DEV Community

John Smith
John Smith

Posted on

Spiare WhatsApp: tecniche e contromisure (2026)

Spiare WhatsApp sicurezza 2026

Aggiornato giugno 2026 – Tutte le minacce reali (spyware, fake app, zero-click) e la guida definitiva per proteggerti

⚠️ Avviso legale importante: Questo articolo ha esclusivo scopo informativo ed educativo. Spiare le comunicazioni private di terze persone senza consenso è reato in Italia ai sensi degli artt. 615-bis, 617-bis e 617-quater del Codice Penale, con pene fino a 4 anni di reclusione. Le tecniche descritte sono presentate per consentire ai lettori di riconoscerle e difendersi. L’autore e il blog declinano ogni responsabilità per usi illeciti delle informazioni qui contenute.

Table of Contents

Introduzione: la tua privacy su WhatsApp è davvero al sicuro?

Ti sei mai chiesto se fosse davvero possibile spiare WhatsApp? Sono oltre tre miliardi gli utenti attivi su WhatsApp nel 2026, secondo i dati pubblicati da Meta nel suo ultimo report trimestrale. Una base di utenza così enorme rappresenta, inevitabilmente, un bersaglio di straordinaria attrattività per criminali informatici, governi autoritari, stalker digitali e operatori di sorveglianza commerciale.

La percezione comune è che WhatsApp sia sicuro perché usa la crittografia end-to-end (E2E), basata sul protocollo Signal. È una protezione robusta, ma non rende l’applicazione imperforabile. La storia recente lo dimostra senza lasciare spazio a equivoci.

Ad agosto 2025, la CISA (Cybersecurity and Infrastructure Security Agency) americana ha inserito nel suo catalogo KEV (Known Exploited Vulnerabilities) la vulnerabilità CVE-2025-55177: un exploit zero-click che ha colpito le versioni iOS e macOS di WhatsApp, consentendo l’esecuzione remota di codice arbitrario senza che la vittima dovesse fare assolutamente nulla — nessun tap, nessun click, nessuna apertura di file. La falla è stata concatenata con CVE-2025-43300, una vulnerabilità a livello di sistema operativo Apple, in una catena d’attacco sofisticata che ha preso di mira circa 200 individui ad alto profilo in tutto il mondo, tra cui giornalisti, attivisti per i diritti umani e figure politiche.

Nel medesimo periodo, in Italia ha fatto clamore il caso della fake app “SIO” (aprile 2026): un’applicazione mascherata da legittima utility italiana, diffusa tramite tecniche di social engineering, che installava uno stalkerware capace di esfiltrare messaggi, registrare audio ambientale e tracciare la posizione GPS. Circa 200 utenti italiani risultano essere stati colpiti prima del blocco dell’app da parte dei ricercatori di sicurezza.

Prima ancora, il nome Pegasus — lo spyware sviluppato dal gruppo israeliano NSO — continua a fare la sua comparsa in nuovi report di Amnesty International e Citizen Lab, che nel 2025 hanno documentato campagne attive in Europa, Medio Oriente e America Latina. E accanto a Pegasus si affacciano tool più economici e accessibili come MobiSPY (soluzione avanzata reperibile mediante un canale Telegram, Graphite (attribuito a Paragon Solutions) e decine di stalkerware commerciali venduti apertamente online.

Questo articolo risponde a due domande fondamentali che milioni di italiani si pongono ogni giorno:

  1. Come fanno a spiarmi? (per capire le minacce reali)
  2. Come mi proteggo efficacemente? (la parte più importante e pratica)

Andremo a fondo su entrambe. Se sei preoccupato che qualcuno stia leggendo i tuoi messaggi, questa guida ti darà gli strumenti concreti per verificarlo e reagire.

Come funziona (e non funziona) la crittografia End-to-End di WhatsApp nel 2026

Prima di parlare di attacchi, è essenziale capire cosa protegge la crittografia E2E — e soprattutto cosa non protegge.

Cosa protegge la crittografia E2E

Come funziona la crittografia end-to-end WhatsApp.

WhatsApp utilizza il Signal Protocol, sviluppato da Open Whisper Systems e considerato lo standard d’oro nella messaggistica sicura. Il meccanismo è il seguente:

  • Ogni messaggio viene cifrato sul dispositivo del mittente con una chiave crittografica univoca, nota soltanto ai dispositivi dei partecipanti alla conversazione.
  • I server di Meta trasmettono il messaggio cifrato senza mai avere accesso al suo contenuto in chiaro.
  • Il messaggio viene decifrato solo sul dispositivo del destinatario.

