Le autorità giudiziarie che indagano sul caso Paragon hanno effettuato un accesso presso l’Agenzia informazioni e sicurezza interna (Aisi) ai sensi dell’articolo 256-bis del codice di procedura penale. Lo rendono noto in una nota congiunta le procure di Roma e Napoli, coordinate dalla Procura nazionale Antimafia e Antiterrorismo. Le indagini, al momento contro ignoti, riguardano l’accesso abusivo a sistemi informatici e l’intercettazione illecita di comunicazioni ai danni del giornalista Francesco Cancellato.
Verifiche sullo spyware Graphite di Paragon
Il provvedimento si è reso necessario dopo che la relazione del Copasir del 4 giugno 2025 aveva documentato l’utilizzo dello spyware Graphite da parte dei Servizi di informazione. Secondo quanto emerso, il software era stato impiegato, con autorizzazione legale, per attività di esfiltrazione dati e intercettazioni nei confronti di Giuseppe Caccia e Luca Casarini. Le procure hanno quindi voluto verificare se Graphite fosse stato usato anche nei confronti di Francesco Cancellato, alla luce dei risultati della consulenza tecnica depositata.
Nessuna traccia su Cancellato
Dall’analisi dei dati del server Graphite in uso all’Aisi è stato confermato che, nella notte del 14 dicembre, il software ha operato sui dispositivi di Casarini e Caccia. Tuttavia, al momento non sono emerse prove di operazioni riferibili a Cancellato. Le indagini proseguono per identificare gli autori del tentativo di accesso abusivo e dell’eventuale intercettazione illecita nei suoi confronti.
Malware rilevato solo su tre dispositivi
La consulenza tecnica collegiale depositata a febbraio ha inoltre evidenziato che, tra tutti i telefoni cellulari acquisiti dai querelanti, tracce di attività riconducibili a malware sono state riscontrate solo su tre dispositivi Android: quelli di Caccia, Casarini e dello stesso Cancellato. L’indagine è condotta dai procuratori aggiunti Sergio Colaiocco e Vincenzo Piscitelli, a seguito di denunce originate dalle notifiche ricevute da Meta, che informavano i querelanti di una possibile compromissione dei loro dispositivi.
Anomalie nei database WhatsApp e periodo di compromissione
I consulenti tecnici hanno rilevato anomalie nei database WhatsApp dei tre telefoni, coerenti con i report di Meta sul funzionamento di Graphite. Il periodo di presumibile infezione risale alle prime ore del 14 dicembre 2024, con l’esecuzione in serie di tre attacchi nella stessa notte, suggerendo che potessero far parte di un’unica campagna di compromissione.
