Scatta l’allarme rosso in Italia per chi utilizza l’app di messaggistica più famosa al mondo. WhatsApp ha appena bloccato d’urgenza centinaia di account nel nostro Paese dopo aver scoperto un pericolosissimo clone spia creato da un’azienda informatica locale. Questo software ingannevole, graficamente identico all’originale, agisce nell’ombra per rubare messaggi segreti, intercettare telefonate e attivare la fotocamera di nascosto. Un attacco di cyber-spionaggio silenzioso e letale che ha costretto Meta a un’azione drastica e immediata per proteggere le vittime e bloccare il massiccio furto di dati. WhatsApp ha avvisato circa 200 utenti, in larga parte residenti in Italia, dopo aver individuato una versione falsa dell’app sviluppata per attività di sorveglianza mirata. Il client contraffatto imitava interfaccia e funzioni della versione ufficiale, inducendo le vittime a installarlo su iPhone e iPad attraverso canali esterni agli store ufficiali. Una volta attivo, il software era in grado di raccogliere dati sensibili dal dispositivo senza compromettere direttamente l’infrastruttura di Meta o la crittografia end-to-end della piattaforma. La vicenda punta i riflettori su Asigint, azienda italiana controllata da SIO Spa di Cantù, già collegata in passato a operazioni di cyber intelligence e alla famiglia spyware Spyrtacus. Meta ha reagito con notifiche dirette agli utenti coinvolti, disconnessione preventiva degli account e una diffida formale contro la società. L’episodio riporta al centro il tema degli spyware commerciali sviluppati da vendor europei e distribuiti tramite social engineering, soprattutto su target governativi, giornalistici e investigativi.
Cosa leggere
Il clone falso di WhatsApp imitava l’app ufficiale su iOS
La scoperta è avvenuta durante il monitoraggio continuo che WhatsApp effettua sulla propria rete per identificare client non ufficiali, modded app e anomalie di autenticazione. Il software malevolo riproduceva in modo fedele grafica, schermate e flussi della versione ufficiale, spingendo gli utenti a credere di utilizzare un normale aggiornamento o una build alternativa legittima. In realtà il client raccoglieva informazioni presenti sul dispositivo e poteva inviare dati sensibili verso infrastrutture esterne controllate dagli operatori. La distribuzione non è avvenuta tramite App Store o TestFlight, ma attraverso link diretti, profili enterprise e canali di social engineering, una tecnica che su iOS continua a rappresentare uno dei pochi vettori realmente efficaci per software di sorveglianza non autorizzato. Meta ha precisato che non è stata sfruttata alcuna vulnerabilità dell’app ufficiale né del protocollo di crittografia.
Asigint e SIO Spa tornano al centro del caso spyware
L’elemento più delicato riguarda il presunto coinvolgimento di Asigint, realtà italiana specializzata in strumenti di cyber intelligence, raccolta dati e supporto tecnico per enti pubblici. La società è controllata da SIO Spa, gruppo con sede a Cantù, già emerso in precedenti indagini legate allo spyware Spyrtacus. Nel dicembre 2025, infatti, campagne Android riconducibili allo stesso ecosistema avevano distribuito app malevole travestite da WhatsApp, Signal, Facebook Messenger e utility di sistema, con capacità di esfiltrazione molto avanzate: accesso a SMS, rubrica, geolocalizzazione, chiamate, microfono e fotocamera. Il nuovo episodio su iOS mostra una continuità metodologica evidente: uso di applicazioni clonate, distribuzione fuori store e targeting di soggetti localizzati prevalentemente in Italia. Per Meta questo rafforza il sospetto di una filiera commerciale strutturata di spyware venduti a clienti istituzionali.
Meta blocca gli account e invia una diffida formale
La risposta di Meta è stata immediata sia sul piano tecnico sia su quello legale. L’azienda ha disconnesso preventivamente gli account WhatsApp coinvolti, impedendo al clone di continuare a sincronizzare dati e riducendo il rischio di ulteriore raccolta informativa. Contestualmente ha inviato una notifica individuale agli utenti colpiti, spiegando che il dispositivo potrebbe aver eseguito un client non ufficiale potenzialmente pericoloso. Il messaggio invita a rimuovere immediatamente il software installato tramite profili esterni, revocare eventuali certificati enterprise, cambiare credenziali sensibili e reinstallare solo l’app ufficiale da App Store. Sul fronte legale Meta ha notificato una cease-and-desist letter ad Asigint, chiedendo la cessazione immediata di ogni attività lesiva collegata al brand WhatsApp e alla raccolta di dati degli utenti.
Gli utenti italiani sono il target principale dell’operazione
L’aspetto geografico del caso è particolarmente significativo. Secondo quanto emerso, la maggior parte dei circa 200 utenti avvisati si trova in Italia, suggerendo una campagna estremamente mirata e non una diffusione massiva tipica del cybercrime opportunistico. Questo tipo di selezione è coerente con l’uso di spyware commerciali destinati a sorveglianza investigativa, monitoraggio di soggetti specifici o raccolta di intelligence su target di alto valore. Tra i profili più esposti in questi scenari rientrano giornalisti, attivisti, manager, consulenti legali, personale della pubblica amministrazione e operatori di sicurezza. La scelta di usare un clone di WhatsApp aumenta notevolmente la probabilità di successo, perché sfrutta la familiarità con una delle app più installate nel Paese.
Il precedente Spyrtacus conferma una continuità operativa
Il collegamento con Spyrtacus rende questo episodio ancora più rilevante. La campagna Android emersa a fine 2025 mostrava una struttura molto simile: applicazioni trojanizzate, forte componente di ingegneria sociale e focus quasi esclusivo su target italiani. Quel malware permetteva di monitorare messaggi, contatti, telefonate, posizione GPS e contenuti multimediali, trasformando lo smartphone in un dispositivo di sorveglianza completo. La nuova versione iOS del clone WhatsApp sembra replicare la stessa filosofia operativa, adattandola alle limitazioni e ai vettori specifici dell’ecosistema Apple. Questo suggerisce una maturazione del toolkit spyware italiano verso una copertura multipiattaforma Android e iOS, elemento che alza notevolmente il livello di rischio.
Il caso riapre il tema spyware commerciali in Europa
L’episodio non riguarda solo WhatsApp, ma l’intero mercato degli spyware commerciali europei. Negli ultimi anni vendor privati hanno sviluppato strumenti sempre più sofisticati destinati a forze dell’ordine, agenzie di intelligence e clienti governativi, spesso in una zona grigia tra lawful intercept e abuso. Il caso Asigint-SIO mostra come la distribuzione tramite clone app resti una tecnica estremamente efficace anche senza exploit zero-click. Per gli utenti la lezione resta molto concreta: installare software fuori dagli store ufficiali, soprattutto su iPhone tramite profili enterprise, espone a rischi elevatissimi di sorveglianza invisibile. Per Meta, invece, questa operazione segna un ulteriore fronte nella battaglia contro i vendor spyware che sfruttano la fiducia nei suoi servizi per colpire target selezionati.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
