WhatsApp notifica 200 utenti che hanno installato un'app falsa creata dal produttore di spyware italiano SIO

      WhatsApp ha notificato circa 200 utenti, principalmente in Italia, che sono stati ingannati nell'installare una versione contraffatta dell'app di messaggistica che era in realtà spyware governativo. L'applicazione falsa è stata creata da SIO, un'azienda italiana di tecnologia di sorveglianza che sviluppa spyware per le forze dell'ordine e le agenzie di intelligence attraverso la sua controllata ASIGINT. WhatsApp ha dichiarato di aver identificato proattivamente gli utenti interessati, disconnessi dai loro account, avvertiti sui rischi per la privacy e invitati a eliminare il client falso e installare l'app ufficiale da una fonte affidabile. L'azienda ha detto a TechCrunch che prevede anche di inviare una richiesta legale formale a SIO per fermare qualsiasi attività malevola legata alla campagna.

      La divulgazione, riportata per la prima volta dal quotidiano italiano La Repubblica e dall'agenzia di stampa ANSA, segna la seconda volta in poco più di un anno che WhatsApp ha nominato pubblicamente un fornitore di spyware che opera contro i suoi utenti in Italia. All'inizio del 2025, WhatsApp ha avvisato circa 90 utenti, tra cui giornalisti e attivisti pro-immigrazione, che erano stati presi di mira da Paragon Solutions, un'azienda di sorveglianza statunitense-israeliana il cui prodotto di punta, Graphite, è stato utilizzato dai servizi di intelligence interni ed esteri italiani. Quella rivelazione ha innescato una crisi politica a Roma. Il comitato parlamentare di vigilanza sui servizi di intelligence italiani, COPASIR, ha confermato l'uso di Graphite e ha scoperto che sette italiani erano stati presi di mira. Paragon ha successivamente interrotto i legami con le agenzie di spionaggio italiane dopo che il governo ha rifiutato di verificare se lo spyware fosse stato utilizzato contro un giornalista specifico, Francesco Cancellato del sito di notizie Fanpage.

      Lo spyware di SIO opera attraverso un modello diverso. Il malware, identificato nel proprio codice come Spyrtacus, è incorporato in applicazioni false progettate per sembrare software legittimo. I ricercatori hanno trovato 13 campioni diversi di Spyrtacus risalenti al 2019, con il più recente della fine del 2024. Le versioni precedenti impersonavano app Android dei fornitori di telefonia mobile italiani TIM, Vodafone e WINDTRE, così come versioni false precedenti di WhatsApp stessa. TechCrunch ha esposto per la prima volta la campagna di distribuzione Android di SIO nel febbraio 2025. L'ultima operazione, che prende di mira gli iPhone, rappresenta un'espansione della tattica nell'ecosistema di Apple. Una volta installato, Spyrtacus può rubare messaggi di testo, cronologie delle chat e registri delle chiamate, oltre a registrare audio e video direttamente dal microfono e dalla fotocamera del dispositivo.

      Il meccanismo di consegna è rivelatore quanto il malware stesso. In Italia, le autorità ottengono regolarmente la cooperazione degli operatori mobili, che inviano link di phishing ai propri clienti per conto delle forze dell'ordine. L'obiettivo riceve quella che sembra essere una notifica di aggiornamento di routine dal proprio fornitore, invitandolo a installare quello che sembra un aggiornamento standard di WhatsApp. Il ministero della giustizia italiano ha mantenuto un listino prezzi e un catalogo che mostrano come le autorità possano costringere le compagnie telefoniche a inviare tali messaggi, un sistema che trasforma effettivamente la rete mobile stessa in un canale di distribuzione per gli strumenti di sorveglianza statale. Il costo per affittare spyware in Italia è notevolmente basso: alla fine del 2022, le forze dell'ordine potevano accedere a questi strumenti per soli 150 € al giorno, senza i grandi costi di acquisizione anticipati che limitano tipicamente il dispiegamento in altri paesi.