Questo significa che un attaccante che intercettasse il traffico di rete (ad esempio tramite un attacco Man-in-the-Middle su Wi-Fi pubblico) non vedrebbe il contenuto delle chat: vedrebbe solo dati cifrati, computazionalmente inattaccabili con le risorse disponibili oggi.

Cosa NON protegge la crittografia E2E

La E2E ha limiti strutturali precisi che è fondamentale conoscere:

  • I metadati non sono cifrati. Meta sa con chi comunichi, quando, con quale frequenza, da quale indirizzo IP e da quale dispositivo. Questi dati possono essere ceduti a governi su richiesta legale e sono enormemente utili per l’analisi comportamentale.
  • Il dispositivo stesso è il punto debole. Se un attaccante ottiene accesso al tuo smartphone — fisicamente o tramite spyware — può leggere i messaggi decifrati direttamente in memoria, prima o dopo la cifratura. La E2E non protegge da un dispositivo compromesso.
  • I backup cloud possono essere non cifrati. I backup su Google Drive o iCloud, se non configurati correttamente, possono contenere la cronologia delle chat in chiaro.
  • WhatsApp Web e i dispositivi collegati creano superfici d’attacco aggiuntive.
  • Gli errori umani — click su link malevoli, installazione di app non verificate, social engineering — rimangono la causa principale di compromissione.

Aggiornamenti al protocollo nel 2025-2026

Nel corso del 2025, Meta ha introdotto il supporto esteso alla crittografia dei backup su Android e iOS come opzione predefinita per i nuovi account, e ha rafforzato il sistema di verifica delle chiavi pubbliche tramite Key Transparency (annunciato nel 2023, ora a regime). Queste misure riducono, ma non eliminano, la superficie d’attacco complessiva.

Le tecniche principali per spiare WhatsApp (sezione educativa)

🔴 Ricorda: Tutte le tecniche descritte di seguito, se applicate senza il consenso esplicito della persona interessata, configurano reati penali in Italia e nella gran parte dei paesi del mondo.

Tabella comparativa dei metodi di attacco

Metodo Difficoltà Costo Rischio legale Efficacia 2026 Rilevabilità
Spyware / Stalkerware commerciale Media €50–€300/anno Altissimo (art. 615-bis C.P.) Alta (se installato) Media-bassa
Pegasus / spyware nation-state Altissima Milioni di € Altissimo Alta (target selezionati) Molto bassa
Fake app / social engineering Media Basso Altissimo Media Media
WhatsApp Web / dispositivi collegati Bassa Zero Altissimo Media (accesso fisico) Alta
Accesso fisico + backup non cifrato Bassa Zero Altissimo Alta (se backup attivo) Alta
SIM Swap Media €100–€500 Altissimo Media Media
Zero-click (CVE-2025-55177 style) Altissima Milioni di € Altissimo Alta (versioni non aggiornate) Molto bassa
Phishing + furto credenziali Bassa Basso Altissimo Bassa (E2E limita i danni) Media

1. Spyware e Stalkerware

Spyware WhatsApp dispositivo infetto.

Gli spyware sono software malevoli installati segretamente sul dispositivo della vittima.Rappresentano oggi il metodo più efficace per spiare WhatsApp in modo silenzioso e prolungato. Una volta installati, operano in background inviando a un server remoto (controllato dall’attaccante) tutto ciò che viene digitato, visualizzato o pronunciato sul dispositivo.

I più avanzati — come Pegasus (NSO Group), Graphite (Paragon Solutions) e MobiSPY — sfruttano vulnerabilità zero-day per installarsi senza alcun intervento dell’utente. Quelli commerciali di fascia medio-bassa, come FlexiSPY, Eyezy e Hoverwatch, richiedono invece accesso fisico al dispositivo per qualche minuto. Leggi anche: come spiare un contatto su WhatsApp.

Come agiscono tecnicamente:

  • Intercettano i messaggi prima della cifratura, direttamente dal processo di WhatsApp in memoria.
  • Utilizzano le Accessibility API di Android per leggere quanto visualizzato a schermo.
  • Su iOS, sfruttano vulnerabilità del kernel o jailbreak per aggirare il sandboxing.
  • Attivano microfono e fotocamera in modo silenzioso.
  • Tracciano la posizione GPS in tempo reale.

