Argomenti correlati
SorveglianzaAnche Andrea Orcel, amministratore delegato di Unicredit, è stato attaccato con il software spia Graphite della società israeliana Paragon Solutions. Ed è successo proprio mentre il banchiere era al centro del cosiddetto risiko bancario, il riassestamento degli equilibri di potere tra le banche d’Italia e d’Europa. Una partita a cui partecipa anche Francesco Gaetano Caltagirone, il primo esponente del mondo finanziario coinvolto nello scandalo Graphite, come rivelato da IrpiMedia e La Stampa.
Secondo quanto appreso da IrpiMedia, Orcel ha ricevuto la notifica di potenziale compromissione tra le 14 e le 18 del 29 aprile 2025: «Notifica di minaccia. Apple ha rilevato l’attacco di uno spyware mercenario mirato contro il tuo iPhone». Con lui, un numero imprecisato di utenti nel mondo, tra i quali anche il giornalista di Fanpage Ciro Pellegrino.
L’inchiesta in breve
- L’amministratore delegato di Unicredit Andrea Orcel è l’ennesimo bersaglio dello spyware Paragon, scoperto da IrpiMedia e La Stampa. Ha ricevuto una notifica sul suo iPhone il 29 aprile insieme a un numero non precisato di altre vittime
- Orcel – come l’altro target identificato da IrpiMedia e La Stampa, Francesco Gaetano Caltagirone – è protagonista delle ultime operazioni che stanno cambiando gli equilibri del sistema bancario italiano
- In questo contesto, il banchiere si è scontrato con il governo italiano per l’operazione fallita su Banco Bpm e con quello tedesco per l’aumento di quote dentro Commerzbank
- Il governo italiano favorisce invece la creazione di un “terzo polo bancario” che graviti intorno al Monte dei Paschi di Siena, dove lo Stato è azionista all’11,7% attraverso il ministero dell’Economia. Mps in estate ha acquisito il controllo su Mediobanca
- In questo risiko bancario un ruolo chiave l’ha giocato anche Caltagirone, azionista sia in Mediobanca sia in Mps
- Non è possibile stabilire chi abbia voluto colpire Andrea Orcel, come non lo sappiamo per Francesco Gaetano Caltagirone né per i giornalisti di Fanpage Francesco Cancellato e Ciro Pellegrino. È il Copasir che ha il potere di andare a fondo: a seguito della sua relazione, il governo ha ammesso che lo spyware Graphite è stato usato dai servizi segreti per monitorare gli attivisti dell’ong Mediterranea
La comunicazione arriva a valle di un complesso lavoro di indagine svolto dal Citizen Lab di Toronto in collaborazione con Apple. Pochi mesi prima proprio Citizen Lab aveva collaborato con Whatsapp all’individuazione di una vulnerabilità: in comune tra i due casi c’è che sia Apple sia Whatsapp erano esposti a diverse falle sfruttate da Paragon per installare il proprio spyware sui telefoni dei bersagli, senza che questi potessero accorgersene.
Ulteriori analisi su dispositivi notificati da Apple – tra i quali proprio quello di Pellegrino – hanno permesso di confermare che contenevano tracce dello spyware israeliano.
Messaggi insidiosi
L’attacco al dispositivo di Orcel è avvenuto tramite iMessage, app proprietaria di Apple con la quale gli iPhone gestiscono e smistano i messaggi sms (nel caso di Caltagirone, invece, l’inoculazione era passata da Whatsapp). Una vulnerabilità a lungo sconosciuta di tale applicazione, ma scoperta da Paragon, permetteva di forzare le misure di sicurezza di un iPhone facendo sì che si collegasse ai sistemi dell’azienda israeliana per scaricare e installare lo spyware. Il tutto tramite un banale messaggio contenente un file immagine corrotto.
Non era necessaria alcuna interazione o click da parte dell’utente.
Iscriviti alla nostra newsletter mensile per restare sempre aggiornato sulle inchieste della redazione sorveglianze
Il messaggio-attacco, secondo fonti di IrpiMedia, sarebbe stato inviato sul dispositivo di Orcel tra la fine del 2024 e l’inizio del 2025. È di gennaio del 2025 invece il messaggio di compromissione inviato da Whatsapp ai bersagli che erano stati colpiti tramite una vulnerabilità della popolare app di messaggistica. Sono novanta nel mondo e sette in Italia. Tra questi anche Caltagirone. Orcel e gli altri utenti Apple dovranno invece aspettare aprile per scoprire di essere a sua volta un bersaglio di Paragon.
