WhatsApp è diventato una superficie d’attacco su grande scala, perché contiene tre elementi che interessano ai criminali: identità, relazioni e fiducia pregressa.
Ecco perché gli italiani perdono ogni anno moltissimi soldi per colpa di queste truffe via messaggio: 770 euro in Italia, in media, secondo il report Kaspersky di giugno.
La Polizia Postale, nel Report annuale 2025, ha trattato 27.085 casi di cybercrime economico-finanziario, con somme sottratte superiori a 269 milioni di euro nell’ultimo biennio e 4.489 persone indagate.
Dentro questi numeri rientrano schemi diversi, ma su WhatsApp la logica ricorrente è chiara: ingegneria sociale prima, monetizzazione dopo.
Truffe WhatsApp: la mappa degli schemi più ricorrenti
| Schema | Tecnica prevalente | Obiettivo |
|---|---|---|
| Finto figlio o finto nipote | Social engineering emotivo | Bonifico, ricarica, pagamento urgente |
| Finto ente o azienda | Phishing e brand impersonation | Dati personali, carta di pagamento, targa |
| Contatto compromesso | Account takeover e abuso della rubrica | Richieste di denaro ai contatti |
| Codice di verifica | Furto del codice a sei cifre | Registrazione dell’account su altro dispositivo |
| Falsa votazione o “ballerina” | Phishing e device linking | Accesso a chat e dispositivi collegati |
| Finto operatore in videochiamata | Vishing e screen sharing abuse | Credenziali bancarie, codici dispositivi |
| Task scam dei like | Advance fee fraud | Versamenti per sbloccare falsi guadagni |
| Finto trading e romance scam | Pig butchering e crypto fraud | Depositi progressivi su piattaforme false |
Abbiamo tracciato le truffe più diffuse dell’ultimo anno, tramite alert Cert-Agid, Csirt, Polizia Postale.
Come riassume Pierluigi Paganini, noto esperto cyber, “La maggior parte delle truffe che usano WhatsApp come vettore seguono alcuni schemi fissi, di cui osserviamo di tanto in tanto qualche variante. Trattasi sempre di attacchi di ingegneria sociale”.
Finto figlio: social engineering basato sull’urgenza familiare
Una delle truffe più longeve resta quella del finto figlio o del finto nipote. Il messaggio arriva da un numero non salvato e comincia con formule generiche: “Ciao mamma”, “ciao papà”, “ho cambiato numero”. Subito dopo compare un problema: telefono rotto, conto bloccato, carta inutilizzabile, spesa urgente. La richiesta economica arriva in forma di bonifico, ricarica su carta o pagamento verso un iban.
La forza dello schema non è tecnica, ma psicologica. Il criminale sfrutta pretesto familiare, pressione temporale e divieto implicito di verifica. La vittima viene scoraggiata dal chiamare perché il telefono sarebbe rotto o perché la situazione richiederebbe discrezione. In un caso di marzo, la Polizia di Stato di Avellino ha denunciato tre persone dopo l’uso del profilo WhatsApp del figlio di un 65enne per rappresentare una falsa emergenza e chiedere denaro.
La contromisura è una verifica fuori banda: chiamata al vecchio numero, contatto con un familiare, controllo dell’iban e rifiuto di pagamenti effettuati dentro la sola pressione della chat.
Finto ente o azienda: il caso del pedaggio autostradale
Un’altra famiglia di frodi usa WhatsApp per simulare comunicazioni di aziende note, pubbliche amministrazioni o servizi quotidiani. Nel maggio 2026 il Csirt Italia ha segnalato una campagna a tema mancato pagamento del pedaggio autostradale, veicolata via WhatsApp con falsi messaggi attribuiti ad Autostrade per l’Italia. La pagina malevola chiedeva prima la targa del veicolo, poi ridirigeva verso un falso dettaglio del pedaggio scaduto e infine puntava all’inserimento dei dati della carta.
La tecnica è una forma di brand impersonation con elementi di phishing contestuale. L’importo spesso contenuto rende plausibile il pagamento rapido. La targa aggiunge un passaggio di verosimiglianza: l’utente inserisce un dato coerente con il servizio e viene accompagnato verso la pagina di pagamento. La minaccia di sanzioni o maggiorazioni fa il resto.