Il caso Paragon/Graphite (2025): A gennaio 2025, Citizen Lab e Meta hanno confermato che Graphite — attribuito alla società israeliana Paragon Solutions — è stato usato per colpire giornalisti e attivisti in Italia e altri paesi europei. WhatsApp ha inviato notifiche di “minaccia avanzata” a circa 90 utenti identificati come probabili vittime.

2. Fake App e Social Engineering

Le applicazioni false che imitano WhatsApp o utility complementari (gestori di backup, mod con funzionalità aggiuntive come WhatsApp Plus, GBWhatsApp, ecc.) sono uno dei vettori più insidiosi perché fanno leva sulla fiducia dell’utente.

Il caso SIO (aprile 2026, Italia): Ricercatori italiani hanno documentato la distribuzione di una fake app denominata “SIO” — spacciata per un’applicazione di servizi pubblici italiani — che conteneva uno stalkerware avanzato. Diffusa tramite link WhatsApp, email e canali Telegram, l’app è stata installata da circa 200 utenti prima di essere bloccata. Una volta attiva, esportava conversazioni WhatsApp, contatti, log delle chiamate e registrazioni audio verso server C2 esteri.

Come riconoscere le fake app:

  • Provengono da store non ufficiali (APK esterni al Google Play Store).
  • Chiedono permessi eccessivi e non giustificati (microfono, contatti, storage, amministratore dispositivo).
  • Hanno recensioni false o scarse, sviluppatore sconosciuto.
  • Imitano icone e nomi di app legittime con piccole variazioni.

3. WhatsApp Web e Dispositivi Collegati

Dispositivi collegati WhatsApp come controllare.

WhatsApp Web e le app desktop (Windows, macOS) funzionano mantenendo una sessione attiva sincronizzata con lo smartphone. Questo meccanismo può essere sfruttato per spiare WhatsApp a distanza, senza installare alcun software sul dispositivo. Se un attaccante ottiene accesso fisico al telefono per pochi secondi, può:

  1. Aprire https://web.whatsapp.com su un computer proprio.
  2. Scansionare il QR code con il telefono della vittima.
  3. Chiudere la sessione sul telefono della vittima senza lasciare tracce evidenti.
  4. Leggere in tempo reale tutte le chat, incluse quelle future.

La sessione rimane attiva finché non viene revocata manualmente, anche se il telefono viene spento o cambia rete.

Aggiornamento 2025: WhatsApp ha introdotto notifiche push più esplicite all’aggiunta di un nuovo dispositivo collegato, ma l’utente deve notarle e agire.

4. Accesso Fisico + Backup Non Cifrato

Se un attaccante ha accesso fisico al dispositivo, le opzioni sono molteplici:

  • Backup su Google Drive/iCloud non cifrato: I backup settimanali automatici di WhatsApp possono includere l’intera cronologia dei messaggi in chiaro. Chiunque abbia accesso all’account Google/Apple della vittima può scaricarli.
  • Estrazione forense: Con tool come Cellebrite UFED o GrayKey, le forze dell’ordine (e, in alcuni contesti, attori privati) possono estrarre i database di WhatsApp direttamente dalla memoria del dispositivo, anche parzialmente.
  • Clone della SIM: Alcune SIM più vecchie possono essere clonate, consentendo di ricevere i codici SMS di verifica.

5. SIM Swap

Il SIM swap è una tecnica di social engineering rivolta all’operatore telefonico: l’attaccante si spaccia per la vittima e convince il customer service a trasferire il numero su una nuova SIM controllata dall’attaccante. Una volta ottenuto il numero, può:

  • Richiedere il trasferimento dell’account WhatsApp su un nuovo dispositivo.
  • Ricevere il codice OTP via SMS necessario per l’attivazione.
  • Prendere il controllo completo dell’account.

In questo modo è possibile spiare WhatsApp della vittima in modo completo, inclusi i messaggi futuri. Senza il PIN di verifica in due passaggi attivato, questo attacco è sorprendentemente efficace e non richiede alcuna competenza tecnica elevata.

6. Attacchi Zero-Click: CVE-2025-55177 e la catena Apple

Gli attacchi zero-click rappresentano l’evoluzione più pericolosa del panorama delle minacce, perché non richiedono nessuna azione da parte della vittima. Non basta non cliccare su link sospetti: la compromissione avviene automaticamente, spesso semplicemente ricevendo un messaggio.

