Hacker nel mirino, taglia da 10 milioni: cosa succede davvero a WhatsApp e Signal

Le due app più usate per messaggiare in modo “sicuro” finiscono al centro di una maxi-caccia all’uomo: gli USA offrono fino a 10 milioni di dollari per identificare chi ha violato migliaia di account. Capiamo il perché e cosa possiamo fare, subito.

Perché app “sicure” possono essere violate

Partiamo da un punto chiaro: la crittografia end-to-end non è un’armatura totale. Protegge il contenuto dei messaggi, sì, ma non impedisce l’attacco più diffuso: colpire l’utente. Ecco come si entra, anche nelle chat più “blindate”:

  • Phishing mirato (spear phishing): link o allegati che portano a pagine clone o installano malware.
  • Furto del codice di registrazione: bastano pochi secondi di distrazione con un SMS OTP e l’attaccante prende il controllo.
  • SIM swap: portabilità fraudolenta del numero per intercettare i codici di verifica.
  • Sessioni e dispositivi collegati: un accesso “web” o un device sconosciuto rimasto connesso fa da finestra aperta.
  • Backup: se non sono cifrati, diventano la cassaforte più facile da scassinare.

Morale: non sono WhatsApp o Signal “che non funzionano”. È l’utente bersagliato con tecniche sempre più aggressive e convincenti.

Cosa sappiamo sull’operazione e sulla taglia da 10 milioni

Secondo un avviso delle autorità statunitensi, un gruppo legato alla Russia avrebbe compromesso migliaia di account su WhatsApp e Signal a partire da marzo, mirando a profili ad alto valore come giornalisti investigativi e dipendenti del governo USA. A fronte dell’escalation, è arrivata la mossa forte: fino a 10 milioni di dollari di ricompensa per informazioni utili a identificare o localizzare i responsabili.

Il quadro è ricostruito anche da Ars Technica, che sottolinea come la campagna non sia un attacco “a tappeto”, ma una operazione mirata contro figure con accesso a informazioni sensibili. Non parliamo solo di privacy personale: qui ci sono in ballo intelligence, relazioni internazionali e sicurezza nazionale.

Obiettivi ad alto valore: perché è diverso dal solito

Quando l’obiettivo è un account di un comune cittadino, il danno è grave ma contenuto. Quando invece a finire nel mirino sono militari, funzionari e giornalisti in zone calde, il rischio salta di livello: movimenti, contatti, fonti e contesti operativi possono essere dedotti anche senza leggere il contenuto delle chat. Bastano i metadati (chi parla con chi, quando, da dove) per produrre un impatto reale sul campo.

Il nodo AI e la guerra: il digitale corre più dell’uomo

In parallelo, secondo quanto riportato da Bloomberg, il Pentagono avrebbe aggiornato le sue regole sull’uso dell’AI in ambito militare, spostandosi da funzioni solo “predittive” a impieghi più proattivi. Tradotto: più automazione nelle decisioni.

Mettete insieme le due cose: dispositivi compromessi nelle tasche di persone strategiche e cicli decisionali accelerati dall’AI. Il digitale sempre più spesso anticipa l’azione umana. È qui che la sicurezza personale diventa geopolitica.

Sicurezza pratica: cosa fare adesso

Non possiamo fermare le guerre ibride, ma possiamo alzare subito l’asticella della difesa personale e aziendale. Ecco le mosse a più alto impatto:

  • Aggiorna tutto: sistema operativo e ultime versioni di WhatsApp/Signal. Le patch chiudono porte che oggi sono aperte.
  • Proteggi la registrazione:
    • WhatsApp: attiva Verifica in due passaggi (PIN) e backup cifrati con password.
    • Signal: attiva Blocca registrazione e proteggi con PIN. I backup sono locali e cifrati: custodisci la passphrase.
  • Controlla i dispositivi collegati:
    • Rimuovi accessi sconosciuti da WhatsApp Web/Dispositivi collegati.
    • In Signal verifica i device associati e scollega ciò che non riconosci.
  • Verifica l’identità: se cambia il codice di sicurezza/safety number di un contatto, riconferma via canale separato prima di condividere informazioni sensibili.
  • Stop al phishing:
    • Diffida di link “urgenti”, allegati inattesi e richieste di codici via chat.
    • Controlla i domini delle pagine di login e usa password manager per evitare siti clone.
  • Proteggi la SIM: imposta un PIN della SIM e una password di port-out con il tuo operatore per prevenire SIM swap.
  • Riduci l’esposizione: disattiva anteprime link dove possibile, limita gruppi pubblici, non riutilizzare numeri/alias tra ambienti personali e di lavoro.
  • Incident response personale: se sospetti compromissione, esci da tutti i dispositivi, reinstalla l’app, reimposta PIN e password, avvisa i contatti sensibili. In azienda: segnala subito al SOC/IT.

Oltre gli “username”: cosa conta davvero

Mentre si celebra l’ennesima funzione social come gli username su WhatsApp, la realtà bussa forte: l’usabilità non può oscurare la sicurezza. Nel 2026 i confini tra digitale, politica ed economia sono sempre più sfumati. E quando la posta in gioco cresce, gli attaccanti alzano il livello su ingegneria sociale e targeting.

Il punto non è vivere nel terrore, ma ridurre la superficie d’attacco e tenere l’attenzione alta. Le piattaforme devono fare la loro parte, ma l’anello più vulnerabile resta l’essere umano. Con buone abitudini e strumenti giusti, possiamo rendere molto più costosa (e spesso impraticabile) l’intrusione.

Se vuoi ricevere ogni mattina notizia e fonti, iscriviti alla newsletter de Il Caffettino.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.