In Italia scoppia il caso dello spyware Paragon, la Commissione europea: “Se provato, inaccettabile”

Bruxelles – Una nuova grana bussa alle porte di Palazzo Chigi. Nel bel mezzo della bufera relativa al caso Al Masri e a pochi giorni dal terzo fallimento degli hotspot in Albania, monta la polemica per le rivelazioni del The Guardian sull’utilizzo di software di sorveglianza nei confronti del direttore di Fanpage, Francesco Cancellato, e di due membri della società civile. L’opposizione chiede l’intervento di Bruxelles. Il governo nega, la Commissione europea chiarisce: “Le indagini spettano alle autorità nazionali, ci aspettiamo che verifichino tali accuse”.

Secondo quanto riportato dal quotidiano britannico, circa una settimana fa Meta Platforms, che gestisce tra le altre la piattaforma Whatsapp, ha informato 90 persone in oltre 20 Paesi di essere state spiate attraverso il software Graphite, di produzione dell’azienda israeliana Paragon Solutions. Tra queste, oltre a Cancellato, il fondatore di Mediterranea Saving Humans, Luca Casarini, e Husam El Gomati, un attivista libico che vive in Svezia. Tutti e tre fortemente critici dell’operato e delle posizioni del governo di Giorgia Meloni.

Paragon Solutions, che vende il suo software con lo scopo di prevenire gravi reati o rintracciare criminali, ha dichiarato che i suoi clienti sono solo Paesi democratici. Ieri (5 febbraio), rispondendo alle accuse di coinvolgimento, l’ufficio della premier ha confermato che sette italiani sarebbero stati vittime di un attacco hacker attraverso lo spyware israeliano. Palazzo Chigi ha tuttavia negato che dietro le presunte violazioni ci fossero i servizi segreti nazionali o il governo.

Ma le nuove rivelazioni fornite al The Guardian da una fonte “familiare alla vicenda” mettono in difficoltà il governo. Paragon Solutions avrebbe sospeso il proprio rapporto con l’Italia già la scorsa settimana, quando sono emerse le prime accuse di un potenziale abuso del software, per poi rescindere completamente il contratto ieri sera, una volta stabilito che l’Italia aveva violato i termini di servizio e il quadro etico concordato.

Partito Democratico, Movimento 5 Stelle e Alleanza Verdi Sinistra hanno immediatamente chiesto che il governo riferisca in Parlamento dell’accaduto. Nel frattempo Pina Picierno e Sandro Ruotolo, eurodeputati dem, hanno depositato due interrogazioni scritte alla Commissione europea: “Quali misure intende adottare per accertare la portata di questa violazione e adottare misure contro gli autori di tali attacchi? Intende avviare un’indagine per accertare i responsabili e la portata di questa violazione?”, chiede la vicepresidente dell’Eurocamera Picierno. Secondo Ruotolo il caso “riguarda la Commissione europea perché in gioco c’è la violazione dei dati personali e la libertà di stampa”.

Questa mattina, durante il briefing quotidiano con la stampa, è arrivata una prima risposta dall’esecutivo Ue: “Le indagini sono questione che spetta alle autorità nazionali e non alla Commissione europea e ci aspettiamo che tali accuse vengano verificate”, ha dichiarato il portavoce Markus Lammert. Per poi sottolineare: “In generale, qualsiasi tentativo di accedere illegalmente ai dati dei cittadini, compresi giornalisti e oppositori politici, è inaccettabile, se provato naturalmente”.

Come ricordato da Lammert, l’Unione europea si è dotata recentemente di una nuova legislazione, lo European Media Freedom Act, entrato in vigore il 7 maggio 2024, ma le cui regole si applicheranno integralmente dall’8 agosto 2025. La legge prevede “garanzie specifiche per i giornalisti”, ha affermato il portavoce di Bruxelles. In effetti, uno dei nodi più spinosi del regolamento è proprio relativo alle disposizioni sull’utilizzo di software di sorveglianza, figlie dello scandalo scoppiato già nel luglio 2021 sull’utilizzo da parte di diversi governi nazionali – anche di Paesi membri, dalla Grecia all’Ungheria, dalla Spagna alla Polonia – di un altro spyware israeliano, Pegasus, per controllare giornalisti, membri della società civile e oppositori politici.

Rispetto ai severi paletti contenuti nella proposta originale della Commissione, i Paesi membri erano riusciti ad introdurre una deroga nei casi di necessità di “salvaguardare la sicurezza nazionale”. Durante i negoziati interistituzionali, il Parlamento ha insistito per limitazioni maggiori: nella forma finale della legge, l’uso di spyware è consentito soltanto caso per caso e previa autorizzazione di un’autorità giudiziaria nell’ambito di indagini su reati gravi punibili con pene detentive. Anche in queste circostanze, tuttavia, le persone interessate devono essere informate dopo che la sorveglianza è stata effettuata e potranno poi contestarla in tribunale.

Intanto, in un comunicato stampa diramato oggi, l’Autorità ellenica per la protezione dei dati ha annunciato che sta “indagando su un caso di violazione dei dati personali degli utenti di WhatsApp da parte di un malware”, a seguito di una notifica presentata da WhatsApp stessa, dato che “tra le persone colpite” risultano esserci anche utenti in Grecia.