Una exit clamorosa. Era stata definita così, a dicembre, la vendita di una giovane società israeliana del settore cyber offensivo al fondo di private equity americano AE Industrial Partners per mezzo miliardo di dollari, che potevano arrivare a 900 milioni a seconda del raggiungimento degli obiettivi di crescita e redditività.

Quasi uno status da unicorno per Paragon, un’azienda fondata nel 2019 da un gruppo di ex membri della 8200, una delle tre unità del Direttorato di intelligence militare delle Forze di Difesa israeliane (IDF) responsabile della raccolta di informazioni e segnali di intelligence (SIGINT), e dello sviluppo di strumenti ad hoc.



Paragon, che ora ha circa 450 dipendenti, è un’azienda che da subito puntava ad avere credenziali altissime. Tra i fondatori ha Idan Norik, che ricopre il ruolo di CEO, Lior Avraham, Liran Alkobi e Igor Bogdanov. Come presidente conta su Ehud Schneerson, che ha un passato da comandante della stessa unità di intelligence militare. E come azionista e membro del board accampa niente meno che l’ex primo ministro laburista ed ex capo di Stato Maggiore Ehud Barak.

Lo spyware Graphite



Il suo prodotto di punta è il software Graphite, uno spyware, di cui però è trapelato molto poco a livello tecnico. Sembra avere le caratteristiche di altri spyware, o trojan, che si sono visti in passato, assumendo il controllo del cellulare e intercettando le comunicazioni su app di comunicazione come Whatsapp, Signal, Telegram, Gmail. Questa è l’unica funzione che viene ribadita su media e in tempi diversi.

Alcuni parlano di capacità di persistenza (uno spyware che resista a un reboot, riavvio del dispositivo) ma anche di un tipo di software più limitato nel suo accesso al dispositivo di altri. Ma la parte tecnica al momento è ancora troppo vaga.

Il contesto del mercato degli spyware



Quello su cui ci sono più informazioni è come si posiziona Paragon e il suo contesto. Il contesto è quello delle società che vendono spyware ai governi per attività investigative di tipo giudiziario o di intelligence. Un settore di business cresciuto negli ultimi anni, ma che ha sollevato molte polemiche (e commissioni d’inchiesta, come l’europea PEGA) per l’uso di questi strumenti contro giornalisti e oppositori politici.

Polemiche che si sono concretizzate in attenzione mediatica e politica, inchieste giudiziarie, cause legali (Whatsapp contro NSO, ad esempio), nonché attacchi informatici e leak di informazioni. Tanto che la sua concorrente diretta, l’israeliana NSO che produce lo spyware Pegasus, era stata inserita dagli USA nella Entity List, una sorta di blacklist del dipartimento del Commercio, dall’amministrazione Biden, insieme ad altre due aziende fondate da israeliani e specializzate in spyware, Candiru e Intellexa.

Paragon e il posizionamento sui clienti



È chiaro dunque perché, fino a poco tempo fa, Paragon sottolineasse come fosse riuscita a entrare nell’elenco dei fornitori approvati dal governo statunitense anche per la scelta più “etica” di vendere solo a Paesi democratici, escludendo regimi o Stati accusati di violare i diritti umani. Paragon, l’azienda di spyware etici. Un’affermazione dura da digerire per qualunque attivista dei diritti digitali, ma che aveva una ratio molto chiara, a livello di business, e anche un certo posizionamento politico. Anche in Israele e nel rapporto con gli Usa.

In sintesi: opposizione politica a Netanyahu, vicinanza all’amministrazione dem negli Usa. Quindi, mentre NSO, azienda determinante nella diplomazia cyber di Netanyahu, e investita dalle inchieste giornalistiche come il Pegasus Project sui presunti abusi del suo spyware Pegasus, veniva stigmatizzata dagli Usa di Biden, Paragon tesseva la sua tela commerciale e diplomatica a Washington (qui una interpretazione di destra israeliana in merito a questi posizionamenti).

Questo per abbozzare il piano – molto più complesso – della politica. Su quello del business il settore delle startup cyber israeliane ha salutato con entusiasmo l’exit di Paragon, malgrado l’apparente resistenza del ministero della Difesa a concedere l’autorizzazione senza problemi e forse anche malgrado lo scontento di alcuni settori dell’intelligence.

“Ad oggi – scriveva Calcalist – Paragon ha raccolto solo circa 30 milioni di dollari, quindi si tratta di un elevato ritorno sull’investimento, anche se non tutto l’accordo è stato fatto in contanti e una parte sarà in azioni della società risultante dalla fusione”.



Il fondo AE prevede di fondere Paragon con un’altra società in portafoglio, RED LATTICE, che lavora nel settore della Difesa. “L’accordo – scrive Globes – consentirà a Paragon di espandere la propria presenza sul mercato in paesi come il Regno Unito e l’Irlanda, l’Australia, la Nuova Zelanda, il Canada e gli Stati Uniti”.

