Bastano 5 minuti per completare le impostazioni di sicurezza definitive di WhatsApp: vai su “Impostazioni > Account” e abilita la “Verifica in due passaggi”, imposta un codice PIN di 6 cifre (riduce dell’80% il rischio di furto dell’account); vai su “Privacy” e attiva lo “Sblocco con impronta digitale” per impedire ad altri di sbirciare; nell’opzione “Chat”, disattiva il “Backup su cloud” e passa al “Backup crittografato end-to-end” manuale (evita il 97% del rischio di fuga di dati); infine, vai su “Dispositivi collegati” ed elimina i dispositivi inattivi. Le statistiche mostrano che, una volta completate queste impostazioni, la probabilità che l’account venga violato diminuisce immediatamente del 90%.

Attivare la crittografia di WhatsApp

Secondo i dati ufficiali di Meta, WhatsApp ha più di 2 miliardi di utenti attivi giornalieri e la crittografia end-to-end predefinita copre il 100% delle chat individuali e di gruppo. Tuttavia, un sondaggio mostra che oltre il 35% degli utenti non ha mai controllato lo stato della crittografia e circa il 15% non sa nemmeno che questa funzione esista. La crittografia end-to-end significa che i tuoi messaggi di testo, vocali, foto e video vengono convertiti in codice illeggibile durante la trasmissione e solo i dispositivi del mittente e del destinatario possono decifrarli. Il server e i nodi intermedi non possono leggere il contenuto, e nemmeno Meta, la società madre di WhatsApp, può vederlo.

Il cuore della tecnologia di crittografia è il protocollo Signal, che utilizza l’algoritmo di crittografia AES a 256 bit. Lo scambio di chiavi avviene tramite la curva ellittica Curve25519; teoricamente, la decrittazione richiederebbe oltre $10^{77}$ operazioni, ovvero miliardi di anni calcolando la potenza di calcolo globale attuale. Tuttavia, la crittografia non è automatica in tutti gli scenari: ad esempio, i backup locali non crittografati (che rappresentano il 28% dei dati utente) e i backup su cloud (che per impostazione predefinita utilizzano la crittografia di archiviazione di Apple iCloud o Google Drive, ma non la crittografia end-to-end) possono essere vulnerabili. Un audit di sicurezza del 2023 ha rilevato che circa il 12% degli utenti Android utilizza ancora il vecchio protocollo di trasmissione TLS 1.2 anziché il più sicuro TLS 1.3 a causa di applicazioni non aggiornate.

Come confermare che la crittografia è attiva?
Apri una qualsiasi finestra di chat, clicca sul nome del contatto e scorri fino all’opzione “Crittografia”. Vedrai un’impronta digitale della chiave composta da 60 cifre e lettere (ad esempio: 3A2B 4C1D 5E8F...), questo è l’identificatore centrale per la verifica della crittografia. Confrontando questo codice di persona o tramite un altro canale sicuro (come una chiamata Signal crittografata), puoi assicurarti che non ci siano attacchi man-in-the-middle. Se la chiave cambia (probabilità di circa lo 0,7%), il sistema ti avviserà con “Il codice di sicurezza di questo contatto è cambiato” e sarà necessaria una nuova verifica.

Limitazioni pratiche della crittografia
Sebbene il contenuto del messaggio sia protetto, i metadati (come “chi ha contattato chi e quando”) vengono comunque registrati e il server conserva questi dati per circa 90 giorni. Gli amministratori di gruppo devono prestare attenzione: dopo l’aggiunta di un nuovo membro, la chiave di crittografia viene reimpostata e i messaggi precedenti non sono visibili al nuovo membro. Inoltre, se utilizzi l’accesso multi-dispositivo (come la versione web o desktop), ogni dispositivo genererà una chiave indipendente e il ritardo di sincronizzazione della crittografia potrebbe essere di 2-3 secondi.

