Sembrava che lo scandalo spyware che coinvolge l’Italia si stesse affievolendo. Ma le nuove prove fornite da Citizen Lab rimettono tutto in discussione, e stavolta al centro c’è un nome preciso: Ciro Pellegrino, giornalista della testata Fanpage.
Secondo un’indagine forense condotta sul suo iPhone, Pellegrino è stato infettato da Graphite, uno spyware di produzione israeliana realizzato dall’azienda Paragon, già noto per essere stato impiegato in operazioni di sorveglianza da parte di governi europei.
Non è il solo. Insieme a lui, anche un altro giornalista europeo, rimasto anonimo, ha ricevuto un attacco simile lo stesso giorno, il 29 aprile 2025.
Entrambi i dispositivi mostravano segnali inequivocabili di un’infezione collegata a Paragon, confermata dal fatto che i telefoni comunicavano con server già associati in passato all’infrastruttura della società israeliana.
Per i ricercatori di Citizen Lab non ci sono dubbi: i due giornalisti sono stati bersaglio dello stesso cliente di Paragon. E le circostanze fanno pensare che quel cliente possa avere sede in Italia.
Una denuncia che chiama in causa il governo
Pellegrino, sorpreso e indignato, ha espresso apertamente la sua delusione verso l’atteggiamento del governo Meloni.
“La premier è una giornalista come me. Perché non ha detto una parola a difesa di chi fa il nostro mestiere?”, ha dichiarato a TechCrunch. Il suo collega Francesco Cancellato, direttore di Fanpage, era già stato tra i primi nomi noti a ricevere una notifica da WhatsApp mesi fa, confermando il sospetto di un attacco mirato alla redazione.
Il COPASIR, comitato parlamentare che vigila sui servizi segreti italiani, aveva però escluso che Cancellato fosse stato spiato. E il suo rapporto, pur confermando che AISI e AISE (le due principali agenzie italiane di intelligence) hanno effettivamente acquistato lo spyware di Paragon, non menzionava il caso di Pellegrino.
Ora, con nuove prove forensi, le conclusioni del COPASIR appaiono sempre meno convincenti.
“Sette giorni fa sembrava che l’Italia volesse archiviare la questione. Ora dovrà fare i conti con nuove evidenze”, ha dichiarato John Scott-Railton, senior researcher di Citizen Lab. E ha rilanciato la domanda che tutti evitano: chi ha usato Graphite per spiare i giornalisti italiani?
Attacchi invisibili e cluster di bersagli
Secondo i ricercatori, l’attacco è avvenuto tramite iMessage e non ha richiesto alcuna azione da parte delle vittime.
Si tratta di un attacco “zero-click”, tra le modalità più insidiose di sorveglianza. A rendere il tutto ancora più inquietante, il fatto che entrambi i giornalisti abbiano ricevuto la stessa notifica da Apple lo stesso giorno. È la prima volta che Citizen Lab riesce a legare in modo diretto un’infezione da Graphite a Paragon.
Pellegrino ha chiarito di non aver partecipato alle grandi inchieste su Fratelli d’Italia o sull’immigrazione, ma di dirigere la redazione di Fanpage a Napoli. Eppure, proprio questo dettaglio lo rende un bersaglio strategico, secondo i ricercatori: “Forse si cercava di colpire Fanpage accedendo al suo telefono”.
Secondo Citizen Lab, i giornalisti in questione non sarebbero gli unici nel mirino. L’indagine conferma che anche Luca Casarini e Beppe Caccia, attivisti della ONG Mediterranea Saving Humans, sono stati infettati da Graphite.
E i casi sospetti continuano ad aumentare: tra questi anche quello di David Yambio, presidente di Refugees in Libya, per cui però non è stato possibile identificare con certezza lo spyware impiegato.
Una rete opaca e ancora senza responsabili
Il nodo centrale resta la mancata attribuzione degli attacchi. Nonostante le prove tecniche, Citizen Lab non ha ancora indicato ufficialmente quale governo sia dietro agli attacchi, ma tutto porta all’Italia.
Il sospetto è che, fino a metà febbraio, le agenzie italiane abbiano continuato a usare Graphite, anche dopo che l’allarme era già stato lanciato da WhatsApp. Proprio il giorno di San Valentino, secondo il COPASIR, sarebbe stata sospesa ogni attività di sorveglianza condotta con Paragon.
Il caso di Pellegrino, unito a quello dei suoi colleghi, mette a nudo un meccanismo opaco e potenzialmente abusivo, in cui la tecnologia di sorveglianza ha supera le barriere legali e democratiche.
A questo punto non si tratta più solo di uno scandalo tecnologico ma di un problema politico. “Chi ha ordinato queste operazioni?”, chiede Citizen Lab. È una domanda che, almeno per ora, non ha ricevuto risposta.
