Sommario
Il caso Paragon riappare con forza dopo che Matrice Digitale ha contestato la completezza della relazione del COPASIR. Il documento parlamentare affermava che l’impiego del spyware Graphite fosse conforme alla legge, ma la conferma di nuove intercettazioni su tre giornalisti ostili al governo alimenta sospetti di copertura istituzionale. In parallelo, Paragon Solutions ha offerto materiale tecnico per chiarire ogni passaggio operativo, proposta rimasta senza risposta. L’episodio indica un possibile cambio di fornitore: l’esecutivo avrebbe avviato contatti con Palantir, piattaforma che integra analisi predittiva e acquisizione dati a largo spettro. La sovrapposizione fra indagini sulla migrazione irregolare, ONG cattoliche e voci critiche dell’esecutivo apre uno scenario politicamente esplosivo, con il rischio di incrinare la tenuta della maggioranza guidata da Giorgia Meloni in virtù di un accordo sottobanco tra Elkann e la famiglia Berlusconi sempre più solido e trasversale.
La relazione del Copasir e i dubbi irrisolti
Il COPASIR ha certificato l’uso legittimo dello spyware nelle operazioni di contrasto all’immigrazione clandestina legate alle ONG di Luca Casarini e Giuseppe Caccia. Il Comitato ha escluso violazioni nei confronti di Francesco Cancellato, ma la stessa società Paragon sostiene di non aver ricevuto richieste di chiarimento tecnico sui log. Senza l’esame forense completo, la relazione ignora possibili acquisizioni di contenuti statici, non solo di comunicazioni in tempo reale. La discrepanza alimenta il sospetto che l’organo di controllo parlamentare si sia appoggiato a dossier selezionati, limitandosi a verificare tabelle fornite dalle agenzie di intelligence italiana senza incrociarle con i registri di audit criptati custoditi dal vendor israeliano.
Offerta di collaborazione rifiutata da Roma
Subito dopo la pubblicazione del report, Paragon Solutions ha proposto di trasmettere in forma cifrata il tracciato completo di ogni installazione Graphite attiva su prefissi italiani. Il governo avrebbe declinato. La scelta respinge la trasparenza e protegge gli interlocutori istituzionali che avevano richiesto le licenze. Intanto la stampa specializzata rivela che al tavolo tecnico sia apparso il nome di Palantir, società statunitense nota per l’analisi massiva di flussi dati. Se la transizione fosse confermata, l’operazione implicherebbe la migrazione di payload e chiavi di cifratura verso un’infrastruttura statunitense, con un salto di giurisdizione che moltiplicherebbe i rischi di leak transatlantici se non fatti a norma secondo le ultime disposizioni di legge.
Giornalisti sorvegliati: nuovi nomi emergono
Emergono nuovi elementi: oltre al giornalista Ciro Pellegrino, sarebbe stato intercettato Roberto D’Agostino del sito Dagospia tramite Graphite. Non è un dettaglio marginale: insieme alle ONG di Luca Casarini e Giuseppe Caccia e al parroco don Mattia Ferrari (che aveva prestato il proprio telefono a un indagato per traffico di esseri umani), risultano colpiti giornalisti apertamente critici verso il Governo e la malizia non dovrebbe che portare ad una attività di spionaggio.
Il nodo Palantir e l’uso dell’intelligenza artificiale
Secondo le indiscrezioni raccolte da Matrice Digitale, l’interesse per Palantir nasce dall’esigenza di fondere intercettazioni, open-source intelligence e predizione comportamentale. Il motore Gotham combina ingestion di metadati e grafi conoscitivi: costruisce modelli che attribuiscono probabilità di reato a profili complessi. Applicare tale architettura a giornalisti invisi all’esecutivo equivarrebbe a classificare il dissenso politico come rischio di minaccia. In Italia lo scenario violerebbe l’articolo 15 della Costituzione se privo di autorizzazione giudiziaria. La logica di “rischio reputazionale” si sostituisce al principio di notizia di reato. Il passaggio da Paragon a Palantir non riguarda solo la tecnologia zero-click: introduce l’uso algoritmico nella selezione dei bersagli, con soglie di confidenzialità opache.
Ambito di applicazione e deroghe specifiche
Il governo italiano ha intrapreso un’importante iniziativa legislativa volto a definire un quadro normativo per l’Intelligenza Artificiale (AI) nel paese. Questo provvedimento si inserisce in un contesto di rapida crescita del mercato dell’IA in Italia e mira a bilanciare le significative opportunità offerte da questa tecnologia con la necessità di mitigare i rischi e affrontare le sfide etiche e giuridiche che essa pone per le libertà individuali e la stabilità democratica. Un principio fondamentale che guida questa normativa è l’approccio antropocentrico, che pone al centro l’essere umano e i suoi diritti.
