Un messaggio apparentemente innocuo, inviato da un contatto fidato, può trasformarsi in pochi secondi in un furto d’identità digitale. È questo il meccanismo alla base della cosiddetta truffa della “ballerina”, che nelle ultime settimane sta colpendo migliaia di utenti in tutta Italia attraverso WhatsApp.
L’allarme arriva dalla Polizia Postale e da Adiconsum, che segnalano una diffusione capillare del raggiro su tutto il territorio nazionale. Si tratta tecnicamente di un attacco di smishing, una forma di phishing veicolata tramite messaggi, che sfrutta la leva emotiva e la fiducia nei confronti dei propri contatti.
Il copione è studiato nei dettagli. La vittima riceve un messaggio da un amico o da un familiare: il tono è informale, rassicurante. Si chiede un voto per una ragazza impegnata in un concorso di danza, spesso presentata come la figlia di una conoscente. A corredo, l’immagine di una bambina o di una giovane in tutù, elemento che contribuisce ad abbassare le difese. Il testo invita a cliccare su un link per esprimere una preferenza gratuita.
È proprio quel clic a far scattare la trappola. Il collegamento rimanda a una pagina web costruita per imitare una piattaforma ufficiale di votazione. Per “confermare” il voto, viene richiesto l’inserimento del numero di telefono e, subito dopo, di un codice ricevuto via SMS. In realtà si tratta del codice di verifica necessario per attivare l’account WhatsApp su un nuovo dispositivo. Fornendolo, l’utente consegna di fatto le proprie credenziali ai truffatori, che in pochi istanti prendono il controllo del profilo, disconnettendo il legittimo proprietario.
Una volta ottenuto l’accesso, i cyber-criminali agiscono su due livelli. Da un lato replicano il messaggio fraudolento a tutta la rubrica della vittima, moltiplicando esponenzialmente i contagi digitali. Dall’altro contattano amici e parenti fingendo emergenze improvvise, problemi di salute o difficoltà economiche, chiedendo bonifici o ricariche urgenti.
Le autorità raccomandano la massima prudenza. In caso di dubbi, non bisogna cliccare su link ricevuti via chat che invitano a votare, e soprattutto mai inserire dati personali, anche se il mittente sembra affidabile. In ogni caso, è preferibile contattare direttamente la persona con una telefonata per verificare l’autenticità della richiesta.
Fondamentale è non comunicare mai i codici ricevuti via SMS e non inserirli su siti esterni: rappresentano la chiave di accesso all’account. Un ulteriore strumento di protezione è l’attivazione della verifica in due passaggi nelle impostazioni dell’app, impostando un PIN personale che rende molto più complesso il furto del profilo.
Se l’account WhatsApp viene improvvisamente disconnesso, è necessario avviare immediatamente la procedura di recupero e informare i propri contatti con altri mezzi, così da bloccare sul nascere ulteriori tentativi di truffa. In un contesto in cui le tecniche di ingegneria sociale diventano sempre più sofisticate, la consapevolezza resta la prima e più efficace forma di difesa.
