Riceviamo un messaggio da un contatto fidato che ci invita ad aggiornare WhatsApp attraverso un link esterno, spiegandoci che la versione del Play Store ha un problema mentre quella suggerita è più sicura. Gli diamo fiducia, ma da quel momento qualcuno che non sappiamo chi sia ha accesso ai nostri messaggi, alla fotocamera, al microfono e alla nostra posizione.

Non è uno scenario ipotetico, è quello che è accaduto ad almeno 200 ignare vittime principalmente italiane. La denuncia arriva direttamente da Meta, come riporta l’Ansa, e il responsabile ha un nome: Asigint, società produttrice di software spia controllata da Sio Spa, con sede a Cantù, in Brianza, che, dettaglio non secondario, vende i propri prodotti a clienti governativi.

I fatti: cosa ha scoperto Meta e come ha risposto

Secondo quanto comunicato da Meta il primo aprile 2026, il team di sicurezza di WhatsApp ha identificato in modo proattivo una versione modificata dell’applicazione, tecnicamente un client non ufficiale, distribuita non attraverso i canali ufficiali come Google Play o App Store, bensì attraverso canali alternativi e meno controllati, con un classico approccio di social engineering: gli utenti venivano convinti a scaricarla credendo si trattasse di un aggiornamento legittimo di WhatsApp.

Una volta installato, il client malevolo avrebbe potuto consentire accesso diretto ai dati personali del dispositivo. Meta ha disconnesso gli utenti coinvolti, li ha avvisati dei rischi e ha annunciato l’invio di una diffida formale ad Asigint con l’ingiunzione di cessare qualsiasi attività dannosa.

La nota ufficiale di WhatsApp è esplicita su un punto: non si è trattato di una vulnerabilità dell’applicazione ufficiale: la crittografia end-to-end di WhatsApp non è stata violata e chi usava la vera app era al sicuro.

Il vettore di attacco era esclusivamente il client falso, installato con l’inganno.

Il contesto: Spyrtacus e una storia che inizia molto prima

Per capire davvero il peso di questa notizia, occorre fare un passo indietro. Nel febbraio 2025, TechCrunch aveva già pubblicato un’inchiesta esclusiva rivelando l’esistenza di uno spyware Android chiamato Spyrtacus, sviluppato da SIO e dalla sua controllata Asigint per clienti governativi.

L’analisi della società di sicurezza mobile Lookout aveva trovato 13 varianti del malware in circolazione, con i campioni più vecchi risalenti addirittura al 2019. Le versioni intermedie, rilevate tra il 2020 e il 2022, si presentavano come app di operatori telefonici italiani (TIM, Vodafone, Wind Tre) oltre che come WhatsApp.

Il legame con Asigint era già documentato: i server di comando e controllo del malware risultavano registrati alla società e un documento pubblico di SIO del 2024 descriveva Asigint come sviluppatrice di software per le intercettazioni informatiche.

Le analisi avevano anche scoperto che il codice sorgente dello spyware conteneva un elemento bizzarro e rivelatore: la frase “Scetáteve guagliune ‘e malavita”, un verso del brano napoletano “Guapparia” di Mario Merola che suggeriva un’origine meridionale del team di sviluppo.

In altre parole, quello che Meta denuncia oggi non è l’inizio di questa storia: è l’atto formale con cui una grande piattaforma tecnologica decide di rendere pubblica e giuridicamente rilevante una vicenda che la comunità della sicurezza informatica conosceva già da più di un anno.

Perché questa vicenda è più complessa di quello che sembra

La prima reazione a questa notizia è, comprensibilmente, di indignazione: un’azienda italiana ha creato una versione falsa di WhatsApp per spiare le persone. Ma fermarsi a questa lettura significherebbe perdere le dimensioni più importanti e scomode della storia.

Il nodo irrisolto: chi erano i 200 bersagli?

Meta parla di “circa 200 utenti, in gran parte in Italia”. Non dice se fossero giornalisti, attivisti, avvocati, politici di opposizione o criminali sorvegliati legalmente da forze dell’ordine: la risposta potrebbe cambiare radicalmente il profilo giuridico ed etico della vicenda.

Sio Spa è nota per vendere i propri strumenti a clienti governativi, il che significa che almeno una parte delle sorveglianze potrebbe essere stata condotta nell’ambito di operazioni di intercettazione autorizzate dalla magistratura italiana.

Questo non rende il metodo accettabile, perché un client falso distribuito con social engineering è comunque un vettore di attacco ingannevole e potenzialmente illegale al di fuori dei perimetri normativi delle intercettazioni, ma introduce una zona grigia che le autorità italiane dovranno chiarire.

