Passa ai contenuti principali

ICE riattiva contratto con Graphite. Tra sorveglianza di massa, rischi legali e attacchi zero-day

La US Immigration and Customs Enforcement (ICE) ha recentemente riattivato un contratto da 2 milioni di dollari con Paragon Solutions, l’azienda israeliana produttrice dello spyware Graphite. Il contratto era stato originariamente firmato sotto l’amministrazione Biden nel settembre 2024, ma sospeso poco dopo per verifiche relative ai rischi di uso improprio e alla normativa sull’acquisto di spyware da fornitori esteri.

Graphite è uno dei software commerciali più potenti nel panorama della sorveglianza digitale. Una volta installato su un dispositivo mobile, permette il controllo quasi totale: accesso a messaggi, email, foto; infiltrazione in applicazioni cifrate come WhatsApp e Signal; estrazione di backup in cloud; attivazione nascosta del microfono; in certi casi anche compromissioni zero-click.

Come si è arrivati alla riattivazione
Acquisizioni e cambi di proprietà: Paragon è stata acquisita da un fondo statunitense, AE Industrial Partners, che l’ha poi fusa con REDLattice, un’azienda americana con legami con ex funzionari dell’intelligence. Questo cambio di proprietà ha permesso a ICE di considerarla “partner nazionale” piuttosto che fornitore estero, aggirando alcune restrizioni dell’Executive Order 14093 firmato da Biden.

L’esecutivo ordine Biden 2023: questo ordine impone che il governo statunitense non utilizzi spyware commerciali che comportano “significant counterintelligence or security risks” o che siano stati utilizzati da governi stranieri per reprimere oppositori.

Sospensione e revisione: il contratto è stato inizialmente posto in pausa per valutazioni sulla sua conformità all’ordine esecutivo. La sospensione è stata revocata il 29 agosto 2025, permettendo a ICE di procedere con l’uso.

Rischi e criticità
L’uso di Graphite espone a rischi reali di sorveglianza su larga scala, soprattutto per soggetti vulnerabili come migranti, attivisti, giornalisti. L’esperienza italiana dimostra che tali strumenti possono essere usati in modo improprio, colpendo la libertà di espressione e la protezione delle fonti.

Le condizioni contrattuali, i limiti d’uso, le responsabilità in caso di abuso non sono del tutto trasparenti. Non è chiaro quali garanzie legali ICE e Paragon debbano adottare per evitare uso scorretto o abuso.

Anche se Graphite viene presentato come strumento “selettivo” e destinato a governi “amici”, il fatto che GitHub, Citizen Lab e altri abbiano individuato usi fuori norma implica che vulnerabilità, exploit zero-day e veicoli di infezione remota possano essere sfruttati non solo dagli acquirenti ufficiali ma da terze parti o tramite compromissioni del fornitore.

Quando il medesimo spyware è utilizzato da differenti stati, governi o entità, ci sono rischi di reverse engineering, compromissione, intercettazione delle tecnologie stesse; inoltre, l’uso dello stesso prodotto da parte di entità ostili può fornire insight sulle capacità operative di Graphite.

Implicazioni per la sicurezza nazionale e per le politiche di cybersicurezza
Le agenzie statunitensi come ICE, già oggetto di critiche su abusi di potere, ora potranno applicare strumenti invasivi che ampliano enormemente l’insieme dei dati ai quali possono accedere. Questo richiede una forte supervisione interna, controlli giudiziari e politiche chiare di uso, auditing, revisione indipendente.

L’Executive Order 14093 diventa un punto critico: se la sua applicazione viene aggirata tramite cambi societari (“nazionalizzazione” della proprietà), c’è da chiedersi quanto efficaci siano le norme se bastano fusioni o acquisizioni per renderle inefficaci.

Per la comunità internazionale, il caso mette in evidenza quanto la regolamentazione dello spyware commerciale resti arretrata rispetto ai rischi concreti. L’UE e altri Stati europei dovrebbero considerare standard minimi, meccanismi di controllo, cataloghi delle vulnerabilità sfruttate e trasparenza nei contratti con forze dell’ordine.

Dal punto di vista tecnico, la resilienza dei sistemi operativi mobili, delle app di messaggistica cifrata e dei fornitori di servizi cloud sarà sempre più bersagliata. Aggiornamenti di sicurezza rapidi, mitigazioni contro exploit zero-click, modalità di lockdown e difese contro l’infiltrazione invisibile del microfono saranno componenti chiave per difendersi.

ICE che riattiva il contratto con Graphite non è solo una decisione amministrativa: è un punto di svolta nella sorveglianza digitale nella politica statunitense. Il fatto che un’entità come ICE, che si occupa di immigrazione e controllo delle frontiere, acceda a strumenti di hacking avanzato pone questioni urgenti di etica, legalità e sicurezza. Se da un lato lo Stato sostiene che questi strumenti servano a contrastare terrorismo, traffici illeciti e immigrazione clandestina, dall’altro il rischio di abuso, di sorveglianza indiscriminata e di violazioni dei diritti è troppo alto per essere ignorato.

Questo caso deve fungere da campanello d’allarme. Serve un dibattito pubblico, normative più stringenti, audit indipendenti, trasparenza nei contratti e limiti forti all’uso dello spyware commerciale, anche in democrazia.
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico. Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo ma...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »