Argomenti correlati
SorveglianzaDopo attivisti e giornalisti, anche il mondo della finanza. È l’ultimo tassello della saga di Graphite, il software-spia sviluppato dall’azienda israeliana Paragon Solutions e utilizzato da governi e forze di polizia di diversi Paesi, tra i quali l’Italia. Secondo quanto appreso da IrpiMedia e La Stampa, un nuovo nome si aggiunge alla lista delle persone che, lo scorso gennaio, hanno ricevuto un messaggio da Whatsapp che li informava di essere stati bersaglio dello spyware.
È Francesco Gaetano Caltagirone, imprenditore, editore, e tra gli uomini più ricchi d’Italia. Non è dato sapere chi abbia provato a spiarlo, ma la notifica comparsa sul suo telefono insieme ad almeno altre sette persone nel Paese è inequivocabile.
Lo stesso giorno Whatsapp aveva mandato notifiche anche a Francesco Cancellato, direttore di Fanpage, e ai due fondatori della ong Mediterranea, Luca Casarini e Giuseppe “Beppe” Caccia. Lo sappiamo perché sono stati loro stessi a denunciarlo pubblicamente, svelando una rete di attività di monitoraggio che si è estesa ben oltre la sola notifica.
L’inchiesta in breve
- Il 31 gennaio Whatsapp ha inviato un messaggio per informare 90 utenze in tutto il mondo che erano state colpite da uno spyware. Tra le almeno sette italiane, fino a oggi, si conoscevano numeri di telefono di attivisti, come Luca Casarini e Beppe Caccia dell’ong Mediterranea, e giornalisti, come il direttore di Fanpage Francesco Cancellato. IrpiMedia e La Stampa hanno scoperto che anche l’imprenditore Francesco Gaetano Caltagirone ha ricevuto la stessa notifica
- Citizen Lab, il laboratorio dell’Università di Toronto che si occupa di analisi di spyware, ha stabilito che il software-spia che ha colpito queste 90 utenze è Graphite, prodotto dalla società israeliana Paragon Solutions
- Caltagirone, uno degli uomini più ricchi d’Italia, dalla fine del 2024 è al centro di un’operazione bancaria in cui è coinvolto anche il governo, finalizzata alla creazione del terzo gruppo bancario del Paese, con base a Roma
- Lo spyware è stato inoculato attraverso una vulnerabilità di Whatsapp. Caltagirone, infatti, sarebbe stato inserito a sua insaputa in una chat in cui è stato condiviso un file Pdf contenente lo spyware
- Diverse fonti esperte dell’argomento concordano che l’attacco contro uno specifico bersaglio costa circa mezzo milione di euro. Gli attacchi sono sempre mirati
- Il caso Graphite è scoppiato dopo che Francesco Cancellato ha rivelato di essere stato allertato dell’attacco subito da Meta, la società proprietaria di Whatsapp. Il governo ha sempre negato ogni coinvolgimento nell’operazione contro Cancellato, mentre ha ammesso un’attività di intelligence nei confronti degli attivisti di Mediterranea
Da don Mattia Ferrari, cappellano di bordo di Mediterranea, fino a Ciro Pellegrino, caporedattore di Fanpage, il perimetro delle attività di spionaggio si è espanso a macchia d’olio nei mesi successivi a quella notifica. Tuttavia questo è il primo caso in cui tra le persone attenzionate figura un uomo d’affari, ben lontano dal mondo dell’informazione o dell’attivismo.
Caltagirone è uno dei protagonisti della serie di operazioni che stanno ridisegnando l’assetto finanziario del Paese, azionista di Generali, Mps e Mediobanca, quest’ultima acquisita proprio da Mps (dove tra i soci c’è anche lo Stato). A questo punto solo le autorità potranno accertare se sia stato un governo straniero a prendere di mira lo smartphone di Caltagirone, ipotesi già ventilata nei riguardi di Cancellato, o se dietro l’operazione ci sia una mano italiana. Ma andiamo con ordine.
Un gruppo esclusivo
Secondo quanto riferito a IrpiMedia da fonti a conoscenza dell’accaduto, a dicembre del 2024 l’utenza telefonica in uso a Caltagirone sarebbe stata inserita in una chat Whatsapp, popolata da contatti a lui noti e al cui interno era stato condiviso un file Pdf. Poco dopo la chat sparisce, il Pdf con essa.
Il mese dopo Whatsapp informa gli utenti coinvolti di aver individuato e corretto una vulnerabilità che avrebbe permesso a un attaccante di inserire uno spyware sul dispositivo del bersaglio a sua insaputa e senza che fosse necessario cliccare su alcun link o allegato.