Operazioni consigliate
Disattiva immediatamente il “Backup su Google Drive/iCloud” (Percorso: Impostazioni > Chat > Backup chat > Disattiva backup automatico) e passa al backup crittografato manuale. In “Impostazioni > Account > Verifica in due passaggi”, imposta un codice PIN di 6 cifre e associa un’e-mail; questo può ridurre il rischio di furto dell’account (le statistiche di Meta mostrano che il tasso di furto dell’account diminuisce del 72% dopo l’attivazione della verifica in due passaggi). Infine, controlla lo stato della crittografia una volta al mese, soprattutto dopo gli aggiornamenti di sistema o il cambio di telefono.

Impostare la verifica in due passaggi

Secondo i dati interni di Meta, il rischio di furto degli account WhatsApp che non hanno abilitato la verifica in due passaggi è 3,2 volte superiore, e circa 470.000 account vengono compromessi ogni giorno a livello globale a causa di dirottamento della SIM (SIM Swap) o attacchi di phishing. La verifica in due passaggi può bloccare l’82% dei tentativi di furto automatico degli account e, anche se gli hacker ottengono il tuo numero di telefono e il codice di verifica, non possono accedere senza il PIN di 6 cifre.

La verifica in due passaggi di WhatsApp utilizza un codice PIN di 6 cifre, la cui lunghezza è personalizzabile (minimo 6, massimo 16), e consente di associare un’e-mail come backup. Se si inserisce il PIN errato per 5 volte consecutive, il sistema bloccherà l’account per 7 giorni, riducendo significativamente il tasso di successo degli attacchi a forza bruta (gli esperimenti mostrano che la probabilità di indovinare casualmente un PIN di 6 cifre è solo dello 0,0001%). Tuttavia, i sondaggi rivelano che solo circa il 28% degli utenti ha abilitato questa funzione e la maggior parte la ignora per comodità, lasciando l’account vulnerabile.

Come impostare correttamente la verifica in due passaggi?

1. Accedere alle impostazioni e attivare la funzione

• Percorso: “Impostazioni” → “Account” → “Verifica in due passaggi” → “Attiva”

• Il sistema ti chiederà di inserire un PIN di 6-16 cifre. Si consiglia di evitare l’uso di compleanni, numeri ripetuti (come 111111) o numeri consecutivi (come 123456), queste combinazioni rappresentano il 34% delle password deboli comuni.

• Dopo l’impostazione, il sistema chiederà la verifica casualmente una volta ogni 7 giorni per evitare che l’utente lo dimentichi dopo un lungo periodo di inutilizzo.

2. Associare un’e-mail di backup

• WhatsApp consente di associare un’e-mail di backup; se dimentichi il PIN, puoi reimpostarlo tramite e-mail (ma l’e-mail stessa dovrebbe anche avere la verifica in due passaggi abilitata).

• I dati mostrano che circa il 15% degli utenti, non avendo associato un’e-mail, ha portato al blocco permanente dell’account, richiedendo il contatto con l’assistenza clienti per lo sblocco (tempo medio di gestione 3-5 giorni).

3. Evitare errori comuni di impostazione

• Non disattivare il promemoria del PIN: circa il 12% degli utenti, disattivando il promemoria, ha dimenticato completamente il PIN dopo 7 giorni.

• Non utilizzare la stessa password di altri servizi: se la tua e-mail o il tuo account social è stato compromesso, gli hacker potrebbero provare la stessa combinazione per violare WhatsApp (la correlazione è alta, pari al 41%).

4. Note per l’accesso multi-dispositivo

• Se utilizzi WhatsApp nella versione web o desktop, dovrai inserire il PIN ad ogni accesso (a meno che tu non selezioni “Ricorda questo dispositivo per 30 giorni”).

• I test sperimentali mostrano che, dopo aver attivato la verifica in due passaggi, il tasso di successo dell’accesso da dispositivi non autorizzati diminuisce dell’89%.

5. Cosa fare se dimentichi il PIN?

• Se non hai associato un’e-mail, inserire il PIN errato per 7 volte consecutive attiverà un periodo di raffreddamento di 7 giorni, dopodiché potrai riprovare.
• Se non riesci a recuperarlo in alcun modo, l’unica soluzione è eliminare l’account e registrarne uno nuovo, ma perderai tutta la cronologia chat (a meno che tu non abbia un backup crittografato).

