Vi arriva un messaggio WhatsApp da un amico, un collega, o magari da vostra madre. Il testo chiede un piccolo favore: votare online per una bambina impegnata in un concorso di danza, così da aiutarla a vincere una borsa di studio per un anno di corsi gratuiti. Niente di strano, niente di sospetto. "Non costa niente, basta un click." E invece quel click può costarvi l'intero account WhatsApp.
È la cosiddetta truffa della ballerina, una delle campagne di phishing più sofisticate e diffuse del momento in Italia. Di recente ne hanno parlato in molti, compreso il CSIRT del Ministero dell'Istruzione e decine di istituzioni pubbliche, ma il fenomeno continua a diffondersi. Non si tratta di un malware, non di un virus, non di una vulnerabilità tecnica di WhatsApp. Si tratta di ingegneria sociale applicata in modo quasi chirurgico alla psicologia umana.
Come funziona la truffa: il ghost pairing spiegato bene
Il meccanismo tecnico alla base dell'attacco si chiama ghost pairing (accoppiamento fantasma). Per capirlo, bisogna prima capire come funziona la funzione legittima "Dispositivi collegati" di WhatsApp.
WhatsApp consente di usare lo stesso account su più dispositivi contemporaneamente: smartphone, tablet, PC, smartwatch. Per collegare un nuovo dispositivo, l'app genera un codice QR o un codice numerico a 6 cifre. Inquadrando o inserendo quel codice, si autorizza il nuovo dispositivo ad accedere a tutti i messaggi, i contatti e le conversazioni dell'account.
I truffatori hanno trasformato questa funzionalità legittima in un vettore d'attacco. Ecco il flusso dell'attacco passo per passo:
- La vittima riceve un messaggio da un contatto già in rubrica (che è stato compromesso in precedenza) con la richiesta di votare per una "ballerina" o un bambino in un concorso scolastico, o qualche altra scusa.
- Il link porta a un sito falso, esteticamente curato, che imita portali legittimi come il login via Facebook e altri. La pagina mostra foto di bambini, un contatore di voti, un'interfaccia credibile.
- Per "verificare l'identità del votante e prevenire frodi", il sito chiede di inserire il proprio numero di telefono o di inquadrare un codice QR.
- WhatsApp invia il codice di verifica a 6 cifre (o mostra il QR) perché crede che l'utente stia collegando un nuovo dispositivo. L'utente lo inserisce sul sito truffaldino, convinto di completare una normale verifica antifrode.
- I truffatori usano quel codice per collegare il proprio dispositivo all'account WhatsApp della vittima. Da quel momento hanno accesso completo a tutti i messaggi, contatti e conversazioni.
- L'account compromesso viene usato immediatamente per inviare lo stesso messaggio della ballerina a tutti i contatti, propagando la truffa in modo esponenziale.
Il punto chiave, come sottolineato dall'esperto di sicurezza Matteo Flora nel suo canale "Ciao Internet", è che WhatsApp non viene violato. L'app funziona esattamente come previsto. È l'utente che, inconsapevolmente, autorizza l'accesso a un dispositivo sconosciuto.
Perché è così efficace: la psicologia dell'attacco
La truffa della ballerina è un esempio quasi perfetto di social engineering, ovvero la manipolazione psicologica dell'utente come vettore di attacco primario. Non serve violare server, non serve scrivere malware: basta sfruttare i meccanismi cognitivi umani.
Diversi fattori contribuiscono all'efficacia di questa truffa:
- Provenienza da un contatto fidato: il messaggio arriva da un numero già in rubrica, il che riduce immediatamente la diffidenza. Il cervello umano abbassa le difese quando la fonte è familiare.
- Leva emotiva sull'empatia: una bambina, un sogno, una borsa di studio. Il tema è costruito per attivare la risposta empatica e sospendere il giudizio critico.
- Percezione di innocuità: "non costa niente", "basta un click". L'assenza di richieste economiche immediate abbassa ulteriormente la guardia.
- Interfaccia credibile: i siti truffaldini sono realizzati con cura, con foto professionali, loghi rassicuranti e layout puliti. Alcuni imitano fedelmente Facebook o portali istituzionali.
- Meccanismo di verifica apparentemente logico: la richiesta di inserire un codice "per prevenire voti falsi" sembra sensata. L'utente lo fa convinto di compiere un'azione di sicurezza.
La truffa si propaga in modo virale perché ogni vittima diventa automaticamente un vettore verso i propri contatti. Il tasso di conversione è alto proprio perché la fonte è sempre qualcuno di conosciuto.
