Approfondimenti

WhatsApp nasconde i numeri, ma indebolisce le verifiche

WhatsApp introduce gli username per 3 miliardi di utenti: meno numeri esposti, ma anche un segnale informale di verifica in meno contro frodi e impersonificazioni.

16 lug 2026 3 min lettura A cura di Redazione
WhatsApp nasconde i numeri, ma indebolisce le verifiche
Condividi

Da giugno 2026, WhatsApp consente ai suoi 3 miliardi di utenti di nascondere il numero di telefono ai nuovi contatti, sostituendolo con uno username scelto. La funzione riduce l’esposizione di un dato personale che finora la piattaforma mostrava per impostazione predefinita. È quindi coerente con il principio di minimizzazione dei dati previsto dal GDPR, ma modifica anche un’abitudine di verifica consolidata nelle comunicazioni private e professionali.

Per 17 anni, infatti, il numero WhatsApp ha rappresentato un segnale implicito di fiducia. Il collegamento con una SIM e, nella maggior parte degli Stati membri dell’Unione europea, con un’identità verificata secondo le regole locali di KYC, permetteva di confrontare il recapito di un interlocutore con quello già presente nei propri archivi. Non era un sistema di autenticazione progettato dalla piattaforma, ma veniva spesso utilizzato come canale di controllo esterno.

Lo username elimina questa associazione implicita. Un identificativo può essere registrato senza portare con sé lo stesso peso del numero telefonico, in modo simile a quanto avviene con un handle su Telegram. Ne deriva una combinazione difficile da classificare con gli strumenti tradizionali: il cambiamento è positivo sul piano della privacy e allineato al GDPR, ma può contemporaneamente indebolire alcune verifiche informali usate contro frodi e impersonificazioni.

Meno dati esposti possono significare anche meno segnali informali di fiducia

Le protezioni predisposte da WhatsApp intervengono soprattutto sulla possibilità di trovare gli account. Non esistono una directory pubblica o il completamento automatico degli username, mentre alcuni nomi sono riservati alle organizzazioni verificate. Queste misure limitano la scoperta casuale di profili falsi, ma non certificano automaticamente l’identità di un account che contatta direttamente una persona. È proprio questo il percorso tipico di molte operazioni di social engineering e compromissione delle comunicazioni aziendali.

Il problema entra anche nel perimetro della gestione del rischio. L’articolo 21 della NIS2 impone alle entità essenziali e importanti misure che comprendano i rischi legati alle persone e alla catena di fornitura, non soltanto quelli infrastrutturali. Se una piattaforma utilizzata da una parte consistente della forza lavoro europea cambia il proprio modello di identificazione, le procedure aziendali dovrebbero essere rivalutate, anche quando la modifica avviene fuori dai sistemi dell’organizzazione e non produce segnalazioni negli scanner di vulnerabilità.

Lo username protegge la reperibilità, ma non certifica l’identità del contatto

Il governo dell’India ha già avviato una revisione formale della funzione per i rischi di impersonificazione e frode, adottando una prospettiva di tutela dei consumatori. Per le imprese europee, lo stesso nodo può emergere attraverso un tentativo di phishing o la falsa identità di un fornitore, soprattutto quando dipendenti e procedure continuano a presumere che il controllo del numero conservi il significato precedente.

La prima verifica riguarda i playbook di risposta agli incidenti e antifrode. Un’istruzione come “richiamare il numero per confermare” deve essere controllata su ogni canale in cui viene applicata. Anche la formazione sulla sicurezza dovrebbe includere i cambiamenti introdotti dalle piattaforme: riconoscere un messaggio sospetto non basta se un’abitudine di verifica utilizzata per anni può scomparire con un aggiornamento di prodotto passato inosservato.

Gli aggiornamenti delle piattaforme devono entrare stabilmente nei registri dei rischi

Le modifiche dei servizi di messaggistica possono quindi diventare una voce stabile del registro dei rischi NIS2, anziché restare semplici aggiornamenti di prodotto. L’architettura europea della privacy è costruita per ridurre l’esposizione dei dati, ma non dispone di un meccanismo altrettanto diretto per rilevare la perdita di segnali informali di fiducia. La domanda operativa si sposta così dalla sola conformità a ciò su cui l’organizzazione faceva affidamento e che, dopo l’aggiornamento, non è più vero.

Articoli Correlati