I nomi utente WhatsApp stanno per diventare realtà e già ora, prima ancora del debutto globale, mostrano un lato scomodo. Si tratta di identificativi pubblici pensati per farsi trovare e avviare una chat senza mostrare il numero di telefono. Comodo, senza dubbio. Ma proprio questa comodità apre la porta a truffe e profili falsi, e il tema merita attenzione perché tocca banche, aziende, personaggi noti e utenti comuni.
A fine giugno 2026 Meta ha attivato la possibilità di prenotare il proprio nome utente preferito. C’è il pulsante Crea nome utente, che consente una ricerca libera tra quelli ancora disponibili, e c’è anche l’opzione di riscattare l’username già usato su Instagram e Facebook, portandolo di fatto anche su WhatsApp. Fin qui tutto liscio. Il problema arriva quando si prova a capire chi può registrare cosa.
Nomi simili e identità famose, il vero punto debole
Basta qualche prova veloce con la funzione Crea nome utente per accorgersi di una cosa poco rassicurante. Diversi username somiglianti a nomi di politici, celebrità, imprenditori, aziende e istituzioni risultano tranquillamente prenotabili. A volte serve solo un suffisso, una parola come verified o real, una sigla, un punto messo al posto giusto. Piccole variazioni credibili, che a un utente distratto bastano e avanzano per abboccare al phishing.
Meta dice di tenere da parte alcuni nomi per personaggi pubblici, enti governativi e relative varianti, così che solo i titolari legittimi possano reclamarli. Ottimo proposito. Il nodo però riguarda la trasparenza del criterio. Quali varianti finiscono nella lista protetta? Quali restano libere? E le traslitterazioni, le abbreviazioni, i nomi locali, gli account fan, le parodie, le omonimie, i marchi con denominazioni vicine? Domande a cui, per ora, mancano risposte chiare.
Un sistema serio dovrebbe mettere insieme più livelli: blocco preventivo dei nomi ad alto rischio, verifica documentale per account istituzionali e finanziari, analisi dei pattern di registrazione, controlli contro il typosquatting, limiti ai cambi troppo frequenti di username e la possibilità di contestare in fretta. Senza tutto questo, il rischio è una corsa alla prenotazione in stile first come, first served, dove chi arriva prima si prende un vantaggio reputazionale anche se quel nome richiama qualcuno che non è davvero lui.
Gli username non certificano l’identità di nessuno
Ridurre l’esposizione del numero di telefono resta comunque una buona idea. Quel numero non serve solo per le chiamate. Spesso è la chiave per servizi bancari, account cloud, autenticazione a due fattori via SMS, recupero password, profili social e database commerciali. In certi scenari può favorire SIM swap, phishing mirato, molestie, doxxing e tentativi di furto degli account.
Gli username WhatsApp aiutano a non consegnare il numero a sconosciuti, però l’identità di chi scrive va sempre verificata. Se una banca, un corriere, un ente pubblico o un presunto conoscente contatta da un nome utente mai visto, non bisogna prenderlo per buono. Un username serve a raggiungere qualcuno, non a dimostrare chi sia.
WhatsApp sostiene di aver messo in campo più livelli di difesa contro gli abusi. Tra questi ci sono limiti al numero di persone nuove che un account può contattare e blocchi contro i tentativi ripetuti di indovinare i nomi utente. Se qualcuno prova migliaia di combinazioni o spara messaggi a sconosciuti in massa, la piattaforma può cogliere frequenza, fallimenti, somiglianze e anomalie.
Il guaio è che le truffe più efficaci non hanno bisogno di grandi numeri. Un attacco mirato a un imprenditore, un professionista, un funzionario parte anche da pochi messaggi molto curati. In quei casi servono segnali visibili: badge di verifica affidabili, avvisi sui primi contatti, alert quando un account ha cambiato nome da poco, indicatori per profili aziendali e istituzionali, canali chiari per segnalare le impersonificazioni.
Attenzione a Facebook e Instagram
C’è poi il fronte dell’integrazione con Facebook e Instagram. Meta permette a creator, aziende e organizzazioni di reclamare su WhatsApp lo stesso nome già usato altrove. Da un lato questo riduce i falsi profili che sfruttano identità note, dall’altro mostra quanto facilmente il gruppo possa collegare le identità tra i suoi servizi. La privacy verso gli sconosciuti migliora, mentre la concentrazione dell’identità dentro l’ecosistema Meta cresce.
Prima del lancio globale, WhatsApp dovrebbe spiegare meglio i criteri con cui protegge nomi di enti pubblici, banche, marchi, personaggi noti e organizzazioni sensibili. Non serve pubblicare ogni regola antifrode, perché certi dettagli finirebbero per aiutare gli attaccanti. Serve però una descrizione credibile del modello: quali categorie ricevono protezione preventiva, come funziona la verifica, quali varianti vengono bloccate, come si gestiscono i reclami e quanto tempo occorre per rimuovere un clone.
Un’altra mossa utile riguarda l’esperienza d’uso. Quando arriva un primo messaggio da un username, la piattaforma potrebbe mostrare un avviso più marcato rispetto a una chat normale. Qualcosa come “non hai mai interagito con questo account”, oppure “il numero non è visibile”, o ancora “verifica l’identità tramite un canale ufficiale”.