Immagina questa scena: stai scorrendo le chat quando ti arriva un messaggio da tua sorella, un amico d’infanzia o un collega con cui parli tutti i giorni. Il testo è semplice, quasi banale: “Scusa, ti ho mandato per sbaglio un codice via SMS. Me lo rigiri? È urgente“. In quel preciso istante, probabilmente senza nemmeno pensarci troppo, controlli i messaggi, trovi sei cifre appena arrivate e le inoltri. Quel gesto, compiuto in buona fede, ti costerà l’accesso al tuo account WhatsApp. E tutto accadrà in meno di un minuto. Si tratta di uno schema di phishing che sta dilagando in Italia e nel resto del mondo, sfruttando il meccanismo psicologico più potente che esista: la fiducia verso le persone che conosciamo. Non è il classico messaggio sospetto da mittente sconosciuto, non è una email con errori grammaticali evidenti. Questa volta il nemico usa il volto dei tuoi contatti più stretti, perché quegli account sono già stati compromessi. E tu sei il prossimo anello della catena.
La dinamica è di una semplicità disarmante, ed è proprio questo a renderla letale. Quando ricevi quel messaggio apparentemente innocuo, dall’altra parte dello schermo c’è un hacker che sta tentando di accedere al tuo account WhatsApp da un dispositivo diverso dal tuo. Per completare l’operazione, l’applicazione invia automaticamente un codice di verifica a sei cifre tramite SMS al tuo numero di telefono. È il sistema di sicurezza standard di WhatsApp, pensato per proteggere gli utenti. Ma se tu, convinto di aiutare il tuo amico, inoltri quel codice sulla chat, hai appena consegnato le chiavi del tuo profilo al criminale. Da quel secondo, verrai immediatamente disconnesso. L’hacker avrà accesso completo alle tue conversazioni, ai tuoi gruppi, ai tuoi file multimediali. E, soprattutto, alla tua rubrica. Il primo gesto che compirà sarà ripetere esattamente lo stesso messaggio a tutti i tuoi contatti, perpetuando la catena. Il tuo nome, la tua foto profilo, la tua credibilità diventano lo strumento per colpire altre vittime.
Paul Bischoff, esperto di privacy presso Comparitech, ha analizzato la psicologia dietro questo attacco: “I truffatori giocano sul fattore tempo. Inseriscono sempre un elemento di urgenza, una scadenza imminente, una scusa plausibile. Quando mettiamo fretta a qualcuno, il cervello tende a saltare i passaggi critici del ragionamento. I criminali informatici conoscono benissimo questa debolezza umana e la sfruttano sistematicamente“. Esistono anche varianti più sofisticate dello stesso schema. Alcune versioni spingono la vittima a scansionare codici QR presenti su siti web fasulli, che garantiscono accesso istantaneo al dispositivo. Altre manipolano l’utente chiedendo di cliccare su link apparentemente legittimi che in realtà installano malware o aprono sessioni di WhatsApp Web sotto il controllo del truffatore.
Meta, la società che controlla WhatsApp, ha risposto all’escalation con una serie di contromisure tecniche. L’aggiornamento più recente introduce avvisi di sicurezza molto più espliciti durante i tentativi di connessione da nuovi dispositivi. Ora, quando qualcuno prova ad accedere al tuo account da un altro telefono o tablet, ricevi una notifica che specifica anche la posizione geografica approssimativa del tentativo. Se ti trovi a Milano e leggi “Questo connetterà il tuo account a un dispositivo a Bangkok, Thailandia“, il campanello d’allarme dovrebbe suonare in modo inequivocabile. Ma cosa succede se sei già caduto nella trappola e ti ritrovi improvvisamente fuori dal tuo account? Non è il momento di farsi prendere dal panico. Esistono procedure di recupero che, se eseguite rapidamente, possono riportarti in possesso del profilo prima che l’hacker possa fare danni irreparabili.
Il primo passo è provare immediatamente a rieseguire il login con il tuo numero di telefono. WhatsApp ti invierà un nuovo codice di verifica via SMS. Tuttavia, alcuni hacker più smaliziati attivano un timer che blocca temporaneamente l’invio di SMS al numero compromesso, proprio per impedirti di recuperare l’accesso. In questo caso, esiste una soluzione alternativa: selezionare l’opzione per ricevere il codice tramite chiamata vocale anziché messaggio di testo. Questa funzione spesso bypassa il blocco temporale imposto dal truffatore, permettendoti di riappropriarti dell’account. Una volta rientrato, è fondamentale cambiare immediatamente tutte le impostazioni di sicurezza e avvisare i propri contatti dell’accaduto, per evitare che rispondano a eventuali messaggi fraudolenti inviati nel frattempo.
Ma la difesa più efficace, quella che rende inutile qualsiasi tentativo di questo tipo, si chiama verifica in due passaggi. Si tratta di un livello di sicurezza aggiuntivo che richiede non solo il codice SMS, ma anche un PIN personale di sei cifre scelto esclusivamente da te. Anche se un hacker dovesse ottenere il tuo codice di verifica tramite inganno, non potrebbe comunque accedere senza conoscere questo secondo elemento segreto. Attivare questa funzione è semplice e richiede meno di due minuti. Bisogna aprire WhatsApp, entrare nelle Impostazioni, selezionare la voce Account e poi Verifica in due passaggi. A quel punto, toccare Attiva e impostare un PIN di sei cifre che sia facile da ricordare per te ma impossibile da indovinare per altri. Il sistema chiederà anche di inserire un indirizzo email di recupero: questo passaggio è cruciale, perché rappresenta l’unica via per rientrare nel proprio account nel caso si dimentichi il PIN.
La raccomandazione principale resta una sola, semplice ma vitale: WhatsApp non chiederà mai, in nessuna circostanza, di condividere il proprio codice di verifica con altre persone. Nemmeno con amici, familiari o presunti operatori del servizio clienti. Quel codice è personale quanto la password del conto corrente. Se qualcuno te lo chiede, anche se si tratta di un contatto fidato, fermati. Verifica attraverso un altro canale, una telefonata diretta, un messaggio su un’altra piattaforma. Quella manciata di secondi in più può fare la differenza tra preservare la tua identità digitale e consegnarla nelle mani sbagliate. La tecnologia può erigere barriere sempre più sofisticate, ma la prima e più importante linea di difesa rimane la consapevolezza. Sapere come funzionano questi attacchi, riconoscere i segnali d’allarme, diffidare dell’urgenza artificiale: sono competenze che dovrebbero far parte del bagaglio culturale di chiunque usi uno smartphone. Perché nell’era digitale, proteggere i propri dati non è paranoia, è semplice buonsenso.
