La truffa che non bussa
Di solito una truffa su WhatsApp comincia con una richiesta. Qualcuno ti scrive, ti dice che ha cambiato numero, che ha bisogno di un codice, che devi confermare un accesso, che c’è un pacco fermo, un conto da riattivare, un problema urgente. La truffa classica vive di interazione: vuole che tu faccia qualcosa.
Questa vicenda, invece, è inquietante perché racconta un attacco che, secondo le segnalazioni di informatica forense emerse in Italia, non partirebbe da un gesto visibile dell’utente. Non ci sarebbe il solito clic. Non ci sarebbe il codice di verifica consegnato al criminale. Non comparirebbe nemmeno un dispositivo sconosciuto nella sezione “Dispositivi collegati” dell’app.
La vittima se ne accorgerebbe dopo. Non perché il telefono mostra un avviso chiaro, ma perché qualcuno riceve dal suo numero un messaggio strano. Una richiesta di denaro. Un bonifico urgente. Una frase costruita per sembrare plausibile, veloce, quotidiana. Il tipo di messaggio che non sembra arrivare da un criminale, perché arriva dal numero giusto.
È qui che la truffa diventa più forte. Non deve convincerti che un estraneo sia credibile. Usa la fiducia che hai già verso una persona.
La truffa più efficace non è quella che inventa una maschera perfetta. È quella che usa un volto che conosci già.
Che cosa sarebbe successo, secondo le ricostruzioni forensi
Secondo quanto raccontato da Wired Italia e da Forenser, società specializzata in informatica forense, il fenomeno avrebbe riguardato alcuni iPhone con iOS 16. In diversi casi, gli account WhatsApp avrebbero inviato messaggi verso contatti presenti in chat recenti, con richieste di bonifici o trasferimenti di denaro. La particolarità sarebbe l’assenza di segnali tradizionali: niente QR scansionati, niente codici sottratti, niente dispositivi collegati visibili nell’app.
La ricostruzione tecnica più delicata parla di una possibile compromissione della sessione WhatsApp. In sostanza, l’attaccante non entrerebbe come “nuovo dispositivo collegato”, ma riuscirebbe a presentarsi ai server come se fosse ancora il telefono principale della vittima. Questo spiegherebbe perché nella sezione dei dispositivi collegati non apparirebbe nulla di anomalo.
Secondo Paolo Dal Checco, consulente informatico forense interpellato da Wired, la catena tecnica descritta da Forenser passerebbe dal trattamento di un’immagine appositamente preparata, processata senza interazione dell’utente. L’immagine sfrutterebbe una vulnerabilità Apple già nota, identificata come CVE-2025-43300, corretta dagli aggiornamenti di iOS. Da lì, secondo questa ricostruzione, l’attaccante potrebbe riuscire a estrarre materiale crittografico utile ad agganciare la sessione WhatsApp.
Questa parte va trattata con attenzione. Non siamo davanti a una verità giudiziaria definitiva. Non ci sono, nelle fonti pubbliche disponibili, tutti i dettagli tecnici necessari per una verifica indipendente completa. Meta, proprietaria di WhatsApp, ha contestato la ricostruzione, definendo infondate le affermazioni e sostenendo che non vi siano evidenze tecniche di un attacco effettivamente avvenuto secondo quelle modalità.
Il punto, quindi, non è dire con certezza assoluta “WhatsApp è stato violato così”. Il punto corretto è più prudente: esistono segnalazioni forensi su casi anomali, Meta le contesta, e il tema merita attenzione perché il tipo di frode descritto sarebbe particolarmente insidioso per gli utenti comuni.
Perché il caso è diverso dalle truffe WhatsApp tradizionali
Nelle truffe più comuni su WhatsApp, la vittima viene spinta a fare un errore. Comunica un codice a sei cifre. Autorizza un accesso. Scansiona un QR. Clicca un link. Installa un’app di controllo remoto. In quei casi, la difesa principale è relativamente chiara: non condividere codici, non aprire link sospetti, controllare i dispositivi collegati, attivare la verifica in due passaggi.
