Ho cliccato anche io: anatomia giuridica della “truffa della ballerina” su Whatsapp

Qualche giorno fa ricevo su WhatsApp un messaggio proveniente da un contatto perfettamente noto, salvato in rubrica, con cui avevo interagito più volte nel tempo. Il testo è semplice, quasi affettuoso: si chiede di votare una giovane ballerina per un concorso di danza, allegando un link e un’immagine. Nessuna richiesta di denaro, nessuna promessa di premio, nessun tono allarmistico.
Clicco. La pagina si apre, la grafica è essenziale ma plausibile, l’azione richiesta è minima: un voto. Lo esprimo. Subito dopo, compare la richiesta di inserire il numero di telefono; segue l’invio di un codice via SMS che, secondo la schermata, dovrebbe servire per confermare l’operazione.
È in quel momento che l’apparente innocuità del gesto si incrina. Il codice ricevuto non è funzionale a un voto, bensì all’attivazione dell’account WhatsApp su un altro dispositivo. Interrompo la procedura, elimino il messaggio, avverto il mittente — che nel frattempo aveva già perso il controllo del proprio account — e mi fermo a riflettere.
La dinamica appena descritta consente di comprendere con chiarezza che la cosiddetta “truffa della ballerina” non è una catena di Sant’Antonio digitale, ossia un meccanismo di diffusione virale privo di reale offensività, ma uno schema di social engineering strutturato per conseguire l’appropriazione dell’account della vittima e sfruttarne la rete relazionale. Per l’approfondimento, si consiglia il volume Il Cyberbullismo e i reati dell’era digitale, con cui si inquadra il contesto normativo nazionale ed europeo, disponibile su Shop Maggioli e su Amazon, e il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon.

1. Struttura tecnica della condotta fraudolenta

Il meccanismo si articola in più fasi, ciascuna delle quali è funzionale alla successiva.
In primo luogo, il messaggio viene inoltrato da un account già compromesso, il che consente ai truffatori di presentarsi attraverso un’identità credibile e di sfruttare il capitale fiduciario accumulato dal legittimo titolare del profilo. In secondo luogo, la richiesta non appare economicamente rilevante, poiché non viene domandato denaro né vengono prospettati vantaggi patrimoniali immediati; si tratta, apparentemente, di un favore. Infine, l’inserimento del numero di telefono e del codice OTP consente l’attivazione dell’account WhatsApp su un dispositivo controllato dall’autore della frode.
L’elemento determinante è proprio l’OTP (one time password), ossia il codice temporaneo che il sistema invia via SMS per verificare l’identità del titolare nel momento in cui si tenta di registrare l’account su un nuovo terminale. Inserire quel codice nella pagina indicata equivale, sul piano tecnico, a legittimare l’accesso al proprio profilo da parte di un soggetto terzo.
Una volta acquisito il controllo dell’account, il truffatore procede a replicare il medesimo schema con tutti i contatti della vittima, generando un effetto moltiplicatore che rafforza ulteriormente la credibilità dell’operazione. Per l’approfondimento, si consiglia il volume Il Cyberbullismo e i reati dell’era digitale, con cui si inquadra il contesto normativo nazionale ed europeo, disponibile su Shop Maggioli e su Amazon, e il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon.

2. Inquadramento giuridico: tra truffa, accesso abusivo e sostituzione di persona

Dal punto di vista penalistico, la condotta può integrare, a seconda degli esiti, diverse fattispecie di reato.
Qualora l’operazione si traduca in un danno patrimoniale, diretto o indiretto, si configura la truffa ai sensi dell’art. 640 c.p., in quanto l’autore, mediante artifici e raggiri, induce la vittima in errore al fine di conseguire un ingiusto profitto. L’artificio consiste nell’allestimento di una falsa procedura di voto; il raggiro si realizza attraverso la simulazione di un concorso inesistente e lo sfruttamento della fiducia derivante dal mittente apparente.
A ciò si aggiunge il possibile accesso abusivo a sistema informatico ex art. 615-ter c.p., giacché l’ottenimento del codice OTP consente l’introduzione non autorizzata in un sistema informatico protetto da misure di sicurezza.
Non può escludersi, inoltre, la configurabilità della sostituzione di persona ex art. 494 c.p., qualora l’autore utilizzi l’account sottratto per interagire con terzi fingendosi il legittimo titolare, nonché ulteriori ipotesi delittuose nel caso in cui vengano richiesti o ottenuti pagamenti dai contatti.
La pluralità delle fattispecie astrattamente applicabili dimostra come non si sia di fronte a un fenomeno marginale, bensì a una condotta idonea a incidere su più beni giuridici: patrimonio, riservatezza, identità personale.

