Un semplice SMS e un messaggio da un amico bastano per farti cadere nella trappola: il raggiro colpisce di nuovo milioni di utenti. Ecco come difendersi
Un codice a sei cifre, un messaggio innocuo, un amico che ti chiede un favore: così milioni di utenti perdono l’accesso al proprio profilo WhatsApp. La truffa del codice a 6 cifre è tornata a diffondersi in maniera preoccupante, con una nuova ondata rilevata tra aprile e maggio 2025. E oggi, mentre si riaffaccia nei messaggi di utenti ignari, la raccomandazione è una sola: non fidarti mai, nemmeno dei contatti più stretti, se ti chiedono di inoltrare un codice ricevuto via SMS.
Secondo gli esperti, il messaggio che circola è sempre lo stesso: “Ciao, ti ho inviato un codice per sbaglio, me lo rimandi?”. Poco prima — o subito dopo — ti arriva sul telefono un messaggio da WhatsApp con un codice di verifica a sei cifre, lo stesso codice che viene generato ogni volta che qualcuno prova a registrare il tuo numero su un altro dispositivo. Se lo inoltri, hai appena regalato l’accesso completo al tuo account a un cybercriminale.
Un inganno che si diffonde da anni e sfrutta la fiducia tra contatti
Le prime tracce documentate risalgono al 2020, ma la truffa è esplosa nel corso del 2021, tanto che la Polizia postale ha lanciato più volte allerte pubbliche, avvertendo gli utenti sul rischio. Il meccanismo è semplice e potente, basato su un’azione di ingegneria sociale: un truffatore prende possesso del profilo WhatsApp di qualcuno, poi invia messaggi a tutti i suoi contatti, fingendo di essere lui, per ottenere altri codici e proseguire la catena.
Una volta ottenuto il codice, l’hacker accede al profilo, espelle il vero proprietario, e prende il controllo totale della cronologia chat, della rubrica e della foto profilo. Da lì, può propagare il raggiro su larga scala, oppure, nei casi più gravi, avviare procedure per cambiare l’autenticazione a due fattori, rendendo difficile — se non impossibile — il recupero dell’account.
C’è di più. Alcuni criminali inseriscono link dannosi nelle chat, che reindirizzano a pagine contraffatte, progettate per raccogliere password, dati bancari o informazioni personali. In certi casi, è stato richiesto un riscatto economico per restituire l’account rubato, segno di quanto il furto possa trasformarsi in una minaccia reale alla sicurezza personale.
A complicare il quadro, si è aggiunta una notizia inquietante: una falla nei sistemi di WhatsApp ha esposto 3,5 miliardi di numeri di telefono, una vulnerabilità nota dal 2017 ma corretta solo nel 2025, come riportato da Giuditta Mosca in un’inchiesta pubblicata a novembre. Anche se la falla è stata sanata, i dati già sottratti potrebbero essere utilizzati per costruire attacchi su vasta scala.
Le difese da attivare subito e cosa fare se l’account viene rubato
Difendersi è possibile, ma richiede attenzione costante. La regola d’oro è: non inoltrare mai codici ricevuti via SMS, anche se a chiederlo è un amico. Quel messaggio non è stato scritto da lui, ma da chi ha già preso possesso del suo profilo. Il codice di verifica è personale, serve per registrare il proprio numero su un nuovo dispositivo, e deve rimanere privato in ogni circostanza.
Per rendere il proprio account meno vulnerabile è fondamentale attivare la verifica in due passaggi: basta andare su Impostazioni > Account > Verifica in due passaggi e impostare un PIN a sei cifre, che verrà richiesto ad ogni nuova installazione. Questo passaggio aggiunge uno scudo supplementare contro l’accesso non autorizzato, anche se il codice viene rubato.
In parallelo, si può attivare la notifica di sicurezza da Impostazioni > Account > Notifiche di sicurezza: se qualcuno tenta di registrare il proprio numero su un altro dispositivo, WhatsApp lo segnala immediatamente. È un piccolo avviso, ma può fare la differenza tra un attacco sventato e un account perso.
Se invece si è già caduti nella trappola, occorre agire velocemente. Prima di tutto, provare a riconnettersi al proprio account usando il numero di telefono. Se il criminale non ha ancora cambiato il PIN, si può riprendere il controllo. In caso contrario, si può richiedere la disattivazione dell’account scrivendo a WhatsApp, e nel frattempo avvertire tutti i propri contatti per evitare che il raggiro si estenda ad altri.
Infine, è importante denunciare il furto alla Polizia postale, usando il modulo di segnalazione online. Ogni segnalazione contribuisce a contrastare la diffusione del fenomeno, permettendo alle forze dell’ordine di intercettare i modelli ricorrenti e le fonti degli attacchi.
La truffa delle 6 cifre non è nuova, ma proprio per questo è diventata più pericolosa: colpisce chi non si aspetta di essere raggirato, sfrutta la routine e gioca sull’urgenza e la fiducia personale. E nel 2025, con miliardi di utenti attivi ogni giorno, l’inganno può diventare virale in pochi minuti.
