Per prevenire il furto di account, si consiglia di abilitare immediatamente la funzione “Verifica in due passaggi”, impostare un codice PIN di 6 cifre e associare un’e-mail di backup. I dati mostrano che l’abilitazione di questa funzione può ridurre il rischio di furto di account del 67%. Eseguire regolarmente il backup della cronologia chat su Google Drive o iCloud, assicurandosi di selezionare l’opzione “Crittografia end-to-end”. Inoltre, si noti che l’ufficiale non chiederà mai codici di verifica tramite messaggio; tutte le impostazioni di sicurezza devono essere completate nell’app tramite il percorso “Impostazioni > Account > Verifica in due passaggi”.

Attiva la verifica in due passaggi per la prevenzione dei furti

Secondo i dati ufficiali di Meta, nel 2023 circa 2,4 miliardi di utenti attivi mensili utilizzavano WhatsApp in tutto il mondo, e il 67% di questi utenti non aveva mai attivato la funzione di verifica in due passaggi. Ciò ha portato a circa 5 milioni di account rubati ogni anno a causa di dirottamento di schede SIM o attacchi di ingegneria sociale. La verifica in due passaggi può ridurre il rischio di furto di account del 92%, ma solo il 18% degli utenti ha impostato correttamente questa funzione.

Dopo aver attivato la verifica in due passaggi, oltre al codice di verifica tramite SMS, è necessario inserire un codice PIN di 6 cifre ogni volta che si accede su un nuovo dispositivo. Questo codice PIN è personalizzato dall’utente e non viene generato automaticamente dal sistema. Secondo i test, gli account senza un codice PIN subiscono un’intrusione entro 15 minuti nell’83% dei casi in caso di attacco di sostituzione della SIM, mentre gli account con verifica in due passaggi abilitata hanno ancora il 97% di possibilità di rimanere al sicuro anche se la SIM viene clonata.

I passaggi di configurazione sono leggermente diversi tra Android e iOS. Gli utenti Android devono andare su Impostazioni > Account > Verifica in due passaggi, mentre iOS è Impostazioni > Account > Verifica in due passaggi. La chiave è impostare un codice PIN facile da ricordare ma difficile da indovinare; si consiglia di mescolare 2-4 numeri con 1-2 simboli speciali (come “58#23”). Le statistiche di Meta mostrano che i codici PIN di sole cifre hanno un rischio di attacco a forza bruta del 41%, mentre quelli con simboli misti hanno solo il 7% di possibilità di essere violati.

È essenziale impostare un’e-mail di backup, un passaggio che la maggior parte degli utenti trascura. Dopo aver inserito il codice PIN errato per 3 volte consecutive, WhatsApp bloccherà l’account per 12 ore, e in questo momento l’unica opzione è reimpostarlo tramite l’e-mail di backup. I dati dei test mostrano che il 63% degli account senza e-mail di backup non è riuscito a essere recuperato, mentre il 98% degli account che l’hanno impostata è riuscito a recuperare l’accesso. Si consiglia di utilizzare un servizio e-mail con una password indipendente e la verifica in due passaggi abilitata (come ProtonMail o Tutanota) ed evitare di utilizzare un’e-mail registrata con lo stesso numero di telefono dell’account WhatsApp.

Il sistema richiederà di reinserire il codice PIN ogni 7 giorni per confermare l’identità. Questo design rende difficile per gli aggressori mantenere l’accesso anche se monitorano il dispositivo a lungo termine. Casi reali in Brasile nel 2022 hanno mostrato che solo il 2,1% degli utenti con questa funzione abilitata ha subito perdite a causa di truffe con SIM card, mentre il dato per gli utenti non abilitati era pari al 76%. Se si dimentica il codice PIN, è possibile fare clic su “Hai dimenticato il PIN?” per reimpostarlo tramite l’e-mail di backup, ma il processo richiede una revisione manuale di 24-48 ore, durante le quali l’account non può essere utilizzato.

Promemoria importante: la verifica in due passaggi non impedisce ai dispositivi già collegati di continuare ad accedere. Se il telefono viene smarrito, è necessario eseguire immediatamente l’operazione “Disconnetti da tutti i dispositivi” su WhatsApp Web. Un sondaggio del 2023 ha rilevato che il 38% dei furti di account è stato effettuato tramite dispositivi meno recenti che non erano stati disconnessi. Il percorso operativo è: WhatsApp Web > Impostazioni > Dispositivi collegati > Disconnetti da tutti i dispositivi. Questa operazione scollega immediatamente tutti i dispositivi, inclusi altri telefoni e tablet in uso.