3. I profili di rischio per professionisti e imprese

La gravità dell’episodio assume una dimensione ulteriore quando l’account compromesso sia utilizzato per finalità professionali o aziendali.
Nel caso di WhatsApp Business, l’accesso non autorizzato può comportare la disponibilità, da parte del terzo, di dati personali relativi a clienti, fornitori, collaboratori. Qualora tali dati vengano esfiltrati o utilizzati impropriamente, si potrebbe configurare una violazione di dati personali ai sensi dell’art. 4, n. 12 del Regolamento (UE) 2016/679, con conseguente obbligo di notifica all’autorità di controllo ai sensi dell’art. 33 GDPR e, nei casi più gravi, di comunicazione agli interessati ex art. 34 GDPR.
Il titolare del trattamento sarebbe chiamato a dimostrare di aver adottato misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, ivi compresa l’attivazione di meccanismi di autenticazione rafforzata e la formazione del personale rispetto ai rischi di phishing e social engineering.
L’episodio, pertanto, non può essere derubricato a inconveniente personale, ma può assumere rilievo sotto il profilo della compliance e della responsabilità organizzativa.

4. Perché lo schema è efficace: automatismo e fiducia

La riuscita della truffa non dipende dalla complessità tecnologica dell’attacco, bensì dalla sua capacità di inserirsi nel flusso ordinario delle interazioni digitali, sfruttando due fattori decisivi.
Da un lato, la fiducia riposta nel mittente, il cui account è stato precedentemente compromesso; dall’altro, l’automatismo con cui rispondiamo a richieste che appaiono banali, soprattutto quando non implicano immediati esborsi economici.
La richiesta di un voto non genera allarme; l’inserimento del numero di telefono appare coerente con molte procedure online; l’OTP, infine, viene percepito come un passaggio tecnico ordinario. È proprio questa sequenza di micro-azioni apparentemente innocue a rendere efficace la condotta fraudolenta.

5. Vademecum operativo di autodifesa digitale

Alla luce di quanto esposto, alcune regole di condotta si impongono con evidenza.
Anzitutto, occorre evitare di inserire codici OTP su pagine web raggiunte tramite link ricevuti via messaggistica, ricordando che tali codici hanno la funzione di autenticare l’accesso a un servizio e non di confermare un voto o un sondaggio.
In secondo luogo, qualora un contatto invii un link inatteso o formulato in modo generico, è opportuno verificare l’autenticità della richiesta mediante un canale alternativo, ad esempio una telefonata diretta.
È altresì essenziale attivare la verifica in due passaggi nelle impostazioni di WhatsApp, introducendo un PIN aggiuntivo che renda più difficile l’attivazione dell’account su dispositivi non autorizzati.
In ambito professionale, infine, risulta imprescindibile includere il rischio di phishing e social engineering nei programmi di formazione interna e nelle valutazioni dei rischi relative alla sicurezza dei dati personali.

6. Conclusione

La cosiddetta “truffa della ballerina” non è una catena di Sant’Antonio digitale né un episodio folcloristico della comunicazione via chat; è, piuttosto, un meccanismo fraudolento costruito con precisione chirurgica per sfruttare la fiducia relazionale e l’automatismo che governa le nostre interazioni quotidiane. La sua forza non risiede nella sofisticazione tecnologica — che è, in realtà, minima — ma nella capacità di mimetizzarsi nella normalità, presentandosi come una richiesta plausibile proveniente da un contatto noto e accompagnata da un’azione percepita come innocua.
Il passaggio decisivo non è il click iniziale, bensì l’inserimento del codice OTP: quel codice non è un dettaglio tecnico accessorio, ma la chiave che consente l’attivazione dell’account su un altro dispositivo e, dunque, il trasferimento del controllo della propria identità digitale. Digitare quei sei numeri significa autorizzare qualcuno a comunicare a proprio nome, a interagire con la propria rete di relazioni, a sfruttare la fiducia costruita nel tempo.
Poiché l’identità digitale coincide ormai con una dimensione stabile della persona — professionale, economica, reputazionale — la perdita dell’account non si traduce in un semplice disservizio, ma può determinare conseguenze patrimoniali, danni di immagine e, ove siano coinvolti dati di clienti o collaboratori, anche profili di violazione della disciplina in materia di protezione dei dati personali.
La difesa non si esaurisce nell’adozione di strumenti tecnici, per quanto indispensabili; richiede, prima ancora, la capacità di interrompere l’automatismo, di sospendere la reazione immediata, di riconoscere che la vera vulnerabilità non è il dispositivo, ma la fretta. Talvolta la distanza tra un episodio curioso e un danno concreto si misura in pochi secondi di esitazione consapevole: è in quella frazione di tempo che si gioca, oggi, la tenuta della nostra identità digitale.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!