Le telefonate ripetute da numeri sconosciuti non sono semplice rumore di fondo. Sono il primo atto di una truffa orchestrata con precisione chirurgica, che in queste prime settimane di marzo 2026 sta colpendo migliaia di utenti italiani. Si chiama Ghost Pairing ed è considerata una delle frodi digitali più insidiose mai apparse su WhatsApp: un attacco che non ruba password, non installa virus, ma convince la vittima a compiere volontariamente il gesto che consegna le chiavi del proprio account ai criminali. Lo schema emerge con chiarezza dalle decine di segnalazioni raccolte dalle procure italiane, in particolare quella di Napoli che ha avviato un’indagine specifica. La sequenza è sempre la stessa: prima arriva una raffica di chiamate spam da numeri che l’utente non riconosce. Non servono a parlare, non hanno un contenuto commerciale immediato. Servono a creare stress, urgenza, quella frustrazione sottile che abbassa la soglia di attenzione. E servono soprattutto a verificare che il numero sia attivo.
Pochi sanno infatti che anche il semplice gesto di rifiutare manualmente una chiamata spam fornisce un’informazione preziosa: conferma ai sistemi automatizzati che dall’altra parte c’è un utente reale, un numero funzionante. Le piattaforme di telemarketing aggressivo registrano ogni reazione, dal tempo di risposta agli squilli fino all’eventuale rifiuto. Quel dato alimenta i database che circolano nel sottobosco delle frodi digitali. Ma le chiamate sono solo la preparazione del terreno. Il vero attacco arriva subito dopo, attraverso WhatsApp. La vittima riceve un messaggio da un contatto presente in rubrica, qualcuno di cui si fida: un amico, un parente, un collega. Il testo sembra innocuo, spesso formulato con toni familiari e rassicuranti. “Ciao, se non è un problema potresti votare per mia nipote? Manca davvero poco…” oppure “Hai visto questo video? È incredibile, guarda qui“. Il messaggio contiene un link e invita a cliccare per partecipare a un concorso, visualizzare un contenuto urgente o completare una verifica.
Quel contatto però è già stato compromesso. Il suo account WhatsApp è già nelle mani dei truffatori che ora lo usano come cavallo di Troia per colpire l’intera lista di contatti. Il meccanismo sfrutta proprio la fiducia interpersonale, quel senso di sicurezza che nella cultura italiana è ancora più radicato: se il messaggio arriva da una persona che conosco, deve essere affidabile. Dopo il clic sul link, l’utente viene reindirizzato a una pagina che simula un’operazione legittima. Qui gli viene chiesto di inserire un codice numerico ricevuto via SMS o di scansionare un QR code per autenticare l’accesso. In realtà quel gesto non autentica nulla: collega il dispositivo del criminale all’account WhatsApp della vittima, sfruttando la funzione dei dispositivi collegati prevista dall’applicazione per permettere l’accesso simultaneo da computer o tablet.
Ed è proprio questo il cuore del Ghost Pairing, ciò che lo rende più pericoloso delle truffe tradizionali. Non c’è malware da installare, non c’è una password rubata con un attacco brute force. Il truffatore non forza nulla dall’esterno: convince la vittima a compiere da sola il passaggio decisivo, utilizzando una funzione legittima del software. La richiesta appare plausibile, la procedura sembra normale. È questa apparente normalità a rendere il raggiro devastante. Una volta completato il collegamento, il criminale ottiene accesso pieno all’account. Può leggere tutte le conversazioni in tempo reale, scaricare foto e documenti, acquisire informazioni personali sensibili. E soprattutto può inviare messaggi a nome della vittima, perpetuando la catena della frode. Il profilo compromesso diventa uno strumento per allargare l’attacco, colpendo i contatti della vittima con lo stesso schema. Non si tratta di un furto di dati isolato: è un accesso stabile e continuativo all’identità digitale della persona, utilizzabile finché la sessione fantasma non viene individuata e disconnessa.
Le conseguenze possono essere gravi sia sul piano economico che su quello della privacy. I criminali possono usare l’account per chiedere soldi ai contatti fingendosi la vittima in difficoltà, per diffondere ulteriori link malevoli, per raccogliere informazioni utilizzabili in altri attacchi di social engineering. In alcuni casi documentati, gli account compromessi sono stati usati per estorsioni o per accedere a servizi bancari collegati al numero di telefono. La difesa contro il Ghost Pairing si costruisce su azioni concrete e consapevolezza. Il primo passo è attivare la verifica in due passaggi nelle impostazioni di WhatsApp. Questa funzione aggiunge un PIN personale a sei cifre che viene richiesto ogni volta che si tenta di registrare il numero su un nuovo dispositivo. Anche se il truffatore riesce a ottenere un codice di verifica temporaneo, senza quel PIN non può completare il collegamento. È il primo argine, semplice ma efficace.
Il secondo passaggio è verificare regolarmente i dispositivi collegati al proprio account. La sezione si trova nel menu delle impostazioni di WhatsApp, sotto la voce Dispositivi collegati. Se compare una sessione che non si riconosce, un browser aperto in un luogo sconosciuto, un accesso con data e ora anomali, va disconnessa immediatamente. Questa operazione interrompe l’accesso del dispositivo fantasma. La terza regola è categorica: non inserire mai codici di verifica su link esterni o piattaforme di terze parti, anche se il messaggio arriva da un familiare, da un collega stretto, da un amico di lunga data. Nessun servizio legittimo chiede di inserire codici di sicurezza ricevuti via SMS su siti esterni. Ogni richiesta di questo tipo, qualunque sia il mittente apparente, è un segnale d’allarme inequivocabile.
Infine, per limitare l’esposizione alle campagne preparatorie di chiamate spam, è utile attivare i filtri anti-spam integrati nei sistemi operativi degli smartphone moderni. Questi strumenti, se configurati correttamente, intercettano i numeri sospetti segnalati da altri utenti e impediscono che la chiamata arrivi a squillare. Silenziare i numeri sconosciuti riduce anche la possibilità che i bot automatici verifichino che il numero sia attivo, rendendo più difficile per i truffatori preparare il terreno. Dal 2022 esiste inoltre in Italia il Registro pubblico delle opposizioni, uno strumento previsto dalla legge che permette di iscrivere il proprio numero per azzerare i consensi alla pubblicità rilasciati in precedenza. Il servizio neutralizza sia le chiamate da operatore umano sia quelle automatizzate, anche se la sua efficacia dipende dal rispetto delle regole da parte degli operatori commerciali.
L’Autorità per le Garanzie nelle Comunicazioni ha introdotto negli ultimi mesi nuove misure per arginare il fenomeno del telemarketing selvaggio, incluso il blocco delle telefonate indesiderate provenienti dall’estero ma camuffate con numeri italiani. Dal 19 novembre 2025 è attivo anche un sistema di numeri brevi certificati a tre cifre per identificare con certezza i soggetti istituzionali autorizzati come banche, assicurazioni e operatori di telefonia. Eppure, nonostante l’introduzione progressiva di filtri e regolamentazioni più severe, le truffe digitali continuano a evolversi. Il Ghost Pairing rappresenta un cambio di paradigma: non attacca le difese tecnologiche ma quelle psicologiche, sfruttando dinamiche di fiducia e urgenza difficili da neutralizzare con semplici barriere software. È un attacco che funziona perché mima alla perfezione le interazioni legittime, perché usa i contatti reali come vettore, perché trasforma la vittima in complice inconsapevole del proprio raggiro.