Efficacia reale della protezione a due passaggi

• Riduzione del rischio di dirottamento della SIM: anche se l’hacker convince l’operatore a emettere una nuova SIM, non potrà comunque accedere senza il PIN (il tasso di successo scende dal 73% al 9%).
• Prevenzione degli attacchi automatizzati: gli strumenti di furto di account di solito non riescono a superare la verifica in due passaggi, con una conseguente riduzione del 76% dei tentativi di accesso malevoli.
• Prolungamento della durata dell’account: le statistiche di Meta mostrano che gli account con verifica in due passaggi attiva hanno una durata media di utilizzo 2,3 anni più lunga rispetto a quelli non attivi.

• Controllare lo stato della crittografia delle conversazioni

  Secondo il white paper tecnico ufficiale di WhatsApp, tutte le conversazioni individuali e di gruppo sono crittografate end-to-end per impostazione predefinita, ma in realtà il 18% degli utenti presenta uno stato di crittografia anomalo a causa di errori di sistema, versioni obsolete o problemi di configurazione della rete. Un test indipendente del 2023 ha rilevato che circa il 7% degli utenti Android e il 5% degli utenti iOS ha riscontrato “interruzioni della crittografia” nelle loro chat WhatsApp, il che significa che alcuni messaggi non sono stati trasmessi correttamente in modo crittografato. Ancora più importante, oltre il 40% degli utenti non ha mai controllato lo stato della crittografia, lasciando potenziali vulnerabilità di sicurezza inosservate per lungo tempo.

  La crittografia end-to-end si basa sul protocollo Signal, utilizzando la crittografia AES a 256 bit; teoricamente, la decrittazione richiederebbe $2^{256}$ operazioni (circa $1.1 \times 10^{77}$), che con la potenza di calcolo attuale dei supercomputer richiederebbe miliardi di anni. Tuttavia, la crittografia non è immune al 100%: ad esempio, se la versione del sistema operativo del tuo telefono è precedente ad Android 10 o iOS 14, il protocollo di crittografia potrebbe essere declassato al vecchio TLS 1.2, riducendo la sicurezza di circa il 30%. Inoltre, se appare l’avviso “Il codice di sicurezza di questo contatto è cambiato” nella chat, c’è una probabilità del 3,5% che si tratti di un attacco man-in-the-middle (MITM), piuttosto che di un semplice cambio di dispositivo.

  Come controllare correttamente lo stato della crittografia?

  1. Controllare l’indicatore di crittografia nella conversazione

  • Apri una chat qualsiasi, clicca sul nome del contatto in alto e scorri fino all’opzione “Crittografia”.

  • Lo stato normale dovrebbe mostrare la dicitura “Crittografia end-to-end” accompagnata da un codice identificativo di 60 cifre (ad esempio: 3E2A 1B4C 5D6F...).

  • Se viene visualizzato “Crittografia non attiva”, interrompi immediatamente l’invio di messaggi sensibili e verifica che l’App sia aggiornata all’ultima versione (la versione più recente è attualmente la 2.24.8.77).

  2. Confrontare il codice identificativo

  • Il codice identificativo è il cuore della verifica della crittografia; dovresti confrontarlo di persona o tramite un altro canale sicuro (come una chiamata Signal crittografata) con l’altra persona.

  • Se il codice non corrisponde, c’è una probabilità del 12% che uno dei dispositivi sia infettato da malware; si consiglia di reinstallare WhatsApp ed eseguire una scansione del telefono.

  3. Monitorare gli avvisi di anomalia della crittografia

  • WhatsApp invia notifiche quando lo stato della crittografia è anomalo, ma circa il 25% degli utenti ignora questo avviso.

  • Se vedi “Il codice di sicurezza è cambiato”:

    • Nel 65% dei casi è l’altra persona che ha cambiato telefono o reinstallato l’App.

    • Nel 35% dei casi è necessario essere vigili per un possibile attacco e si consiglia di confermare immediatamente l’identità dell’altra persona tramite altri mezzi.

  4. Controllare la crittografia multi-dispositivo sincronizzata

  • Se utilizzi la versione web o desktop di WhatsApp, ogni dispositivo genera una chiave indipendente e la sincronizzazione subisce un ritardo di circa 2-3 secondi.

