Con la relazione approvata il 4 giugno 2025, il Comitato parlamentare per la sicurezza della Repubblica (COPASIR) ha chiuso l’indagine sul presunto utilizzo dello spyware «Graphite» da parte di AISE e AISI, le Agenzie di informazione per la sicurezza esterna e interna. La vicenda, esplosa sui media fra gennaio e febbraio, aveva sollevato l’allarme di giornalisti, attivisti e giuristi, preoccupati per l’ipotesi di intercettazioni intrusive condotte contro esponenti della società civile. L’istruttoria parlamentare, durata quattro mesi e basata su audizioni, accesso diretto ai registri di sistema e sopralluoghi tecnici, giunge a due conclusioni complementari: da un lato attesta che, nei casi verificati, l’impiego di Graphite da parte dei Servizi italiani ha rispettato le procedure di legge; dall’altro rileva lacune normative che rendono urgente un aggiornamento complessivo delle regole sulla cyber-sorveglianza.
Il caso nasce il 31 gennaio, quando The Guardian e Fanpage.it pubblicano la notizia di almeno un centinaio di dispositivi infettati in Europa, sette dei quali con prefisso italiano. Secondo le ricostruzioni, lo spyware – prodotto dalla società israeliana Paragon Solutions – avrebbe sfruttato una vulnerabilità «zero-day» di WhatsApp corretta solo il 17 dicembre 2024. La stessa Meta, titolare dell’app, aveva avvisato l’Agenzia per la cybersicurezza nazionale (ACN) il 15 gennaio e, due settimane più tardi, notificato individualmente gli utenti potenzialmente colpiti. Tra loro spiccavano il direttore di Fanpage Francesco Cancellato, gli attivisti Luca Casarini e Giuseppe Caccia, il sacerdote don Mattia Ferrari e il cittadino sudanese David Yambio.
Allarmato dalle rivelazioni, il COPASIR convoca in audizione i direttori di AISE e AISI, il direttore-generale del DIS, i vertici dell’ACN, il Procuratore generale presso la Corte d’appello di Roma, i rappresentanti di Meta e di Paragon Solutions, oltre agli esperti del laboratorio canadese CitizenLab. Contestualmente compie sopralluoghi nelle sedi operative delle Agenzie italiane, esaminando log di sistema, contratti, autorizzazioni giudiziarie e documentazione di garanzia funzionale.
Dalla verifica emerge che AISE aveva sottoscritto il contratto con Paragon il 13 dicembre 2023, attivando Graphite il 23 gennaio 2024 per iOS e l’8 febbraio per Android. AISI collaborava con la società israeliana dal 2023, con scadenza contrattuale fissata al 7 novembre 2025. L’utilizzo era circoscritto a indagini su immigrazione clandestina, controspionaggio, terrorismo, contrabbando e criminalità organizzata. Quando occorreva intercettare comunicazioni in corso – i dati dinamici – l’Agenzia chiedeva l’autorizzazione del Procuratore generale ai sensi dell’articolo 4 del decreto-legge 144/2005. Per acquisire chat già presenti nella memoria dei telefoni – i dati statici – ricorreva alle garanzie funzionali disciplinate dall’articolo 18 della legge 124/2007, previa firma dell’Autorità delegata. I contratti con Paragon vietavano l’attivazione di microfono e fotocamera, l’accesso alla galleria fotografica e, soprattutto, ogni operazione a danno di giornalisti o difensori dei diritti umani; tali clausole sono risultate rispettate.
Nel merito dei nomi emersi sulla stampa, il Comitato certifica che Luca Casarini e Giuseppe Caccia sono stati effettivamente bersaglio di Graphite dal settembre 2024, ma in relazione a un’inchiesta sull’immigrazione irregolare avviata nel 2020. Le autorizzazioni, sia giudiziarie sia governative, sono risultate in regola. Per David Yambio è stata riscontrata un’intercettazione tradizionale (senza spyware) tra luglio 2023 e aprile 2024, nello stesso contesto investigativo. Nessuna attività di sorveglianza, invece, ha riguardato don Mattia Ferrari. Quanto al giornalista Francesco Cancellato, i controlli incrociati sui registri di Paragon, conservati presso AISE e AISI, hanno escluso qualsiasi operazione a suo carico: l’indicazione di «target confermato» diffusa da CitizenLab deriva unicamente dalla notifica di Meta, non da una prova forense conclusiva.
Il 14 febbraio, sotto la pressione mediatica, Paragon e le due Agenzie italiane concordano la sospensione di nuovi bersagli; poco dopo decidono la rescissione dei contratti. Il Governo, pur informato, precisa che il recesso formale è successivo alla data in cui la polemica divampa. La scelta politica segna una discontinuità, ma non cancella il nodo normativo che il COPASIR porta ora alla luce. Prima questione: la disciplina differenziata tra intercettazioni in corso e acquisizioni archiviate. La sentenza 170/2023 della Corte costituzionale ha assimilato i messaggi memorizzati alla «corrispondenza» tutelata dall’articolo 15 della Carta, suggerendo che anche per i dati statici occorra il vaglio preventivo di un giudice. Il Comitato invita il Parlamento a modificare la legge per estendere al Procuratore generale la competenza autorizzatoria su ogni forma di captazione, dinamica o statica che sia.
