spyware Graphite Luca Cadonici cybercrime conference 2026

Cyber-spionaggio mirato e messaggistica istantanea: spyware Graphite tra tecnica, diritto ed etica

Sintesi dell’intervento di Luca Cadonici (Digital Forensics Expert, Cyber Security & Mobile Forensics Lecturer) alla 14ª Cyber Crime Conference, Auditorium della Tecnica, Roma, 7 maggio 2026.

A chiudere i lavori della seconda giornata della 14ª Cyber Crime Conference, Luca Cadonici, co-fondatore di Secure Path LTD, docente di Cyber Security all’Università degli Studi di Perugia e all’European Forensic Institute di Malta, membro ONIF e contributor de L’Europeista, ha proposto una ricostruzione integrale del caso Graphite. Una vicenda che, nelle sue parole, ha tutti i tratti di una spy story: non solo per la sofisticazione tecnica dello spyware impiegato, ma anche per le domande, in larga parte ancora aperte, sul perimetro normativo ed etico entro cui si è mossa l’attività di sorveglianza.

Spyware Graphite, l’innesco mediatico: 31 gennaio 2025

La cronologia del caso si apre nel primo pomeriggio del 31 gennaio 2025, quando alle 14:55 e alle 15:21 Reuters rilancia, citando un funzionario di Meta, che circa 90 utenti WhatsApp in oltre venti Paesi, fra cui giornalisti e membri della società civile, sono stati bersaglio di uno spyware prodotto dalla società israeliana Paragon Solutions, specializzata in software di sorveglianza di tipo governativo. WhatsApp dichiara di aver neutralizzato la campagna e di aver indirizzato i bersagli al Citizen Lab dell’Università di Toronto. Meta non rivela né l’identità dei target né la metodologia che le ha consentito di attribuire l’attacco a Paragon.

Le caratteristiche dell’attacco emergono fin da subito: gli utenti venivano inseriti in chat di gruppo WhatsApp, all’interno delle quali veniva inviato un PDF malevolo capace di innescare un exploit zero-click, ossia senza alcuna interazione della vittima. Alle 17:11 The Guardian conferma che i target sono stati allertati direttamente da Meta. Alle 20:52, Fanpage.it pubblica la notizia che il proprio direttore, Francesco Cancellato, ha ricevuto la notifica di sicurezza.

Le vittime italiane

Nei giorni successivi la lista dei bersagli italiani prende forma. Oltre a Cancellato, vengono indicati pubblicamente Luca Casarini, Giuseppe Caccia e don Mattia Ferrari, tutti riconducibili alla ONG Mediterranea Saving Humans, attiva nel soccorso ai migranti, e David Yambio, rifugiato sud-sudanese in Italia, presidente dell’associazione Refugees in Libya. L’11 febbraio Yambio rende noto di aver ricevuto già il 13 novembre 2024 una notifica analoga da parte di Apple, che lo informava di un “mercenary spyware attack” indirizzato all’iPhone associato al suo Apple ID, “probabilmente per ciò che sei o per ciò che fai”.

La rescissione del contratto

Il 6 febbraio 2025 The Guardian riporta che Paragon ha chiuso il contratto con l’Italia. Il fatto stesso che un contratto esistesse è la prima informazione realmente rilevante: significa che Graphite era in uso a un’autorità italiana. Paragon, infatti, sostiene di vendere soltanto a entità governative (forze dell’ordine, procure, agenzie di intelligence) e di applicare clausole contrattuali che vietano il targeting di giornalisti e attivisti per i diritti umani. La rescissione viene motivata proprio con la violazione di tali clausole.

L’indagine del COPASIR

Il Comitato parlamentare per la sicurezza della Repubblica, presieduto da Lorenzo Guerini, conduce fra il 4 gennaio e il 4 giugno 2025 otto audizioni e dieci sessioni interne, oltre a quattro sopralluoghi presso DIS, AISI, AISE e Procura Generale presso la Corte di Appello di Roma. L’obiettivo è stabilire chi, in Italia, utilizzasse Graphite.

Vengono escluse rapidamente il Dipartimento dell’Amministrazione Penitenziaria, la Procura Nazionale Antimafia e Antiterrorismo, i Carabinieri, la Guardia di Finanza e la Polizia di Stato. Paragon stessa conferma di aver avuto rapporti contrattuali solo con le agenzie di intelligence.

