È sicuro usare WhatsApp?

Una nuova causa(nuova finestra) rimette la sicurezza di WhatsApp sotto i riflettori. Attaullah Baig, l’ex capo della sicurezza dell’app, sostiene che Meta ha ignorato falle critiche che consentono a centinaia di dipendenti di accedere ai dati utente sensibili e non è riuscita a fermare gli hack di massa degli account. Meta nega le affermazioni, ma per i 3 miliardi di utenti di WhatsApp(nuova finestra), la domanda è la stessa: È davvero sicuro usare WhatsApp?

• WhatsApp è sicuro per le chat private?
• Perché Meta è stata citata in giudizio per preoccupazioni sulla privacy di WhatsApp?
• Quali sono i rischi per la sicurezza e la privacy di WhatsApp?
  • Malware e spyware
  • Exploit zero-click
  • SIM swapping e truffe sui codici di verifica
  • Metadati esposti
  • Esposizione di massa di 3,5 miliardi di numeri di telefono WhatsApp
  • Annunci mirati su tutte le piattaforme Meta
  • Addestramento Meta AI
• Come stare al sicuro su WhatsApp
• Scegli un’app di messaggistica istantanea più privata

WhatsApp è sicuro per le chat private?

Nonostante le affermazioni della causa, la crittografia end-to-end (E2EE) di WhatsApp rimane intatta. Niente suggerisce che il protocollo di crittografia di WhatsApp sia stato violato o che Meta possa leggere il contenuto delle tue conversazioni. Ciò significa che i tuoi messaggi, foto e chiamate vocali sono ancora protetti dall’accesso esterno, incluso Meta stesso.

Tuttavia, WhatsApp può leggere i tuoi metadati (con chi parli, quando, ecc.) e, a seconda di dove vivi, condivide quei dati con Meta. Quindi, la sua sicurezza dipende da quante informazioni vuoi mantenere private.

Perché Meta è stata citata in giudizio per preoccupazioni sulla privacy di WhatsApp?

Attaullah Baig, che ha gestito il team di sicurezza di WhatsApp tra il 2021 e il 2025, afferma che l’app non è neanche lontanamente privata come sostiene Meta. Nella sua causa, sostiene che circa 1.500 dipendenti hanno accesso alle informazioni sensibili degli utenti, tra cui posizione, foto del profilo, appartenenza ai gruppi ed elenchi dei contatti.

Se queste affermazioni sono vere, chiarirebbero la posizione di WhatsApp sulla crittografia end-to-end(nuova finestra): I tuoi messaggi sono privati, ma la tua posizione, le foto del profilo, l’appartenenza ai gruppi e gli elenchi dei contatti sono bersagli legittimi. Quel tipo di accesso illimitato apre la porta a minacce interne e perdite di dati, dove informazioni sensibili potrebbero essere rubate e vendute sul dark web.

L’ex capo della sicurezza sostiene che questo livello di accesso potrebbe anche violare un ordine vincolante del governo degli Stati Uniti che ha costretto Meta (allora Facebook) a pagare una multa record di 5 miliardi di dollari nel 2020(nuova finestra) dopo lo scandalo Cambridge Analytica.

Sostiene inoltre che l’azienda ha ignorato più di 100.000 furti di account giornalieri e ha respinto le sue correzioni proposte. Secondo la causa, quando Baig ha sollevato queste preoccupazioni con la leadership senior, incluso Mark Zuckerberg, Meta lo ha licenziato.

Meta ha negato le affermazioni di Baig e ha attribuito il suo licenziamento a scarse prestazioni. Le accuse hanno anche attirato l’attenzione politica, con senatori che premono su Zuckerberg(nuova finestra) per risposte sulle pratiche di sicurezza di WhatsApp.

La causa di Baig arriva solo pochi giorni dopo che un gruppo di sei attuali ed ex dipendenti di Meta(nuova finestra) ha affermato che l’azienda ha coperto prove di bambini esposti ad adescamento, molestie e violenza sulle sue piattaforme di realtà virtuale. Meta ha negato anche quelle affermazioni.

Quali sono i rischi per la sicurezza e la privacy di WhatsApp?

Con la gestione dei dati utente da parte di WhatsApp sotto i riflettori, ecco i rischi per la sicurezza e la privacy che potresti affrontare usando questa app:

Malware e spyware

App o link dannosi possono installare spyware sul tuo telefono, consentendo agli aggressori di intercettare messaggi o codici. Un esempio è PixPirate(nuova finestra), un malware Android avvistato per la prima volta in Brasile, dove ha preso di mira il sistema di pagamento istantaneo del paese, Pix. Da allora è stato osservato in India, Messico e Italia. Il suo obiettivo è rubare credenziali bancarie, intercettare codici di autenticazione a due fattori (2FA), avviare trasferimenti Pix non autorizzati dall’account di una vittima e bloccare i tentativi di disinstallarlo o disattivare Google Play Protect.

