La piattaforma di messaggistica WhatsApp, utilizzata da oltre due miliardi di persone, continua a essere uno dei principali bersagli di attacchi mirati, attività di spionaggio digitale e campagne di malware distribuite via messaggio. In questo contesto si inserisce l’introduzione della nuova funzione denominata Strict Account, presentata come un ulteriore livello di protezione per gli utenti più esposti.
Secondo quanto comunicato da WhatsApp, la funzione punta a ridurre la superficie di attacco dell’account, in particolare nei confronti di contenuti provenienti da mittenti sconosciuti, una delle principali vie di ingresso per exploit e file malevoli nel mondo della messaggistica istantanea.
Cosa prevede la modalità Strict Account
La funzione Strict Account agisce su più livelli di protezione già noti nel panorama della sicurezza digitale. Tra le misure citate rientrano il blocco automatico di allegati e file multimediali inviati da contatti non presenti in rubrica e un rafforzamento dei controlli sugli accessi all’account. L’obiettivo dichiarato consiste nel limitare le interazioni non richieste, riducendo la possibilità che un messaggio apparentemente innocuo diventi il vettore di un attacco più sofisticato.
Alcuni degli strumenti richiamati non rappresentano una novità assoluta. La verifica in due passaggi, ad esempio, risulta già disponibile da tempo e costituisce uno degli elementi fondamentali per la protezione dell’account. La differenza, in questo caso, riguarda l’integrazione di tali misure in un profilo di sicurezza più rigido, pensato per scenari ad alto rischio.
Il tema degli attacchi zero-click
Uno degli aspetti più rilevanti riguarda la possibile efficacia della funzione Strict Account contro gli attacchi zero-click, ovvero tecniche che non richiedono alcuna interazione da parte della vittima. In passato, vulnerabilità di questo tipo hanno colpito diverse piattaforme di messaggistica, incluso WhatsApp, sfruttando componenti come la gestione dei media o le chiamate VoIP.
Maher Yamout, Lead Security Researcher del GReAT di Kaspersky, sottolinea che, almeno in teoria, un irrigidimento delle regole sugli allegati e sui contenuti in ingresso può contribuire a mitigare il rischio di attacchi mirati, soprattutto nei confronti di personaggi pubblici, giornalisti, attivisti e top manager, categorie che storicamente risultano più esposte a operazioni di sorveglianza digitale.
Allo stesso tempo, la reale efficacia dipenderà dall’implementazione concreta della funzione e dalla sua capacità di intervenire prima che il contenuto venga elaborato dai componenti interni dell’applicazione. Si tratta di un punto critico, già evidenziato in diverse analisi tecniche pubblicate negli anni da ricercatori indipendenti e team di sicurezza industriali.
Le posizioni di Meta e il contesto più ampio
La società madre Meta ha più volte ribadito il proprio impegno nel rafforzare la sicurezza di WhatsApp, soprattutto dopo i casi documentati di sfruttamento della piattaforma tramite spyware commerciali. Negli ultimi anni, l’azienda ha introdotto notifiche sugli accessi sospetti, crittografia end-to-end estesa ai backup opzionali e strumenti di verifica dell’integrità dell’account.
La funzione Strict Account si inserisce in questa strategia, ma non rappresenta una soluzione definitiva. Le stesse comunicazioni ufficiali e le analisi degli esperti concordano su un punto chiave: nessuna impostazione nativa può sostituire un approccio multilivello alla sicurezza.
Perché non basta una singola funzione
Anche in presenza di protezioni avanzate, resta fondamentale l’adozione di soluzioni di sicurezza dedicate, soprattutto su dispositivi utilizzati in ambito professionale o per attività sensibili. Applicazioni di messaggistica, per loro natura, operano su sistemi complessi e interconnessi, dove una vulnerabilità a livello di sistema operativo o di libreria può aggirare anche le difese più robuste.
Le migliori pratiche di cybersecurity restano quindi centrali: aggiornamenti costanti del sistema, attenzione alle autorizzazioni concesse alle app, separazione tra uso personale e lavorativo dei dispositivi e formazione continua degli utenti. La funzione Strict Account può rappresentare un tassello utile, ma va letta come parte di un ecosistema di difesa più ampio, non come una garanzia assoluta.
In questo scenario, l’evoluzione delle minacce e la crescente professionalizzazione degli attaccanti impongono un monitoraggio costante delle nuove funzionalità, con un’analisi critica che tenga conto non solo delle promesse, ma anche dei limiti tecnici e operativi di ciascuna misura introdotta.
