L’ombra digitale: come gli spyware israeliani hanno trasformato la sorveglianza globale

Negli ultimi anni il confine tra sicurezza nazionale e controllo di massa si è fatto sempre più sottile, grazie a una tecnologia silenziosa e potentissima: lo spyware per dispositivi mobili. Aziende private, quasi tutte con sede in Israele o legate a quel paese, hanno sviluppato strumenti in grado di trasformare uno smartphone in una microspia sempre accesa. Il caso più celebre è Pegasus, della NSO Group, ma accanto a esso sono emersi altri software come Graphite di Paragon Solutions, utilizzato anche da governi democratici come quello italiano e statunitense. Le inchieste giornalistiche e i rapporti accademici rivelano un quadro inquietante: decine di governi, comprese le democrazie occidentali, hanno comprato questi strumenti, spesso senza un adeguato controllo giudiziario, finendo per spiare non solo terroristi e criminali, ma anche giornalisti, attivisti per i diritti umani, avvocati e persino membri del parlamento.

Lo spyware perfetto: il caso Pegasus

Per comprendere la portata del fenomeno, bisogna partire dal funzionamento di questi software. Come spiegato in un articolo di Scientific American, Pegasus è uno spyware sviluppato dalla società israeliana NSO Group. La sua caratteristica più dirompente è la capacità di infettare un telefono senza che la vittima faccia nulla: i moderni attacchi “zero-click” non richiedono di cliccare su un link malevolo o di aprire un allegato. Basta, per esempio, ricevere una chiamata su WhatsApp che non viene nemmeno mai risposta, o un messaggio iMessage invisibile. A quel punto il software si insedia nel sistema operativo, diventando invisibile e persistente, e apre una porta che consente agli operatori di estrarre messaggi, foto, cronologia delle chiamate, password, ma anche di attivare a distanza microfono e fotocamera. È come se il telefono si trasformasse in una talpa, registrando ogni conversazione intima, ogni movimento tracciato dal GPS, ogni parola digitata prima ancora di essere inviata.

L’azienda israeliana dichiara di vendere Pegasus solo a governi “responsabili”, per combattere terrorismo e crimini gravi. Tuttavia, un’inchiesta del consorzio giornalistico Forbidden Stories (Project Pegasus) ha dimostrato che molti governi acquirenti hanno usato il software anche contro oppositori politici, giornalisti e avvocati di diritti umani. Tra le vittime accertate figurano membri della società civile in Messico, India, Ungheria, Marocco e Arabia Saudita. La NSO Group è stata poi inserita nella lista nera del Dipartimento del Commercio degli Stati Uniti, ma questo non ha fermato il mercato globale degli spyware.

Il caso italiano: Graphite, Paragon e l’ONG Mediterranea

Un articolo pubblicato dal Guardian nel marzo 2025, invece, getta luce su un episodio che coinvolge direttamente l’Italia. Il governo italiano, secondo quanto emerso in audizione parlamentare, ha approvato l’uso dello spyware chiamato Graphite, prodotto da Paragon Solutions. Il bersaglio dichiarato sarebbero stati i fondatori dell’ONG Mediterranea Saving Humans, un’organizzazione che svolge attività di soccorso dei migranti nel Mediterraneo centrale. Il sottosegretario alla presidenza del Consiglio con delega ai servizi segreti, Alfredo Mantovano, ha ammesso di fronte al Copasir (il comitato parlamentare per la sicurezza della Repubblica) che l’esecutivo ha autorizzato l’installazione di Graphite sui dispositivi dei membri dell’ONG, ritenendoli una potenziale minaccia per la sicurezza nazionale.

La notizia ha suscitato un vespaio di polemiche, perché l’uso di spyware su attivisti per i diritti umani, che non sono indagati per reati di terrorismo, solleva serie questioni di legittimità e proporzionalità. Inoltre, è emerso che il governo italiano non si sarebbe limitato a monitorare i membri di Mediterranea, ma avrebbe preso di mira anche un giornalista che indagava sulla vicenda. Paragon Solutions ha annunciato di aver sospeso il rapporto con l’Italia dopo lo scoppio dello scandalo, e cinque procure italiane hanno aperto indagini per verificare se ci siano stati abusi o violazioni della legge sulla privacy e del segreto istruttorio.

L’episodio italiano non è isolato. Dimostra che anche i governi europei, considerati generalmente rispettosi dei diritti civili, non esitano a servirsi di questi strumenti quando ritengono di dover proteggere presunte ragioni di Stato. Il fatto che l’azienda fornitrice sia israeliana è una costante: Paragon Solutions, come NSO, ha sede a Herzliya, nel cuore dell’ecosistema hi-tech della difesa israeliana.

Perché quasi tutti comprano da Israele? L’analisi del Carnegie Endowment

Un rapporto del Carnegie Endowment for International Peace pubblicato nel marzo 2023, fornisce una risposta strutturale alla domanda: perché i governi di tutto il mondo si rivolgono quasi esclusivamente ad aziende israeliane per acquistare spyware? I ricercatori hanno analizzato 74 governi che tra il 2011 e il 2023 hanno acquisito tecnologie di sorveglianza mobile. Il risultato è schiacciante: il 76% di essi (56 governi) ha stipulato contratti con società con sede in Israele o a essa collegate, come NSO Group, Cellebrite, Cytrox, Candiru e Paragon.