Che lo spyware abbia poi funzionato, nel caso di Orcel come in quello di Caltagirone, non è possibile determinarlo. Analisi forensi di questo tipo sono particolarmente complesse in quanto gli spyware sono programmati per nascondere se stessi e non lasciare alcuna traccia. In aggiunta, il tempo è un fattore chiave nel rilevare eventuali indicatori di compromissione prima che questi vengano sovrascritti dal sistema operativo del telefono.
Contattata da IrpiMedia, Unicredit non ha immediatamente risposto a una richiesta di commento.
Il risiko bancario e il golden power del governo
Nell’ultimo anno e mezzo, il governo italiano è intervenuto nel sistema bancario con l’intento di favorire la nascita di un “terzo polo” alternativo a Intesa e Unicredit, le prime due banche del Paese. Questo anche per contrastare almeno un anno di operazioni e acquisizioni da parte della banca dell’ad Orcel che avrebbero potuto ostacolare i piani del governo.
Da un lato, Unicredit si è rafforzata raggiungendo il 26% delle quote della banca tedesca Commerzbank; dall’altra ha tentato di acquisire il controllo del Banco popolare di Milano (Banco Bpm) con un’offerta pubblica giudicata sfavorevolmente dal cda del medesimo istituto. Entrambe le iniziative hanno indispettito i rispettivi governi. Tuttavia solo uno di questi ha un contratto con Paragon: l’Italia.
Proprio sul tentativo di Unicredit di acquistare Banco Bpm il governo italiano aveva deciso di esercitare il golden power, istituto giuridico di tutela che dà al governo il potere di veto sulla vendita di asset giudicati strategici per il Paese.
È il 18 aprile 2025 quando attraverso un Decreto del presidente del Consiglio dei ministri (Dpcm) il governo impone condizioni molto stringenti alla vendita, tanto da indurre Unicredit a ritirare l’offerta di pubblico scambio (ops).
Tre mesi dopo Unicredit «annuncia il ritiro dell’offerta per Banco Bpm, in quanto la condizione relativa all’autorizzazione golden power non è soddisfatta».
Newsroom, il podcast settimanale di IrpiMedia
Gli episodi di Newsroom sono disponibili sul canale Spotify di IrpiMedia.
Nei mesi precedenti si erano già aperti vari fronti legali. Uno su richiesta di Unicredit al Tar del Lazio, dove i giudici, ad aprile, avevano deliberato che alcune misure richieste dal Dpcm travalicavano l’interesse nazionale. L’altro con la Commissione europea, che si può esprimere a tutela del mercato unico europeo.
Ieri, il 10 ottobre, l’agenzia di stampa Reuters ha riportato che Bruxelles potrebbe esprimersi contro il Dpcm con due diversi procedimenti.
L’esecutivo di Giorgia Meloni non ha invece esercitato il golden power nell’ops attraverso cui il Monte dei Paschi di Siena (Mps), dove lo Stato detiene l’11,7% attraverso il ministero dell’Economia, ha acquisito il controllo di Mediobanca.
Come nel caso del Banco Bpm, anche Mediobanca ha rigettato l’offerta in quanto «non concordata e fortemente distruttiva di valore». Ma in questo caso l’operazione sarebbe stata un tassello della costruzione del terzo polo bancario alternativo a Intesa e Unicredit e quindi un’operazione gradita al governo.
Tra gli azionisti di entrambi gli istituti coinvolti in questa operazione c’è Francesco Gaetano Caltagirone, l’altro businessman il cui telefono è stato bersaglio dello spyware Graphite. A settembre Mps ha raggiunto il 62,29% di Mediobanca, Caltagirone ha aumentato le sue quote in Mps raggiungendo quasi il 10% in aprile. Stesso mese, altra banca: Generali, altro importante elemento in ballo nel risiko bancario del Paese. Si votava per il nuovo consiglio di amministrazione. Mediobanca, prima azionista di Generali, è riuscita a ottenere la nomina dei vertici che voleva, ma Caltagirone è riuscito a piazzare tre consiglieri anche grazie all’inaspettato aiuto di Unicredit, salita al 6,7%. Un cambio di strategia rispetto alla linea solitamente seguita da Unicredit per le questioni di Generali.
Sai qualcosa su questa vicenda? Scarica Signal App e scrivi al nostro reporter Raffaele Angius @faffa.40
Almeno fino a che non si saprà il futuro di Banco Bpm, comunque, il risiko bancario è ancora tutto da giocare.
Tocca al Copasir
Non è possibile stabilire chi abbia usato Graphite contro i due protagonisti dei riassetti bancari dell’ultimo anno, a meno di un interessamento delle autorità o del Copasir, Comitato parlamentare per la sicurezza della Repubblica, incaricato di monitorare il comportamento dei servizi segreti.