CVE-2025-55177 — La vulnerabilità in dettaglio:

Scoperta internamente dal team di sicurezza di WhatsApp e resa pubblica nell’agosto 2025, questa vulnerabilità (CVSS 8.0, High) risiedeva nel sistema di sincronizzazione dei messaggi tra dispositivi collegati (linked device protocol). Nel dettaglio:

  • WhatsApp non validava correttamente se un messaggio in entrata provenisse da un dispositivo legittimamente associato all’account.
  • Un attaccante poteva inviare messaggi spoofati, facendoli apparire come provenienti dallo stesso dispositivo della vittima.
  • Questo “apriva la porta” al secondo stadio dell’attacco: l’invio di un’immagine DNG (Digital Negative) malformata.
  • Quando WhatsApp processava automaticamente l’immagine, si innescava CVE-2025-43300 — un heap overflow nel parser di immagini di Apple — che consentiva l’esecuzione di codice arbitrario con i privilegi dell’applicazione.

Prodotti affetti:

  • WhatsApp per iOS (versioni precedenti alla v2.25.21.73)
  • WhatsApp Business per iOS (versioni precedenti alla v2.25.21.78)
  • WhatsApp per Mac (versioni precedenti alla v2.25.21.78)

Impatto: Circa 200 individui ad alto profilo nel mondo sono stati colpiti. CISA ha aggiunto la CVE al KEV catalog il 2 settembre 2025. Il vettore è stato attribuito a un attore di minaccia avanzata, presumibilmente con capacità offensive di livello nation-state.

7. Metodi Nation-State vs Commerciali

È utile distinguere due categorie molto diverse di attori:

Attori nation-state (governi, intelligence, gruppi di hacker organizzati):

  • Utilizzano spyware come Pegasus (NSO), Graphite (Paragon), Predator (Intellexa), MobiSPY.
  • Sfruttano vulnerabilità zero-day acquistate su mercati dedicati (prezzi: da 500.000$ a oltre 2 milioni$ per un exploit iOS zero-click).
  • Capacità di compromissione totale del dispositivo, non solo di WhatsApp.
  • Target: giornalisti, politici, attivisti, dirigenti aziendali e, in misura minore, cittadini ordinari.

Attori commerciali/privati (stalker, concorrenti, partner gelosi):

  • Usano stalkerware commerciali (mSpy, FlexiSPY, Hoverwatch).
  • Richiedono accesso fisico al dispositivo per l’installazione.
  • Capacità tecniche limitate rispetto ai tool nation-state.
  • Target: partner sentimentali, dipendenti, figli minori (uso spesso borderline ma a volte legale con consenso).

Come capire se qualcuno ti sta spiando

Riconoscere i segnali che qualcuno stia tentando di spiare WhatsApp sul tuo dispositivo è il primo passo per reagire. Questa è una delle sezioni meno approfondite negli articoli esistenti sull’argomento, eppure è spesso quella più cercata. Ecco i segnali da monitorare e le verifiche concrete da eseguire.

Segnali comportamentali del dispositivo

Nessuno di questi segnali è definitivo da solo, ma più ne osservi contemporaneamente, più il rischio è concreto:

  • Batteria che si scarica insolitamente in fretta, anche con uso normale.
  • Surriscaldamento del dispositivo in stand-by o durante operazioni leggere.
  • Consumo anomalo di dati mobili (verifica in Impostazioni → Uso dati → per app).
  • Lentezza inspiegabile del sistema o dell’app WhatsApp.
  • Schermo che si accende da solo o comportamenti erratici.
  • Suoni/rumori di fondo durante le chiamate (meno affidabile, ma possibile).
  • App che hai installato ma non ricordi nella lista delle applicazioni.

Verifica dei Dispositivi Collegati a WhatsApp

Attivare verifica due passaggi WhatsApp per impedire agli intrusi di spiare WhatsApp.

Questa è la verifica più importante e immediata da fare.

Su Android (2026):

  1. Apri WhatsApp.
  2. Tocca i tre puntini in alto a destra → Dispositivi collegati.
  3. Verifica l’elenco: ogni voce mostra dispositivo, posizione e ultima attività.
  4. Se vedi un dispositivo che non riconosci: toccalo → Disconnetti.
  5. Disconnetti tutti i dispositivi se hai dubbi.

Su iOS (2026):

  1. Apri WhatsApp.
  2. Tocca Impostazioni (in basso a destra) → Dispositivi collegati.
  3. Stessa procedura: verifica ogni sessione attiva.
  4. Tocca un dispositivo per vedere i dettagli e, se sospetto, Disconnetti.

💡 Consiglio: Fai questa verifica mensilmente come abitudine di igiene digitale.