AISE ha firmato il contratto il 13 dicembre 2023 e attivato il sistema il 23 gennaio 2024 sulla piattaforma iOS, e l’8 febbraio 2024 su Android. L’uso dello spyware è stato dichiarato in relazione a contrasto all’immigrazione illegale, fugitive tracking, contrabbando di carburante, controspionaggio, antiterrorismo, criminalità organizzata e sicurezza interna, sempre con autorizzazione del Procuratore Generale presso la Corte di Appello di Roma, su numeri estremamente limitati di utenti.

AISI ha utilizzato Graphite dal 2023, con contratto in scadenza il 7 novembre 2025. Nel suo caso il COPASIR documenta due tipologie di attività: l’intercettazione dinamica di comunicazioni in tempo reale (autorizzata dal Procuratore Generale presso la Corte di Appello di Roma) e l’esfiltrazione di chat già memorizzate sui dispositivi target, condotta ai sensi dell’art. 18, comma 2, della Legge 124/2007, che consente al personale dei Servizi di compiere atti altrimenti costituenti reato previa autorizzazione del Presidente del Consiglio o dell’autorità delegata, tipicamente il Sottosegretario all’intelligence.

La policy del fornitore e i suoi limiti

Paragon Solutions, ha ricordato Cadonici, fornisce i propri servizi solo a entità statali che garantiscano tutela dei diritti umani e libertà civili. Il contratto vieta espressamente il targeting basato su religione, sesso, etnia, orientamento sessuale, e proibisce di colpire giornalisti e attivisti dei diritti umani, esattamente il profilo di alcune delle vittime accertate.

Esiste poi un dettaglio particolarmente significativo: la licence di Graphite esclude da possibili bersagli i numeri telefonici di alcuni Paesi, ma non quelli italiani. In altre parole, Paragon può legittimamente, secondo i propri termini contrattuali, vendere o noleggiare il software ad agenzie di intelligence estere che colpiscano utenze italiane. L’Italia è cliente e, contemporaneamente, possibile bersaglio.

La licenza italiana, secondo quanto verificato dal COPASIR, presenta inoltre alcune restrizioni operative significative: non consente l’attivazione remota di microfono e fotocamera, la sorveglianza ambientale in tempo reale, né l’accesso alla galleria fotografica. Sono invece consentite l’intercettazione di comunicazioni in transito su piattaforme di messaggistica cifrata, ai sensi del D.L. 144/2005, e l’estrazione di chat residenti in memoria, ai sensi dell’art. 18 della L. 124/2007.

Il meccanismo di infezione e la dashboard

Il vettore di infezione è stato identificato come la vulnerabilità CVE-2025-27363, che non risiedeva nei server WhatsApp ma veniva innescata dall’anteprima del PDF malevolo inviato in chat di gruppo. La falla è stata individuata l’11 dicembre 2024 e completamente patchata il 17 dicembre 2024, neutralizzando ogni ulteriore sfruttamento da parte di Paragon o dei suoi clienti.

Graphite opera in background, esfiltra dati verso un server di Command and Control (C2) posizionato presso il cliente, richiede autenticazione dell’operatore per ogni azione e registra ogni operazione su un database (cancellabile dal cliente, contenente i dati esfiltrati) e su un audit log (non cancellabile dal cliente, accessibile a Paragon a fini di accountability).

Curiosa la circostanza, riportata da Cadonici, che il volto stesso della segretissima dashboard di Graphite sia stato svelato per errore: nel febbraio 2026 il General Counsel di Paragon Solutions ha caricato, e poco dopo rimosso, su LinkedIn uno screenshot del pannello di controllo. L’immagine, ha osservato Cadonici, mostra un’interfaccia non dissimile da quella dei comuni software di mobile forensics, con l’identificazione del numero target, un singolo comando Intercept, indicatori di stato in tempo reale e accesso a inventario applicazioni, account e log di messaggistica con conversazioni leggibili.