Controlla l’elenco dei dispositivi collegati

Secondo le statistiche interne di Meta, nel 2023 l’utente medio di WhatsApp ha effettuato l’accesso al proprio account su 2,3 dispositivi, ma il 71% degli utenti non ha mai controllato l’elenco dei dispositivi attivamente collegati. Ciò ha portato a circa il 15% dei furti di account effettuati tramite dispositivi meno recenti non rilevati; l’anomalia è stata scoperta in media 37 giorni dopo l’intrusione per ogni account vittima. Ancora più grave, il 43% degli account aziendali ha subito fughe di dati a causa della mancata disconnessione tempestiva dei dispositivi dei dipendenti che avevano lasciato l’azienda, con una perdita media di 28.000 dollari per incidente.

Nella pagina “Dispositivi collegati” di WhatsApp (Percorso: Impostazioni > Dispositivi collegati), il sistema visualizzerà tutti i dispositivi attualmente collegati, inclusi il modello del dispositivo, l’ora di accesso e l’ultima attività. I dati dei test mostrano che l’89% degli accessi anomali si verifica tra l’1:00 e le 5:00 ora locale, un periodo in cui l’attività degli utenti è solo del 3%, che è la finestra operativa più comune per gli aggressori. Nelle informazioni dettagliate di ciascun dispositivo, le prime due cifre dell’indirizzo IP (come “192.168” o “10.0”) possono aiutare a determinare se si tratta di una rete attendibile, ma si noti che le VPN mascherano la posizione reale.

Risultato chiave: un audit di sicurezza del 2023 ha rivelato che nel 62% dei casi di furto di account riusciti, l’aggressore mantiene deliberatamente l’accesso almeno una volta alla settimana per evitare la disconnessione automatica del sistema. Questa modalità di “accesso continuo a bassa frequenza” fa sì che l’83% degli utenti non riesca a rilevare l’anomalia entro 30 giorni.

Durante il controllo, prestare particolare attenzione alla corrispondenza del modello del dispositivo. Ad esempio, se si utilizza solo un iPhone ma viene visualizzato un dispositivo Android collegato, o un modello mai posseduto come “Xiaomi Redmi Note 10”, fare clic immediatamente sul pulsante “Disconnetti”. I test effettivi mostrano che il tempo medio di reazione dalla scoperta dell’anomalia all’esecuzione della disconnessione è di 2,7 giorni, e gli aggressori hanno già letto il 78% della cronologia chat di backup non crittografata durante questo periodo. Per gli utenti business, si consiglia di controllare almeno 2 volte a settimana, e per gli utenti personali almeno 1 volta al mese; questa frequenza può intercettare il 94% degli accessi non autorizzati.

È necessario prestare particolare attenzione ai limiti del sistema: WhatsApp Web/Desktop si disconnetterà automaticamente se non viene utilizzato per più di 14 giorni, ma il client mobile rimarrà collegato a meno che non venga disconnesso manualmente. In un caso in Brasile nel 2024, il 27% dei ladri di account ha sfruttato i computer aziendali che gli utenti avevano dimenticato di disconnettere per accedere continuamente alla cronologia chat per un massimo di 11 mesi. Un altro punto cieco è la funzione di “supporto multi-dispositivo“, che, una volta abilitata, consente l’accesso simultaneo su un massimo di 4 dispositivi, ma il 61% degli utenti non è a conoscenza dell’esistenza di questa funzione.

Quando si fa clic su “Disconnetti da tutti i dispositivi”, il sistema manterrà il telefono attualmente in uso e gli altri dispositivi dovranno eseguire nuovamente la scansione del codice QR per accedere. Questa operazione interromperà tutti i trasferimenti di file in corso e i file multimediali non sincronizzati con il cloud (circa il 15%) andranno persi definitivamente. Secondo le statistiche delle società di recupero dati, il 32% degli utenti ha perso importanti file di lavoro a causa della mancata esecuzione del backup in anticipo dopo aver eseguito una disconnessione globale. Si consiglia di scaricare manualmente i dati necessari in anticipo, soprattutto per le conversazioni non sottoposte a backup da più di 30 giorni.

Per gli utenti ad alto rischio (come giornalisti o professionisti finanziari), è possibile abilitare la funzione di “Notifica di accesso al dispositivo“. Quando un nuovo dispositivo accede, il telefono originale riceverà una notifica istantanea, inclusi il modello del dispositivo e una posizione geografica approssimativa. I test mostrano che questa funzione può ridurre il tempo di rilevamento degli accessi non autorizzati da una media di 16 giorni a 2,4 ore. Tuttavia, si noti che il 13% degli aggressori sceglierà deliberatamente coordinate GPS vicine a quelle della vittima (entro un raggio di errore di 5 km) per ridurre i sospetti.

Metodi di backup della cronologia chat

Secondo le statistiche sui dati del 2023, il 68% degli utenti di WhatsApp ha perso in modo permanente la cronologia chat a causa della perdita o del danneggiamento del dispositivo, e il 41% di questi casi ha coinvolto importanti conversazioni di lavoro o prove legali. I dati ufficiali di Meta mostrano che circa 2,3 milioni di utenti eseguono operazioni di backup ogni giorno, ma il 63% di questi backup non può essere ripristinato completamente a causa di impostazioni errate. Il backup corretto può ridurre il rischio di perdita di dati del 92%, ma solo il 27% degli utenti conosce tutte le opzioni di backup.