Tool di Rilevazione Spyware

Per un’analisi più approfondita, esistono strumenti specifici:

  • MVT (Mobile Verification Toolkit) — Sviluppato da Amnesty International Tech, è lo strumento open source più autorevole per rilevare tracce di Pegasus e spyware simili. Richiede competenze tecniche (uso da riga di comando) e un backup del dispositivo. Disponibile su GitHub su questa pagina.
  • Kaspersky Threat Intelligence — Offre scansione per stalkerware su Android tramite la sua app mobile.
  • Malwarebytes for Android/iOS — Buona copertura per stalkerware commerciali di fascia media.
  • iVerify (iOS) — App a pagamento (pochi euro) che esegue una serie di verifiche di sicurezza sul dispositivo e può rilevare segnali di compromissione del sistema operativo.
  • Lookout Security — Segnala app potenzialmente pericolose e comportamenti anomali di rete.

⚠️ Nessun tool è in grado di rilevare al 100% i più avanzati spyware nation-state (Pegasus, Graphite) su dispositivi aggiornati. Se sei un individuo ad alto rischio (giornalista, attivista, politico), considera di contattare Citizen Lab (citizenlab.ca) o Access Now (accessnow.org) per un’analisi professionale gratuita.

Guida completa e aggiornata alla protezione

Questa è la sezione più importante dell’articolo. Seguire questi passi riduce drasticamente la superficie d’attacco su WhatsApp e sul dispositivo in generale.

1. Attiva la Verifica in Due Passaggi (obbligatorio)

La verifica in due passaggi aggiunge un PIN a 6 cifre che viene richiesto ogni volta che WhatsApp viene registrato su un nuovo dispositivo. Senza di esso, un attacco SIM swap diventa sufficiente per prendere il controllo del tuo account.

Come attivare:

  • WhatsApp → Impostazioni → Account → Verifica in due passaggi → Attiva → Scegli un PIN di 6 cifre → Inserisci un’email di recupero (non saltare questo passaggio!).

🔐 Scegli un PIN che non sia una data di nascita o una sequenza ovvia. Annotalo in un password manager.

2. Strict Account Settings (novità 2025-2026)

WhatsApp ha introdotto nel corso del 2025 le Strict Account Settings (Impostazioni Account Rigide), una funzionalità pensata per utenti ad alto rischio che rafforza significativamente il controllo sull’account.

Cosa fa:

  • Impedisce l’aggiunta di dispositivi collegati senza una verifica esplicita tramite il dispositivo principale.
  • Limita chi può aggiungerti a gruppi (solo contatti, o nessuno).
  • Blocca il trasferimento dell’account verso nuovi numeri senza autenticazione avanzata.
  • Attiva verifiche di sicurezza periodiche automatiche.

Come attivare (aggiornamento 2026):

  1. WhatsApp → Impostazioni → Privacy → Impostazioni account avanzate (o “Strict Account Settings” nella versione inglese).
  2. Attiva tutte le opzioni disponibili.
  3. Configura “Chi può aggiungermi ai gruppi” su Nessuno o I miei contatti.

3. Gestione e Monitoraggio dei Dispositivi Collegati

Come già illustrato nella sezione di rilevazione:

  • Verifica mensilmente l’elenco dei dispositivi collegati.
  • Disconnetti subito qualsiasi sessione non riconosciuta.
  • Non lasciare mai WhatsApp Web aperto su computer condivisi o pubblici (biblioteche, uffici, hotel).

4. Backup Cloud: cifrali o disabilitali

Su Android:

  • WhatsApp → Impostazioni → Chat → Backup delle chatBackup su Google Drive → seleziona Fine (nessun backup automatico), oppure attiva la Crittografia end-to-end del backup e imposta una password forte.

Su iOS:

  • Impostazioni iPhone → Il tuo nome → iCloud → Backup iCloud → verifica se WhatsApp è incluso. Se vuoi backup cifrati: WhatsApp → Impostazioni → Chat → Backup iCloud → attiva “Backup end-to-end crittografato” e crea una password sicura.

⚠️ Se abiliti la crittografia del backup e perdi la password, non potrai mai più accedere al backup. Conserva la password in un posto sicuro (password manager).

5. Lockdown Mode su iOS e Best Practice Android

iOS — Lockdown Mode: Il Lockdown Mode (Modalità di Isolamento), introdotto con iOS 16 e progressivamente rafforzato, è una misura estrema ma efficace contro spyware sofisticati come Pegasus. Disabilita numerose funzionalità (link preview, allegati JIT, connessioni a dispositivi via cavo non autorizzati, ecc.) per ridurre drasticamente la superficie d’attacco.