Le conclusioni del COPASIR e l’indagine delle procure

La relazione del COPASIR, approvata il 4 giugno 2025, accerta che l’uso di Graphite da parte dell’AISI ha riguardato Luca Casarini e Giuseppe Caccia, monitorati dal 2019 in due distinte operazioni, con Graphite impiegato a partire dal settembre 2024 nella seconda operazione, finalizzata, ufficialmente, alla prevenzione di attività di favoreggiamento dell’immigrazione clandestina e non al monitoraggio dell’attivismo per i diritti umani. Per Cancellato, don Ferrari e Yambio, il Comitato non ha rinvenuto alcuna attività intercettiva tramite Graphite da parte dei Servizi italiani. Yambio risulta oggetto di una intercettazione tradizionale (non spyware) su un’utenza intestata a don Ferrari ma da lui effettivamente utilizzata.

Sul caso Cancellato, i parlamentari hanno accesso diretto al database e all’audit log di Paragon presso le agenzie, hanno inserito il numero del giornalista nel sistema e non hanno trovato evidenze di intercettazione, né richieste o decreti di autorizzazione presso DIS o Procura Generale di Roma.

A marzo 2026, una consulenza tecnica disposta dalle procure di Roma e Napoli, coordinate dalla Procura Nazionale Antimafia e Antiterrorismo, e affidata a specialisti della Polizia Postale e a un collegio di docenti universitari, ha rilevato tracce di compromissione compatibili con Graphite nei database WhatsApp dei dispositivi Android di Cancellato, Caccia e Casarini. Tutti e tre gli attacchi sono datati alle prime ore del 14 dicembre 2024, in una sequenza ravvicinata che suggerisce una campagna coordinata. L’ispezione sul server Graphite in uso all’AISI ha confermato le operazioni nei confronti di Caccia e Casarini, ma non ha rilevato tracce riferibili a Cancellato. Allo stato, dunque, l’identità di chi ha attaccato il direttore di Fanpage resta ignota.

Il caso Pellegrino e il cluster Fanpage

Il quadro si complica ulteriormente con il caso di Ciro Pellegrino, giornalista di Fanpage e stretto collaboratore di Cancellato. Il 29 aprile 2025 un gruppo selezionato di utenti iOS ha ricevuto una notifica di Apple relativa a un attacco spyware avanzato. Il Citizen Lab, in un report di giugno 2025, ha confermato con alta confidenza il targeting di Pellegrino e di un secondo giornalista europeo (anonimo) tramite Graphite, sfruttando un exploit zero-click via iMessage corrispondente alla vulnerabilità CVE-2025-43200, poi corretta in iOS 18.3.1.

Entrambi i casi sono stati ricondotti alla medesima infrastruttura operativa e allo stesso account iMessage attaccante, denominato ATTACKER1, oltre che a un fingerprint P1 costituito da un pattern anomalo di certificati TLS self-signed attribuito con alta confidenza a Graphite dal Citizen Lab nelle indagini di marzo 2025. È quindi il secondo giornalista di Fanpage colpito da Graphite: un cluster che, secondo gli elementi emersi, configura una campagna mirata contro la redazione del giornale.

Un caso reale di advanced spyware activity

Cadonici ha quindi presentato un caso reale analizzato dalla sua azienda, Secure Path LTD, tramite la soluzione di rilevazione Smartscan, condotto su un Samsung Galaxy S25 Ultra con Android 16. L’analisi, basata su un PCAP di circa 597 MB e su una finestra sospetta di circa 10 minuti, ha portato a ipotizzare attività di spyware di livello alto.

L’attacco è multicanale e Living off the Land: per il canale di Command and Control sfrutta connessioni verso c.whatsapp.net sull’indirizzo 157.240.231.61:80 , con metodi HTTP POST /chat e user-agent WAChat/1.2 , senza SNI, veicolando payload cifrati o offuscati su porta 80, ovvero su un canale normalmente in chiaro. in chiaro che agli occhi di un detection di rete appare come comunicazione legittima verso l’infrastruttura Meta.

L’esfiltrazione, invece, non viene veicolata verso il C2: i dati vengono caricati su servizi Google legittimi ( backup.googleapis.com per circa 17,5 MB, people-pa.googleapis.com per circa 786 KB), per essere poi recuperati dall’attaccante via token. Una architettura a due canali (C2 su Meta, esfiltrazione su Google) che ottiene un’evasione molto efficace appoggiandosi a trusted services il cui traffico è, per definizione, indistinguibile dal normale uso del dispositivo.