In gergo si chiamano “attacchi zero-click”, che sfruttano un errore nel sistema del dispositivo o di un’app – Whatsapp in questo caso – per inoculare un qualunque software senza lasciare traccia e soprattutto senza che il bersaglio debba interagire come nei più comuni attacchi e frodi. E lo smartphone di Caltagirone è tra i destinatari di tale notifica.
Iscriviti alla nostra newsletter mensile per restare sempre aggiornato sulle inchieste della redazione sorveglianze
Secondo la ricostruzione di altre vittime e della stessa Citizen Lab, è proprio questo il metodo con il quale Graphite è stato propagato tra i suoi bersagli. Il sistema non colpisce a caso, ma è programmato per installarsi esclusivamente sul telefono del bersaglio, lasciando indenni le altre persone nel gruppo il cui ruolo è quello di meri figuranti, per rendere la trappola più credibile.
Alla luce dell’allerta diramata dall’app di messaggistica, lo smartphone viene riportato alle impostazioni di fabbrica, eliminando il problema ma anche rimuovendo ogni elemento che avrebbe permesso di trovare tracce dello spyware. Contattato da IrpiMedia e La Stampa, l’ufficio stampa di Caltagirone non ha risposto a una richiesta di commento né ha chiarito se siano stati svolti accertamenti sul dispositivo.
Una pioggia di notifiche
Casarini, Caccia e Cancellato sono i primi a parlare di un attacco nei loro confronti, all’indomani della notifica del 31 gennaio. Secondo quanto comunicato da Whatsapp e Citizen Lab, il laboratorio dell’Università di Toronto che ha contribuito a scoprire la minaccia, ne sono state inviate contemporaneamente novanta in diversi Paesi, sette in Italia.
Quello che non si sapeva, e che emergerà nei giorni successivi, è che Mediterranea era già stata attenzionata da notifiche di questo tipo in precedenza.
La prima risale addirittura a un anno prima, a febbraio del 2024, e viene da Meta, titolare di Facebook e Whatsapp. A riceverla è sempre Casarini, insieme al cappellano di bordo di Mediterranea, don Mattia Ferrari. Il parroco ha inoltre intestata un’utenza telefonica in uso a David Yambio, cittadino sudanese e portavoce della ong Refugees in Libya, che a sua volta ha ricevuto una notifica da parte di Apple inerente la potenziale compromissione del proprio dispositivo a novembre del 2024. E siamo a tre.
Lo ricostruisce un’indagine del Copasir – Comitato parlamentare per la sicurezza della Repubblica, ovvero l’organo del parlamento che esercita il controllo sull’operato dei servizi segreti italiani – che si è svolta la scorsa primavera e ha riguardato i casi al tempo noti.
Secondo quanto ricostruito nel rapporto del comitato (reso pubblico – è di per sé un’anomalia) è stato possibile accertare che Caccia e Casarini sono stati effettivamente oggetto di attività di sorveglianza dei servizi, «finalizzata a prevenire la minaccia alla sicurezza nazionale da parte di individui sospettati di svolgere attività di favoreggiamento dell’ingresso di soggetti stranieri nel territorio nazionale». Cosa sia successo invece nel telefono di Cancellato non si è mai saputo e il governo ha sempre respinto ogni addebito a riguardo, come detto, arrivando a ipotizzare la pista di un servizio segreto estero.
Newsroom, il podcast settimanale di IrpiMedia
Gli episodi di Newsroom sono disponibili sul canale Spotify di IrpiMedia.
Per esplorare il ventaglio di possibilità, il Copasir ha compiuto ispezioni nelle sedi di Aise e Aisi (rispettivamente, i servizi segreti per l’estero e quelli domestici) chiedendo di vedere i rispettivi server dai quali interagiscono con Paragon. Inserendo il numero di telefono dei bersagli, si è trovata conferma sia di Caccia sia di Casarini. Interrogato con il numero di Cancellato, il sistema ha risposto: «Number not found», numero non trovato.
Le cose si sono complicate in aprile, quando un’altra notifica – questa volta inviata da Apple – ha avvisato una seconda infornata di bersagli della potenziale compromissione dei propri dispositivi. Tra questi Ciro Pellegrino, caporedattore di Fanpage.
