Il comitato che vigila sui servizi segreti potrebbe rompere il tabù della segretezza, rendendo pubblica l’audizione della società dello spyware. I commissari hanno pubblicato una nota di “stupore” dopo le dichiarazioni dell’azienda al giornale israeliano Haaretz
Prima Paragon. Poi l’intelligence italiana. Infine il Copasir, ovvero il comitato parlamentare che vigila sull’operato dei servizi segreti, che dipendono dal presidente del Consiglio, ed è presieduto da un membro dell’opposizione (oggi Lorenzo Guerini del Partito democratico). Quella odierna è stata una giornata rovente sul fronte del caso dello spyware Graphite, sviluppato dalla società israeliana Paragon, utilizzato per spiare, tra gli altri, il giornalista Francesco Cancellato, direttore di Fanpage. Da chi, non è ancora chiaro. Non dall’intelligence italiana, ha ribadito il Copasir annunciando anche la decisione di desecretare i contenuti dell’audizione con Paragon. Una mossa inedita per il comitato, deciso a fare chiarezza sull’attività dei servizi segreti italiani, specie in una caso che riguarda la libertà di stampa, anche a costo di far cadere un tabù pesante come la segretezza sull’operato del comitato stesso.
La relazione del Copasir
La scorsa settimana il Copasir aveva consegnato al parlamento una relazione sulla vicenda, frutto di una serie di audizioni. Compresa quella del 9 aprile, durata un’ora, dell’avvocato Yoram Raved, in rappresentanza di Paragon. Nel documento, approvato all’unanimità, si spiega che le intercettazioni degli attivisti della ong Mediterranea erano state autorizzate da più presidenti del Consiglio, a iniziare da Giuseppe Conte. Quanto a Cancellato, non è stata l’intelligence italiana a intercettare il giornalista, ha concluso il Copasir. Che ha lasciato così aperte le piste dell’attività di un’intelligence straniera (che potrebbe essere stata interessata dal lavoro di Fanpage su Fratelli d’Italia, il partito della presidente del Consiglio, Giorgia Meloni) o di una società privata (ma Paragon dice di vendere Graphite solo a governi o agenzie statali autorizzate e il danno reputazionale in un mercato come quello degli spyware è considerato elevatissimo).
La nota di Paragon
Stamattina, in una nota riportata da Haaretz, Paragon ha fatto sapere di aver “offerto sia al governo sia al Parlamento italiano un modo per determinare se il suo sistema fosse stato utilizzato contro il giornalista” Cancellato “in violazione della legge italiana e dei termini contrattuali”. Come riferito dalla testata israeliana, Paragon ha accusato il governo di non aver voluto usufruire dei mezzi messi a disposizione: “Poiché le autorità italiane hanno scelto di non procedere con questa soluzione, Paragon ha risolto i suoi contratti in Italia”. Dopo la nota, Matteo Renzi, ex presidente del Consiglio oggi leader di Italia Viva, ha chiesto che “si faccia chiarezza in parlamento e non al Copasir su questo Watergate all’italiana”.
La replica
Nel pomeriggio, però, fonti dell’intelligence italiana hanno replicato a Paragon su due punti: la fine dei contratti e gli accertamenti. “Non vi è mai stata rescissione unilaterale a seguito di presunte condotte illegali delle agenzie di intelligence italiane”, hanno dichiarato facendo riferimento anche dalla relazione del Copasir; la decisione di siglare un “documento che conclude le relazioni commerciali fra le parti, senza ulteriori richieste o incombenze” è stata presa tra le agenzie di intelligence e Paragon in data 12 aprile 2025. Quanto alla disponibilità di Paragon, ovvero un’azienda privata, a installare un proprio software su server di strutture che si occupano della sicurezza nazionale, le fonti precisano che “gli strumenti di controllo che erano stati offerti (…) si limitavano alle seguenti due opzioni: l’analisi delle attività di inoculazione (e perciò dei log di sistema) tramite un software proprietario della stessa società, oppure l’analisi diretta da parte di personale Paragon presso le sedi e i sistemi dei servizi italiani”; per questo le agenzie “non hanno ritenuto accettabile la proposta di Paragon di effettuare una verifica sui log” in quanto “pratiche invasive, non verificabili nell’ampiezza, nei risultati e nel metodo e, pertanto, non conformi alle esigenze di sicurezza nazionale”. Infatti, hanno dichiarato ancora, “ove tali verifiche fossero state realizzate da un soggetto privato e straniero, avrebbero severamente compromesso la reputazione delle agenzie italiane nella comunità intelligence internazionale ed esposto dati per loro natura riservati”.
Le verifiche effettuate
Le stesse fonti d’intelligence hanno ribadito che “non vi è mai stato alcun rifiuto, o opposizione, da parte del governo e dei servizi italiani, di prestare collaborazione” al Copasir. Quest’ultimo ha potuto “effettuare accertamenti sui log delle inoculazioni realizzate dalle agenzie – operazione di verifica che non ha precedenti –, riscontrando la conformità a quanto dichiarato da queste ultime. Il Comitato, in particolare, ha avuto accesso ai sistemi Graphite installati presso Aisi e Aise e ha posto in essere tutti i test che ha ritenuto necessari. Inoltre, il Copasir ha verificato presso il Dis la documentazione relativa alle attività captative effettuate con Graphite, che per legge deve essere custodita nell’archivio segreto del Dipartimento, entrando nei database”.
Il comunicato del Copasir
I membri del Copasir hanno dichiarato “stupore” per le dichiarazioni attribuite a Paragon e pubblicate da Haaretz. All’unanimità, i commissari hanno dichiarato che il comitato “si riserva di desecretare, in via straordinaria, il resoconto stenografico” dell’audizione con i rappresentati della società, “anche a tutela della serietà del lavoro svolto la cui ampiezza e livello di approfondimento, senza precedenti, si sono spinti ben oltre le consuete attività di verifica e hanno visto, per la prima volta, un riscontro personale diretto da parte dei componenti del Copasir che hanno potuto interrogare, peraltro, il sistema usato per le captazioni”. Nel corso di questa audizione, si legge in una nota diffusa in serata dal Copasir, “i rappresentanti della società Paragon hanno affermato, anche in risposta a vari quesiti posti dai componenti del Comitato, che, per acquisire la certezza della sottoposizione o meno di un’utenza a captazione attraverso lo spyware Graphite, sarebbe stato necessario procedere attraverso una interrogazione diretta del database e del registro di audit presso la sede dei clienti, cioè i servizi, oppure, in alternativa, utilizzare, di concerto con le agenzie di intelligence, il servizio offerto dalla stessa società Paragon”. Tali opzioni, continua il comunicato, “in risposta a domanda precisa posta da componenti del comitato, sono state definite come assolutamente equivalenti da parte degli auditi”. In questo senso, il Comitato ha interrogato direttamente, nel corso dei sopralluoghi effettuati presso le sedi di Aisi e Aise il 7 maggio 2025 nell’esercizio dei poteri conferiti dalla legge, sia i database sia i registri di audit, non cancellabili unilateralmente da parte del cliente utilizzatore, con gli esiti noti già riportati nella stessa relazione, spiega ancora la nota.