      La posizione dell'Italia come hub di spyware è insolita tra le democrazie occidentali. Aziende come Hacking Team, Cy4Gate, RCS Lab e Raxir sono state tutte basate nel paese, attratte da un quadro giuridico che fornisce una base statutaria formale per il “captatore informatico”, o software trojan autorizzato dallo stato. Fabio Pietrosanti, presidente del Hermes Center for Transparency and Digital Human Rights, ha dichiarato che lo spyware è impiegato più frequentemente in Italia che in qualsiasi altro luogo in Europa perché il basso costo e la regolamentazione permissiva lo rendono accessibile a una gamma molto più ampia di agenzie di forze dell'ordine rispetto ai paesi vicini. Il risultato è un ecosistema in cui le forze di polizia municipale, non solo le agenzie di intelligence nazionali, possono commissionare operazioni di sorveglianza contro gli individui.

      La portavoce di WhatsApp, Margarita Franklin, ha detto a TechCrunch che l'azienda non poteva ancora confermare se i 200 utenti interessati includessero giornalisti o membri della società civile. “La nostra priorità è stata proteggere gli utenti che potrebbero essere stati ingannati nel scaricare questa falsa app iOS,” ha detto. L'azienda non ha specificato se avesse riferito la questione ai pubblici ministeri italiani o a qualsiasi autorità di regolamentazione. Apple e SIO non hanno risposto alle richieste di commento.

      Il panorama legale attorno allo spyware commerciale è cambiato sostanzialmente nell'ultimo anno. Nel maggio 2025, una giuria della California ha ordinato al NSO Group, il produttore israeliano di Pegasus, di pagare a WhatsApp 167 milioni di dollari in danni punitivi dopo aver scoperto che aveva abilitato attacchi a circa 1.400 utenti attraverso attacchi zero-click. Un giudice federale ha successivamente ridotto il risarcimento a 4 milioni di dollari ma ha imposto un'ingiunzione permanente che vieta al NSO di prendere di mira l'infrastruttura di WhatsApp. Il NSO ha fatto appello. La società madre di WhatsApp, Meta, ha descritto il verdetto come un punto di riferimento, e da allora ha ampliato la sua strategia legale contro l'industria della sorveglianza più ampia. La richiesta legale formale che WhatsApp intende inviare a SIO segue lo stesso schema: utilizzare il contenzioso e la divulgazione pubblica come deterrenti contro le aziende che traggono profitto dal compromettere le piattaforme di messaggistica crittografata.

      La proliferazione di fornitori di spyware presenta una sfida che si estende ben oltre qualsiasi singola piattaforma. Apple ha inviato notifiche di minaccia di spyware mercenario a utenti in più di 150 paesi dal 2021, avvisando gli individui che crede siano stati presi di mira da attacchi sponsorizzati dallo stato. Nell'aprile 2025, Apple ha notificato al giornalista italiano Ciro Pellegrino, una delle vittime di Paragon, che era stato preso di mira. I sistemi di notifica gestiti da Apple e WhatsApp ora rappresentano il principale meccanismo attraverso il quale le vittime della sorveglianza governativa apprendono di essere state compromesse, una funzione che un tempo era dominio esclusivo dei ricercatori specialisti dell'industria della cybersecurity.

      Il mercato globale dell'intercettazione legale è stato valutato a 4 miliardi di dollari nel 2023 e si prevede che raggiunga i 15 miliardi di dollari entro il 2032, crescendo a un ritmo di circa il 16% all'anno. Questa crescita è guidata non dagli exploit zero-click in stile Pegasus che attirano le prime pagine, ma da strumenti di phishing a basso costo come quelli venduti da SIO. La barriera all'ingresso per la sorveglianza governativa è scesa al punto che un dipartimento di polizia locale in una città italiana di medie dimensioni può commissionare la stessa classe di dispiegamento di spyware che un tempo era riservata alle agenzie di intelligence nazionali. Il divario tra ambizione normativa e capacità di enforcement in Europa significa che i quadri giuridici che governano questi strumenti non hanno tenuto il passo con la velocità con cui vengono adottati.

      Ciò che rende il caso SIO distinto dallo scandalo Paragon è il metodo. Graphite di Paragon utilizzava exploit zero-click che non richiedevano alcuna azione da parte dell'obiettivo. Spyrtacus di SIO richiede che l'obiettivo installi un'applicazione falsa, un approccio di ingegneria sociale che si basa sulla fiducia nel fornitore e sulla familiarità con gli aggiornamenti di routine delle app. Il fatto che le telecomunicazioni italiane partecipino alla catena di consegna, inviando messaggi di phishing ai propri abbonati su richiesta