Qui, almeno secondo la ricostruzione riportata dai tecnici forensi, la situazione cambia. La verifica in due passaggi potrebbe non bastare, perché non si tratterebbe del classico accesso da autorizzare. Il controllo dei dispositivi collegati potrebbe non mostrare nulla, perché l’attaccante non apparirebbe come dispositivo secondario. L’utente potrebbe non ricevere un messaggio sospetto da aprire consapevolmente.
Questo non significa che tutte le protezioni siano inutili. Significa che la sicurezza non può essere ridotta a un solo gesto. Aggiornare il sistema operativo, aggiornare WhatsApp, ridurre la superficie d’attacco, verificare le richieste di denaro tramite canali diversi, controllare eventuali comportamenti anomali: tutto diventa parte dello stesso comportamento prudente.
Il problema delle truffe digitali moderne è che spesso non colpiscono il punto più debole della tecnologia. Colpiscono il punto più debole della fiducia.
Il messaggio che chiede soldi
La parte più concreta della vicenda non è tecnica. È umana. Un contatto ti scrive su WhatsApp. Il numero è quello giusto. La foto profilo magari è quella giusta. La chat è quella di sempre. Il tono è urgente. Serve un bonifico istantaneo, magari perché c’è un problema improvviso, una carta bloccata, una scadenza, un’emergenza.
In quel momento la vittima vera può essere doppia. Da una parte c’è la persona il cui account viene usato senza consenso. Dall’altra c’è il contatto che riceve il messaggio e, fidandosi, invia denaro. Il criminale non deve costruire da zero la fiducia: la eredita dalla relazione tra due persone.
Per questo le richieste di bonifico istantaneo sono particolarmente pericolose. Il bonifico istantaneo, per sua natura, è rapido e spesso difficilmente revocabile. È pensato per essere efficiente. La truffa usa proprio questa efficienza contro la vittima.
La regola dovrebbe diventare semplice, quasi banale: se qualcuno chiede soldi su WhatsApp, anche se è una persona fidata, bisogna verificare con una telefonata o con un altro canale. Non con un altro messaggio nella stessa chat. Una chiamata vera. Una domanda personale. Un controllo esterno.
Non è diffidenza verso gli amici. È igiene digitale.
Meta nega, i tecnici insistono: perché la prudenza è obbligatoria
Il caso è reso più complesso dalla posizione di Meta. Secondo quanto riportato da Wired, un portavoce di WhatsApp ha definito le affermazioni infondate, sostenendo che non si basino su evidenza tecnica e che non vi sia prova di un attacco effettivamente avvenuto. È una posizione importante, perché WhatsApp è il soggetto che gestisce l’infrastruttura e ha accesso a informazioni che dall’esterno non sono sempre verificabili.
Dall’altra parte, Forenser sostiene di aver analizzato dispositivi compromessi, osservato log diagnostici e riprodotto la catena di exploit in laboratorio prima di inviare una responsible disclosure a Meta. Anche questa è una posizione rilevante, soprattutto perché arriva da un ambito forense, dove la ricostruzione tecnica deve poter reggere a verifiche documentali.
Davanti a due versioni così diverse, l’approccio più serio non è scegliere la frase più spettacolare. Non bisogna trasformare un’ipotesi tecnica in certezza mediatica, ma nemmeno liquidare tutto come suggestione se più casi mostrano comportamenti anomali simili.
Il lettore deve sapere due cose insieme: la ricostruzione dell’attacco è contestata da Meta; aggiornare dispositivi e app resta comunque una misura essenziale, perché le vulnerabilità zero-click su piattaforme di messaggistica e sistemi operativi non sono una fantasia, ma una categoria reale e documentata nel campo della cybersicurezza.
Che cosa c’entrano CVE-2025-43300 e CVE-2025-55177
Le sigle CVE possono sembrare fredde, quasi incomprensibili. In realtà sono il modo con cui il mondo della sicurezza informatica identifica pubblicamente vulnerabilità note. CVE-2025-43300 riguarda una vulnerabilità Apple legata al trattamento di immagini malevole, corretta con aggiornamenti di sicurezza. Apple ha indicato che il problema poteva causare corruzione della memoria durante il processamento di un file immagine appositamente creato.