Il controllo operativo riguarda dominio, canale e procedura. Un pagamento richiesto da un numero estero o da un link abbreviato, fuori dai canali ufficiali della società, va considerato ad alto rischio anche quando il marchio è noto e la grafica appare credibile.
Account takeover: quando la truffa arriva da un contatto reale
La versione più pericolosa della richiesta di denaro non arriva da uno sconosciuto. Arriva da un account autentico già compromesso. Il profilo mostra nome, foto e cronologia del contatto reale; il criminale sfrutta questa continuità per chiedere soldi alla rubrica della vittima.
Il Cert-AgID, struttura dell’Agenzia per l’Italia Digitale che monitora e segnala campagne malevole rivolte a cittadini, imprese e pubbliche amministrazioni, ha segnalato il 5 febbraio 2026 la diffusione della truffa “prestami dei soldi”. Lo schema prevede richieste urgenti di denaro inviate da account WhatsApp compromessi e richiama l’attenzione anche sulle sessioni attive e sui dispositivi collegati.
Qui WhatsApp non è solo canale di contatto. È un asset d’identità: una volta sottratto, consente di colpire la rete fiduciaria della vittima. Chi sospetta una compromissione deve controllare subito i dispositivi collegati, disconnettere le sessioni non riconosciute, attivare la verifica in due passaggi e avvisare i contatti con un canale alternativo.
Codice a sei cifre: il furto dell’account passa dalla verifica
Uno dei metodi più usati per arrivare all’account takeover sfrutta il codice di verifica di WhatsApp. Un contatto scrive di aver inviato “per errore” un codice alla vittima e chiede di rimandarglielo. In altre varianti il codice viene presentato come procedura di sicurezza, conferma di identità, accesso a un premio o passaggio necessario per partecipare a una votazione.
Il codice serve a registrare l’account su un nuovo dispositivo. Se viene consegnato, il criminale può completare l’attivazione, prendere il controllo del profilo e usare l’account contro la rubrica. È una frode elementare nella forma, ma efficace perché sfrutta un comportamento cooperativo: aiutare un conoscente che sembra aver commesso un errore.
La regola tecnica è semplice: nessun codice di verifica va condiviso. WhatsApp non chiede di inoltrare codici via chat e un supporto legittimo non usa un contatto personale per validare l’account.
Ghost Pairing e truffa della ballerina: abuso dei dispositivi collegati
Nel 2026 è tornata anche la truffa della falsa votazione, spesso indicata come truffa della ballerina o del teatro. Un contatto già compromesso chiede di votare una bambina per un corso di danza, oppure invia un link con frasi come “ho trovato una tua foto”. La pagina esterna simula un concorso, un contenuto social o una verifica innocua. In realtà induce la vittima a inserire numero e codice, oppure a completare una procedura che collega l’account WhatsApp a un dispositivo controllato dall’attaccante.
La tecnica sfrutta una funzione legittima, cioè l’uso multi-dispositivo, per ottenere una persistenza silenziosa: l’attaccante può leggere chat, file, note vocali e messaggi, e continuare a impersonare l’utente.
Il segnale da riconoscere è la combinazione tra link esterno, richiesta di codice e istruzioni anomale sui dispositivi collegati. Un concorso non richiede l’associazione di WhatsApp Web o di un nuovo dispositivo.
Videochiamata del finto operatore: quando la vittima mostra il conto
Una famiglia più recente usa WhatsApp come canale di finta assistenza. Il truffatore chiama o videochiama sostenendo di lavorare per una banca, un corriere, una piattaforma o un ente. La vittima viene guidata dentro una procedura e invitata ad attivare la condivisione dello schermo. Da quel momento l’attaccante può osservare credenziali, codici ricevuti via sms, notifiche push, saldo, iban e passaggi dell’app bancaria.
È una forma di vishing con abuso dello screen sharing. Non richiede malware né exploit: l’utente concede volontariamente visibilità a ciò che dovrebbe restare locale al dispositivo. Il rischio cresce quando la chiamata viene combinata con spoofing del numero, dati personali già noti alla vittima o riferimenti a una presunta operazione sospetta.
La difesa passa da una policy comportamentale netta: nessun operatore bancario deve vedere lo schermo del cliente, leggere codici o guidare operazioni dentro l’app. La chiamata va chiusa e il contatto va ripreso dal numero ufficiale dell’istituto.