Gli aggressori hanno usato WhatsApp per diffondere PixPirate. Se il malware non rileva WhatsApp sul dispositivo(nuova finestra), lo scaricherà per inviare più link dannosi ai contatti.

Exploit zero-click

Nel 2025, i ricercatori hanno scoperto un attacco zero-click che ha permesso agli hacker di entrare in iPhone e Mac tramite WhatsApp(nuova finestra) senza che gli utenti cliccassero nulla. L’exploit combinava due falle: una nel modo in cui macOS e iOS elaboravano le immagini e un’altra nella funzionalità di collegamento del dispositivo di WhatsApp.

I criminali informatici potevano inviare spyware agli utenti Apple tramite messaggi WhatsApp e rubare dati dai loro dispositivi, inclusi i messaggi. Meta ha affermato che meno di 200 utenti sono stati colpiti e sia Apple che WhatsApp hanno da allora corretto le vulnerabilità.

Nello stesso anno, una vulnerabilità zero-click separata ha colpito i dispositivi Samsung (CVE-2025-21042(nuova finestra)). Gli aggressori potevano compromettere i telefoni Galaxy inviando un File immagine dannoso e non è richiesta alcuna interazione. Questo exploit è stato utilizzato in campagne di spyware mirate fino a quando Samsung non ha corretto il problema nel suo aggiornamento di sicurezza di aprile 2025.

SIM swapping e truffe sui codici di verifica

Gli aggressori potrebbero ingannare il tuo operatore di telefonia mobile per trasferire il tuo numero di telefono su una nuova scheda SIM che controllano. Quindi possono truffarti per farti condividere il codice a sei cifre che WhatsApp invia via SMS durante la configurazione di un nuovo dispositivo. Se lo consegni, malintenzionati possono dirottare il tuo account, chiuderti fuori, rubare la tua identità e usare il tuo profilo per truffare i tuoi contatti. La polizia di Southwark, Londra, ha segnalato un’ondata di questi attacchi nel 2021(nuova finestra), emettendo un avviso alle persone di non condividere mai i propri codici WhatsApp.

Metadati esposti

Le chat possono essere crittografate end-to-end, ma WhatsApp (e la sua società madre Meta) raccoglie ancora metadati — come con chi parli, quanto spesso, i dettagli del tuo dispositivo e la posizione. I metadati non possono essere usati per identificarti direttamente, ma possono essere incrociati con altre informazioni per ri-identificarti(nuova finestra). E poiché Meta ha sede negli Stati Uniti, potrebbe condividere tutto ciò che sa su di te con il governo degli Stati Uniti senza preavviso.

Esposizione di massa di 3,5 miliardi di numeri di telefono WhatsApp

Nel 2025, un gruppo di ricercatori austriaci indipendenti ha scoperto(nuova finestra) una falla nella privacy in WhatsApp che ha permesso loro di recuperare 3,5 miliardi di numeri di telefono — insieme a foto del profilo, dettagli del dispositivo, timestamp, testo “info” e informazioni aziendali — utilizzando un metodo di enumerazione telefonica facilmente riproducibile. La stessa vulnerabilità è stata segnalata per la prima volta nel 2017, ma Meta non l’ha affrontata. È importante sottolineare che nessuna violazione di dati WhatsApp confermata è stata pubblicamente segnalata come aver sfruttato questo metodo specifico.

Sebbene il tuo numero di telefono e i metadati non ti identifichino direttamente, possono essere abbinati ad altri dati per rivelare chi sei. Forse riutilizzi la stessa foto del profilo su piattaforme social, o hai fatto parte di passate violazioni di dati dove le tue email, nomi utente o posizione sono stati esposti — tutti i quali possono essere collegati ai tuoi metadati WhatsApp.

I ricercatori hanno anche ottenuto le chiavi pubbliche utilizzate per la crittografia end-to-end di WhatsApp e hanno trovato seri problemi, incluse chiavi crittografiche riutilizzate centinaia di volte su diversi account e pre-chiavi monouso che appaiono ripetutamente anche se sono progettate per essere generate nuove per ogni sessione.

Questi problemi di sicurezza suggeriscono l’uso di client WhatsApp non ufficiali o fraudolenti con crittografia compromessa. Se usi queste app modificate, i tuoi messaggi potrebbero essere vulnerabili a intercettazione, decriptazione o impersonificazione dell’account.

Meta ha affermato di aver corretto il problema di enumerazione, minimizzato la sensibilità dei dati esposti e non ha affrontato i problemi della chiave pubblica o il fatto di essere stata avvertita di questa grave falla quasi un decennio prima.

Annunci mirati su tutte le piattaforme Meta

WhatsApp afferma di non utilizzare il contenuto dei messaggi per gli annunci(nuova finestra), ma utilizza altri dati — come le info dell’account (codice paese, età), info del dispositivo (lingua, posizione) e attività in Stato e Canali (cosa visualizzi, segui o clicchi). Poiché WhatsApp fa parte di Meta, questi dati possono essere condivisi su Facebook e Instagram, sebbene questa condivisione di dati sia limitata in Europa grazie al GDPR.