Secondo quanto spiegato dalla stessa Paragon, Graphite è venduto esclusivamente a governi o organi di polizia per finalità di indagine, e solamente a «governi democratici», precisano.
Un’altra clausola posta dalla società è che il proprio software non venga utilizzato per spiare giornalisti e attivisti: è questa la ragione per la quale, nei primi mesi dell’anno e all’indomani delle rivelazioni del direttore di Fanpage Francesco Cancellato e degli attivisti dell’ong Mediterranea – i primi ad autodenunciarsi come vittime della tentata inoculazione dello spyware – Paragon aveva annunciato l’intenzione di voler rescindere unilateralmente il proprio rapporto con il governo italiano.
Chi usa Paragon?
Graphite è lo spyware sviluppato da Paragon Solutions, azienda israeliana specializzata nella ricerca e nella produzione di tecnologie di sorveglianza di fascia alta. Oggi il suo prodotto di punta è considerato uno dei più avanzati sul mercato, come abbiamo spiegato per il caso Caltagirone.
Questo tipo di tecnologie può essere impiegato tanto per scopi legittimi di sicurezza e contrasto al crimine, quanto per attività di sorveglianza illegale e violazione dei diritti fondamentali, a seconda di chi le utilizza e con quali finalità.
Qualora il governo italiano avesse usato Graphite contro dei giornalisti, ma anche per monitorare le attività dei proprietari di banche nelle quali detiene delle quote (è questo il caso di Mps, sostanzialmente dello Stato fino a quando il governo non ha iniziato a vendere il proprio pacchetto azionario) è chiaro come una simile tecnologia risulti terribilmente pericolosa. Ma a utilizzarla potrebbero essere stati anche soggetti stranieri, ipotesi non meno grave se si considerano i bersagli in gioco. Che siano giornalisti, come nel caso di Pellegrino e Cancellato, o uomini d’affari, come per Orcel e Caltagirone.
Il Copasir, nella relazione conclusiva relativa ai primi accertamenti, segnala che, in sede di audizione, Paragon Solutions ha dichiarato di «fornire i propri servizi ad operatori governativi presenti in numerosi Stati e che non risultano esservi restrizioni tecniche o contrattuali sulla possibilità di utilizzare lo spyware con riferimento ad utenze aventi prefisso italiano».
Una terza ipotesi è che siano coinvolte delle agenzie private. Sebbene Paragon venda solo ai governi, un utilizzo improprio degli spyware da parte di soggetti non autorizzati non sarebbe nuovo in Italia. Curiosamente c’è un solo limite tecnico e concreto nell’utilizzo di Graphite, come confermato da numerose fonti a conoscenza del suo funzionamento: non è in grado di spiare utenze il cui prefisso sia quello degli Stati Uniti.
Proprio un’indagine del Copasir aveva permesso di accertare l’impiego di Graphite ai danni degli attivisti, anche se i servizi segreti l’avevano giustificato con l’esigenza di monitorare la sicurezza dei confini nazionali.
Vuoi sapere come la sorveglianza impatta sulla democrazia? Aiutaci a continuare queste inchieste.
Regala l’adesione a MyIrpi+
e ricevi in omaggio la nostra T-shirt IrpiMedia.
Sai qualcosa su questa vicenda? Scarica Signal App e scrivi al nostro reporter Raffaele Angius @faffa.40
Sulla compromissione dei dispositivi di Cancellato e Pellegrino non è mai arrivata una conferma ufficiale e anzi, il sottosegretario Alfredo Mantovano, che ha la delega ai servizi, ha respinto a più riprese l’accusa di aver spiato anche i giornalisti. Di tale attività non sono effettivamente emerse tracce durante l’indagine del Copasir sui server che contengono il centro di controllo dello spyware e i cui registri di utilizzo – ha ripetuto a più riprese Paragon – non possono essere cancellati.
Qui si entra allora nel campo delle ipotesi, e lo spessore delle vittime coinvolte finora impone la massima urgenza nel trovare una risposta.
È possibile che i servizi italiani abbiano utilizzato Graphite e poi eliminato ogni prova del suo utilizzo? Oppure si tratta di operazioni compiute da altri Paesi ai danni di cittadini italiani?
Spetta al Copasir chiarire tali circostanze, tanto più all’indomani della scoperta che due dei più importanti uomini d’affari italiani sono stati a loro volta bersaglio di uno strumento tanto invasivo. Di certo, però, ai telefoni con prefisso della Germania non sono mai arrivate notifiche di compromissione per mezzo dello spyware Paragon, né da Metà né da Apple.
Articolo aggiornato alle ore 10:42