Task scam: like, commenti e falsi guadagni da sbloccare
La truffa dei like e dei commenti pagati usa WhatsApp come canale di reclutamento. Il messaggio propone un lavoro da casa: mettere “mi piace” a video, scrivere recensioni, seguire profili, commentare post, completare micro-attività. L’ingresso è rapido, spesso senza colloquio e senza contratto. La vittima viene poi spostata su una piattaforma o su gruppi dove compaiono task, livelli e saldo maturato.
La prima fase serve a creare fiducia. In alcuni casi viene pagata una piccola somma, sufficiente a dimostrare che il meccanismo “funziona”. Poi il saldo sale e il prelievo viene bloccato. Per incassare bisogna versare una cauzione, completare un pacchetto superiore, pagare una commissione, anticipare una tassa o ricaricare il conto. L’Unione Nazionale Consumatori descrive la “truffa del mi piace” come uno schema che parte spesso da WhatsApp, promette compensi per like, recensioni o commenti e poi chiede soldi per sbloccare i guadagni.
La struttura è quella dell’advance fee fraud: il guadagno mostrato è fittizio, il denaro reale è quello versato dalla vittima. La Polizia Postale ha collegato casi analoghi anche a richieste di dati personali e bancari per falsi contratti di lavoro, secondo ricostruzioni locali pubblicate a maggio 2026.
Finto trading, crypto e romance scam
L’ultimo schema parte spesso da un messaggio casuale: un numero sconosciuto sostiene di aver sbagliato contatto, poi avvia una conversazione. In altri casi il contatto nasce su social o app di dating e si sposta rapidamente su WhatsApp. La relazione viene coltivata per giorni o settimane. A quel punto compare l’investimento: criptovalute, trading, wallet digitali, piattaforme che mostrano profitti crescenti e prelievi inizialmente possibili.
La tecnica è nota come pig butchering, o romance baiting quando la componente sentimentale è centrale. La vittima viene “ingrassata” con attenzione, fiducia e piccoli rendimenti apparenti, poi spinta a depositare somme sempre maggiori. Quando prova a ritirare, la piattaforma chiede tasse, commissioni, upgrade o ulteriori versamenti. A febbraio un’indagine della Guardia di finanza di Cuneo su frodi sentimentali e falsi investimenti in criptovalute, ha portato a 23 indagati e circa 900.000 euro ricostruiti come riciclaggio e autoriciclaggio.
Mastercard, nel rapporto sulle truffe sentimentali e il cybercrime, indica un ecosistema criminale sempre più organizzato, con kit, piattaforme condivise e modelli economici strutturati.
WhatsApp diventa il canale di grooming: la monetizzazione può avvenire altrove, su exchange, wallet, conti di appoggio o piattaforme clone.
Le difese operative: identità, canale, pagamento
Le singole truffe cambiano forma, ma i controlli efficaci restano pochi e ripetibili.
- Il primo riguarda l’identità: una richiesta di denaro, codice o operazione anomala deve essere verificata fuori dalla chat, con una chiamata a un numero già noto o un contatto alternativo.
- Il secondo riguarda il canale: link ricevuti via WhatsApp per pagamenti, multe, pedaggi, concorsi, offerte di lavoro o investimenti vanno trattati come non affidabili finché non sono confermati dal sito ufficiale digitato manualmente.
- Il terzo controllo riguarda la superficie dell’account. La verifica in due passaggi di WhatsApp, il controllo periodico dei dispositivi collegati e la disconnessione delle sessioni sconosciute riducono il rischio di persistenza dopo una compromissione. Il quarto riguarda il denaro: un lavoro vero non chiede pagamenti per sbloccare guadagni, una banca non chiede codici in videochiamata, un investimento legittimo non nasce da un messaggio casuale e non impedisce il prelievo chiedendo nuove commissioni.
La regola più robusta è considerare WhatsApp un canale di comunicazione, non un canale di autenticazione. Quando una chat chiede soldi, codici, credenziali, installazioni, condivisione schermo o investimenti, la conversazione va interrotta e verificata altrove. In molte frodi la perdita non avviene al primo messaggio, ma nel momento in cui la vittima accetta che la chat diventi prova di identità.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Alessandro Longo
Source link