Nonostante la legge definisca principi generali per la ricerca, la sperimentazione, lo sviluppo, l’adozione e l’applicazione dei sistemi e modelli di intelligenza artificiale, essa prevede specifiche esclusioni per le attività svolte in determinati contesti sensibili. In particolare, le attività connesse all’IA condotte per scopi di sicurezza nazionale, cybersicurezza e difesa nazionale sono escluse dall’ambito di applicazione della legge.
Questa esclusione riguarda esplicitamente vari organismi e forze, tra cui:
• Il Dipartimento delle informazioni per la sicurezza (DIS), l’Agenzia informazioni e sicurezza esterna (AISE), e l’Agenzia informazioni e sicurezza interna (AISI), operanti secondo la legge n. 124 del 2007.
• L’Agenzia per la cybersicurezza nazionale (ACN), istituita dal decreto-legge n. 82 del 2021, per la tutela della sicurezza nazionale nello spazio cibernetico.
• Le Forze armate, per scopi di difesa nazionale.
•Le Forze di polizia, per prevenire e contrastare reati specifici legati alla sicurezza nazionale.
Principi fondamentali e diritti inviolabili
Nonostante queste esclusioni, le attività sopra menzionate devono comunque essere condotte nel pieno rispetto dei diritti fondamentali e delle libertà garantite dalla Costituzione, nonché dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità. Si sottolinea che l’uso dell’IA non deve pregiudicare lo svolgimento democratico della vita istituzionale e politica, né l’autonomia e il potere decisionale dell’uomo e non deve essere usata in modo predittivo per stabilire se un soggetto compirà un reato o meno fermandolo: cosa che Palantir ambisce ad offrire nel ventaglio dei suoi prodotti.
Gestione dei dati e infrastrutture critiche
Un aspetto cruciale riguarda la gestione dei dati e delle infrastrutture. Il disegno di legge stabilisce che i sistemi di intelligenza artificiale destinati all’uso in ambito pubblico debbano essere installati su server ubicati nel territorio nazionale, al fine di garantire la sovranità e la sicurezza dei dati sensibili dei cittadini. Questa disposizione fa eccezione solo per i sistemi IA impiegati all’estero nell’ambito di operazioni militari. Tuttavia, il dossier di analisi osserva che questa previsione potrebbe richiedere un coordinamento con normative europee che promuovono la libera circolazione dei dati e con altre disposizioni della stessa legge che fanno riferimento ai “data center” piuttosto che ai “server”.
Il trattamento dei dati personali in questi contesti è rigorosamente regolamentato. Per gli organismi del sistema di sicurezza nazionale, deve conformarsi alle previsioni del Codice in materia di protezione dei dati personali, con divieti specifici riguardo a decisioni basate unicamente su trattamenti automatizzati che producano effetti negativi. Per l’Agenzia per la Cybersicurezza Nazionale, in caso di rischio elevato per i diritti e le libertà delle persone fisiche, è richiesta una valutazione d’impatto sulla protezione dei dati e una consultazione preventiva del Garante.
Ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN)
L’ACN è riconosciuta come un’Autorità nazionale per l’intelligenza artificiale visto il suo ruolo nella cybersicurezza e le vengono attribuite funzioni cruciali. L’Agenzia è responsabile della vigilanza, inclusi poteri ispettivi e sanzionatori, sui sistemi di intelligenza artificiale secondo le normative nazionali ed europee. Inoltre, è incaricata di promuovere e sviluppare iniziative volte a valorizzare l’IA come risorsa per il rafforzamento della cybersicurezza nazionale. A tal fine, l’ACN può concludere accordi di collaborazione con soggetti privati e partecipare a partenariati pubblico-privato. Questa responsabilità è in linea con la visione antropocentrica e con il ruolo critico che la cybersicurezza svolge nel garantire la resilienza dei sistemi di IA contro attacchi malevoli.
La strategia nazionale per l’IA
La governance italiana dell’IA è definita anche attraverso la Strategia Nazionale per l’Intelligenza Artificiale. Questo documento, predisposto e aggiornato dal Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei ministri, in intesa con le Autorità nazionali AgID e ACN, prevede il coinvolgimento del Ministero della Difesa per gli aspetti relativi ai sistemi di intelligenza artificiale impiegabili in chiave “duale” (civile e militare). La strategia mira a favorire la collaborazione pubblico-privato, coordinare le azioni della Pubblica Amministrazione, promuovere la ricerca e la diffusione della conoscenza in materia di IA, e indirizzare gli incentivi per lo sviluppo imprenditoriale e industriale.
