Scontro nell'high-tech
Il caso Paragon ha scosso il mondo della cybersecurity, mettendo sotto i riflettori il confronto fra Meta, la compagnia proprietaria di WhatsApp, e Paragon Solutions, una società fondata in Israele che fornisce tecnologie di spionaggio e sicurezza per i governi. Il caso è esploso a inizio febbraio, quando la Reuters e The Guardian hanno dato notizia della violazione di 90 smartphone di utenti di WhatsApp, infiltrati dal software Graphite della Paragon: uno spyware ad alte prestazioni — rivelate solo in parte — in grado di accedere ai messaggi della nota applicazione e altri dati dei device violati.
Fra le persone intercettate ci sono il giornalista italiano Francesco Cancellato, direttore di Fanpage, e l'attivista Luca Casarini, capomissione della Ong Mediterranea. A denunciare l'infiltrazione di WhatsApp e stata Meta, che ha informato gli utenti colpiti senza rivelare alla stampa i loro nomi e specificare in quali paesi sia accaduta. Apple si sta muovendo in modo simile. La Paragon ha negato ogni responsabilità e puntato il dito contro i clienti governativi, che avrebbero tradito i termini di servizio concordati.
Nel caso italiano la società ha sospeso il contratto poiché lo spionaggio di giornalisti e attivisti rompe l'accordo, che prevede l'utilizzo di Graphite solo per attività di antiterrorismo e lotta al crimine organizzato. Ma la questione è ancora più grande di così. Secondo il quotidiano israeliano Yedioth Ahronoth, la Paragon sta indagando sull'accaduto ed è pronta a chiudere i rapporti con tutti i governi che hanno usato Graphite contro individui non sospettati di crimini o terrorismo, cosa peraltro già fatta in passato (l'Italia potrebbe entrare nella lista nera insieme a Messico, India, Grecia, Polonia e Ungheria).
Ciò nonostante WhatsApp ha inviato una lettera di diffida all'azienda chiedendogli di smettere di spiare i suoi utenti. La Paragon sta quindi valutando come reagire e, se necessario, lanciare una battaglia legale contro Meta, che vedrebbe contrapporsi due colossi dell'high-tech: una società che cerca di proteggere le credenziali di riservatezza della sua applicazione di messaggistica e un'altra che difende il suo ruolo di fornitore di servizi per la sicurezza.
C'è anche un precedente. Lo scorso dicembre la Corte della California ha condannato l'israeliana Nso, proprietaria dello spyware Pegasus, per la violazione avvenuta nel 2019 di 1.400 smartphone di persone (fra queste giornalisti, attivisti e dissidenti politici). La Nso non si faceva grossi serupoli nei termini di servizio per l'uso del suo spyware, fornito a democrazie occidentali —che hanno comunque agito scorrettamente — ma anche a paesi come Azerbaigian, Arabia Saudita e altri.
Nel caso della Nso Meta si è però mossa con l'appoggio del governo degli Stati Uniti contro una società al 100% israeliana, mentre la Paragon dall'anno scorso è un'azienda israelo-statunitense che agisce in piena conformità con un ordine esecutivo sul commercio di spyware emanato nel 2023 da Joe Biden. Gli esperti del settore ascoltati dallo Yedioth Ahronoth sostengono che Meta stia cercando di stabilire nuove regole di mercato, affinché nessuno possa violare nuovamente la crittografia di WhatsApp.
«Questa è una delle battaglie storiche sulla ricerca di un equilibrio fra privacy e sicurezza, la Paragon è solo un capro espiatorio» ha detto una fonte. La nuova proprietà della società, l'americana AE Industrial Partners, considera l'esito di questa storia e di un eventuale processo cruciale per il suo futuro e, potenzialmente, per l'intera industria della cybersecurity offensiva.