Chiamate spam e messaggi-trappola: così il ghost pairing ruba l’identità su WhatsApp

Le telefonate ripetute non sono semplici disturbi: sono spesso il primo passo di una frode digitale che, all’inizio di marzo 2026, ha preso a colpire un numero crescente di utenti in Italia. Conosciuta come Ghost Pairing, questa tecnica permette a un malintenzionato di collegare il proprio dispositivo all’account di un’altra persona e di agire al suo posto, leggendo conversazioni, scaricando foto, inviando messaggi e contattando altri utenti tramite l’identità compromessa.

Lo schema segnalato mostra una sequenza ricorrente: prima arriva una raffica di chiamate da numeri sconosciuti, non per parlare ma per creare stress e urgenza, abbassando la soglia di attenzione della vittima. Subito dopo giunge un messaggio apparentemente inviato da un contatto fidato, il cui account è invece già stato violato. Il testo solitamente invita a cliccare su un link per partecipare a un concorso, vedere un contenuto urgente o completare una verifica. Dopo il click, alla vittima viene chiesto di inserire un codice numerico o di scansionare un QR code per “autenticarsi”: quel gesto non autentica nulla per conto suo, ma collega il dispositivo del truffatore all’account bersaglio.

Come funziona il meccanismo

Il punto di forza del Ghost Pairing è che non richiede l’installazione di malware né un attacco che rubi password in modo diretto. Il truffatore sfrutta una funzionalità legittima dell’applicazione — la gestione dei dispositivi collegati — e induce la vittima, tramite ingegneria sociale, a compiere il passaggio decisivo. In pratica non viene “forzata” una barriera tecnica dall’esterno: la vittima accetta volontariamente un’operazione che fornisce all’aggressore un accesso duraturo.

Perché è particolarmente pericoloso

La truffa risulta così efficace perché tutto appare familiare: il messaggio proviene da una persona nota, la procedura sembra coerente con i normali flussi dell’app e non richiede competenze tecniche. Questa apparente normalità rende difficile per l’utente riconoscere il pericolo e interrompere l’azione prima che il collegamento venga stabilito.

Cosa succede dopo il collegamento

Una volta stabilito il collegamento, il malintenzionato ottiene pieno accesso all’account: può leggere conversazioni in tempo reale, scaricare documenti e immagini, raccogliere dati personali e, soprattutto, inviare messaggi a nome della vittima. Il profilo compromesso diventa lo strumento per estendere la frode ad altri contatti, trasformando un singolo episodio in una catena di compromissioni. Si crea così una sessione fantasma che rimane attiva finché non viene individuata e disconnessa.

Come proteggersi dal Ghost Pairing

La difesa si basa su quattro azioni concrete e ripetibili: controllo, prudenza, sicurezza tecnica e reazione rapida. Innanzitutto, è fondamentale verificare periodicamente l’elenco dei dispositivi collegati nelle impostazioni dell’app e revocare ogni sessione o dispositivo sconosciuto.

Non inserire codici o non scansionare QR code ricevuti senza averli richiesti personalmente. I codici a due fattori (2FA) devono essere generati da un’app di autenticazione o da una chiave hardware piuttosto che inviati via SMS; in questo modo si limita l’efficacia di richieste ingannevoli che inducono ad autorizzare l’accesso.

Mantenere aggiornati sistema operativo e applicazioni, usare password uniche e complesse gestite tramite un gestore di password, e attivare le notifiche per nuovi accessi o per la gestione dei dispositivi collegati. Queste misure riducono le probabilità che una procedura apparentemente normale porti a una compromissione.

Se si sospetta di essere stati vittima di Ghost Pairing, disconnettere immediatamente tutte le sessioni dall’app, cambiare la password, abilitare la 2FA sicura e segnalare l’accaduto al supporto della piattaforma. È consigliabile informare anche i propri contatti del possibile invio di messaggi fraudolenti e, nel caso di esposizione di dati finanziari, contattare la propria banca. In situazioni gravi, rivolgersi alle autorità competenti come la Polizia.

Ruolo delle piattaforme e delle istituzioni

Le piattaforme digitali hanno la responsabilità di rendere più trasparente e immediatamente controllabile la gestione dei dispositivi collegati, inviando notifiche chiare per ogni nuova sessione e offrendo procedure semplificate per revocare accessi sospetti. Anche le autorità di regolamentazione e gli enti per la tutela della privacy possono svolgere un ruolo importante nel monitorare la diffusione di questi schemi e nel promuovere standard di sicurezza più rigorosi.

Informarsi sui rischi, mantenere aggiornate le impostazioni di sicurezza e agire tempestivamente in caso di sospetto sono le misure più efficaci per limitare l’impatto del Ghost Pairing e proteggere la propria identità digitale.