Arriva su WhatsApp da un contatto fidato, sembra una richiesta innocua e fa leva sull’empatia: votare una giovane ballerina per aiutarla a vincere una borsa di studio. In realtà è una truffa ben orchestrata che può far perdere il controllo dell’account WhatsApp in pochi minuti. È la cosiddetta truffa della ballerina, una delle minacce digitali più diffuse e subdole del momento.

Cos’è la truffa della ballerina

La truffa della ballerina è una forma evoluta di smishing, cioè phishing tramite messaggistica istantanea. A differenza delle truffe classiche, non parte da numeri sconosciuti ma da account WhatsApp già compromessi, quindi da contatti presenti in rubrica: amici, colleghi, familiari.

Il messaggio contiene:

  • la foto di una giovane ragazza in abiti da danza;

  • una breve storia emotiva (una figlia, una nipote, “Federica”);

  • un link per votare a un concorso che promette una borsa di studio;

  • la rassicurazione che non serve pagare nulla.

È proprio questa apparente assenza di rischio economico a rendere l’inganno estremamente credibile.

Perché funziona così bene

Secondo l’analisi di ICT Security Magazine, la truffa appartiene alla categoria dello smishing relazionale: non sfrutta la fretta o l’avidità, ma la fiducia.

Gli elementi chiave sono quattro:

  1. Empatia: aiutare una giovane a realizzare un sogno;

  2. Legittimazione sociale: il messaggio arriva da qualcuno che conosci;

  3. Basso sforzo cognitivo: “basta un click”;

  4. Assenza di richiesta di denaro iniziale, che abbassa le difese.

In questo modo, ogni vittima diventa un nuovo vettore di diffusione.

Il meccanismo tecnico: come rubano l’account

Dal punto di vista tecnico, la truffa non sfrutta bug del software ma le funzionalità legittime di WhatsApp.

Il link porta a una pagina che imita un sito ufficiale di votazione o un portale social. Qui viene chiesto di:

  • inserire il numero di telefono;

  • digitare un codice ricevuto via SMS.

Quel codice non serve a votare: è il codice di collegamento di un nuovo dispositivo WhatsApp Web. Inserendolo, l’utente autorizza inconsapevolmente un dispositivo controllato dai truffatori ad accedere al proprio account.

Questa tecnica è stata definita GhostPairing Attack dai ricercatori di Gen Digital: non richiede password, non intercetta SMS, non usa SIM swap. Usa solo ingegneria sociale.

Cosa succede dopo

Una volta ottenuto l’accesso:

  • i truffatori inviano lo stesso messaggio a tutti i contatti della vittima;

  • bloccano l’accesso legittimo all’account;

  • in una fase successiva, chiedono denaro fingendo emergenze personali.

Molti utenti si accorgono della truffa solo quando amici o parenti li contattano per “chiedere conferma”.

Il contesto: WhatsApp come bersaglio ideale

Secondo il Report annuale 2024 della Polizia Postale, i casi di truffe online sono cresciuti del 15% in un anno. Il Commissariato di P.S. Online ha registrato oltre 82.000 segnalazioni.

WhatsApp è il terreno ideale:

  • oltre 35 milioni di utenti attivi in Italia;

  • tasso di utilizzo vicino al 90% tra i 16 e i 64 anni;

  • percezione di sicurezza legata alla crittografia end-to-end.

Questa fiducia abbassa le difese cognitive, come sottolinea anche Fastweb nei suoi approfondimenti sulla sicurezza digitale.

Come difendersi: le regole che salvano l’account

Le contromisure sono semplici ma devono essere applicate sempre, anche con contatti fidati:

  • Non cliccare link ricevuti via WhatsApp senza verifica diretta;

  • Non inserire mai codici SMS su link esterni;

  • telefonare al mittente per confermare la richiesta;

  • controllare “Dispositivi collegati” nell’app WhatsApp;

  • attivare la verifica in due passaggi;

  • segnalare l’accaduto alla Polizia Postale.

FAQ – Truffa della ballerina WhatsApp

1) Basta cliccare il link per essere truffati?
No, il rischio nasce inserendo codici o dati.

2) Posso recuperare l’account?
Sì, ma può richiedere tempo e assistenza WhatsApp.

3) Il messaggio può arrivare da amici reali?
Sì, è proprio questo il punto di forza della truffa.

4) Serve antivirus sul telefono?
Non è sufficiente: è una truffa di ingegneria sociale.

5) La verifica in due passaggi basta?
Riduce molto il rischio, ma serve anche attenzione.