Il nuovo aggiornamento del progetto Mythical Beasts dell’Atlantic Council fotografa un mercato globale dello spyware in crescita: 561 entità in 46 Paesi. Un settore che si afferma come nuovo terreno della competizione geopolitica globale
C’è un mostro che nuota sotto la superficie del mercato globale delle capacità cyber offensive, lo spyware, e il suo mercato globale continua a espandersi e a trasformarsi, alimentando rischi di sicurezza nazionale e abusi dei diritti umani. È quanto emerge dalla seconda edizione del progetto “Mythical Beasts” dell’Atlantic Council, che traccia le connessioni societarie e finanziarie di un settore che rimane opaco, resiliente e in costante evoluzione. La fotografia aggiornata al 2024, pubblicata a settembre 2025, include 561 entità in 46 Paesi, un incremento del 29% rispetto al primo dataset, e mette in luce due dinamiche critiche: il crescente ruolo degli investitori statunitensi e l’emersione, ancora parziale, dei broker e reseller come nodi centrali della proliferazione.
Due fatti che contano (molto)
Primo. Il denaro Usa spinge il mercato. Nel 2024 gli investitori statunitensi diventano il blocco più consistente del campione, superando Israele e altri hub storici (Italia e Regno Unito inclusi). Il numero di entità Usa che hanno investito nello spyware passa da 11 a 31 in un anno. Non briciole: AE Industrial Partners entra in Paragon Solutions (Israel-based, con sussidiaria negli Stati Uniti, noto per il sistema Graphite, utilizzato anche in Italia contro difensori dei diritti umani); Integrity Partners investe in Saito Tech/Candiru, azienda in Entity List dal 2021. Il risultato? Una frattura tra retorica e flussi finanziari: Washington guida sanzioni, visti negati, elenchi restrittivi e iniziative diplomatiche (Pall Mall), ma capitali americani continuano ad alimentare i vendor più controversi — in un quadro segnato dal conflitto Israele-Hamas e dalla competizione con Iran anche sul fronte cyber.
Secondo. I facilitatori invisibili. Brokers e reseller sono l’anello che mancava o, meglio, quello che non si vedeva. Connettono vendor, fornitori e clienti finali; spostano i prodotti su nuovi mercati regionali; rimangono invisibili perché operano con strutture societarie transnazionali, ricorrono a registrazioni in giurisdizioni offshore e si muovono in mercati regionali difficili da monitorare. Sono il “moltiplicatore oscuro” della proliferazione, rendendo inefficaci sanzioni e black. L’aggiornamento dell’AC porta alla luce, per esempio, dieci intermediari in Messico coinvolti nella vendita di Pegasus dentro la PA locale, con contratti fuorvianti per mascherare prodotto e fornitore. Un tassello sistematicamente sotto-osservato, oggi fuori dal radar delle principali risposte regolatorie.
Continuità che aiutano a capire
Le tendenze sui movimenti finanziari che alimentano lo spyware restano stabili sia nella prima che nella seconda edizione del report dell’AC. Concentrazione geografica (Israele, India, Italia), imprenditoria seriale, legami tra spyware e sorveglianza hardware, cambi di nome e ristrutturazioni societarie, salti di giurisdizione, mobilitazione globale di capitali. Per i decisori è una buona notizia: un mercato prevedibile è un mercato aggredibile con policy mirate (licenze, export control, codici di condotta, due diligence obbligatoria).
Il dato più sorprendente riguarda il capitale. Nella prima edizione del rapporto, Israele era il principale hub di investimento. Oggi, con 20 nuovi investitori americani registrati nel 2024, gli Stati Uniti balzano al primo posto. In totale, gli attori statunitensi censiti sono passati da undici a trentuno, superando Italia, Regno Unito e Israele e diventando il principale serbatoio di capitali per un’industria che Washington stessa cerca di frenare con sanzioni, entity list, restrizioni sui visti e canali diplomatici come la Pall Mall Initiative.
L’Atlantic Council cita due esempi emblematici: AE Industrial Partners, che nel 2024 ha investito in Paragon Solutions, fornitore israeliano del software Graphite ed utilizzato, come noto, anche il Italia; e Integrity Partners, che a inizio 2025 ha scommesso su Candiru, società inserita dal 2021 nella Entity List americana.
Il punto
L’Atlantic Council avvisa: è nelle zone grigie tra finanza e intermediazione, che si nascondono le vere “bestie mitologiche” del cyberspazio. Per contenerle, sostiene il report, trasparenza e due diligence sugli investitori sono il primo passo. Altro fronte critico sono broker e rivenditori, attori invisibili che tengono insieme la catena di fornitura e che, senza regole, rischiano di restare il vero motore dell’opacità. A questo si aggiunge il nodo dei registri societari, spesso incompleti e poco trasparenti e che rendono impossibile risalire ai veri beneficiari e alle licenze di export.
La ricetta passa da qui: trasparenza sugli investimenti, regole per gli intermediari, registri accessibili, pressione coordinata tra governi (sanzioni, no-buy list, diplomazia multilaterale). E più risorse per l’analisi del fenomeno, compresa quella Osint. Lo spyware non è (solo) tecnologia, ma geopolitica dello spionaggio commerciale e minaccia democratica. Ed il rischio è quello di una eterogenesi dei fini. Per contenere espansione ed utilizzo dello spyware occorre colmare il paradosso dei propri investimenti. Non si può finanziare ciò che si dichiara di voler combattere.