L’Italia e lo spyware: un ecosistema che fa discutere

Il caso Asigint/Sio non cade nel vuoto. Arriva dopo lo scandalo Paragon, lo spyware israeliano che nel 2025 era emerso essere stato usato in Italia contro un giornalista e due fondatori di una ONG impegnata nel soccorso dei migranti.

Due vicende diverse per attori e metodi, ma con un denominatore comune: l’uso di strumenti di sorveglianza digitale su soggetti che potrebbero non essere stati i destinatari previsti dalla legge, oppure su target legittimi ma con metodi tecnici discutibili.

L’Italia ha un mercato dello spyware istituzionale di dimensioni significative: basti pensare che il sistema di intercettazioni giudiziarie italiano è tra i più estesi d’Europa per volume di operazioni annue.

In questo contesto, la linea che separa lo strumento legittimo di indagine dall’abuso è sottile e la sua tenuta dipende interamente dalla solidità dei controlli giurisdizionali e dalla trasparenza degli operatori.

La mossa di Meta: strategia legale o presidio di mercato?

Vale la pena notare che Meta non ha aspettato l’intervento delle autorità italiane: ha agito autonomamente, disconnettendo gli utenti, avvisandoli e annunciando la diffida.

Si tratta di un’attività già vista con la causa contro NSO Group per Pegasus nel 2019 e con altre azioni legali contro produttori di spyware. Da una parte questo è positivo: una piattaforma che protegge attivamente i propri utenti è meglio di una che non lo fa. Dall’altra, solleva una domanda legittima: dovrebbe essere un’azienda privata americana a fare il lavoro che competerebbe alle autorità di un paese sovrano?

Come proteggersi: il social engineering è il vero problema

La buona notizia tecnica è che WhatsApp non è stato compromesso e il suo sistema di sicurezza basato sulla crittografia end-to-end ha retto.

Chi usa l’app ufficiale era e rimane al sicuro: il vettore di attacco era il download di un client non ufficiale e dunque si è trattato di un problema di comportamento umano, non di debolezza crittografica.

Il che significa che la difesa più efficace è, come spesso accade, quella più semplice.

Regole di base per tutti gli utenti

• Scaricare le app solo dagli store ufficiali. Google Play Store e Apple App Store sono gli unici canali sicuri per installare WhatsApp e qualsiasi altra applicazione. Qualsiasi invito a scaricare da link esterni, siti web o messaggi privati è un campanello d’allarme da non ignorare mai, indipendentemente da chi manda il messaggio.
• Non installare mai aggiornamenti arrivati via messaggio. WhatsApp si aggiorna autonomamente attraverso lo store. Nessun aggiornamento legittimo verrà mai consegnato tramite un link in chat, una email o un SMS. Se qualcuno afferma il contrario, sta solo nascondendo un attacco di social engineering.
• Verificare la firma digitale dell’app installata. Su Android, è possibile controllare le informazioni dell’app nelle impostazioni di sistema: lo sviluppatore deve essere “WhatsApp LLC”. Se risulta un nome diverso, l’app è contraffatta.
• Abilitare le notifiche di sicurezza di WhatsApp. WhatsApp avvisa se un contatto cambia le chiavi di crittografia, un segnale che potrebbe indicare un dispositivo compromesso o sostituito. Per attivare le notifiche, è sufficiente spostarsi nel menu Impostazioni/Account/Privacy/Notifiche di sicurezza e attivarle.
• Se si riceve una notifica di accesso da dispositivo sconosciuto, occorre agire subito. WhatsApp consente di vedere tutti i dispositivi collegati al proprio account (da Impostazioni/Dispositivi collegati). Se è presente uno non riconosciuto, è importante disconnetterlo immediatamente e cambiare le impostazioni di sicurezza.

Per le organizzazioni e i responsabili IT

• Implementare una Mobile Device Management (MDM) policy. Le soluzioni MDM consentono di controllare quali app sono installabili sui dispositivi aziendali, bloccare l’installazione da fonti sconosciute e rilevare app contraffatte. Su Android, verificare che la policy vieti l’installazione di APK da fonti esterne.
• Formare i dipendenti sul social engineering applicato al mobile. La maggior parte degli attacchi di questo tipo si basa sulla fiducia: un messaggio da un collega, un presunto aggiornamento urgente, un link plausibile. La formazione sulla consapevolezza deve includere scenari specifici per le app di messaggistica.
• Includere le app di messaggistica nel perimetro della DPIA. Se l’organizzazione usa WhatsApp per comunicazioni interne o con clienti, c’è l’obbligo di valutare i rischi associati nella valutazione d’impatto sulla protezione dei dati personali (DPIA). Il rischio di client contraffatti è ora documentato e deve essere considerato.
• Monitorare le anomalie di traffico di rete dei dispositivi mobili. Un client spyware comunica con i propri server di comando e controllo. Se la rete aziendale include dispositivi mobili, la soluzione EDR/MDM deve includere analisi del traffico in uscita verso endpoint non riconosciuti.