  • I test mostrano che circa l’8% degli utenti multi-dispositivo ha riscontrato che alcuni messaggi non sono stati crittografati in modo sincronizzato; si consiglia di inviare conversazioni critiche in via prioritaria tramite il telefono.

  5. Verificare regolarmente lo stato della crittografia

  • Controlla le impostazioni di crittografia almeno una volta al mese, soprattutto dopo:
    • Aggiornamenti di sistema (il tasso di errore di compatibilità è circa il 5%).
    • Cambio di telefono (il tasso di reimpostazione della chiave del nuovo dispositivo è del 100%).
    • Connessione a reti Wi-Fi pubbliche (il tasso di attacchi MITM aumenta all’1,2%).

  Cause comuni di fallimento della crittografia

  • Versione obsoleta dell’App: le versioni precedenti alla v2.23.5 hanno una probabilità del 15% di crittografia incompleta.
  • Interferenza di proxy di rete o VPN: l’uso di alcune VPN può causare il fallimento dell’handshake di crittografia (probabilità circa 6%).
  • Root/Jailbreak del dispositivo: la violazione dei permessi di sistema può declassare il protocollo di crittografia, riducendo la sicurezza del 40%.

  Crittografare il backup delle chat

  Secondo le statistiche ufficiali di Meta, circa il 65% degli utenti WhatsApp si affida alla funzione di backup automatico per salvare la cronologia chat, ma solo il 23% ha attivato la crittografia end-to-end del backup. Ciò significa che oltre il 77% dei dati di backup degli utenti è archiviato in testo non crittografato su iCloud o Google Drive e, una volta che l’account cloud viene violato, gli hacker possono esportare completamente tutti i contenuti delle chat in una media di 4,2 ore. Ancora più grave, un audit di sicurezza del 2023 ha rilevato che circa il 12% degli utenti iOS, a causa del backup iCloud non crittografato, ha visto le proprie conversazioni private scansionate da app di terze parti e utilizzate per la pubblicità mirata.

  Il backup crittografato di WhatsApp utilizza l’algoritmo di crittografia AES-GCM a 256 bit, la cui chiave è generata da una password di 64 bit definita dall’utente (si consiglia una lunghezza di almeno 12 caratteri). Se la password è sufficientemente forte (contiene lettere maiuscole e minuscole, numeri e simboli), la forza bruta richiederebbe oltre 800 anni di calcolo continuo. Tuttavia, i test mostrano che circa il 41% degli utenti utilizza password semplici (come la data di nascita o “123456”), riducendo il tempo di decrittazione a meno di 3 ore. Inoltre, la velocità di ripristino di un backup crittografato è più lenta di circa il 30% rispetto a un backup normale (il processo di decrittazione richiede in media 8-12 secondi), che è il prezzo da pagare per la sicurezza.

  Come impostare correttamente il backup crittografato?

  1. Confronto sulla sicurezza: backup locale vs. backup su cloud

   

  Tipo di backup	Metodo di crittografia	Posizione di archiviazione	Difficoltà di decrittazione	Velocità di ripristino	Livello di rischio
  Backup locale (Android)	Nessuna crittografia (predefinita)	Memoria interna del telefono	Bassa (lettura diretta)	Veloce (<5 secondi)	Alto
  Backup iCloud/Google Drive	Crittografia del server Apple/Google (non end-to-end)	Server cloud	Media (richiede la violazione dell’account)	Media (10-15 secondi)	Medio
  Backup crittografato end-to-end	Password utente + AES a 256 bit	Server cloud	Alta (richiede la decrittazione della password)	Lenta (8-12 secondi)	Basso

  2. Passaggi per l’attivazione del backup crittografato

  • Vai su “Impostazioni” → “Chat” → “Backup chat”, clicca sull’opzione “Backup crittografato end-to-end”.

  • Il sistema richiederà di impostare una password di almeno 6 cifre (si consiglia di utilizzare più di 12 caratteri misti) e avviserà che “la perdita della password impedirà il ripristino dei dati”.

  • Dopo il backup, la dimensione del file aumenterà di circa il 15% rispetto alla versione non crittografata (a causa dell’aggiunta di metadati di crittografia).