Tutto questo per arrivare all’annuncio di Meta/Whatsapp del 31 gennaio, che arriva come una bomba per la società, fino ad oggi non interessata da inchieste o polemiche, e con un profilo riservatissimo. Whatsapp fa sapere ad alcuni media che la società ha inviato a Paragon una lettera di diffida, intimando la cessazione dell’attività di hacking di alcuni suoi utenti.

Un tentativo di violazione di circa 90 utenti, in più di 24 Paesi, incluse delle persone in Europa, a cui erano stati inviati documenti elettronici malevoli [pdf diffusi in chat di gruppo, dice il Guardian, ndr] che non richiedevano alcuna interazione da parte dell’utente per la compromissione, ovvero un attacco zero-click. Distribuito a dicembre.

In questi 90 sono inclusi membri della società civile e giornalisti, dicono i portavoce Whatsapp ai media, anche se non è chiaro se lo siano tutti o solo una parte (non trovo comunicati ufficiali di Whatsapp e bisogna distillare le parole esatte dai diversi media).

Le vittime dello spyware



Alcuni però, di sicuro, stanno in Italia. Whatsapp ha infatti inviato un avviso a tutte le vittime. Tra queste c’è anche il direttore di Fanpage Francesco Cancellato, come racconta la stessa testata il 31 gennaio. A cui si aggiunge l’attivista Luca Casarini, capomissione e uno dei fondatori della ong Mediterranea; e poi l’attivista libico Husman El Gomati, critico delle politiche sui migranti fra Italia e Libia.

Nei giorni eccessivi emergono altri nomi ipoteticamente colpiti dallo spyware, e legati alla stessa Mediterranea, come il suo armatore Beppe Caccia. Nel frattempo alcune testate internazionali scrivono che Paragon in Italia avrebbe due clienti, una agenzia di polizia e una di intelligence.

Il balletto italiano



A questo punto parte il balletto tutto italiano su cui i lettori sono sicuramente bene informati e su cui non mi dilungo. Le richieste di chiarimenti al governo, il governo che nega di c’entrare, e in una nota “esclude che [gli utenti italiani, ndr] siano stati sottoposti a controllo da parte dell’intelligence, e quindi del Governo”. Aggiunge di aver incaricato l’Agenzia per la Cybersicurezza Nazionale, che dipende dalla Presidenza del Consiglio, di interloquire con lo studio legale Advant, che segue WhatsApp.

Da questa interlocuzione fanno sapere che le utenze italiane tra le 90 prese di mira sono 7. E spiattellano anche chi sarebbero potenzialmente gli altri clienti di Paragon in Europa, per la gioia degli altri governi (va detto che un’utenza di un certo Paese non significa necessariamente che quel Paese abbia lo spyware, una persona potrebbe essere un target di intelligence straniere. Ma in generale le probabilità sono alte, specie se le utenze sono tante):

“Dalla medesima interlocuzione si ricava che le utenze fino ad ora coinvolte appartengono a numeri con prefissi telefonici riconducibili, oltre all’Italia, ai seguenti Paesi: Belgio, Grecia, Lettonia, Lituania, Austria, Cipro, Repubblica Ceca, Danimarca, Germania, Paesi Bassi, Portogallo, Spagna e Svezia“.

Chi ha usato Paragon, di grazia?



Ma se, da comunicazione ufficiale, non sono i servizi, possono essere i servizi all’insaputa del governo? E se non sono i servizi tout court, allora non sarà l’autorità giudiziaria, una procura, visto che da anni questo genere di strumenti, simili a Graphite di Paragon, sono usati in indagini? Lo stesso governo ha di fatto alluso alle Procure. Anche se secondo il Messaggero , “nessuna delle procure distrettuali più grandi e più importanti d’Italia ha in uso il sistema di spionaggio israeliano, che permette di esfiltrare dati, ascoltare conversazioni e localizzare le persone. Graphite non è impiegato per le intercettazioni né a Roma, né a Milano, né a Napoli, né a Palermo, né a Genova”.

Di certo però in passato non sono mancate inchieste delle procure e della Direzione nazionale antimafia su Ong che si occupano di salvataggio dei migranti. E più di una utenza delle sette italiane fa parte di questo mondo.

Nel mentre Paragon ha fatto sapere di avere prima chiesto chiarimenti e poi di aver chiuso i contratti in Italia per violazione dei termini degli stessi, che non consentono di colpire con il software spia giornalisti o membri della società civile, scrive la stampa estera. Oggi però al Fatto fonti dell’esecutivo dicono che lo spyware sarebbe ancora in uso.

Di tutta la vicenda, l’aspetto forse più inquietante è questa melina istituzionale su un tema cruciale. In cui, tra le vittime, abbiamo almeno un giornalista che ha coordinato inchieste critiche e imbarazzanti per il governo. E attivisti che, per essere intercettati in questa maniera nella cornice di un’inchiesta, dovrebbero essere accusati di reati molto pesanti.

* da Guerre di Rete

10 Febbraio 2025 - © Riproduzione possibile DIETRO ESPLICITO CONSENSO della REDAZIONE di CONTROPIANO