Spyware Graphite: le implicazioni legali e la protezione della privacy

Lo scorso 31 gennaio, Meta ha comunicato di aver interrotto una campagna di spionaggio globale condotta tramite lo spyware Graphite, ai danni di un centinaio di giornalisti e attivisti, tra cui anche diversi italiani. Graphite è un software spia prodotto dalla società israeliana Paragon Solution. La società avrebbe segnalato un impiego non lecito dei propri strumenti da parte delle autorità italiane, in violazione con il codice etico imposto dalla stessa che impedisce l’utilizzo degli spyware per sorvegliare politici, attivisti e/o giornalisti.

Sebbene i dettagli su questo caso siano ancora limitati, come chi abbia effettivamente commissionato l'uso di Graphite per spiare le persone coinvolte, e quali dati siano stati raccolti e analizzati, la vicenda solleva una questione importante: il cyber spionaggio è una minaccia concreta e attuale, che coinvolge in modo diretto la sicurezza digitale e la privacy degli individui.

Graphite: di cosa si tratta

Graphite è uno spyware che consente agli aggressori di raccogliere informazioni sensibili dai dispositivi degli utenti. In particolare ha accesso a:

• foto;
• video;
• contatti;
• messaggi.

Può trasformare il telefono in un microfono ambientale, ottenendo accesso completo al microfono (attivazione / disattivazione). Così come ha accesso alle telecamere del dipositivo, che può accendere o spegnere. 

Questo software può essere distribuito tramite attacchi "zero click", che non richiedono alcuna interazione da parte della vittima. Sfrutta infatti vulnerabilità dei sistemi operativi, ma anche delle app di messaggistica come WhatsApp e Signal. Riesce così ad aggirare anche la crittografia end-to-end e ad accedere in chiaro alle comunicazioni. Una volta attivo, lo spyware non lascia alcuna traccia evidente, fatto che rende il suo rilevamento molto complesso anche ad utenti esperti.

Per approfondire > Tra spionaggio e cybersecurity
 

Paragon, il precedente dello scandalo Pegasus

Il caso dell'abuso nell'uso dello spyware Graphite richiama alla mente quello del software Pegasus, sviluppato da NSO Group e utilizzato nel 2021 contro attivisti, giornalisti, capi di stato e leader politici in tutto il mondo. Pegasus è stato impiegato da cinque Paesi (Spagna, Arabia Saudita, India, Emirati Arabi Uniti) e consente agli aggressori di ottenere il pieno controllo dei dispositivi mobili delle vittime. Tra le capacità del software vi sono l'accesso ai messaggi, l'intercettazione delle chiamate e l'uso del telefono come dispositivo di ascolto remoto.

Pegasus continua a suscitare polemiche e scandali, tornando regolarmente sotto i riflettori a causa dei suoi abusi e delle sue implicazioni per la privacy e la sicurezza. Una sua versione è perfino finita in vendita nel dark web, fornendo al cyber crimine uno strumento estermamente potente di spionaggio illegittimo.

Garante privacy: stop all’uso illecito di Graphite

Il 14 febbraio 2025, il Garante per la protezione dei dati personali ha emesso un avvertimento riguardo l'uso dello spyware Graphite. L'Autorità ha ribadito che l'utilizzo di software come Graphite, o di sistemi analoghi, al di fuori degli usi previsti dalla legge, viola il Codice della Privacy e può comportare sanzioni amministrative severe, fino a 20 milioni di euro o al 4% del fatturato annuale di chi ne fa uso.

In particolare, il Garante ha sottolineato che le intercettazioni elettroniche devono rispettare le normative sulla protezione dei dati personali, e che possono essere condotte solo per finalità specifiche, come la sicurezza della Repubblica, la prevenzione e la lotta contro i crimini. L’uso di spyware per raccogliere dati senza il consenso dell’interessato è pertanto considerato illecito, come specificato dall’Articolo 122 del Codice della Privacy, a meno che non sia strettamente necessario per motivi di sicurezza nazionale o di indagine.

L'Autorità ha anche fatto sapere che si riserva il diritto di intraprendere ulteriori azioni per identificare gli autori delle attività di spionaggio che violano le leggi sulla privacy, facendo rispettare i diritti degli utenti coinvolti.

Qui è disponibile il provvedimento completo del Garante.

Privacy e democrazia sono due facce della stessa medaglia

L'uso dello spyware Graphite solleva una questione cruciale: come bilanciare le esigenze di sicurezza nazionale con la protezione della privacy individuale. Sebbene le tecnologie di sorveglianza possano essere determinanti nella lotta contro il terrorismo e la criminalità organizzata, così come nel garantire la sicurezza pubblica, è fondamentale che il loro impiego non sia indiscriminato. Deve essere sempre limitato, proporzionato e giustificato da ragioni di sicurezza effettiva.

Il Codice della Privacy, come sottolineato dal Garante, stabilisce principi chiari: l'accesso alle informazioni personali e le intercettazioni devono rispettare i diritti fondamentali, come quello alla privacy. Inoltre, non possono avvenire senza il consenso dell'interessato, salvo specifiche eccezioni legate alla sicurezza e alla prevenzione dei reati. Il rispetto di tali norme è essenziale per evitare abusi e garantire che la privacy dei cittadini sia tutelata, anche in contesti di alta sicurezza.

Nonostante l'esistenza di dispositivi normativi, come il Media Freedom Act che vieta esplicitamente l'uso di software spia contro giornalisti e politici, il rischio di violazioni permane. Se lo spionaggio viene applicato senza rigide misure di controllo, esso rappresenta una minaccia per le libertà individuali e per la democrazia stessa.  La violazione della privacy, infatti, impatta sul concetto di forma di Stato e sbilancia il rapporto tra potere e cittadini, tutto a vantaggio di chi detiene le informazioni. 

In questo scenario, le istituzioni devono continuare a lavorare per trovare un equilibrio tra la protezione della sicurezza nazionale e la tutela dei diritti individuali. Solo così sarà possibile garantire la sicurezza, senza pregiudicare la libertà e la democrazia.

Spyware? C’è una soluzione

Nel caso specifico di Graphite, i tradizionali rilevatori di malware non sarebbero stati in grado di rilevare lo spyware, ma Interceptor lo avrebbe individuato. Si tratta del primo software al mondo in grado di analizzare da remoto qualsiasi dispositivo. In particolare Interceptor analizza attentamente le connessioni e le comunicazioni in uscita, esaminando l'origine, la direzione, il protocollo utilizzato, il dominio, l'indirizzo IP e la porta in uso. Per saperne di più riguardo Interceptor visita il sito web.