- Cosa è successo: il caso Asigint
- Un client dannoso, non una falla di WhatsApp
- Chi è Asigint e cosa produce
- La risposta di Meta: diffida e tutela degli utenti
- Il quadro più ampio: spyware e sorveglianza in Italia
- Domande frequenti
Cosa è successo: il caso Asigint
Circa 200 utenti italiani di WhatsApp si sono visti disconnettere l'account senza preavviso. Non un malfunzionamento tecnico, non un aggiornamento andato storto. Qualcosa di molto più inquietante: i loro dispositivi erano stati compromessi da una versione contraffatta dell'applicazione di messaggistica, progettata per sottrarre dati personali e comunicazioni private.
A sviluppare questo clone malevolo, stando a quanto emerge dalle indagini condotte internamente da WhatsApp, sarebbe stata Asigint, una società italiana appartenente al gruppo Sio Spa con sede a Cantù, in provincia di Como. L'azienda opera nel settore dei software di sorveglianza, un comparto che in Italia e nel mondo continua a sollevare interrogativi profondi sul confine tra sicurezza e diritto alla riservatezza.
WhatsApp ha confermato di aver identificato il problema e di aver proceduto alla disconnessione degli account coinvolti, avvisando contestualmente gli utenti dei rischi corsi in termini di privacy.
Un client dannoso, non una falla di WhatsApp
Un punto va chiarito subito, perché fa la differenza. Non si è trattato di una vulnerabilità interna a WhatsApp. Nessun bug nel codice, nessuna porta lasciata aperta per errore. Il meccanismo utilizzato era diverso e, per certi versi, più subdolo: Asigint avrebbe creato un client non ufficiale, cioè un'applicazione che si presentava come WhatsApp ma che in realtà funzionava come uno strumento di intercettazione.
Chi installava questa versione fasulla, convinto magari di aggiornare l'app o di utilizzare una variante con funzionalità aggiuntive, consegnava di fatto le proprie conversazioni, i propri contatti e potenzialmente molto altro nelle mani di chi aveva progettato il software spia.
È una tecnica che ricorda, pur con differenze tecniche significative, le dinamiche già emerse con altri spyware di livello professionale. Non è la prima volta che l'ecosistema WhatsApp finisce nel mirino di aziende che sviluppano strumenti di sorveglianza: basta pensare a quanto accaduto con Allerta in Italia: il pericolo dello spyware Graphite su WhatsApp, vicenda che ha messo in luce la pervasività di queste tecnologie anche sul territorio nazionale.
Chi è Asigint e cosa produce
Il nome Asigint non dice molto al grande pubblico, e non è un caso. Le aziende che operano nel settore dei software spia tendono a mantenere un profilo basso, rivolgendosi prevalentemente a clienti istituzionali: forze dell'ordine, servizi di intelligence, agenzie governative. Il gruppo Sio Spa, a cui Asigint appartiene, ha la propria sede operativa a Cantù, nel cuore della Brianza, e si muove in quel segmento di mercato che a livello internazionale viene definito lawful interception, l'intercettazione legale.
Il problema, però, è che la linea tra intercettazione legittima e sorveglianza abusiva si fa sempre più sottile. E quando un software spia viene distribuito attraverso un'app contraffatta che imita una piattaforma usata da oltre due miliardi di persone nel mondo, le domande sulla legittimità dell'operazione diventano inevitabili.
In Italia il settore è regolato, almeno in teoria, da un quadro normativo che disciplina l'uso dei cosiddetti captatori informatici (i trojan di Stato), introdotti nel processo penale con la riforma Orlando del 2017 e successivamente modificati dalla legge sulle intercettazioni del 2020. Ma ogni volta che emerge un caso come questo, il dibattito si riaccende: chi controlla i controllori? E soprattutto, chi autorizza l'uso di strumenti così invasivi?
La risposta di Meta: diffida e tutela degli utenti
Meta, la società madre di WhatsApp, non intende fermarsi alla semplice disconnessione degli account compromessi. Come sottolineato da fonti vicine al dossier, il colosso di Menlo Park sta preparando una diffida formale da inviare ad Asigint, con cui contestare la creazione e la distribuzione del client fraudolento.
Non sarebbe la prima volta che Meta ricorre alle vie legali per contrastare le aziende del settore spyware. Il precedente più noto resta la causa intentata contro NSO Group, la società israeliana produttrice di Pegasus, con cui WhatsApp è in contenzioso dal 2019. Quel caso ha creato un precedente importante, dimostrando che le Big Tech sono disposte a portare in tribunale chi sfrutta le loro piattaforme per attività di sorveglianza.
Gli utenti coinvolti hanno ricevuto una notifica da parte di WhatsApp in cui venivano informati dell'accaduto e invitati a:
- Verificare di aver scaricato l'app esclusivamente dagli store ufficiali (Google Play Store o Apple App Store)
- Controllare eventuali sessioni attive non riconosciute tramite la funzione "Dispositivi collegati"
- Aggiornare l'applicazione all'ultima versione disponibile
- Segnalare qualsiasi attività sospetta al supporto di WhatsApp
È un approccio che mette insieme tutela immediata e azione legale, un doppio binario che Meta sta affinando caso dopo caso. Del resto, le minacce alla sicurezza digitale non riguardano solo la messaggistica: anche i servizi cloud e le piattaforme di produttività sono costantemente sotto pressione, come dimostrano i recenti Guasti ai Servizi Microsoft: Interruzioni Globali e Malcontento degli Utenti.
Il quadro più ampio: spyware e sorveglianza in Italia
Il caso Asigint si inserisce in un contesto che, negli ultimi anni, ha visto l'Italia diventare protagonista suo malgrado del dibattito internazionale sullo spyware. Dal caso Hacking Team del 2015, la cui violazione rese pubblici i rapporti commerciali dell'azienda milanese con governi di mezzo mondo, fino alle più recenti polemiche sull'utilizzo di Pegasus e Graphite, il nostro Paese si trova al crocevia tra produzione tecnologica, utilizzo investigativo e rischio di abuso.
La vicenda solleva anche un tema politico che prima o poi il legislatore dovrà affrontare con maggiore decisione: quello della regolamentazione delle aziende italiane che producono e vendono strumenti di sorveglianza digitale. L'Unione Europea, con il regolamento sull'esportazione dei beni a duplice uso (dual use), ha tentato di porre dei paletti, ma l'applicazione resta frammentaria e le zone grigie abbondano.
Intanto, il fenomeno delle applicazioni contraffatte e degli strumenti di ingegneria sociale pensati per colpire utenti ignari non accenna a diminuire. Dalle Truffe Energetiche: Gli Hacker Usano il Nome di Musk per Ingannare gli Utenti ai cloni delle app di messaggistica, il filo conduttore è sempre lo stesso: sfruttare la fiducia degli utenti nei confronti di marchi e piattaforme conosciute.
Per i 200 utenti italiani coinvolti, la vicenda si chiude con uno spavento e, si spera, con la consapevolezza che scaricare applicazioni al di fuori dei canali ufficiali comporta rischi enormi. Per il sistema Paese, la questione resta aperta. E merita risposte che vadano oltre la singola diffida.