  • Impostazioni → Privacy e Sicurezza → Modalità di Isolamento → Attiva la modalità di isolamento.
  • Consigliato soprattutto per giornalisti, attivisti, avvocati, politici.

Android — Best Practice:

  • Usa solo il Google Play Store per installare app; disabilita “Origini sconosciute” (Impostazioni → Sicurezza → Installa app sconosciute).
  • Attiva il Google Play Protect e mantienilo attivo.
  • Considera di usare un dispositivo Google Pixel con GrapheneOS se sei un utente ad alto rischio: questo sistema operativo offre isolamento delle app superiore e aggiornamenti di sicurezza rapidi.
  • Mantieni il sistema operativo sempre aggiornato — gli aggiornamenti mensili di sicurezza di Android chiudono vulnerability come quelle nella catena CVE-2025-55177.

6. Aggiornamenti: la difesa più semplice ed efficace

La vulnerabilità CVE-2025-55177 è stata patchata da Meta con un aggiornamento di WhatsApp. Gli utenti che avevano aggiornato l’app erano protetti. Quelli che non lo avevano fatto erano esposti.

Regola d’oro: Attiva gli aggiornamenti automatici per WhatsApp e per il sistema operativo.

  • iOS: Impostazioni → Generali → Aggiornamento software → Abilita aggiornamenti automatici.
  • Android: Play Store → Il mio account → Impostazioni → Aggiornamento automatico app.

7. Abitudini Quotidiane Anti-Phishing

Anche la migliore configurazione tecnica può essere aggirata da un errore umano. Questi comportamenti riducono il rischio:

  • Non cliccare mai su link ricevuti via WhatsApp da contatti sconosciuti o inattesi, anche se sembrano provenire da amici (il loro account potrebbe essere compromesso).
  • Verifica sempre i link prima di aprirli: passa il dito sopra (iOS) o tieni premuto (Android) per vedere l’URL completo.
  • Non installare mai app inviate via WhatsApp come file APK.
  • Diffida dei messaggi urgenti che chiedono di verificare l’account, inserire un codice OTP o cliccare su un link.
  • Non condividere mai il codice di registrazione a 6 cifre di WhatsApp con nessuno — nemmeno con chi dice di essere il supporto Meta.
  • Usa un password manager (Bitwarden, 1Password, KeePass) per gestire le credenziali in modo sicuro.
  • Attiva il riconoscimento biometrico per aprire WhatsApp (Impostazioni → Privacy → Blocco schermo).

✅ Checklist Finale di Sicurezza WhatsApp 2026

Stampa o salva questa checklist e verificala ogni 3 mesi:

CONFIGURAZIONE BASE
[ ] Verifica in due passaggi attiva con PIN non ovvio
[ ] Email di recupero inserita e accessibile
[ ] Strict Account Settings attivate
[ ] Aggiornamenti automatici di WhatsApp abilitati
[ ] Aggiornamenti automatici del sistema operativo abilitati

PRIVACY
[ ] Foto profilo visibile solo ai contatti (non a tutti)
[ ] Ultimo accesso visibile solo ai contatti
[ ] Info visibile solo ai contatti
[ ] Chi può aggiungermi ai gruppi: solo i miei contatti

DISPOSITIVI E BACKUP
[ ] Verifica dispositivi collegati effettuata
[ ] Sessioni sconosciute disconnesse
[ ] Backup cloud cifrato con password oppure disabilitato
[ ] Nessuna sessione WhatsApp Web aperta su PC condivisi

SISTEMA OPERATIVO
[ ] iOS aggiornato all'ultima versione (o Android patch mensile installata)
[ ] Lockdown Mode valutato (utenti ad alto rischio)
[ ] App installate solo da store ufficiali
[ ] App con permessi eccessivi verificate e revocate

COMPORTAMENTO
[ ] Non condiviso il codice OTP di WhatsApp con nessuno
[ ] Non cliccato su link sospetti
[ ] Password manager in uso
[ ] Blocco biometrico WhatsApp attivato
Enter fullscreen mode Exit fullscreen mode

Casi Reali e Aggiornamenti 2025-2026

Gennaio 2025 — Paragon/Graphite colpisce l’Italia

WhatsApp ha inviato notifiche di sicurezza a circa 90 utenti in diversi paesi, inclusa l’Italia, avvertendoli di essere stati probabili bersagli di uno spyware attribuito a Paragon Solutions (società israeliana). Tra le vittime segnalate: giornalisti italiani e persone legate a organizzazioni non governative. Meta ha confermato di aver bloccato l’infrastruttura di attacco e di aver notificato WhatsApp di questa attività malevola. Il caso ha riaperto il dibattito sull’uso degli strumenti di sorveglianza commerciale in Europa.

