Il rapporto del gruppo Citizen Lab ha rivelato che i dispositivi di tre figure chiave dell'informazione e del soccorso umanitario in Italia sono stati infettati dallo spyware Paragon. L'analisi ha coinvolto lo smartphone di Francesco Cancellato, direttore di Fanpage.it, quello di Luca Casarini, fondatore di Mediterranea Saving Humans, e Giuseppe Caccia, responsabile delle operazioni della stessa organizzazione.
Le analisi forensi e le notifiche di WhatsApp
Gli esperti di Citizen Lab basano le loro conclusioni sulla notifica ricevuta a gennaio 2025 dagli account WhatsApp dei soggetti coinvolti. Secondo Meta, i dispositivi potrebbero essere stati infettati da uno spyware individuato e bloccato già a dicembre. La metodologia utilizzata per l’analisi è stata BIGPRETZEL, uno strumento capace di identificare lo spyware Graphite su dispositivi Android.
Le tracce dello spyware sui telefoni analizzati
Nel telefono di Giuseppe Caccia sono state rintracciate sette tracce del software malevolo, datate tra il 22 dicembre 2024 e il 31 gennaio 2025. Sul dispositivo di Luca Casarini è stata trovata una traccia risalente al 23 dicembre 2024. Nessun segnale evidente, invece, sullo smartphone di Francesco Cancellato, ma gli esperti precisano che l’assenza di prove dirette non esclude un’infezione pregressa, magari cancellata da altri dati.
Il caso di David Yambio e le possibili connessioni con Paragon
Il report menziona anche il caso di David Yambio, portavoce di Refugees From Libya, il cui iPhone ha ricevuto un avviso da Apple il 13 novembre 2024, segnalando una possibile infezione da spyware. Le analisi hanno confermato l’attività di un software malevolo sul suo dispositivo, ma non è stato possibile attribuirlo con certezza a Paragon, né a spyware noti come Pegasus di NSO Group.
Citizen Lab ha dichiarato che l’indagine è ancora in corso e che spetta ora alle autorità governative fornire risposte concrete sugli attacchi informatici condotti in Italia.