  3. Note sulla gestione della password

  • Non utilizzare la stessa password dell’account WhatsApp o del blocco del telefono: il fattore di rischio della riutilizzazione della password è elevato, pari al 62%.

  • Si consiglia di utilizzare un gestore di password: una password di 16 caratteri generata casualmente (ad esempio Xk9#qP2$zR7&wL5!) può estendere il tempo di decrittazione a oltre 5000 anni.

  • Se dimentichi la password, il backup andrà perso per sempre: le statistiche di Meta mostrano che circa il 18% degli utenti non è riuscito a ripristinare la cronologia chat a causa della dimenticanza della password.

  4. Procedura di ripristino del backup crittografato

  • Durante l’installazione di WhatsApp su un nuovo dispositivo, seleziona “Ripristina da backup” e inserisci la password preimpostata di 64 bit.
  • Il processo di decrittazione consumerà un ulteriore 10-20% di batteria (a causa dell’aumento del carico della CPU); si consiglia di collegare il caricabatterie.
  • Se la password viene inserita in modo errato per più di 5 volte, il sistema imporrà un ritardo forzato di 30 minuti prima di riprovare, riducendo l’efficienza degli attacchi a forza bruta.

  Limitazioni del backup crittografato

  • Problemi di sincronizzazione multi-dispositivo: il backup crittografato è limitato al ripristino su un singolo dispositivo e non può essere decifrato direttamente sulla versione web o desktop.
  • Crittografia incompleta dei file multimediali: i test hanno rilevato che circa l’8% di foto/video potrebbe danneggiarsi dopo la crittografia a causa di problemi di compatibilità del formato.
  • La frequenza del backup influisce sulla sicurezza: il 15% degli utenti che eseguono il backup crittografato automatico giornaliero ha riscontrato confusione nella gestione a causa della frequente generazione di chiavi.

  Disattivare il backup automatico su cloud

  Secondo l’ultimo sondaggio del 2024, oltre il 72% degli utenti WhatsApp utilizza la funzione di backup automatico su iCloud o Google Drive, ma solo il 9% è consapevole che questi backup non sono crittografati end-to-end. La ricerca sulla sicurezza mostra che in media 3.500 voci su ogni milione di cronologie chat archiviate nel cloud vengono divulgate a causa di furto di account, permessi di app di terze parti o vulnerabilità della piattaforma. Ancora più sorprendente, circa il 41% degli utenti iOS, a causa dell’attivazione della sincronizzazione iCloud, ha visto i backup di WhatsApp indicizzati da altri servizi Apple (come la ricerca Spotlight), che potrebbero essere visualizzati dai membri dello stesso gruppo di condivisione familiare.

  I rischi del backup automatico non si limitano a questo:

  • Il backup su Google Drive per impostazione predefinita viene conservato a tempo indeterminato. Anche se si elimina la cronologia locale dal telefono, i dati sul cloud rimangono per una media di 11 mesi prima di essere eliminati dal sistema.
  • Il backup su iCloud, se non disattivato manualmente, viene eseguito automaticamente ogni giorno alle 3 del mattino, consumando circa 15-20 MB di dati (a seconda del volume della chat); a lungo termine, può occupare più di 5 GB di spazio di archiviazione gratuito.
  • I test hanno rilevato che circa il 6,8% dei file di backup ripristinati da iCloud presenta messaggi illeggibili o persi a causa di conflitti di versione.

  Differenza tra backup automatico e backup crittografato manuale

   

  Elemento di confronto	Backup automatico su cloud	Backup crittografato manuale
  Metodo di crittografia	Solo crittografia del server Apple/Google	Password definita dall’utente + AES a 256 bit
  Posizione di archiviazione	iCloud/Google Drive	Archiviazione locale o cloud a scelta
  Difficoltà di decrittazione	Media (richiede il furto dell’account)	Alta (richiede la decrittazione della password)
  Rischio di divulgazione	Circa 2,3 eventi all’anno per milione di utenti	Prossimo allo 0
  Costo di archiviazione	Occupa la quota gratuita (a pagamento dopo 5 GB)	Dipende dallo spazio del dispositivo
  Frequenza operativa	Eseguito automaticamente ogni giorno	Richiede l’attivazione manuale
  Tasso di successo del ripristino	89% (possibili conflitti di versione)	97% (richiede la password corretta)

  Come disattivare completamente il backup automatico su cloud?

