El caso del spyware Graphite, desarrollado por la empresa israelí Paragon Solutions, ha marcado un punto de inflexión en la vigilancia digital en la Unión Europea. En Italia, el sofisticado software fue utilizado para espiar a periodistas —como el director de Fanpage.it, Francesco Cancellato—, defensores de derechos humanos y miembros de organizaciones como Mediterranea Saving Humans y Refugees in Libya. El escándalo no solo ha expuesto la vulneración de derechos fundamentales, sino que ha provocado un choque abierto entre el Estado italiano, Paragon y los organismos reguladores.
Todo comenzó a finales de 2024 y principios de 2025, cuando una investigación conjunta de Citizen Lab reveló la existencia de campañas de espionaje contra una amplia red de defensores y periodistas italianos mediante el spyware Graphite. En marzo, WhatsApp detectó e informó a más de 90 personas en Italia —periodistas, activistas y personal de ONG— de que habían sido víctimas de ataques de spyware, lo que desencadenó una ola de indignación y alarmas sociales que llegó hasta el Parlamento.
La incidencia fue rápidamente corroborada por pruebas forenses y por Meta, que sorprendentemente colaboró con Citizen Lab para desactivar los ataques “zero click” utilizados en los dispositivos afectados. Expertos en ciberseguridad consultados por DIARIO SOCIALISTA explican que esta modalidad de ataques permite acceder al dispositivo del usuario sin que este clique en los documentos maliciosos recibidos, es decir, que son infectados solo con recibirlo. En este caso, Paragon les introducía el software espía vía canales de WhatsApp, donde recibían documentos infectados con el “zero click”.
Además de periodistas, la infiltración alcanzó a destacados representantes de Mediterranea Saving Humans y al propio fundador de Refugees in Libya, aunque en este último caso Citizen Lab no pudo atribuirlo de forma definitiva a Paragon. Además, informes de organizaciones como Amnistía Internacional y Citizen Lab han documentado el uso generalizado de spyware por parte de autoridades de Polonia, Grecia, Hungría, Serbia y el Estado español, especialmente con otras herramientas como Pegasus, pero los casos concretos confirmados con Graphite de Paragon hasta ahora se refieren solo a Italia. Las fuentes expertas consultadas aseguran que Paragon cumpliría una función similar a Pegasus, pero a menor precio.
La reacción institucional
La presión pública llevó al Garante per la Protezione dei Dati Personali —el regulador italiano de la privacidad— a emitir un contundente aviso el 14 de febrero de 2025: el uso de spyware como Graphite podría violar gravemente el Codice Privacy italiano, especialmente cuando se utiliza fuera de las excepciones legales previstas; es decir, “seguridad nacional” y “prevención o persecución de delitos graves”, pretextos que se han utilizado para justificar infiltraciones policiales en movimientos sociales y políticos, por ejemplo. El Garante advirtió que las sanciones podrían alcanzar los 20 millones de euros o el 4% del volumen de negocio anual.
Ante el creciente escándalo, el Comitato Parlamentare per la Sicurezza della Repubblica (Copasir) convocó una serie de audiciones parlamentarias para esclarecer quién había autorizado y con qué fines concretos se usó Graphite en territorio italiano. Las investigaciones internas revelaron que, al menos dos organismos estatales —una agencia de inteligencia y una de policía— emplearon el spyware justificando motivos de “seguridad y lucha contra el crimen”.
Sin embargo, las explicaciones ofrecidas por el Gobierno fueron consideradas insuficientes por organizaciones como Amnistía Internacional y el propio Citizen Lab, que subrayan el grave riesgo que este tipo de tecnologías suponen para los derechos fundamentales y la libertad de prensa.
Italia rompe con Paragon y crece la polémica
En medio de la tormenta política y la presión internacional, Paragon Solutions anunció la rescisión de todos sus contratos con las autoridades italianas —incluidos los firmados con la inteligencia exterior (AISE) y la seguridad interna (AISI), según fuentes de prensa italiana—, argumentando que el Gobierno de Giorgia Meloni “no les garantizaba la realización de indagaciones exhaustivas ni la transparencia exigida por la empresa”. Al mismo tiempo, el Ejecutivo se escuda en la ruptura alegando que “Paragon había incumplido las cláusulas contractuales respecto a la utilización sobre sujetos no implicados en delitos.” La ruptura se formalizó el 12 de abril, tras un acuerdo mutuo entre Paragon y los órganos de inteligencia italianos.
El asunto llegó a tal punto que Paragon replicó públicamente: “Solo vendemos tecnología a autoridades de países democráticos, tras un estricto proceso de due diligence. Su uso, según nuestras normas internas, debe limitarse a terroristas y criminales”. Sin embargo, la realidad de los hechos —el espionaje a periodistas y activistas— motivó que la empresa israelí suspendiera toda relación comercial con el Estado italiano.
Las críticas no cesaron tras la salida de Paragon. El Garante de la privacidad subrayó que siguen abiertas las investigaciones sobre el alcance real del espionaje y la posible comisión de ilícitos. La Agenzia per la Cybersicurezza Nazionale (ACN) ha iniciado su propia diligencia y Copasir presentó un informe parlamentario de solo 20 páginas, considerado “insuficiente” por parte de afectados y movimientos sociales.
Más allá de Italia: la amenaza persiste
Aunque el contrato con Paragon ha terminado en Italia, la preocupación por la proliferación de spyware en Europa crece. Citizen Lab e incluso WhatsApp advierten que el ecosistema Graphite sigue operativo en otros países, y que la industria del espionaje digital utiliza recurrentemente lagunas legales y falta de transparencia institucional para expandirse.
Mientras tanto, figuras como Luca Casarini —de Mediterranea Saving Humans— han denunciado antes los medios italianos la pasividad de las autoridades y las contradicciones políticas que entraña el espionaje contra periodistas, ONGs y activistas en una supuesta “democracia”.
El caso Graphite-Paragon marca un precedente inédito en Europa occidental: la denuncia pública, las investigaciones técnicas y la presión política han logrado romper un contrato de vigilancia estatal antes sellado bajo estricta opacidad. Quedan, sin embargo, muchas preguntas abiertas: ¿quién autorizó las operaciones? ¿Quiénes fueron espiados y con qué consecuencias? ¿Puede el marco legal europeo frenar la expansión del uso estatal estas tecnologías? Por el momento, la presión social y mediática ha ganado parcialmente una batalla, el escenario general de los derechos digitales en Europa sigue siendo tan abierto como vulnerable.