WhatsApp, nelle sue advisory di sicurezza del 2025, ha anche indicato una vulnerabilità identificata come CVE-2025-55177, legata alla sincronizzazione dei dispositivi collegati su WhatsApp per iOS, WhatsApp Business per iOS e WhatsApp per Mac. Nella comunicazione ufficiale, WhatsApp ha scritto che la vulnerabilità, in combinazione con una vulnerabilità a livello di sistema operativo Apple, potrebbe essere stata sfruttata in un attacco sofisticato contro utenti specifici.
Questo passaggio è importante perché mostra che la categoria di attacco non è inventata. Gli attacchi zero-click esistono, soprattutto contro bersagli mirati, e possono sfruttare il modo in cui app e sistemi operativi processano contenuti ricevuti automaticamente, come immagini o file multimediali.
La domanda aperta è se i casi italiani descritti nelle segnalazioni forensi del 2026 siano direttamente collegati a quella catena tecnica, a una variante, a dispositivi non aggiornati o a una dinamica diversa. Finché non ci sono dettagli pubblici completi e verificabili, questa domanda va lasciata aperta.
La parola zero-click e il rischio di capirla male
“Zero-click” non significa magia. Non significa che un telefono possa essere violato da chiunque in qualunque momento senza alcun limite. Significa che l’attacco, quando funziona, non richiede un’interazione evidente da parte della vittima. Non devi cliccare. Non devi autorizzare. Non devi scaricare volontariamente qualcosa.
Il punto tecnico è che alcune app processano contenuti automaticamente. Ricevono immagini, anteprime, messaggi, file, notifiche. Se in quel processo esiste una vulnerabilità, un contenuto costruito apposta può sfruttarla. È un livello di attacco più sofisticato rispetto al phishing comune.
Questo spiega anche perché gli aggiornamenti sono così importanti. Spesso l’utente pensa: “Il telefono funziona, quindi non aggiorno”. Ma un aggiornamento non serve solo a cambiare icone o aggiungere funzioni. Serve a chiudere porte che magari l’utente non vede e che qualcun altro ha già imparato a usare.
Non aggiornare un dispositivo, soprattutto quando non riceve più tutte le patch o resta fermo a una versione vecchia, significa continuare a vivere in una casa con una serratura nota ai ladri.
Perché iPhone con iOS 16 sono citati spesso
Le segnalazioni italiane hanno indicato come elemento ricorrente l’uso di iPhone con iOS 16. Questo non significa che ogni iPhone con iOS 16 sia compromesso, né che WhatsApp sia automaticamente insicuro su quei dispositivi. Significa che, nei casi osservati dai tecnici, quel sistema operativo compariva come fattore comune.
Il problema degli smartphone più vecchi è sempre lo stesso: restano funzionanti, ma possono diventare più esposti quando non vengono aggiornati tempestivamente o quando non supportano più le versioni più recenti del sistema operativo. L’utente li percepisce ancora come normali strumenti quotidiani. La sicurezza, però, non dipende da quanto il telefono sembra funzionare. Dipende da quali vulnerabilità sono state corrette.
Apple ha pubblicato nel tempo aggiornamenti di sicurezza per iOS 16, compresi quelli collegati a vulnerabilità importanti. Chi usa ancora dispositivi fermi a versioni precedenti dovrebbe controllare subito la disponibilità di aggiornamenti. Se un dispositivo non riceve più patch adeguate, bisogna considerarlo più fragile, soprattutto per l’uso di app sensibili come messaggistica, banca, identità digitale e posta elettronica.
La nostalgia per un telefono che “va ancora benissimo” non può pesare più della sicurezza dei propri account.
Cosa fare subito, senza panico
La prima cosa da fare è aggiornare. Sistema operativo e WhatsApp devono essere portati all’ultima versione disponibile per il proprio dispositivo. Non basta aggiornare l’app se il sistema operativo resta vecchio. Non basta aggiornare il sistema se l’app resta indietro. La sicurezza è una catena: il punto debole conta più del punto forte.
La seconda cosa è attivare comunque la verifica in due passaggi su WhatsApp. Anche se, in uno scenario di sessione rubata, potrebbe non bastare da sola, resta una protezione fondamentale contro molti altri tipi di furto account. Non bisogna confondere “non basta sempre” con “non serve”.
La terza cosa è controllare i dispositivi collegati. Se compare qualcosa di sconosciuto, va rimosso subito. Anche se nel caso descritto il dispositivo malevolo potrebbe non apparire, questo controllo resta utile contro le compromissioni più comuni.