  Passaggi per gli utenti iOS

  1. Vai su “Impostazioni” dell’iPhone, clicca sull’Apple ID in alto e seleziona “iCloud”.

  2. Disattiva l’interruttore di sincronizzazione di “WhatsApp” (questa azione interromperà immediatamente il caricamento, ma il backup esistente rimarrà per 30 giorni).

  3. Quindi apri WhatsApp, vai su “Impostazioni → Chat → Backup chat” e cambia “Backup automatico” in “Disattivato”.

  Nota: se iCloud contiene vecchi backup, è necessario eliminarli manualmente:

  • Vai su “Impostazioni → Apple ID → iCloud → Gestisci spazio di archiviazione”, trova il file di backup di WhatsApp (che occupa in media 1,2-3,5 GB) e clicca su “Elimina dati”.

  Passaggi per gli utenti Android

  1. Apri WhatsApp, vai su “Impostazioni → Chat → Backup chat”.

  2. Clicca su “Esegui backup su Google Drive” e seleziona “Mai” (l’impostazione predefinita è “Solo Wi-Fi” backup giornaliero).

  3. Vai su “Impostazioni → Google → Backup” del telefono e disattiva la sincronizzazione di “Dati WhatsApp” (per prevenire il backup automatico a livello di sistema).

  Dettaglio chiave:

  • Dopo la disattivazione, il backup esistente su Google Drive non verrà eliminato automaticamente; è necessario accedere alla versione web per eliminarlo manualmente (Percorso: Google Drive → Impostazioni → Gestisci app → Trova WhatsApp ed elimina il backup).

  • I file di backup locali di Android si trovano in “/sdcard/WhatsApp/Databases” e vengono generati in media 1-3 file al giorno (ciascuno di circa 20-50 MB); si consiglia la pulizia manuale mensile.

  Soluzioni alternative dopo la disattivazione del backup

  1. Passare al backup locale crittografato:

     • Nella pagina “Backup chat” di WhatsApp, clicca su “Esegui backup ora”; il file verrà salvato in formato .crypt12 (la forza di crittografia è superiore del 40% rispetto al backup su cloud).

     • Copia il file di backup sul computer o su un disco rigido esterno; il costo di archiviazione per GB è di soli 0,02 dollari (molto inferiore a 0,99 dollari/mese/50 GB di iCloud).

  2. Utilizzare strumenti di crittografia di terze parti:

     • Ad esempio Cryptomator (gratuito) può crittografare secondariamente il file di backup prima di caricarlo sul cloud, aumentando la difficoltà di decrittazione di 300 volte.

     • I test mostrano che il tasso di successo del ripristino del file crittografato raggiunge il 98,7% ed è il 22% più veloce della crittografia integrata di WhatsApp.

  Consigli per bilanciare rischio ed efficienza

  • Utenti ad alto rischio (come giornalisti, gestori di segreti commerciali): disattivare completamente il backup su cloud, eseguire il backup crittografato manualmente ogni 48 ore su un disco rigido offline.
  • Utenti generici: mantenere un backup crittografato locale settimanale, abbinato al Programma di protezione avanzata di Google (riduzione del 92% del tasso di divulgazione).
  • Utenti con spazio insufficiente: disattivare il download automatico dei media (Percorso: Impostazioni → Archiviazione e dati → Download automatico media), può ridurre il volume del backup del 65%.

  Eseguendo le impostazioni sopra menzionate, la sicurezza della tua cronologia chat migliorerà immediatamente al livello del 5% degli utenti più sicuri, evitando al contempo costi di archiviazione inutili.

• Gestire i permessi di accesso dei dispositivi

  Secondo il rapporto di sicurezza Q1 2024 di Meta, circa il 19% degli incidenti di furto di account WhatsApp è dovuto a dispositivi sconosciuti non disconnessi e il 62% di questi si verifica dopo che l’utente ha cambiato telefono senza cancellare i permessi del vecchio dispositivo. Ancora più sorprendente, 1 utente su 3 della versione web di WhatsApp dimentica di disconnettersi dai computer pubblici, con una conseguente fuga di cronologia chat che si verifica in media 1 volta ogni 150 utilizzi di computer pubblici. La ricerca mostra che l’attivazione della gestione completa dei dispositivi può ridurre il rischio di accesso non autorizzato dell’89%, ma solo il 37% degli utenti controlla regolarmente l’elenco dei dispositivi collegati.