Sebbene sul dispositivo di Cancellato non sia stato trovato nulla, non può essere un caso che nella medesima testata si sia registrata una seconda infezione di Graphite. Fanpage è nota per indagini sotto copertura, tra le quali Gioventù meloniana che, grazie al lavoro di una giornalista infiltrata in Gioventù Nazionale, mette a nudo l’imprinting di estrema destra e le nostalgie fasciste del ramo giovanile del partito della presidente del Consiglio, Giorgia Meloni. Successive analisi sul telefono di Pellegrino, svolte nei laboratori di Citizen Lab a Toronto, hanno permesso di confermare la presenza di Paragon sul suo dispositivo.
Solo a giugno le procure di Roma e Napoli hanno disposto accertamenti sui dispositivi delle persone sottoposte a sorveglianza, disponendo analisi irripetibili sugli smartphone. In seguito a questa notizia ulteriori nomi di vittime di Paragon sono stati resi pubblici: uno è Roberto D’Agostino, il fondatore di Dagospia. L’altra è Eva Vlaardingerbroek, influencer olandese di estrema destra e residente a Roma.
«I governi dispongono di così tanti strumenti diversi per mettere sotto controllo un bersaglio che è semplicemente impensabile che tutti siano simili o facilmente identificabili», spiega a IrpiMedia una fonte che ha analizzato alcuni dei dispositivi. «Non solo esistono molti più spyware di quelli prodotti da Paragon o Nso, ma c’è un’intera rete di scambi di favori anche tra Paesi: se io non posso svolgere un’intercettazione su uno specifico cittadino, lo chiedo al Paese affianco», spiega l’esperto senza poter entrare nel merito di casi comprovanti tali affermazioni per ragioni di riservatezza.
Contattata da IrpiMedia, Paragon non ha risposto a una richiesta di commento.
Chi sono i clienti di Paragon
Tra gli addetti ai lavori Graphite è uno spyware ben noto. Paragon Solutions è un’azienda nata in Israele che produce, sviluppa e ricerca tecnologie della sorveglianza ai massimi livelli. Il suo prodotto principale è attualmente tra i più quotati, soprattutto da quando un’azienda concorrente, Nso, ha dovuto ridurre drasticamente la propria attività in seguito a diversi scandali legati a un uso non consono della propria tecnologia da parte di numerosi governi, come raccontato anche da IrpiMedia con storie che vanno dal Marocco al Messico.
Ma il valore di un prodotto, nel mercato della sorveglianza, non è dato solo dalla bontà del software in sé, bensì dalla capacità dell’azienda che lo produce di aggirare i sistemi di sicurezza di smartphone, computer, dispositivi Android o Apple, in modo che possa funzionare su qualunque bersaglio e qualunque tecnologia. Esattamente il tipo di servizio che offre Paragon, che nel tempo ha raccolto anche investimenti dell’Unione europea.
USD
900.000.000
La cifra pagata dalla statunitense AE Industrial Partners per acquistare Paragon Solutions a dicembre 2024
USD
2.000.000
Il valore del contratto più recente di Paragon Solutions, firmato con l’Ice, l’agenzia statunitense per il controllo delle frontiere e dell’immigrazione
EUR
30.000.000
Il valore stimato del contratto sottoscritto tra Paragon Solutions e il governo italiano
A dicembre del 2024, circa un mese prima dell’invio delle notifiche che hanno svelato uno dei trucchi di Paragon per infettare i dispositivi, il fondo d’investimento statunitense AE Industrial Partners, focalizzato sui settori aerospaziale, difesa, cyber sorveglianza, ha acquistato la società per 900 milioni di dollari, secondo quanto riportato da testate di settore. La testata belga Apache ha scoperto che nel 2020 anche il Fondo europeo per gli investimenti (Fei) ha fornito capitale a Paragon tramite un fondo di venture capital israeliano.
Fonti pubbliche indicano come attualmente Paragon continui a chiudere contratti con le agenzie statunitensi. Ultima in ordine di tempo è l’Ice, agenzia federale per il controllo delle frontiere e dell’immigrazione, con un contratto da due milioni di dollari. Fonti di IrpiMedia a conoscenza del contratto tra Paragon e l’Italia sostengono che questo sarebbe «nell’ordine delle decine di milioni di euro, intorno ai trenta».
Dalla sua, negli anni, Paragon è stata capace di accreditarsi come alternativa “etica” alla concorrente Nso. Niente scandali, solo clienti legittimi e statali e solo «Paesi democratici che hanno superato con successo il suo rigoroso processo di due diligence e verifica», ha spiegato la stessa azienda in una nota lo scorso giugno. Sebbene i contratti stipulati dall’azienda non siano pubblici, la stessa ha dichiarato che prevedono il divieto di utilizzare Graphite contro giornalisti e attivisti.