Un confine labile tra attività istituzionali e cybercrime: il parere di Paganini

Sulla faccenda del finto WhatsApp sviluppato e distribuito dalla società italiana Asigint, abbiamo chiesto il parere a Pierluigi Paganini, analista di cyber security e Ceo Cybhorus. Ecco il suo punto di vista.

“Al di là della narrativa ufficiale, il caso evidenziato da Meta Platforms e WhatsApp sembra inserirsi in un quadro più articolato, che richiede una lettura meno superficiale. Il coinvolgimento di Asigint, società riconducibile a SIO S.p.A., orienta infatti l’interpretazione verso un ambito operativo tipico di attività istituzionali, piuttosto che verso schemi riconducibili al cybercrime o peggio ad operazioni di sabotaggio.

Si tratta di un attore che opera stabilmente a supporto di strutture governative, elemento che rende credibile l’ipotesi di un’operazione circoscritta e guidata da esigenze investigative specifiche. Anche la prevalenza di utenti italiani tra i soggetti colpiti rafforza l’idea di un targeting selettivo, coerente con dinamiche di sorveglianza mirata.

Permangono tuttavia lacune significative sul piano tecnico. L’assenza di indicazioni sul vettore di compromissione, su eventuali vulnerabilità sfruttate o sui meccanismi di distribuzione limita la possibilità di valutare appieno la complessità dell’operazione. Sarebbe particolarmente utile comprendere se siano state impiegate catene di exploit sofisticate, tecniche di evasione dei controlli di sicurezza o infrastrutture dedicate per la distribuzione del malware.

In questo contesto, una delle ipotesi più plausibili resta quella di campagne di spear phishing altamente mirate, in cui le vittime vengono indotte a installare applicazioni alterate, spesso presentate come versioni legittime o gratuite di software molto diffusi, distribuite al di fuori degli store ufficiali. Questo approccio è tipico delle operazioni di sorveglianza, dove la riuscita dipende soprattutto dall’efficacia delle tecniche di ingegneria sociale.

L’utilizzo di app contraffatte che imitano servizi noti rappresenta una prassi consolidata: il vero punto critico è la capacità degli attaccanti di costruire scenari credibili per convincere i target. In quest’ottica, maggiori dettagli sul profilo degli utenti colpiti, come ruolo professionale, contesto operativo o livello di esposizione, sarebbero fondamentali per comprendere meglio finalità e portata dell’attività.

Inoltre, un’investigazione condotta da TechCrunch lo scorso anno ha collegato SIO S.p.A. allo sviluppo e alla diffusione di spyware Android distribuiti tramite applicazioni malevole camuffate da WhatsApp e servizi di operatori telefonici. Secondo quanto emerso, tali strumenti sarebbero stati impiegati in contesti di sorveglianza con funzionalità avanzate, inclusi accesso a comunicazioni, contatti, registro chiamate e capacità di attivare il microfono, delineando un livello tecnico coerente con operazioni mirate e ad elevata selettività”.

La sorveglianza digitale non è un problema tecnico: è una scelta politica

Se c’è una lezione che questa storia consegna, al di là dei consigli pratici, delle implicazioni GDPR e della cronologia tecnica, è che la sorveglianza digitale non è un problema che si risolve con un aggiornamento software o una patch di sicurezza. È una questione di scelte politiche e di disegno istituzionale.

L’Italia ha un’industria dello spyware legale, regolamentata, che lavora per le forze dell’ordine e la magistratura. Questo, in linea di principio, non è un problema: le democrazie hanno bisogno di capacità di sorveglianza per combattere il crimine organizzato, il terrorismo, la corruzione.

Il problema nasce quando quella capacità viene esercitata senza controlli adeguati, su soggetti non autorizzati, con metodi che aggirano le garanzie legali o quando gli strumenti sviluppati per usi legittimi finiscono per essere usati (o abusati) al di fuori di quei perimetri.

Dopo Paragon, dopo Spyrtacus e dopo Asigint è urgente che il Parlamento italiano e le autorità di controllo aprano un confronto serio e trasparente su chi può sviluppare strumenti di sorveglianza, a quali condizioni, con quali controlli ex-ante ed ex-post e con quale accountability pubblica.

Non è una questione tecnica da delegare agli esperti, ma una questione democratica che riguarda tutti.

Nel frattempo, la prima cosa che possiamo fare è controllare se sul nostro smartphone c’è la vera app di WhatsApp. Sembra un’operazione banale, ma abbiamo capito che non lo è affatto.