Fake WhatsApp e spyware made in Italy: il caso ASIGINT

WhatsApp ha dichiarato di aver individuato una campagna mirata che ha coinvolto circa 200 utenti, in gran parte in Italia, convinti a installare un client falso dell’app usato per attività di sorveglianza. Secondo la ricostruzione resa pubblica, l’operazione è stata attribuita ad ASIGINT, società collegata al gruppo italiano SIO. Il punto essenziale, almeno per ora, è questo: non emerge una violazione confermata dell’app ufficiale di WhatsApp, ma una campagna basata sull’inganno e sull’installazione di software che imitava il servizio reale. La piattaforma di Meta ha spiegato di aver identificato gli utenti colpiti, di averli disconnessi e avvisati dei rischi per privacy e sicurezza, invitandoli a rimuovere l’app non ufficiale e a reinstallare quella autentica. Una ricostruzione simile è stata riportata anche da The Record, che parla di un’operazione “highly targeted” costruita con tecniche di social engineering.

Cosa sappiamo davvero

Le informazioni pubbliche, al momento, sono limitate ma abbastanza chiare. WhatsApp sostiene che l’attacco abbia colpito circa 200 persone, soprattutto italiane, inducendole a scaricare una falsa versione dell’app. L’azienda non ha indicato chi fossero i bersagli, né ha spiegato in dettaglio il canale tecnico usato per distribuire il client malevolo. Questo dettaglio conta: senza sapere se si trattasse di giornalisti, attivisti, avvocati, funzionari o altri profili sensibili, è difficile misurare fino in fondo la portata politica del caso.

• gli utenti coinvolti sarebbero circa 200;
• la maggior parte si troverebbe in Italia;
• la distribuzione sarebbe avvenuta tramite inganno, non tramite una falla pubblica confermata di WhatsApp;
• Meta ha attribuito la campagna ad ASIGINT, società del gruppo SIO;
• WhatsApp ha annunciato un’azione legale formale contro i responsabili indicati.

Chi è SIO e perché il nome pesa

Il gruppo SIO si presenta pubblicamente come fornitore di soluzioni di cyber intelligence per forze dell’ordine, organizzazioni governative, polizia e agenzie di intelligence. Questo colloca il caso dentro il mercato del cosiddetto commercial spyware: strumenti sviluppati da aziende private e destinati, almeno formalmente, a clienti istituzionali. Il nome SIO non emerge dal nulla. Nel 2025 TechCrunch aveva ricostruito una campagna Android collegata all’azienda, in cui app malevole camuffate da servizi noti venivano usate per sottrarre dati e attivare funzioni di sorveglianza. In quell’indagine compariva il nome Spyrtacus, spyware analizzato da ricercatori di sicurezza e associato a capacità di raccolta dati, accesso ai messaggi, registrazione audio e altri strumenti tipici della sorveglianza mirata. Per questo il nuovo caso non sembra un episodio isolato, ma un tassello di una filiera già osservata.

Perché questa storia conta più del singolo attacco

La prima ragione è tecnica. Ancora una volta, il punto debole non è per forza la piattaforma in sé, ma tutto ciò che la circonda: link, installazioni fuori canale, client falsi, fiducia manipolata. In pratica, puoi avere un servizio relativamente sicuro e perdere comunque il controllo se qualcuno riesce a convincerti a usare una copia contraffatta. La seconda ragione è politica. Quando una società che opera nel mercato della cyber intelligence viene pubblicamente collegata a un clone di WhatsApp usato per spiare utenti italiani, la questione smette di essere solo tecnica. Diventa una questione di confini: chi sviluppa questi strumenti, chi li compra, con quali controlli, e con quali garanzie per i diritti digitali. La terza ragione è italiana. Reuters ha ricordato che è la seconda volta in 15 mesi che Meta rende pubblica un’attività spyware collegata all’Italia. Il precedente era il caso Paragon, che aveva già aperto una discussione su sorveglianza, istituzioni e controlli. Questo nuovo episodio rafforza l’idea che il tema non riguardi solo i grandi nomi internazionali del settore, ma anche una filiera locale della sorveglianza digitale.

Cosa non sappiamo ancora

Restano diversi punti aperti. Non sappiamo chi siano le persone colpite. Non sappiamo quanti dispositivi siano stati effettivamente compromessi oltre agli utenti notificati. Non sappiamo se il client falso sia stato distribuito tramite siti civetta, profili di configurazione, assistenza fasulla o altri canali. E non ci sono, al momento, risposte pubbliche dettagliate che chiariscano il merito delle accuse da parte dei soggetti chiamati in causa.

Cosa significa per chi usa ogni giorno app e piattaforme

La lezione pratica è semplice: usare applicazioni di comunicazione solo dai canali ufficiali, evitare versioni alternative, diffidare di procedure di installazione inviate via link e controllare sempre autorizzazioni, profili di gestione e provenienza del software. Ma la lezione più ampia è un’altra: la sicurezza non dipende solo dall’app che apri, dipende dall’ecosistema di fiducia che la circonda. Per leggere questa vicenda dentro un quadro più ampio, il riferimento utile è la pagina Potere, tecnologia e controllo. Il tema tocca anche direttamente i nodi della privacy e della sorveglianza, perché mostra come servizi quotidiani e strumenti di controllo possano sovrapporsi molto più facilmente di quanto sembri. Il caso WhatsApp racconta un mercato, una zona grigia e un problema strutturale. Quando la sorveglianza assume la forma di un’app che imita ciò che usiamo tutti i giorni, non c’è più confine tra strumento quotidiano e infrastruttura di controllo.