi servizi.

La sicurezza non è un prodotto preconfezionato, ma il risultato di un equilibrio dinamico. Come per un balcone -la cui sicurezza dipende sia dalla robustezza della ringhiera (la tecnologia) sia dal comportamento di chi lo usa (le persone)- un sistema informatico è un complesso interconnesso dove ogni parte contribuisce alla sicurezza del tutto.

Il tallone d’Achille digitale: vulnerabilità, minacce e attacchi

Quando un sistema è davvero sicuro? Quando si comporta nel modo previsto. Ma come Achille aveva il suo punto debole nel tallone, ogni sistema ha le sue vulnerabilità.

Una vulnerabilità è una debolezza potenziale: un software non aggiornato, una configurazione errata, una falla nel codice. Diventa pericolosa nel momento in cui una minaccia la sfrutta per lanciare un attacco.

L’analisi 2forense ha concluso che uno dei dispositivi è stato compromesso con lo spyware Graphite di Paragon. Nel quale, le vulnerabilità sfruttate sono state le falle zero-day in WhatsApp e iOS. L’attacco è stato l’infiltrazione sui telefoni dei giornalisti.

La catena degli eventi: come nascono le vulnerabilità

Le vulnerabilità emergono da catene precise di eventi che portano a un malfunzionamento. Esiste una terminologia precisa che descrive questa progressione.

  • Bug: L’errore umano, la svista del programmatore o del team di sviluppo nella scrittura del codice. Il difetto è presente nel codice sorgente, ma ancora dormiente.
  • Error: Il momento in cui il sistema, a causa del bug, esegue un’operazione scorretta, deviando dal comportamento previsto. Il difetto si è “risvegliato” durante l’esecuzione.
  • Fault: Lo stato anomalo in cui entra il sistema a seguito dell’errore. Il sistema è ora in una condizione di malfunzionamento, anche se non ancora visibile all’esterno.
  • Failure: La manifestazione esterna del difetto. L’utente finale sperimenta il malfunzionamento: il sistema non riesce a fornire il servizio richiesto.

Le Armi Digitali: Dalle Vulnerabilità agli Attacchi Mirati

Conoscere le tecniche di attacco è il primo passo per costruire una difesa consapevole. Ecco le più pericolose.

Zero-Day Exploit: La più temibile delle minacce, protagonista del caso Graphite. Sfrutta una vulnerabilità appena scoperta, per la quale non esiste ancora una correzione (patch). L’attaccante colpisce nel “giorno zero”, quando le difese sono impreparate.

Spyware Avanzati: Software di sorveglianza come Graphite e Pegasus. Si installano silenziosamente e monitorano ogni attività del dispositivo. Sono l’evoluzione militare dei tradizionali keylogger.

Ingegneria Sociale: L’arte di manipolare la psicologia umana. Il pioniere Kevin Mitnick ha dimostrato che l’anello più debole è quasi sempre l’essere umano. Nel caso Graphite, l’ingegneria sociale è stata minimale: bastava inviare un messaggio apparentemente innocuo.

Phishing e Malware: L’ingegneria sociale si manifesta spesso tramite il phishing, l’invio di email fraudolente. Queste possono veicolare malware come:

Spyware (che spia l’attività)

Adware (che mostra pubblicità)

Keylogger (che registra ogni tasto premuto)

SQL Injection: Questa tecnica sfrutta la fiducia di un’applicazione web negli input dell’utente per manipolare il database. Un aggressore può bypassare un login inserendo stringhe che ingannano il sistema, rendendo la condizione di accesso sempre vera.

Man-in-the-Middle: L’attaccante si interpone tra due interlocutori, intercettando e alterando le comunicazioni. Graphite implementa un MITM permanente sul dispositivo compromesso.

Denial of Service: Un attacco che mira a rendere un servizio inutilizzabile, sovraccaricandolo di richieste. Spesso utilizza IP Spoofing per mascherare l’identità dell’aggressore. Se l’attacco è sferrato da una rete di computer compromessi (botnet), si parla di DDoS.

Attacchi alla Catena di Fornitura: Compromettere fornitori di software o hardware per raggiungere i target finali. Paragon Solutions vendeva Graphite a governi e agenzie di intelligence, che lo avrebbero utilizzato per operazioni di sorveglianza.

Il futuro della fiducia digitale

Il caso Paragon-Graphite rappresenta un punto di svolta per la sicurezza informatica italiana. Quando sette giornalisti scoprono di essere stati spiati attraverso i loro telefoni, non si tratta solo di una violazione tecnica: è un tradimento della fiducia che riponiamo quotidianamente nei nostri dispositivi.

La risposta non può essere la paranoia, ma la consapevolezza. In un mondo dove la nostra identità è sempre più digitale, proteggere le informazioni non è solo una questione tecnica, ma un imperativo etico.

La sicurezza informatica è la sfida fondamentale per costruire un futuro digitale in cui sia ancora possibile, semplicemente, fidarsi. Il caso Graphite ci ha mostrato che questo futuro richiede vigilanza costante, aggiornamenti continui e, soprattutto, la consapevolezza che la sicurezza assoluta non esiste.

Ma possiamo rendere gli attacchi così costosi e complessi da scoraggiare la maggior parte degli aggressori. È una corsa agli armamenti digitali che non possiamo permetterci di perdere.

Fonti e bibliografia

  • ¹ Amnesty International Security Lab, “Italian journalist Ciro Pellegrino and another who has chosen to remain anonymous, as the latest targets of Paragon’s spyware in Europe”, 2025
  • 2 https://citizenlab.ca/2025/06/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted/Corso di telecomunicazioni Bertazioli O. vol 3