Mitigazione del rischio

Il mercato mobile è essenzialmente Apple e Android: conoscere le rispettive contromisure è quindi cruciale. Su iOS, il Lockdown Mode (da iOS 16) blocca la maggior parte degli allegati non immagine, disabilita le anteprime dei link e la compilazione JIT del browser, blocca inviti FaceTime da contatti sconosciuti e impedisce l’installazione di profili di configurazione o l’enrollment MDM. Su Android, dalla versione 16, il Google Advanced Protection introduce un toggle di hardening a livello di OS: Chrome in modalità HTTPS-only con disattivazione degli ottimizzatori JavaScript più rischiosi, Messages safeguards contro phishing e scam, Play Protect non disattivabile, blocco del sideload da fonti sconosciute e attivazione della Memory Tagging Extension sui chip compatibili.

Cadonici ha citato tre casi storici neutralizzabili oggi proprio da questi accorgimenti: i watering hole contro iOS del 2019 (campagne Poison Carp e EvilBamboo contro la diaspora tibetana e uigura), bloccati dalla disattivazione del JIT in Lockdown Mode; il FORCEDENTRY di Pegasus del 2021, exploit iMessage zero-click via PDF/JBIG2, neutralizzato dal blocco di allegati non-immagine e anteprime; e la campagna FluBot del 2021 su Android, che oggi sarebbe contenuta dal blocking del sideload da APK non firmate e dai warning sui link sospetti.

Il nodo giuridico: corrispondenza in transito e corrispondenza memorizzata

Cadonici ha quindi evidenziato quella che il COPASIR stesso definisce una contraddizione dell’attuale quadro normativo italiano. Le intercettazioni preventive condotte dai Servizi per finalità di sicurezza nazionale (D.L. 144/2005, convertito nella L. 155/2005) e quelle giudiziarie nei procedimenti penali (artt. 266-268 c.p.p.) richiedono autorizzazione giudiziaria, rispettivamente del Procuratore Generale presso la Corte di Appello di Roma e del GIP su richiesta del PM, in attuazione dell’art. 15 della Costituzione, che tutela la libertà e la segretezza della corrispondenza.

L’esfiltrazione tramite spyware di dati memorizzati sul dispositivo, invece, ricade oggi sotto l’art. 18, comma 2, della L. 124/2007 e richiede solo l’autorizzazione dell’esecutivo, ovvero del Presidente del Consiglio o dell’autorità delegata, senza alcun controllo giurisdizionale. Una asimmetria non da poco: significa che, a parità di contenuto, due messaggi attraversati dallo stesso interesse investigativo possono ricevere garanzie costituzionali del tutto diverse a seconda del momento in cui vengono acquisiti.

La sentenza n. 170/2023 della Corte costituzionale ha però già chiarito che anche i messaggi memorizzati su dispositivi mobili e di interesse attuale per il titolare costituiscono “corrispondenza”, ricadendo quindi sotto le garanzie dell’art. 15. È su questo terreno, ha sottolineato Cadonici riprendendo il COPASIR, che si misura la necessità di un intervento del legislatore: per evitare che l’esfiltrazione di dati possa avvenire al di fuori dell’ordinario perimetro di garanzia giurisdizionale.

Spyware fra diritto ed etica

In chiusura, Cadonici ha richiamato il piano etico. Graphite, ha ricordato, si è mosso in un contesto formalmente legale: intercettazioni preventive autorizzate, attività intrusive autorizzate. Eppure la stessa operazione può finire per coinvolgere attivisti per i diritti umani, ONG attive nel soccorso in mare o in contesti migratori, giornalisti che indagano sull’operato del Governo. Si pongono allora questioni di proporzionalità, purpose limitation e rischio di function creep: il confine tra sospetto e attivista, tra sicurezza e dissenso, è molto sottile e tende a spostarsi nel tempo.

Cadonici ha citato anche scenari internazionali, come quello dei giornalisti indiani critici dell’esecutivo sorvegliati con software analoghi: anche democrazie consolidate possono trovarsi a fare un uso problematico di questi strumenti. Da qui l’invito a portare la discussione sullo spyware di livello statale al centro del dibattito pubblico, definendone limiti legali più chiari, sottoponendolo a un controllo democratico costante e creando le condizioni perché una misura legalmente autorizzata non diventi, di fatto, eticamente inaccettabile.

Guarda il video completo dell’intervento di Luca Cadonici (Digital Forensics Expert, Cyber Security & Mobile Forensics Lecturer) alla Cyber Crime Conference 2026:

 

Condividi sui Social Network:

Ultimi Articoli