WhatsApp, nomi utente già nel mirino: così possono favorire truffe e profili falsi

Con l'arrivo dei nomi utente WhatsApp si parla di privacy migliorata perché il numero di telefono resta nascosto ma c'è il rischio di profili falsi, impersonificazioni, truffe, con i criteri di verifica adottati da Meta ancora oggetto di approfondimento.

Proprio in questi giorni stiamo raccontando come WhatsApp si stia preparando a uno dei cambiamenti più delicati della sua storia recente: l’introduzione dei nomi utente, identificativi pubblici che permetteranno di farsi trovare e avviare una conversazione senza mostrare il numero di telefono.

Abbiamo detto che a fine giugno 2026 Meta ha aperto la possibilità di prenotare il proprio nome utente WhatsApp preferito: a disposizione degli utenti c’è il pulsante Crea nome utente, che permette di effettuare una ricerca libera sui nomi utente correntemente a disposizione ma vi è anche la possibilità di riscattare l’username usato su piattaforme come Instagram e Facebook, adottandolo anche su WhatsApp.

Ma come impedire che un profilo simile a quello di una banca, di un politico, di un ente pubblico o di un’azienda diventi la porta d’ingresso per truffe e phishing?

Prenotazione nome utente WhatsApp

Il problema dei nomi simili e delle identità famose

Facendo qualche semplice verifica con la funzione Crea nome utente, ci si accorge subito che diversi username simili a nomi di politici, celebrità, imprenditori, aziende e istituzioni risultavano regolarmente prenotabili. Spesso basta un suffisso, una parola come verified o real, una sigla, un punto o una variante credibile per ingannare un utente distratto.

Meta afferma di riservare alcuni nomi per personaggi pubblici, enti governativi e varianti, così da permettere solo ai titolari legittimi di reclamarli.

Il problema, almeno per ora, riguarda la trasparenza del criterio. Quali varianti entrano nella lista protetta? Quali restano disponibili? Come si gestiscono traslitterazioni, abbreviazioni, nomi locali, account fan, parodie, omonimie e marchi con denominazioni simili? Le risposte a queste domande configurano di fatto un meccanismo di prevenzione del rischio.

Un sistema robusto dovrebbe combinare più livelli: blocco preventivo dei nomi ad alto rischio, verifica documentale per account istituzionali e finanziari, analisi dei pattern di registrazione, controlli contro il typosquatting, limiti ai cambi frequenti di username e possibilità di contestazioni rapide.

Senza questi strumenti, l’apertura di WhatsApp verso i nomi utente rischia di creare una corsa alla prenotazione: chi arriva prima (“first come, first served“) ottiene un vantaggio reputazionale, anche quando quel nome richiama un soggetto che non rappresenta davvero chi l’ha richiesto.

I nomi utente WhatsApp non certificano l’identità

Ridurre l’esposizione del numero telefonico resta una buona idea. Un numero non serve solo a ricevere chiamate: spesso diventa identificatore per servizi bancari, account cloud, autenticazione a due fattori via SMS, recupero password, profili social e database commerciali. In alcuni scenari può facilitare SIM swap, phishing mirato, molestie, doxxing e tentativi di acquisizione degli account da parte dei criminali.

Gli username WhatsApp aiutano a non consegnare il numero a persone sconosciute, ma l’identità degli interlocutori va comunque verificata.

Se una banca, un corriere, un ente pubblico o un presunto conoscente scrive da un nome utente WhatsApp mai visto prima, non bisogna subito considerare il contatto come prova autentico: un username serve a raggiungere qualcuno, non a certificarne l’identità!

Le difese annunciate da WhatsApp

WhatsApp sostiene di avere integrato più livelli di difesa contro gli abusi. Tra questi rientrano limiti al numero di persone nuove che un account può contattare e blocchi contro tentativi ripetuti di indovinare i nomi utente. Se un attaccante prova migliaia di combinazioni o invia messaggi a utenti sconosciuti su larga scala, la piattaforma può rilevare frequenza, fallimenti, somiglianze e anomalie.

Il limite è che le truffe più efficaci non hanno sempre bisogno di grandi volumi: un attacco mirato contro un imprenditore, un professionista, un funzionario può partire da pochi messaggi molto curati. In quei casi servono segnali visibili all’utente: badge di verifica affidabili, avvisi sui primi contatti, alert quando un account cambia nome da poco, indicatori per profili aziendali e istituzionali, canali chiari per segnalare impersonificazioni.

Un altro fronte riguarda l’integrazione con Facebook e Instagram. Meta consente a creator, aziende e organizzazioni di reclamare su WhatsApp lo stesso nome già usato sulle altre piattaforme del gruppo. Da un lato questa scelta riduce il rischio di falsi profili che sfruttano identità note; dall’altro mostra quanto facilmente Meta possa collegare identità tra servizi diversi. Come abbiamo evidenziato negli articoli citati in apertura, però, la privacy verso gli sconosciuti migliora, mentre la concentrazione dell’identità dentro i servizi Meta aumenta.

Cosa dovrebbe fare WhatsApp prima del lancio globale

Per evitare che la funzione dei nomi utente parta con un debito di fiducia, WhatsApp dovrebbe spiegare meglio i criteri usati per proteggere nomi di enti pubblici, banche, marchi, personaggi noti e organizzazioni sensibili. Non serve pubblicare ogni regola antifrode, perché alcuni dettagli aiuterebbero gli attaccanti.

Serve però una descrizione credibile del modello: quali categorie ricevono protezione preventiva, come funziona la verifica, quali varianti vengono bloccate, come si gestiscono reclami e quanto tempo richiede la rimozione di un clone.

Un’altra mitigazione utile riguarda l’esperienza utente. Quando arriva un primo messaggio da username, WhatsApp potrebbe mostrare un avviso più forte rispetto a una normale chat: “non hai mai interagito con questo account“, “il numero non è visibile“, “verifica l’identità tramite un canale ufficiale“.

L’India ha già inviato una richiesta formale a WhatsApp invitando la piattaforma a congelare la distribuzione della nuova funzionalità fino alla fine delle consultazioni. La base richiamata riguarda le regole sulla due diligence degli intermediari digitali: se una piattaforma non rispetta gli obblighi previsti, può perdere parte delle protezioni in termini di responsabilità sui contenuti pubblicati o trasmessi dagli utenti. È una leva forte, soprattutto in un Paese che pesa moltissimo per WhatsApp anche sul fronte dei pagamenti e del business commerciale.

Ti consigliamo anche

Link copiato negli appunti