Lo studio individua diverse ragioni. Primo, Israele ha costruito una filiera tecnologica unica al mondo, combinando competenze militari (unità 8200, l’equivalente della NSA) e un ecosistema di venture capital che sostiene startup nel campo della cybersecurity offensiva. Secondo, il governo israeliano ha tradizionalmente adottato un approccio permissivo verso l’export di queste tecnologie, regolamentandole come “dual use” (civili e militari) ma esercitando un controllo molto lasco rispetto agli standard occidentali. Terzo, le aziende israeliane offrono un rapporto qualità-prezzo molto competitivo e una garanzia di efficacia: i loro spyware sono spesso in grado di bucare anche i sistemi operativi più aggiornati, compresi quelli di Apple e Google.

Il rapporto del Carnegie, tuttavia, mette in guardia: non sono solo le dittature a comprare. Anche le democrazie liberali, Stati Uniti, Gran Bretagna, Germania, Francia e Italia, hanno acquistato o utilizzato tali strumenti, a volte in modo segreto e senza adeguato controllo parlamentare. La conseguenza è che il mercato globale degli spyware continua a prosperare, alimentato da una domanda insaziabile da parte degli apparati di intelligence e di polizia, e da una regolamentazione internazionale frammentata e inefficace.

Il ruolo degli Stati Uniti: ICE, Paragon e le contraddizioni americane

A completare il quadro, due articoli pubblicati su Wired e TechCrunch rivelano un’altra tessera importante: anche il governo degli Stati Uniti, nonostante le sanzioni contro la NSO Group, ha fatto affari con Paragon Solutions. Nel settembre 2024, l’agenzia ICE (Immigration and Customs Enforcement) ha firmato un contratto da 2 milioni di dollari con Paragon per utilizzare il suo spyware Graphite. L’amministrazione Biden, inizialmente, aveva sospeso il contratto per motivi non meglio specificati. Tuttavia, come riporta TechCrunch nel settembre 2025, l’amministrazione ha revocato l’ordine di sospensione, rendendo nuovamente attivo il contratto.

Questo episodio mette in luce l’ipocrisia della posizione americana. Da un lato, Washington ha sanzionato la NSO Group per aver fornito spyware a governi che li hanno usati contro dissidenti e giornalisti. Dall’altro lato, l’ICE, un’agenzia che si occupa di immigrazione e controllo delle frontiere, acquista strumenti analoghi da un’altra azienda israeliana, per scopi che non sono mai stati chiariti pubblicamente. Le organizzazioni per i diritti civili hanno denunciato il rischio che Graphite venga utilizzato per monitorare immigrati, richiedenti asilo e attivisti pro-immigrazione, senza alcuna garanzia giurisdizionale.

Le conseguenze per la democrazia e i diritti fondamentali

L’insieme di questi casi, ossia Pegasus, Graphite in Italia e il contratto ICE negli USA, disegna una geografia inquietante. Non esiste più una netta separazione tra regimi autoritari e democrazie nell’uso degli spyware. La differenza è spesso solo di grado e di controllo giudiziario. In molti paesi democratici, le autorizzazioni vengono rilasciate da organismi di intelligence (come il Copasir in Italia o il FISA Court negli USA) con scarsa trasparenza e possibilità di abuso.

Le vittime di questi software raramente vengono a sapere di essere state sorvegliate. Solo quando un’inchiesta giornalistica o un’analisi forense indipendente (come quelle condotte dal Citizen Lab dell’Università di Toronto) riesce a rilevare tracce dell’infezione, si può ricostruire l’accaduto. Per i bersagli, attivisti, avvocati e giornalisti, le conseguenze sono devastanti: perdita della riservatezza delle fonti, intimidazione, rischio di ritorsioni fisiche, erosione del segreto professionale.

Il rapporto del Carnegie conclude che per arginare questa deriva sarebbero necessarie misure radicali: un trattato internazionale che vieti il commercio di spyware offensivi, una moratoria sull’uso da parte delle agenzie governative fino a quando non vengano introdotti rigorosi controlli giudiziari preventivi, e la creazione di un organismo di vigilanza indipendente. Ma al momento la volontà politica è debole, perché molti governi sono contemporaneamente acquirenti e protettori dell’industria israeliana.

Il futuro: regolamentazione o proliferazione incontrollata?

Guardando avanti, la tendenza è verso una proliferazione ancora maggiore. Aziende come Paragon, NSO, Cytrox continuano a innovare, sviluppando spyware sempre più difficili da rilevare e in grado di eludere i sistemi di sicurezza integrati nei telefoni. Nel frattempo, anche paesi come Russia, Cina e Corea del Nord stanno sviluppando proprie capacità autonome, riducendo la dipendenza da Israele. Ma per ora il primato resta israeliano, alimentato da un ecosistema che unisce intelligence militare, capitale privato e bassa regolamentazione.

Il caso italiano del 2025 indica, putroppo, che nessun governo democratico è immune dalla tentazione di usare questi strumenti contro attivisti scomodi, spacciandoli per minacce alla sicurezza nazionale. Finché non ci sarà una reazione coordinata dell’Unione Europea e degli Stati Uniti per imporre una moratoria e trasparenza totale sugli acquisti, ogni cittadino con un telefono in tasca potrà potenzialmente diventare un bersaglio. La lezione di Pegasus e Graphite è chiara: il potere di sorvegliare senza sapere, senza giudice e senza limite è già nelle mani di pochi governi, e la democrazia rischia di essere la prima vittima.