La quarta cosa è stabilire una regola familiare: nessun bonifico, nessuna ricarica, nessun pagamento urgente richiesto via WhatsApp viene eseguito senza una verifica vocale. Se una persona ha davvero bisogno di soldi, può rispondere a una chiamata o confermare tramite un canale diverso. Se trova scuse per non farlo, il sospetto deve aumentare.
La quinta cosa è avvisare subito i contatti se si notano messaggi inviati dal proprio numero senza consenso. In certi casi la velocità dell’avviso può evitare che un parente, un collega o un amico cada nella seconda parte della truffa.
- Aggiornare iOS o Android all’ultima versione disponibile.
- Aggiornare WhatsApp dall’App Store o dal Play Store ufficiale.
- Attivare la verifica in due passaggi su WhatsApp.
- Controllare la sezione “Dispositivi collegati”.
- Non fare bonifici richiesti via chat senza conferma telefonica.
- Avvisare subito i contatti se partono messaggi non autorizzati.
Che cosa fare se il proprio account sembra compromesso
Se dal proprio numero partono messaggi non scritti da noi, bisogna agire senza perdere tempo. Prima si avvisano i contatti più recenti, perché sono quelli che potrebbero ricevere le richieste fraudolente. Poi si prova a uscire da tutte le sessioni collegate visibili. Si aggiorna l’app. Si aggiorna il sistema operativo. Si cambia il PIN della verifica in due passaggi. Si controlla la mail associata, se presente. Si verifica che la SIM non sia stata duplicata o trasferita con una truffa di SIM swap.
Se il problema continua, il caso non va trattato come una semplice seccatura. Può essere utile raccogliere screenshot, orari, messaggi inviati, eventuali log disponibili e rivolgersi a un tecnico qualificato o, in presenza di danni economici, alle autorità competenti. In caso di bonifico già inviato, bisogna contattare immediatamente la banca: il tempo è fondamentale.
Non bisogna cancellare tutto per vergogna. La vergogna è una delle alleate dei truffatori. I dati servono a ricostruire cosa è successo.
La vera fragilità è la fiducia automatica
Questa vicenda, al di là della disputa tecnica, racconta un cambiamento più grande. Per anni abbiamo imparato a diffidare dei numeri sconosciuti. Ora dobbiamo imparare a verificare anche i numeri conosciuti quando chiedono qualcosa di anomalo. È un passaggio psicologicamente fastidioso, perché WhatsApp è diventato uno spazio intimo: famiglia, lavoro, amici, scuola, gruppi, emergenze, appuntamenti.
Il problema è proprio questo. Più una piattaforma diventa parte della vita quotidiana, più diventa preziosa per chi vuole manipolarla. Il criminale non deve più convincerti ad aprire una mail piena di errori. Gli basta entrare, o sembrare entrato, nella conversazione giusta.
La sicurezza digitale non può più essere pensata come un recinto intorno al computer. È diventata una pratica sociale. Serve tra genitori e figli, tra colleghi, tra amici, tra partner, tra anziani e familiari. Bisogna costruire piccole regole comuni: se ti chiedo soldi, chiamami; se cambio IBAN, confermalo a voce; se ti scrivo una cosa insolita, sospendi il gesto e verifica.
Sono regole poco eleganti. Ma funzionano perché interrompono la velocità, e la velocità è il carburante delle truffe.
Il ruolo delle piattaforme
Sarebbe troppo comodo scaricare tutto sull’utente. Certo, l’utente deve aggiornare, controllare, diffidare delle richieste anomale. Ma una piattaforma usata da miliardi di persone ha una responsabilità più ampia. Deve rendere visibili gli accessi anomali, spiegare meglio i rischi, reagire rapidamente alle segnalazioni forensi, comunicare in modo chiaro quando una vulnerabilità è reale e quando una ricostruzione è infondata.
La crittografia end-to-end protegge il contenuto dei messaggi, ma non risolve ogni problema di sicurezza. Un account può essere abusato anche se i messaggi sono cifrati. Una sessione può essere un bersaglio. Un dispositivo non aggiornato può diventare l’anello debole. La privacy e la sicurezza non sono la stessa cosa, anche se spesso viaggiano insieme.