Cosa succede dopo: le conseguenze del ghost pairing
Una volta ottenuto l'accesso, i truffatori dispongono di uno strumento potente. L'account rimane attivo sul telefono della vittima, che spesso non si accorge di nulla nell'immediato. Nel frattempo:
- l'account viene usato per inviare il messaggio della ballerina a tutti i contatti, diffondendo la truffa
- vengono lette le conversazioni recenti, raccogliendo informazioni personali utili per truffe più elaborate
- in una fase successiva partono spesso richieste di denaro urgente: "ho perso il portafoglio", "problemi in famiglia", "ho bisogno urgente di soldi"
- la reputazione digitale della vittima può subire danni concreti se i truffatori diffondono contenuti inappropriati
C'è poi un aspetto legale che inizia a emergere: come sottolineato da Matteo Flora, il confine tra vittima e complice involontario si sta assottigliando. Se il proprio account compromesso viene usato per truffare altri, la responsabilità legale della vittima iniziale è ancora oggetto di dibattito nelle aule giudiziarie.
Come difendersi: le contromisure pratiche
Prevenzione: cosa fare subito
- Attivare la verifica in due passaggi su WhatsApp: Impostazioni → Account → Verifica in due passaggi. Aggiunge un PIN a 6 cifre che rende molto più difficile il furto dell'account, anche se il codice di verifica SMS viene compromesso.
- Controllare i dispositivi collegati: Impostazioni → Dispositivi collegati. Se compare qualcosa di sconosciuto, disconnetterlo immediatamente. Farlo almeno una volta a settimana è buona pratica.
- Non inserire mai codici WhatsApp su siti esterni: la regola è semplice e senza eccezioni. WhatsApp, come qualsiasi altra piattaforma, verifica l'identità solo all'interno della propria app. Mai tramite link ricevuti.
- Verificare con una telefonata vocale: se si riceve una richiesta insolita da un contatto noto, chiamarlo. Non rispondere in chat, chiamare. È il modo più rapido per verificare se l'account è stato compromesso.
Se si è già caduti nella truffa
- Andare immediatamente su Impostazioni → Dispositivi collegati e disconnettere tutti i dispositivi sconosciuti.
- Avvisare i propri contatti tramite altri canali (email, telefonate, altri servizi di messaggistica) che il proprio WhatsApp è stato compromesso.
- Presentare denuncia alla Polizia Postale, online sul portale commissariatodips.it oppure presso il commissariato più vicino.
- Segnalare il numero truffaldino direttamente su WhatsApp.
- Se l'account è stato completamente sottratto, avviare la procedura di recupero tramite il numero di telefono direttamente dall'app WhatsApp.
Il prossimo livello: quando l'AI amplifica il social engineering
La truffa della ballerina è sofisticata, ma nella sua forma attuale è ancora identificabile con un minimo di attenzione. Il problema è che rappresenta solo l'inizio di un'evoluzione preoccupante.
In sintesi — Le 3 regole fondamentali
- Non inserire mai codici WhatsApp su siti esterni, a prescindere da chi li richiede.
- Attivare subito la verifica in due passaggi (Impostazioni → Account → Verifica in due passaggi).
- Controllare regolarmente i dispositivi collegati e disconnettere quelli non riconosciuti.
Con l'intelligenza artificiale generativa, chi ottiene accesso alle conversazioni di un account WhatsApp acquisisce anche lo stile comunicativo della vittima: il tono dei messaggi, le espressioni abituali, i riferimenti personali. Un modello AI può riprodurre fedelmente quel profilo linguistico, rendendo quasi impossibile distinguere i messaggi fraudolenti da quelli autentici. Se ci sono messaggi vocali e video, è possibile creare copie digitali molto credibili.
Lo scenario futuro già delineato dagli esperti include vocali sintetici con la voce dei propri cari, videochiamate deepfake in tempo reale, messaggi che replicano perfettamente il lessico di chi conosciamo. Il social engineering si sta spostando dal piano tecnico a quello puramente psicologico, e gli strumenti AI abbassano drasticamente la barriera d'ingresso per chi vuole condurre questi attacchi.
La risposta non potrà essere solo tecnologica. Dovrà includere una revisione dei modelli mentali con cui ci approcciamo alle comunicazioni digitali: quello che una volta era un segnale inequivocabile di identità (il numero di telefono di un amico, la sua voce) oggi non lo è più.