Vuoi sapere come la sorveglianza impatta sulla democrazia? Aiutaci a continuare queste inchieste.
Regala l’adesione a MyIrpi+
e ricevi in omaggio la nostra T-shirt IrpiMedia.
Diventa una fonte.
Con IrpiLeaks puoi comunicare con noi in sicurezza.
Ufficialmente è questa la ragione per cui già a inizio febbraio, appena dopo l’arrivo delle notifiche, Paragon aveva annunciato che avrebbe rescisso unilateralmente il contratto con l’Italia. Una versione più tiepida del rapporto tra il governo e l’azienda israeliana approderà nella relazione del Copasir, in cui si parlerà di «rescissione concordata» tra le parti.
In ogni caso è difficile comprenderne il senso nel caso in cui anche Paragon dovesse credere che non è stato il governo italiano a spiare quantomeno i giornalisti, bensì un altro loro cliente.
Dopo aver inizialmente negato ogni addebito, il governo italiano ha dovuto ammettere di aver utilizzato Graphite nei confronti di Luca Casarini e Beppe Caccia non in qualità di attivisti per i diritti umani, ma «in riferimento alle loro attività potenzialmente relative all’immigrazione irregolare». Tolto Yambio che come detto non è stato attaccato tramite Graphite, rimane la notifica ricevuta da Cancellato.
Un mondo torbido
Nel mercato della cyber sorveglianza c’è un mondo di ricercatori impegnati a scoprire le vulnerabilità di ogni sistema, in modo che possano essere utilizzate per spiare bersagli. Una è la vulnerabilità di Whatsapp, analizzata grazie a Citizen Lab che permetteva di installare da remoto Graphite senza che fosse richiesta un’interazione da parte del bersaglio. L’altra è quella di Apple, che ha portato alla notifica di Ciro Pellegrino e ad altri giornalisti di cui IrpiMedia è a conoscenza ma che non hanno mai rivelato la propria identità.
Sai qualcosa su questa vicenda? Scarica Signal App e scrivi al nostro reporter Raffaele Angius @faffa.40
In tutti i casi, i reporter si sono rivolti a Citizen Lab per avere i propri dispositivi analizzati. Come confermato dalla stessa organizzazione nei propri report, ciascuna analisi ha fatto emergere elementi di compromissione compatibili proprio con lo spyware israeliano.
Secondo quanto ricostruito dai tecnici e confermato a IrpiMedia da fonti indipendenti, la vulnerabilità trovata sugli iPhone colpiti è legata ad iMessage, l’app di messaggistica istantanea di Cupertino che smista sia i messaggi scambiati tra iPhone sia gli sms. Anche in questo caso si tratta di zero-click: Paragon ha trovato un modo per rompere i meccanismi di sicurezza dell’iPhone inviando un messaggio contenente un file immagine. IrpiMedia ha potuto visualizzarlo in un altro caso collegato alla storia e, nel caso di specie, si è trattato di una banale immagine della sagoma di una foto profilo, di quelle preimpostate sui social network fintanto che non si decide di inserirne una propria.
«Sono attacchi costosissimi, tecnicamente complessi, e che hanno un proprio mercato che vale miliardi», spiega una fonte del settore sotto richiesta di anonimato. Secondo quattro esperti consultati per la realizzazione di questo articolo, gli attacchi rivolti verso i dispositivi Android o Apple valgono «circa mezzo milione di euro per bersaglio, in quanto più vengono usati più è possibile che siano scoperti dal produttore del pezzo di tecnologia vulnerabile», spiega una fonte.
Gli stessi esperti vagano a tentoni nel cercare di analizzare i dispositivi coinvolti. Sono numerose le ragioni tecniche per le quali un’analisi possa non produrre risultati. Il tempo è un fattore chiave: più si rimanda l’analisi del dispositivo più difficile sarà individuare elementi di compromissione.
Questo deriva prima di tutto dal modo in cui gli smartphone gestiscono i cosiddetti log, registri di alcune attività – non tutte – che avvengono all’interno del telefono. Poi ci sono le anomalie, come il fatto che lo smartphone di Caltagirone sia anche il primo caso noto di un iPhone che riceve una notifica da parte di Whatsapp, la cui vulnerabilità si riteneva efficace solo sui dispositivi Android.
Esistono diverse spiegazioni plausibili comunque: esperti spiegano che una possa essere la presenza in passato di un backup riconducibile a un dispositivo Android. «Gli attaccanti lavorano sempre su informazioni incomplete – riferisce una fonte – e questo fa sì che possano eventualmente sbagliarsi nello scegliere quale arma usare».