Attenzione

Arriva su WhatsApp da un contatto fidato, sembra una richiesta innocua e fa leva sull’empatia: votare una giovane ballerina per aiutarla a vincere una borsa di studio. In realtà è una truffa ben orchestrata che può far perdere il controllo dell’account WhatsApp in pochi minuti. È la cosiddetta truffa della ballerina, una delle minacce digitali più diffuse e subdole del momento.

Cos’è la truffa della ballerina

La truffa della ballerina è una forma evoluta di smishing, cioè phishing tramite messaggistica istantanea. A differenza delle truffe classiche, non parte da numeri sconosciuti ma da account WhatsApp già compromessi, quindi da contatti presenti in rubrica: amici, colleghi, familiari.

Il messaggio contiene:

la foto di una giovane ragazza in abiti da danza;

una breve storia emotiva (una figlia, una nipote, “Federica”);

un link per votare a un concorso che promette una borsa di studio;

la rassicurazione che non serve pagare nulla.

È proprio questa apparente assenza di rischio economico a rendere l’inganno estremamente credibile.

Perché funziona così bene

Secondo l’analisi di ICT Security Magazine, la truffa appartiene alla categoria dello smishing relazionale: non sfrutta la fretta o l’avidità, ma la fiducia.

Gli elementi chiave sono quattro:

Empatia: aiutare una giovane a realizzare un sogno; Legittimazione sociale: il messaggio arriva da qualcuno che conosci; Basso sforzo cognitivo: “basta un click”; Assenza di richiesta di denaro iniziale, che abbassa le difese.

In questo modo, ogni vittima diventa un nuovo vettore di diffusione.

Il meccanismo tecnico: come rubano l’account

Dal punto di vista tecnico, la truffa non sfrutta bug del software ma le funzionalità legittime di WhatsApp.

Il link porta a una pagina che imita un sito ufficiale di votazione o un portale social. Qui viene chiesto di:

inserire il numero di telefono;

digitare un codice ricevuto via SMS.

Quel codice non serve a votare: è il codice di collegamento di un nuovo dispositivo WhatsApp Web. Inserendolo, l’utente autorizza inconsapevolmente un dispositivo controllato dai truffatori ad accedere al proprio account.

Questa tecnica è stata definita GhostPairing Attack dai ricercatori di Gen Digital: non richiede password, non intercetta SMS, non usa SIM swap. Usa solo ingegneria sociale.

Cosa succede dopo

Una volta ottenuto l’accesso:

i truffatori inviano lo stesso messaggio a tutti i contatti della vittima;

bloccano l’accesso legittimo all’account;

in una fase successiva, chiedono denaro fingendo emergenze personali.

Molti utenti si accorgono della truffa solo quando amici o parenti li contattano per “chiedere conferma”.

Il contesto: WhatsApp come bersaglio ideale

Secondo il Report annuale 2024 della Polizia Postale, i casi di truffe online sono cresciuti del 15% in un anno. Il Commissariato di P.S. Online ha registrato oltre 82.000 segnalazioni.

WhatsApp è il terreno ideale:

oltre 35 milioni di utenti attivi in Italia ;

tasso di utilizzo vicino al 90% tra i 16 e i 64 anni;

percezione di sicurezza legata alla crittografia end-to-end.

Questa fiducia abbassa le difese cognitive, come sottolinea anche Fastweb nei suoi approfondimenti sulla sicurezza digitale.

Come difendersi: le regole che salvano l’account

Le contromisure sono semplici ma devono essere applicate sempre, anche con contatti fidati:

Non cliccare link ricevuti via WhatsApp senza verifica diretta;

Non inserire mai codici SMS su link esterni;

telefonare al mittente per confermare la richiesta;

controllare “ Dispositivi collegati ” nell’app WhatsApp;

attivare la verifica in due passaggi ;

segnalare l’accaduto alla Polizia Postale.

FAQ – Truffa della ballerina WhatsApp

1) Basta cliccare il link per essere truffati?

No, il rischio nasce inserendo codici o dati.

2) Posso recuperare l’account?

Sì, ma può richiedere tempo e assistenza WhatsApp.

3) Il messaggio può arrivare da amici reali?

Sì, è proprio questo il punto di forza della truffa.

4) Serve antivirus sul telefono?

Non è sufficiente: è una truffa di ingegneria sociale.

5) La verifica in due passaggi basta?

Riduce molto il rischio, ma serve anche attenzione.