Le app di messaggistica istantanea sono ormai rimaste quasi l’unico mezzo per comunicare coi propri contatti senza utilizzare il credito SMS, che una volta era a pagamento ma, a onor del vero, già negli ultimi anni ha dimostrato di poter essere incrementato anche con gli abbonamenti ricaricabili mensili della propria SIM. Nonostante questo, c’è da dire che gli SMS attualmente ricoprono un ruolo molto importante per operazioni pubblicitarie ma soprattutto per comunicazioni ufficiali provenienti da app di istituti bancari oppure quelle legate alle identità digitali. Fatto questo piccolo distinguo, è importante tornare a sottolineare quanto invece WhatsApp sia diventato centrale per i messaggi “quotidiani” che tutti scambiano privatamente o nelle chat di gruppo, oltre a dare la possibilità da molto tempo di effettuare anche telefonate o videochiamate, funzionando addirittura anche come una sorta di social network.
Prendere il controllo di un account WhatsApp equivale, nel 2026, praticamente a rubare l’identità ad una persona e ad avere accesso a tutte le sue informazioni personali, spiando conversazioni private e inoltrando messaggi truffa per poi archiviarli come abbiamo visto, per fare un esempio molto recente, in un recente articolo di inizio febbraio (qui il link). La notizia però che trapela oggi, 1 aprile, non è delle migliori e colpisce non tanto per il perimetro delle persone truffate, che ad ora non è mastodontico (si parla di circa 200 persone, perlopiù italiane), quanto per la provenienza della minaccia. Meta ha infatti intrapreso un’azione legale decisa contro un’azienda tecnologica del nostro Paese, accusata di aver orchestrato una sofisticata operazione di spionaggio attraverso una versione contraffatta di WhatsApp. Non si è trattato di un attacco alle infrastrutture centrali della piattaforma, ma di una manipolazione psicologica e tecnica che ha colpito centinaia di persone, trasformando i loro smartphone in strumenti di monitoraggio silente. Il tutto è nato invece da un semplice messaggio ricevuto sulla stessa piattaforma da un contatto noto, e come per la truffa scoperta qualche tempo fa si richiedeva di fare clic su un link e scaricare WhatsApp da lì.
Il cuore dell’inganno risiedeva in un’applicazione clone, esteticamente indistinguibile dall’originale ma progettata per operare come “cavallo di Troia” ed addentrarsi quindi all’interno dei device di coloro che la installavano. Attraverso il social engineering, le vittime venivano indotte a installare il software senza passare dai classici store ufficiali come, per citarne due, Play Store o App Store di Apple, e quindi bypassando i controlli di sicurezza dei negozi digitali standard. Una volta attivo, il client malevolo garantiva ai suoi creatori un accesso privilegiato ai dati più sensibili, permettendo di leggere messaggi, consultare rubriche e monitorare l’attività del dispositivo senza che l’utente si accorgesse di nulla. È giusto precisare, ma ci ha già pensato WhatsApp con un comunicato ufficiale, che questo episodio non rappresenta una intaccatura nella crittografia end-to-end che protegge i messaggi inoltrati via app. Il protocollo di sicurezza resta solido, ma l’attacco ha sfruttato la vulnerabilità del cosiddetto “endpoint”. In termini più semplici, se l’applicazione utilizzata per scrivere è compromessa alla base, i messaggi vengono intercettati nel momento esatto in cui vengono digitati, rendendo inutile qualsiasi successiva cifratura durante il trasporto. È un promemoria brutale del fatto che la sicurezza di una comunicazione dipende interamente dall’integrità del software che la genera. Un grosso dubbio invece, difficile da dipanare al momento, è quello riguardante le vittime, perché anche se sono relativamente poche ci si sta iniziando a chiedere chi siano e se sono state prese di mira, visto che quello che hanno installato è a tutti gli effetti uno spyware.
La reazione di Meta è stata immediata e mirata a contenere i danni, portando alla disconnessione forzata degli account coinvolti e all’invio di avvisi di sicurezza specifici per le persone colpite. Questo caso mette in luce la crescente aggressività delle società di sorveglianza tecnologica, spesso operanti in zone grigie della legalità, e sottolinea l’importanza di una gestione oculata dei propri dispositivi. La difesa più efficace contro queste minacce rimane la prudenza digitale, evitando categoricamente l’installazione di versioni modificate o provenienti da fonti esterne che promettono funzionalità aggiuntive a discapito della propria privacy.