Meta ha il diritto di contestare affermazioni che ritiene prive di evidenza tecnica. Ma gli utenti hanno il diritto di ricevere indicazioni chiare. Quando un caso diventa pubblico e genera allarme, la risposta migliore non è solo negare. È spiegare quali controlli fare, quali versioni aggiornare, quali segnali osservare, quali comportamenti adottare.
La fiducia in una piattaforma non nasce dall’assenza di problemi. Nasce dal modo in cui quei problemi vengono riconosciuti, spiegati e risolti.
Nessun panico, ma nemmeno leggerezza
È importante non trasformare questa storia in isteria. Non tutti gli account WhatsApp sono in pericolo immediato. Non ogni messaggio strano indica un attacco zero-click. Non ogni iPhone con iOS 16 è stato compromesso. Non ogni richiesta di denaro è una prova di furto sessione.
Ma sarebbe altrettanto sbagliato minimizzare. La frode descritta è credibile nel suo effetto sociale: usare un account apparentemente legittimo per chiedere soldi a contatti fidati. Anche se la catena tecnica resta oggetto di confronto, il rischio finale è reale. Le truffe via messaggistica esistono, funzionano e sfruttano esattamente quel punto: la fiducia veloce.
La posizione più sensata è stare nel mezzo: non credere a ogni titolo allarmistico, ma aggiornare subito; non condividere panico nei gruppi, ma spiegare ai parenti come verificare; non accusare senza prove, ma non ignorare segnali anomali.
La sicurezza digitale adulta è fatta così. Meno paura, più metodo.
Chiusura
La truffa perfetta non è quella più rumorosa. È quella che passa nella vita quotidiana senza sembrare estranea. Un messaggio da un numero conosciuto. Una richiesta urgente. Un bonifico da fare subito. Un gesto piccolo, deciso troppo in fretta.
La vicenda WhatsApp di questi giorni resta tecnicamente discussa: da una parte le ricostruzioni forensi, dall’altra la smentita di Meta. Ma il messaggio utile non dipende dall’esito finale della disputa. Aggiornare i dispositivi, verificare le richieste di denaro, non fidarsi automaticamente della chat giusta, proteggere gli account e parlare di queste cose con chi è meno esperto non è allarmismo. È manutenzione della vita digitale.
Un tempo bisognava imparare a chiudere la porta di casa. Oggi bisogna imparare anche a non aprire il portafoglio solo perché una voce familiare scrive da uno schermo.
Fonti e riferimenti
- Wired Italia, “C’è una nuova truffa su WhatsApp che non chiede codici e non installa malware, ma è pericolosissima”: https://www.wired.it/article/whatsapp-attacco-invisibile-bonifici-contatti-truffa/
- Forenser, “Account WhatsApp compromessi su iPhone con iOS 16: l’attacco 0-click che bypassa i dispositivi collegati”: https://www.forenser.it/tag/whatsapp/
- WhatsApp, Security Advisories 2025: https://www.whatsapp.com/security/advisories/2025?lang=en_US
- Apple, contenuto di sicurezza di iOS 16.7.12 e iPadOS 16.7.12: https://support.apple.com/en-al/125141
- Apple, elenco aggiornamenti di sicurezza: https://support.apple.com/en-us/100100
- Security Affairs, “Zero-Click WhatsApp Account Takeover Hits iPhone Users Running iOS 16”: https://securityaffairs.com/192627/security/zero-click-whatsapp-account-takeover-hits-iphone-users-running-ios-16-no-linked-devices-no-warning.html
- SC World, “Zero-click attack hijacks WhatsApp accounts on iOS 16”: https://www.scworld.com/brief/zero-click-attack-hijacks-whatsapp-accounts-on-ios-16
- Fanpage, intervista ad Antonio De Bortoli sull’attacco WhatsApp senza link né codici: https://www.fanpage.it/innovazione/tecnologia/lattacco-whatsapp-senza-link-ne-codici-il-tecnico-de-bortoli-non-capiamo-come-avvenga-lintrusione/
- SmartWorld, approfondimento sull’attacco zero-click WhatsApp in Italia: https://www.smartworld.it/news/whatsapp-violato-zero-click-attacco-italia.html