Da quando WhatsApp ha cambiato la sua Informativa sulla privacy nel 2021, ha condiviso anche i dati di pagamento e transazione che potresti aver avuto con le aziende con Meta (allora Facebook). Se connetti WhatsApp al Centro gestione account di Meta, le tue preferenze sugli annunci sono unificate, il che significa che le azioni in WhatsApp possono influenzare gli annunci che vedi altrove. E con nuove funzionalità alimentate da Meta AI, la condivisione di dati tra piattaforme solleva ancora più preoccupazioni.

Addestramento Meta AI

Meta AI è incorporata in WhatsApp, Facebook e Instagram, alimentando preoccupazioni su come i dati vengono elaborati, utilizzati per l’addestramento AI e condivisi tra queste piattaforme.

Su WhatsApp, Meta afferma che Meta AI non accede alle tue chat private, crittografate end-to-end. Tuttavia, i prompt e i feedback che condividi con Meta AI possono essere archiviati e utilizzati per migliorare i suoi modelli. WhatsApp offre anche una funzionalità di riepilogo della conversazione che si affida all’“elaborazione privata”(nuova finestra), che secondo Meta impedisce che i riepiloghi vengano letti dall’azienda o da chiunque altro.

Anche con queste assicurazioni, rimangono preoccupazioni su quanto controllo abbiano realmente le persone sui propri dati. Ad esempio, gli utenti di Facebook hanno riferito che Meta AI ha attivato impostazioni che le consentivano di scansionare foto non pubblicate dal loro rullino fotografico senza il loro consenso.

Come stare al sicuro su WhatsApp

Ecco cosa puoi fare per migliorare la tua privacy e sicurezza quando usi WhatsApp:

• Usa sempre le app ufficiali di WhatsApp dall’App Store o Google Play per assicurarti che la tua crittografia end-to-end funzioni correttamente.
• Attiva le notifiche di sicurezza sul tuo telefono per ricevere avvisi quando un contatto reinstalla WhatsApp, cambia telefono o aggiunge o rimuove un dispositivo collegato.
• Crea una chiave di accesso in modo da poter accedere a WhatsApp con il tuo viso, impronta digitale o blocco schermo. Questo impedisce a qualcun altro di accedere anche se ottiene il tuo codice SMS.
• Aggiungi un indirizzo email per verificare o recuperare il tuo account se rimani chiuso fuori. Assicurati che la tua email stessa sia protetta con una password forte e autenticazione a due fattori.
• Attiva i backup crittografati end-to-end per proteggere le tue chat su iCloud o Google Drive in modo che nemmeno Apple, Google o Meta possano leggerli. WhatsApp non ti permette di scegliere un provider di archiviazione cloud. Altrimenti, dovresti disattivare completamente i backup delle chat.
• Non condividere mai il tuo codice di verifica a sei cifre con nessuno. WhatsApp e Meta non te lo chiederanno mai.
• Chiedi al tuo operatore di telefonia mobile di aggiungere un PIN o una frase d’accesso prima che il tuo numero possa essere spostato su un’altra scheda SIM. Questo rende il SIM swapping molto più difficile.
• Scarica WhatsApp solo da Google Play o App Store e mantienilo — e il tuo sistema operativo mobile e desktop — aggiornato all’ultima versione.
• Non cliccare mai sui link o installare app da contatti WhatsApp sconosciuti o sospetti. Se non sei sicuro di un contatto, contattalo usando un altro metodo per confermare la sua identità.
• Blocca le tue (nuova finestra)impostazioni privacy di WhatsApp(nuova finestra) limitando chi può aggiungerti ai gruppi e vedere la tua immagine del profilo, l’ultimo accesso e lo stato online, la sezione info e i link sul tuo profilo.
• Non puoi disattivare completamente Meta AI su WhatsApp, ma puoi prendere provvedimenti per impedirgli di imparare troppo dalla tua attività — e proteggere i tuoi messaggi dal finire nei dati di addestramento dell’AI.

Scegli un’app di messaggistica istantanea più privata

Sebbene tu possa prendere provvedimenti per migliorare la tua sicurezza e limitare ciò che gli altri utenti di WhatsApp possono vedere, questo non cambia il fatto che Meta si affida ancora alla raccolta di informazioni utente, come i metadati, per le entrate. Se le recenti affermazioni del whistleblower sono accurate, quell’accesso potrebbe essere ancora più ampio di quanto l’azienda ammetta. Data la storia di violazioni della privacy di Meta, un po’ di scetticismo è giustificato.

Se sei preoccupato per questo livello di controllo, considera un’alternativa privata a WhatsApp che raccoglie molto meno dati e non è legata a una società Big Tech multata dai regolatori per il suo modello pubblicitario pay-or-consent.