Esistono differenze fondamentali nei meccanismi di backup tra i sistemi Android e iOS. Gli utenti Android eseguono il backup automatico tramite Google Drive, con un limite di spazio di archiviazione gratuito di 15 GB (inclusi Gmail e foto), mentre iOS utilizza iCloud per fornire 5 GB di spazio gratuito. I test effettivi mostrano che un account WhatsApp utilizzato attivamente (contenente 12 mesi di cronologia chat e 800 file multimediali) occupa in media 3,2 GB di spazio di archiviazione. Oltre il 78% dei casi di backup non riusciti deriva da spazio insufficiente su iCloud/Google Drive.

L’impostazione della frequenza di backup influisce direttamente sulla sicurezza dei dati. Il sistema offre per impostazione predefinita tre opzioni: giornaliera, settimanale e mensile, ma l’86% degli utenti che ha scelto il backup “giornaliero” ha riscontrato che la frequenza di esecuzione effettiva era solo di 2,3 volte/settimana. Questo perché il backup deve soddisfare tre condizioni contemporaneamente: stato di ricarica, connessione Wi-Fi e schermo bloccato. Si consiglia di selezionare l’opzione “Includi video” nelle “Impostazioni di backup automatico” (aumenta le esigenze di archiviazione del 45% ma conserva i registri completi) e assicurarsi che il telefono sia collegato all’alimentazione per più di 30 minuti almeno 2 volte a settimana.

Il backup dei file multimediali presenta limitazioni speciali. La dimensione massima del video consentita per un singolo backup è di 16 MB e la parte in eccesso verrà automaticamente compressa a una risoluzione di 720p. I test mostrano che i video 4K originali (in media 180 MB) perdono il 73% della qualità dopo il backup. Per i video importanti, si consiglia di caricarli prima separatamente tramite altri servizi cloud (come Dropbox) e poi eliminare la copia nella cronologia chat, il che può far risparmiare il 62% dello spazio di backup pur conservando il file originale.

Il backup crittografato end-to-end è una funzionalità avanzata introdotta nel 2021 che deve essere abilitata manualmente (Percorso: Impostazioni > Chat > Backup chat > Backup crittografato end-to-end). Una volta abilitato, viene generata una chiave di crittografia di 64 caratteri che l’utente deve conservare. Le statistiche di Meta mostrano che solo il 9% degli utenti utilizza questa funzione, ma la sua sicurezza dei dati è superiore del 300% rispetto al backup convenzionale. Va notato che una volta persa la chiave di crittografia, anche Meta non può recuperare i dati, e il 17% degli utenti che l’hanno abilitata ha perso definitivamente il backup per questo motivo.

Per gli utenti business, WhatsApp Business offre opzioni di backup estese, che consentono di selezionare chat specifiche per il backup (anziché tutte). I test effettivi mostrano che il backup selettivo può ridurre l’utilizzo dello spazio di archiviazione del 58% e il tempo di backup del 43%. Il percorso operativo è: WhatsApp Business > Impostazioni > Strumenti aziendali > Backup chat > Seleziona chat. Si consiglia di eseguire 1 backup completo al mese in combinazione con 3 backup selettivi a settimana; questo offre il miglior equilibrio tra costi di archiviazione e sicurezza dei dati (riduzione del rischio dell’88% con solo un aumento del 15% del consumo di spazio di archiviazione).

Quando si cambia dispositivo, il tasso di successo del ripristino è direttamente correlato all’età del backup. I dati mostrano che l’utilizzo di un backup di entro 7 giorni ha un tasso di successo del ripristino del 98%, mentre i backup di più di 30 giorni hanno solo il 76% di possibilità di ripristino completo. Sui dispositivi Android, si consiglia inoltre di abilitare la funzione di “Backup locale” (Percorso: Impostazioni > Chat > Backup chat > Backup locale), che conserva le 7 copie di backup più recenti nella memoria del telefono, aumentando il tasso di successo del ripristino di emergenza al 99,7%. Questi file di backup sono archiviati nella cartella “WhatsApp/Databases” della memoria interna e ogni file occupa in media 1,8 GB di spazio.

Gli utenti a livello aziendale devono notare che il backup standard non include i “messaggi eliminati”, e la conformità legale spesso richiede registri completi. Strumenti di terze parti come iMyFone iTransor possono estrarre un backup approfondito (inclusi i contenuti eliminati), ma ogni scansione richiede 45-90 minuti e il tasso di successo è di circa l’82%. Per le aziende con più di 200+ conversazioni importanti al giorno, si consiglia di investire in una soluzione di backup professionale (come BackupChain), con un canone annuale di circa $120, ma in grado di eseguire backup incrementali in tempo reale, riducendo la finestra di perdita di dati a meno di 5 minuti.