Secondo nodo: la distruzione del materiale intercettato. I captatori moderni, spiega la relazione, salvano copie dei dati su database che l’ente pubblico non può cancellare senza l’intervento del fornitore, contraddicendo l’obbligo di eliminare tutto ciò che non confluisce nei decreti autorizzativi. Una revisione legislativa dovrà garantire la cancellazione effettiva e la tracciabilità di ogni singolo accesso, evitando che residui informatici diventino un archivio permanente fuori controllo.
Terzo nodo: il rapporto con le big tech. La notifica unilaterale che Meta invia agli utenti potenzialmente spiati, pur dettata da esigenze di trasparenza, rischia di «bruciare» operazioni di intelligence coperte da segreto di Stato o indagini giudiziarie in corso. Il COPASIR suggerisce di individuare un canale istituzionale – verosimilmente l’ACN coordinata con le autorità giudiziarie – che verifichi in tempo reale la legittimità dell’intercettazione prima di qualsiasi alert all’utente finale. Il tema, per sua natura, richiede una cornice almeno europea, se non internazionale.
Quarto e ultimo nodo: il potere di controllo del Parlamento. A quasi vent’anni dall’entrata in vigore della legge 124/2007, il Comitato rivendica la necessità di rafforzare gli obblighi informativi «ex ante» – cioè prima che l’operazione parta – e di dettagliare meglio i report che i Servizi devono trasmettere «ex post», al termine delle operazioni. L’obiettivo è elevare il livello di trasparenza senza pregiudicare l’efficacia dell’azione di sicurezza nazionale.
La conclusione di COPASIR è netta: «L’attività dei Servizi – si legge nella relazione – si è svolta nel rispetto della Costituzione, delle leggi e nell’esclusivo interesse della Repubblica». Tuttavia la stessa relazione riconosce che «l’evoluzione delle tecnologie di cyber-sorveglianza impone un adeguamento del quadro normativo per salvaguardare insieme la sicurezza e i diritti fondamentali». In altre parole, Graphite è stato usato correttamente, ma le regole che ne hanno consentito l’uso mostrano oggi crepe che vanno sanate.
Il paradosso emerso dal caso italiano risiede proprio nell’asimmetria tra il potere di penetrazione offerto dai captatori moderni e le tutele concepite in un’era in cui l’intercettazione significava «ascoltare il filo» di una linea telefonica. Oggi lo spyware entra nel cuore dei dispositivi, aggira la crittografia end-to-end colpendo il punto più fragile, cioè il terminale dell’utente, e può – in Paesi con legislazioni meno garantiste – attivare microfono e fotocamera, trasformando lo smartphone in una cimice permanente. Se la licenza italiana lo impedisce, nulla vieta a soggetti esteri di prendere di mira utenze con prefisso +39: Paragon, infatti, non esclude contrattualmente i numeri italiani. È un monito implicito – ma non per questo meno pressante – perché l’Italia lavori in sede UE a uno standard comune che impedisca derive extraterritoriali.
Un altro insegnamento riguarda il ruolo di CitizenLab. Il laboratorio di Toronto, divenuto un’autorità globale nel rilevare spyware, ha confermato l’infezione dei dispositivi di Casarini e Caccia grazie a metodologie forensi avanzate basate su «impronte» lasciate dallo stesso Graphite nei registri di sistema di iOS e Android. Nel caso di Cancellato, però, l’assenza di conferma tecnica dimostra che la sola notifica di Meta non equivale, di per sé, a una prova di compromissione. La risposta investigativa, pertanto, deve integrare competenze statali, private e accademiche, evitando scorciatoie che trasformino «segnali di rischio» in verdetti senza un adeguato contraddittorio.
A ben vedere, la partita non si gioca soltanto tra privacy e sicurezza, ma su un terreno più scivoloso: la fiducia. Gli italiani dovranno fidarsi che l’intercettazione digitale resti strumento eccezionale, usato con parcimonia e controllato da più occhi indipendenti. Le Agenzie, a loro volta, dovranno affidarsi a un quadro giuridico che garantisca rapidità d’azione senza prestare il fianco a facili contestazioni. E le big tech saranno chiamate a conciliare l’obbligo morale di proteggere gli utenti con il dovere di non sabotare indagini legittime.
Il COPASIR chiude la propria relazione con un auspicio che è, insieme, un avvertimento: «Questo Parlamento e questo Governo dispongono oggi delle informazioni necessarie per costruire una riforma organica. Il tempo concesso dalla tecnologia, però, è breve: ignorare i segnali significherebbe arrivare in ritardo alla prossima emergenza».
Se davvero la società digitale corre alla velocità di un exploit «zero-day», la politica non potrà più permettersi patch rimediate all’ultimo minuto.
