Una nuova minaccia si sta diffondendo in modo capillare sulle piattaforme di messaggistica istantanea, come WhatsApp e Telegram, prendendo di mira una delle reti sociali più solide e fiduciarie: quella di genitori, parenti e amici di famiglie con minori impegnati in attività extrascolastiche. La cosiddetta “truffa del voto” non è semplice spam, ma un attacco di phishing sociale finalizzato al furto dell’identità digitale e al controllo dell’account di messaggistica.
Il meccanismo è efficace perché sfrutta un contesto emotivo e verosimile. Il pretesto è quasi sempre identico: un bambino o un adolescente avrebbe bisogno di un “voto” per salire in classifica in un concorso di danza, calcio o musica. La richiesta appare innocua, familiare, perfino “normale” nel mondo dei contest e delle competizioni online.
Il dettaglio che la rende pericolosa: il messaggio arriva da un contatto fidato
L’aspetto più insidioso di questa truffa è che spesso non proviene da numeri sconosciuti. Al contrario, arriva da profili di amici o conoscenti i cui account sono già stati violati. In questo modo il destinatario si fida, risponde più facilmente e mette in pausa i normali campanelli d’allarme.
Il testo può includere un link su cui cliccare oppure, ancora più spesso, una frase che prepara il terreno a un passaggio successivo: “tra poco ti arriva un codice via SMS, me lo giri per convalidare il voto”. È qui che scatta la trappola.
Il “codice per votare” non è un voto: è l’OTP di WhatsApp
In realtà, mentre tu stai pensando di aiutare un amico, il truffatore sta tentando di registrare il tuo numero su un nuovo dispositivo. Il codice di sei cifre che arriva via SMS non ha nulla a che vedere con un concorso: è la One-Time Password (OTP) generata da WhatsApp per autorizzare l’accesso all’account.
Se la vittima inoltra quel codice, consegna istantaneamente l’accesso al proprio profilo. È un gesto che sembra banale e “gentile”, ma equivale a consegnare le chiavi di casa a uno sconosciuto.
Cosa succede dopo: l’account viene blindato e tu resti fuori
Una volta ottenuto l’accesso, l’aggressore agisce rapidamente per rendere difficile il recupero. Attiva subito la verifica in due passaggi impostando un PIN scelto da lui e, quando possibile, modifica anche l’email di recupero. Il risultato è che il proprietario legittimo viene espulso dall’app e si ritrova nell’impossibilità di rientrare facilmente, perché le credenziali di recupero non sono più sotto il suo controllo.
La truffa si autoalimenta: il criminale usa il tuo profilo per colpire altri
Il danno non resta individuale. Il truffatore inizia a consultare le chat e a contattare rapidamente i tuoi contatti, inviando la stessa richiesta di “voto per il figlio” a tutta la rubrica. È una catena che cresce grazie alla fiducia: ogni nuova vittima vede arrivare il messaggio da una persona reale e conosciuta, quindi è molto più predisposta a crederci.
La scelta di citare ragazzi tra i 12 e i 15 anni non è casuale: è una fascia d’età in cui tornei, saggi, contest e piccole competizioni online sono frequenti. La richiesta risulta credibile e l’urgenza emotiva, unita alla voglia di dare una mano, diventa un “distrattore” che abbassa le difese.
Come difendersi: tre regole semplici che evitano il furto d’identità
La prima regola è non condividere mai codici ricevuti via SMS. Nessun concorso legittimo ti chiederà di inoltrare un codice di sicurezza personale arrivato sul tuo telefono. Quel codice serve quasi sempre a confermare un accesso o un’operazione sensibile e deve restare privato.
La seconda è attivare la verifica in due passaggi nelle impostazioni dell’app. Su WhatsApp, ad esempio, questa funzione aggiunge un livello di protezione che richiede un PIN scelto da te quando l’account viene configurato su un nuovo dispositivo. È uno strumento semplice, ma molto efficace per ridurre il rischio di takeover.
La terza è verificare “a voce” ogni richiesta insolita. Se un amico ti scrive su WhatsApp o Telegram chiedendoti un favore strano, soprattutto legato a link o codici, fai una telefonata tradizionale o un controllo diretto: spesso bastano dieci secondi per capire se dall’altra parte c’è davvero la persona che conosci.
Ti potrebbero interessare:
