Il tuo telefono può essere spiato anche se non fai nulla. Ecco cosa sta succedendo (e come proteggersi)
Sicurezza digitale | Tempo di lettura: 5 minuti
Immagina di ricevere una telefonata su WhatsApp. Non rispondi. La fai squillare e basta. Eppure, nel momento in cui quella chiamata è arrivata sul tuo telefono, qualcuno ha già avuto accesso ai tuoi messaggi, alla tua fotocamera, al tuo microfono, alla tua posizione GPS.
Fantascienza? No. È già successo a giornalisti, avvocati, attivisti, politici, in almeno 45 paesi nel mondo.
Si chiama attacco zero-click, ed è probabilmente la minaccia informatica più insidiosa degli ultimi anni. Non perché sia la più diffusa, ma perché è la più difficile da intuire: non richiede che tu interagisca o faccia nulla di sbagliato.
Come funziona, spiegato senza tecnicismi
Ogni app installata sul tuo telefono, per funzionare, deve ricevere dati e interpretarli. WhatsApp riceve una chiamata e deve capire chi chiama, che tipo di chiamata è, come mostrartela sullo schermo. Tutto questo avviene in automatico, in frazioni di secondo, prima ancora che tu veda la notifica.
È esattamente in quel momento che si nasconde la vulnerabilità.
Un attaccante può costruire una chiamata “avvelenata” – tecnicamente parlando, un pacchetto di dati malformato ad arte – che il telefono riceve e tenta di interpretare. Durante questa interpretazione automatica, il codice malevolo si esegue. Il gioco è fatto. Il telefono è compromesso. Tu non hai toccato niente.
La stessa logica si applica a iMessage, FaceTime, Telegram, e in teoria a qualsiasi app che elabora contenuti in automatico: immagini, video, file audio, anteprime di link.
Pegasus: quando questa tecnologia è diventata famosa
Nel 2019 è emerso pubblicamente il caso di Pegasus, uno spyware sviluppato da un’azienda israeliana chiamata NSO Group. Il funzionamento era esattamente quello descritto sopra: una chiamata WhatsApp era sufficiente per installare il software sul dispositivo della vittima, anche senza risposta.
Una volta installato, Pegasus poteva fare praticamente tutto: leggere messaggi (anche quelli cifrati), attivare il microfono in tempo reale, scattare foto, registrare chiamate, tracciare gli spostamenti.
Il costo stimato per ogni “operazione”? Centinaia di migliaia di euro. Il che spiega perché questo tipo di attacco sia stato usato principalmente contro bersagli molto specifici, non contro la popolazione generale.
Ma la storia di Pegasus ha aperto una domanda importante: se esiste uno strumento così sofisticato venduto ufficialmente a governi, quanti altri simili esistono nel mercato nero, a prezzi più accessibili?
Il vero problema: siamo sempre connessi, senza accorgercene
C’è una riflessione più ampia che spesso sfugge al dibattito tecnico.
Oggi i telefoni sono connessi a internet in modo permanente e automatico. Non è una scelta consapevole che facciamo ogni mattina – è uno stato di default. Il telefono è acceso, è connesso, le app lavorano in background, i dati entrano ed escono, e noi non lo sappiamo nemmeno.
Questa connessione perenne è comodissima. Ci permette di ricevere notifiche in tempo reale, di sincronizzare le foto nel cloud, di essere raggiungibili ovunque. Ma ha un costo in termini di sicurezza che raramente viene discusso: più sei connesso, più a lungo sei esposto.
Un attacco zero-click ha bisogno di raggiungerti. Se il telefono non è connesso, non può farlo. È una logica semplicissima che tendiamo a ignorare.
Cosa puoi fare concretamente
La buona notizia è che esistono difese efficaci, e molte di esse sono gratuite e richiedono solo qualche minuto di attenzione.
Le cose più importanti
- Aggiorna sempre, subito: la stragrande maggioranza degli attacchi sfrutta vulnerabilità già note e già corrette dai produttori. Chi non aggiorna il proprio dispositivo rimane esposto a rischi che potrebbero essere già stati risolti. Attiva gli aggiornamenti automatici, sia per il sistema operativo che per le singole app.
- Riavvia il telefono ogni giorno: sembra banale, ma molti software spia non sopravvivono a un riavvio perché vivono solo nella memoria temporanea del dispositivo. Un riavvio quotidiano non risolve tutto, ma riduce significativamente il tempo in cui un eventuale malware può operare.
- Disattiva il download automatico dei media: su WhatsApp, per esempio, puoi impostare che immagini, video e audio non vengano scaricati automaticamente. Se un file arriva, sei tu a decidere se aprirlo. Togli all’app il permesso di elaborare contenuti senza il tuo consenso.
- Silenzia le chiamate da sconosciuti: WhatsApp permette di silenziare automaticamente le chiamate provenienti da numeri non in rubrica. Riduci così, drasticamente la superficie di attacco via VoIP.
Una riflessione più profonda
Tratta la connessione come una scelta, non come uno stato permanente.
Spegni il WiFi e i dati mobili quando non ne hai bisogno. Di notte, per esempio, probabilmente non aspetti messaggi urgenti. Quelle ore di disconnessione sono ore in cui nessun dato arriva al telefono, e quindi ore in cui un attacco remoto è impossibile.
Non si tratta di diventare paranoici o di rinunciare alla tecnologia. Si tratta di prendere consapevolezza di qualcosa che è diventato invisibile: il fatto che il nostro dispositivo più personale sia perennemente aperto verso il mondo esterno.
Chi rischia davvero
Essere onesti su questo è importante, per non alimentare ansie inutili.
Gli attacchi zero-click più sofisticati – quelli che usano strumenti come Pegasus – sono estremamente costosi e vengono usati contro bersagli specifici: giornalisti che investigano su governi, avvocati di casi sensibili, politici dell’opposizione, attivisti per i diritti umani.
Per la persona comune, il rischio di essere colpita da uno zero-click di questo livello è molto basso.
Tuttavia, esistono versioni meno sofisticate e più economiche di attacchi simili che circolano nel mercato criminale. E soprattutto, le buone abitudini di sicurezza digitale – aggiornare, limitare gli automatismi, disconnettersi quando non serve – proteggono anche da una gamma molto più ampia di minacce quotidiane che invece colpiscono chiunque.
La regola che cambia tutto
- Pensa al telefono come a una porta di casa.
- Tenerlo sempre connesso, con tutte le app attive e tutti gli automatismi abilitati, equivale a lasciare la porta aperta ventiquattro ore su ventiquattro. Non necessariamente entrerà qualcuno. Ma il rischio è lì, costante.
- Ridurre gli automatismi, disconnettersi quando non serve, aggiornare regolarmente – significa semplicemente chiudere quella porta a chiave quando esci.
Non è paranoia. È igiene digitale. E come tutta l’igiene, funziona soprattutto quando diventa abitudine.
Hai trovato utile questo articolo? Condividilo con chi pensi che possa beneficiarne. La consapevolezza digitale è una responsabilità collettiva.