Interferenze di Big Tech e pressioni internazionali
La vicenda esibisce l’inedito attivismo delle big tech. Meta e Apple segnalano intrusioni, mentre l’esecutivo li accusa di ostacolare la sicurezza nazionale. Il dualismo ribalta l’equilibrio: aziende private tutelano i diritti fondamentali contro un apparato statale. Al contempo, la diplomazia di Washington spinge per l’adozione di piattaforme a governance americana. L’apparizione di Donald Trump accanto a John Elkann in Arabia Saudita – con la presentazione del manager italiano come business partner – mostra la trama economica che intreccia alta finanza, media, cybersecurity e lobbying di livello elitario. Nel frattempo il Partito Democratico ha sostenuto in piazza le proteste di Michele Serra dimessosi un mese prima da Repubblica, media degli Elkan, per andare in pensione, ma un’ala filosionista, rappresentata da Gentiloni e Picerno, delinea una convergenza tattica con Forza Italia sui corridoi umanitari. Lo scenario geopolitico si intreccia ai dossier migranti e ridisegna blocchi trasversali e l’accordo Elkan e famiglia Berlusconi è oramai evidente nelle trasmissioni satellite di Mediaset e non solo. Elkann potrebbe essere l’anello di congiunzione tra un futuro esecutivo stile draghiano senza Lega e Fratelli d’Italia ed il presidente USA.
Rischi politici per Giorgia Meloni e la maggioranza
Per la presidente del Consiglio Giorgia Meloni il dossier spionaggio è la variabile più pericolosa. L’opposizione invoca la revoca delle deleghe al sottosegretario Alfredo Mantovano; la Lega vede un’occasione per recuperare centralità dopo la sconfitta referendaria; Forza Italia valuta un asse tattico con il PD per disinnescare le fughe avanti di Fratelli d’Italia sul tema sicurezza. L’eventuale indagine giudiziaria sui tre giornalisti aprirebbe un nuovo capitolo: se la procura dimostrasse l’assenza di motivazioni di sicurezza nazionale, il governo affronterebbe un fronte penale e uno politico. La mossa difensiva potrebbe consistere nel sacrificare Mantovano o spostare l’attenzione sulla riforma dei servizi, tema che richiederebbe mesi di dibattito e congelerebbe le tensioni.
Architettura tecnica degli spyware zero-click e tracciabilità forense
Gli zero-click sfruttano vulnerabilità “use-after-free” in stack multimediali: l’exploit invia un allegato manipolato che forza l’engine di anteprima ad allocare memoria contigua, sovrascrivendo il puntatore di ritorno e avviando la shell reverse. Il payload carica moduli che mappano database Signal, WhatsApp e iMessage, quindi stabilisce un canale TLS verso nodi di staging. Ogni operazione crea un entry in un registro Write-Ahead Log firmato con chiave ECC. Il vendor conserva l’hash radice per audit indipendente: se l’agenzia cancella log locali, lo scarto con la radice denuncia l’alterazione. La piena tracciabilità richiede l’accesso a entrambe le copie. Il rifiuto del governo italiano di scaricare i log da Paragon impedisce il matching crittografico e blocca la verifica forense completa.
Lo scontro fra tutela dei diritti e sicurezza nazionale
Il tema centrale resta la legittimità dell’intercettazione preventiva. La legge 124/2007 consente l’attivazione dello spyware su autorizzazione dell’Autorità delegata, ma la sentenza 170/2023 della Consulta equipara i messaggi archiviati a corrispondenza, imponendo il vaglio del procuratore generale. Il passaggio da raccolta dinamica a esfiltrazione statica diventa cruciale. Se le intercettazioni sui giornalisti includessero il dumping di chat pregresse, la procedura violerebbe il dettato costituzionale. Il governo rischia di trovarsi accusato di sorveglianza selettiva, con il pretesto della sicurezza interna a coprire il monitoraggio del dissenso e le Procure potrebbero attivarsi compresa quella di Napoli dove risiede a capo Gratteri che non è a digiuno della materia e potrebbe sfruttare l’opportunità politica di ambire alla direzione dell’ACN come auspicato da molti dopo l’anticipazione di Matrice Digitale.
Le attività di ricerca di Citizen Lab (già protagoniste nel caso Pegasus) e le contromisure di Meta mostrano come le grandi piattaforme e i gruppi di sicurezza indipendenti possano mettere in crisi un esecutivo quando emergono intercettazioni non motivate da effettive ragioni di sicurezza. La credibilità del Governo passa ora dalla trasparenza sui log di Graphite: rifiutare un confronto tecnico con Paragon significa rinunciare a dimostrare la legittimità delle operazioni.