Agosto 2025 — CVE-2025-55177: zero-click su iOS e macOS

Come descritto in dettaglio sopra, Meta ha rilasciato un aggiornamento di emergenza dopo aver scoperto internamente la falla nel protocollo di sincronizzazione dei dispositivi. CISA ha aggiunto la CVE al KEV catalog il 2 settembre 2025. Circa 200 individui ad alto profilo — giornalisti, attivisti per i diritti umani, figure politiche — risultano essere stati colpiti. L’exploit chain comprendeva anche CVE-2025-43300 (heap overflow nel parser di immagini Apple).

Aprile 2026 — La fake app “SIO” in Italia

Una campagna di distribuzione di malware su larga scala ha preso di mira utenti italiani tramite una falsa applicazione di servizi pubblici denominata “SIO”. Diffusa attraverso link WhatsApp, canali Telegram e messaggi email, l’app conteneva uno stalkerware che esfiltrava messaggi, contatti, posizione GPS e registrazioni audio. I ricercatori di sicurezza che hanno scoperto la campagna hanno stimato circa 200 vittime confermate prima del blocco. L’app non era mai stata disponibile sul Play Store ufficiale, ma veniva distribuita come APK diretto.

Continua: Pegasus nei tribunali europei

Il Parlamento Europeo ha continuato nel 2025 i lavori della commissione PEGA, documentando l’uso di Pegasus contro politici e giornalisti in Grecia, Ungheria, Spagna e altri Stati membri. Nel 2026, sono in corso diverse cause civili e procedimenti penali in Europa contro l’uso illegale di spyware da parte di governi nazionali.

FAQ — Domande Frequenti su WhatsApp e Sicurezza

1. Si può spiare WhatsApp senza accedere al telefono?

Sì, ma solo con strumenti molto sofisticati, come Pegasus, Graphite oppure MobiSPY. Gli attacchi zero-click come CVE-2025-55177 non richiedono accesso fisico, ma sono utilizzati quasi esclusivamente da attori nation-state contro target specifici ad alto profilo. Per la stragrande maggioranza delle persone, le minacce reali richiedono o accesso fisico al dispositivo, o una qualche forma di interazione (installazione di app, click su link).

2. La crittografia end-to-end di WhatsApp è sicura?

Sì, il protocollo crittografico è robusto e nessuno ha dimostrato la capacità di decifrarlo in transito. Il problema non è la crittografia in sé, ma ciò che accade ai capi della comunicazione: se il dispositivo è compromesso, la crittografia non aiuta.

3. WhatsApp Web può essere usato per spiarmi?

Sì, se qualcuno ha avuto accesso fisico al tuo telefono per qualche secondo. Controlla regolarmente i dispositivi collegati in Impostazioni → Dispositivi collegati e disconnetti tutto ciò che non riconosci.

4. Come faccio a sapere se ho uno spyware sul telefono?

I segnali includono: batteria che si scarica rapidamente, calore anomalo, consumo elevato di dati, lentezza del sistema. Per un’analisi più approfondita, usa strumenti come MVT (per utenti tecnici), iVerify (iOS) o Malwarebytes. Nessuno strumento garantisce il 100% di rilevazione per spyware avanzati.

5. Il PIN di verifica in due passaggi di WhatsApp protegge dagli attacchi SIM swap?

Sì, in modo significativo. Anche se un attaccante riesce a prendere il controllo del tuo numero telefonico tramite SIM swap, non potrà completare la registrazione di WhatsApp su un nuovo dispositivo senza conoscere il tuo PIN.

6. I backup di WhatsApp su Google Drive o iCloud sono sicuri?

Di default, i backup storicamente non erano cifrati end-to-end. Dal 2022, WhatsApp permette di abilitare la crittografia E2E anche per i backup. Assicurati di attivarla. Se non lo fai, il backup è accessibile a Google/Apple e, potenzialmente, a chiunque acceda al tuo account cloud.

7. WhatsApp è più sicuro di Telegram?

Per i messaggi one-to-one, WhatsApp ha la E2E attiva di default, mentre Telegram usa la E2E solo nelle “Chat segrete” (non nelle chat normali o di gruppo). Per la massima privacy e sicurezza, considera Signal, che ha E2E di default per tutte le conversazioni e raccoglie i metadati minimi.

