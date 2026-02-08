Arriva su WhatsApp da un contatto fidato, sembra una richiesta innocua e fa leva sull’empatia: votare una giovane ballerina per aiutarla a vincere una borsa di studio. In realtà è una truffa ben orchestrata che può far perdere il controllo dell’account WhatsApp in pochi minuti. È la cosiddetta truffa della ballerina, una delle minacce digitali più diffuse e subdole del momento.
Cos’è la truffa della ballerina
La truffa della ballerina è una forma evoluta di smishing, cioè phishing tramite messaggistica istantanea. A differenza delle truffe classiche, non parte da numeri sconosciuti ma da account WhatsApp già compromessi, quindi da contatti presenti in rubrica: amici, colleghi, familiari.
Il messaggio contiene:
-
la foto di una giovane ragazza in abiti da danza;
-
una breve storia emotiva (una figlia, una nipote, “Federica”);
-
un link per votare a un concorso che promette una borsa di studio;
-
la rassicurazione che non serve pagare nulla.
È proprio questa apparente assenza di rischio economico a rendere l’inganno estremamente credibile.
Perché funziona così bene
Secondo l’analisi di ICT Security Magazine, la truffa appartiene alla categoria dello smishing relazionale: non sfrutta la fretta o l’avidità, ma la fiducia.
Gli elementi chiave sono quattro:
-
Empatia: aiutare una giovane a realizzare un sogno;
-
Legittimazione sociale: il messaggio arriva da qualcuno che conosci;
-
Basso sforzo cognitivo: “basta un click”;
-
Assenza di richiesta di denaro iniziale, che abbassa le difese.
In questo modo, ogni vittima diventa un nuovo vettore di diffusione.
Il meccanismo tecnico: come rubano l’account
Dal punto di vista tecnico, la truffa non sfrutta bug del software ma le funzionalità legittime di WhatsApp.
Il link porta a una pagina che imita un sito ufficiale di votazione o un portale social. Qui viene chiesto di:
-
inserire il numero di telefono;
-
digitare un codice ricevuto via SMS.
Quel codice non serve a votare: è il codice di collegamento di un nuovo dispositivo WhatsApp Web. Inserendolo, l’utente autorizza inconsapevolmente un dispositivo controllato dai truffatori ad accedere al proprio account.
Questa tecnica è stata definita GhostPairing Attack dai ricercatori di Gen Digital: non richiede password, non intercetta SMS, non usa SIM swap. Usa solo ingegneria sociale.
Cosa succede dopo
Una volta ottenuto l’accesso:
-
i truffatori inviano lo stesso messaggio a tutti i contatti della vittima;
-
bloccano l’accesso legittimo all’account;
-
in una fase successiva, chiedono denaro fingendo emergenze personali.
Molti utenti si accorgono della truffa solo quando amici o parenti li contattano per “chiedere conferma”.
Il contesto: WhatsApp come bersaglio ideale
Secondo il Report annuale 2024 della Polizia Postale, i casi di truffe online sono cresciuti del 15% in un anno. Il Commissariato di P.S. Online ha registrato oltre 82.000 segnalazioni.
WhatsApp è il terreno ideale:
-
oltre 35 milioni di utenti attivi in Italia;
-
tasso di utilizzo vicino al 90% tra i 16 e i 64 anni;
-
percezione di sicurezza legata alla crittografia end-to-end.
Questa fiducia abbassa le difese cognitive, come sottolinea anche Fastweb nei suoi approfondimenti sulla sicurezza digitale.
Come difendersi: le regole che salvano l’account
Le contromisure sono semplici ma devono essere applicate sempre, anche con contatti fidati:
-
Non cliccare link ricevuti via WhatsApp senza verifica diretta;
-
Non inserire mai codici SMS su link esterni;
-
telefonare al mittente per confermare la richiesta;
-
controllare “Dispositivi collegati” nell’app WhatsApp;
-
attivare la verifica in due passaggi;
-
segnalare l’accaduto alla Polizia Postale.
FAQ – Truffa della ballerina WhatsApp
1) Basta cliccare il link per essere truffati?
No, il rischio nasce inserendo codici o dati.
2) Posso recuperare l’account?
Sì, ma può richiedere tempo e assistenza WhatsApp.
3) Il messaggio può arrivare da amici reali?
Sì, è proprio questo il punto di forza della truffa.
4) Serve antivirus sul telefono?
Non è sufficiente: è una truffa di ingegneria sociale.
5) La verifica in due passaggi basta?
Riduce molto il rischio, ma serve anche attenzione.