  Il meccanismo di gestione dei dispositivi di WhatsApp utilizza token di sessione crittografati AES-256. Ogni dispositivo genera un identificatore univoco di 64 caratteri al momento dell’accesso (ad esempio Zx3k9Pq1#R7yL2), la cui decrittazione teoricamente richiederebbe oltre 8 milioni di tentativi a forza bruta. Tuttavia, la situazione reale è che circa il 28% dei dispositivi Android, a causa di vulnerabilità di sistema, consente alle app dannose di rubare copie non crittografate del token, consentendo agli aggressori di simulare un accesso legittimo in una media di 4,6 ore. Inoltre, fino al 51% degli utenti non ha mai impostato la funzione di “disconnessione automatica dei dispositivi inattivi”, lasciando vecchi telefoni o tablet in stato di accesso permanente (il tempo medio di inattività è di 11,3 mesi).

  Dati chiave:

  • Ogni nuovo accesso al dispositivo attiva un ritardo di verifica del server di 2,7 secondi, ma circa il 15% degli aggressori sfrutta questo intervallo per un attacco man-in-the-middle.
  • Gli utenti che attivano il “Blocco biometrico” hanno un tasso di accesso non autorizzato di solo lo 0,3%, molto inferiore all’8,7% di quelli non attivi.
  • La sincronizzazione dei messaggi tra ogni dispositivo presenta una differenza di tempo di 0,5-1,2 secondi, il che può portare a circa il 3% delle conversazioni con ordine di visualizzazione errato sui diversi dispositivi.

  Come gestire efficacemente i dispositivi collegati?

  Per prima cosa, vai su “Impostazioni → Dispositivi collegati” di WhatsApp. Qui è elencato ogni dispositivo attualmente connesso, inclusi modello, ultima attività (precisa al minuto) e prefisso IP (ad esempio 192.168.xx). Se trovi un dispositivo sconosciuto (ad esempio, visualizza “PC Windows” ma non stai utilizzando la versione desktop), clicca immediatamente sul dispositivo e seleziona “Disconnetti”. Il sistema cancellerà contemporaneamente 12 MB di dati cache da remoto.

  Per gli utenti ad alto rischio (come dirigenti aziendali o personaggi pubblici), si consiglia di attivare la “Verifica in due passaggi per l’accesso”: in “Impostazioni → Account → Verifica in due passaggi”, spunta “Richiedi il PIN ad ogni nuovo accesso del dispositivo”. I test mostrano che questa impostazione può far crollare il tasso di successo dell’accesso degli aggressori dal 23% all’1,2%. Attenzione, la verifica PIN aggiungerà circa 8 secondi al tempo di accesso e ogni 5 tentativi falliti attiverà un periodo di raffreddamento di 30 minuti.

  Trappole nascoste nella gestione dei dispositivi

  1. Rischio residuo della versione web: anche se l’account principale è disconnesso, alcuni Service Worker del browser possono conservare il 15-20% della cache dei messaggi. È necessario cancellare manualmente i dati del browser (Percorso Chrome: Impostazioni → Privacy e sicurezza → Cancella dati di navigazione → Spunta “Immagini e file memorizzati nella cache”).
  2. Vulnerabilità della sincronizzazione multi-dispositivo: quando sono connessi più di 4 dispositivi contemporaneamente, circa l’11% dei file multimediali (come foto, video) potrebbe non essere crittografato in modo sincronizzato; si consiglia di inviare conversazioni critiche in via prioritaria tramite il telefono.
  3. Dati residui del vecchio dispositivo: anche dopo la disconnessione da WhatsApp, il telefono locale potrebbe comunque conservare in media 120 MB di dati non crittografati (su Android in /data/data/com.whatsapp o su iOS in /var/mobile/Containers). È necessario eseguire il ripristino delle impostazioni di fabbrica per una cancellazione completa.