8. Cosa sono le “Strict Account Settings” di WhatsApp?

Sono una serie di impostazioni avanzate introdotte nel 2025 che rafforzano il controllo sull’account, limitando l’aggiunta di dispositivi collegati, il trasferimento dell’account e l’aggiunta ai gruppi. Sono particolarmente utili per chi ritiene di essere a rischio di attacchi mirati.

9. Pegasus può ancora infettare un iPhone aggiornato nel 2026?

Non ci sono conferme pubbliche di exploit attivi su iOS completamente aggiornato nel 2026. Tuttavia, attori come NSO Group operano costantemente per trovare nuove vulnerabilità zero-day. Mantenere iOS aggiornato e valutare il Lockdown Mode rimane la migliore difesa disponibile.

10. Cosa devo fare se ricevo una notifica di “minaccia avanzata” da WhatsApp?

Se ricevi una notifica che ti informa di essere stato probabilmente bersaglio di uno spyware avanzato: (1) non ignorarla; (2) aggiorna immediatamente WhatsApp e il sistema operativo; (3) considera un factory reset del dispositivo (come consigliato da WhatsApp per CVE-2025-55177); (4) contatta organizzazioni come Citizen Lab o Access Now per assistenza professionale gratuita. In alternativa, puoi anche leggere la nostra guida incentrata su come capire se si ha il telefono sotto controllo.

11. Posso installare app di “controllo parentale” su WhatsApp legalmente?

Il controllo parentale su minori con il loro consenso consapevole e in modo trasparente è generalmente ammesso dalla legge italiana, con limiti d’età specifici. Installare software di monitoraggio su dispositivi di adulti senza il loro consenso è illegale. Consulta un legale per il tuo caso specifico.

12. Signal è davvero più sicuro di WhatsApp?

Signal raccoglie una quantità di metadati notevolmente inferiore rispetto a WhatsApp (Meta), non conserva log delle conversazioni sui propri server, ha il codice open source verificabile da chiunque e non è di proprietà di una grande azienda tech con interessi pubblicitari. Per la massima riservatezza, Signal rimane lo standard di riferimento.

Conclusione: aggiorna, configura, pensa prima di cliccare

Il panorama delle minacce a WhatsApp nel 2026 è più sofisticato di quanto la maggioranza degli utenti immagini. Da un lato, attacchi zero-click come CVE-2025-55177 dimostrano che nemmeno l’utente più cauto è completamente al sicuro se l’applicazione non è aggiornata. Dall’altro, la stragrande maggioranza degli attacchi reali — quelli che colpiscono persone comuni — fa ancora leva su errori umani evitabilissimi: link cliccati senza verificare, dispositivi lasciati senza blocco, backup non cifrati, pin di verifica mai attivati.

Le azioni prioritarie che dovresti compiere oggi:

  1. Aggiorna WhatsApp all’ultima versione disponibile.
  2. Attiva la verifica in due passaggise non l’hai ancora fatto.
  3. Verifica i dispositivi collegati e disconnetti tutto ciò che non riconosci.
  4. Cifra o disabilita il backup cloud.
  5. Attiva le Strict Account Settings.
  6. Se usi iOS e sei una persona a rischio, valuta il Lockdown Mode.

Per chi desidera la massima privacy, il consiglio finale è di affiancare o sostituire WhatsApp con Signal: stessa usabilità, crittografia end-to-end predefinita su tutto, metadati minimi, codice open source.

La sicurezza digitale non è uno stato che si raggiunge una volta per tutte: è una pratica continua. Torna su questa guida, aggiorna le tue configurazioni, e condividi queste informazioni con chi ami.

Fonti e riferimenti:

  • WhatsApp Security Advisory — CVE-2025-55177 (agosto 2025)
  • CISA Known Exploited Vulnerabilities Catalog — aggiornamento settembre 2025
  • Citizen Lab, “Paragon Spyware: Targeting Civil Society in Europe” (gennaio 2025)
  • Meta Security Blog — Linked Device Vulnerability Disclosure (agosto 2025)
  • Amnesty International Tech — “Security Lab Reports 2025”
  • The Hacker News — copertura CVE-2025-55177 (settembre 2025)
  • SOCRadar, SOC Prime — analisi tecnica CVE-2025-55177
  • Reuters — “WhatsApp spyware attacks 2025”

Articolo scritto da Mathew Stone | Ultimo aggiornamento: giugno 2026 | Tempo di lettura stimato: 18-22 minuti.

Top comments (0)