Hai ricevuto un messaggio WhatsApp da quello che sembra il profilo ufficiale della tua banca o di Poste Italiane. C'è il nome giusto, il logo giusto, il tono professionale. Ma basta questo per fidarsi? No. E in questa guida ti spieghiamo esattamente perché — e come controllare davvero in tre passi.
01 — Cos'è WhatsApp Business e perché esiste
WhatsApp Business è una versione dell'app pensata per le aziende. Chiunque può scaricarla gratuitamente dal proprio store (Google Play o App Store), creare un profilo con nome, logo e descrizione, e iniziare a scrivere a chiunque abbia un numero di telefono. Non è richiesta nessuna verifica preventiva dell'identità aziendale per aprire un account.
Questo significa che oggi esistono milioni di account WhatsApp Business in tutto il mondo: la maggior parte sono negozi, artigiani, piccole imprese del tutto legittimi. Ma una minoranza li usa per impersonare marchi noti — banche, operatori telefonici, corrieri, enti pubblici — sfruttando proprio la facilità di apertura e la fiducia che gli utenti ripongono in nomi familiari.
Il punto cruciale che devi tenere a mente è questo: il nome visualizzato su un account WhatsApp Business non è verificato da WhatsApp. Chiunque può chiamarsi 'Poste Italiane Assistenza' o 'Intesa Sanpaolo Clienti'. Il nome che vedi nella chat non equivale a un'identità certificata. Per sapere se un account è davvero ciò che dice di essere, devi guardare altrove.
02 — Il badge verde: cosa significa e da chi viene assegnato
Il badge verde — il cerchietto verde con la spunta bianca accanto al nome del contatto — è il 'Verified Business badge' di Meta. Non è un accessorio estetico: è il risultato di un processo di verifica formale che Meta conduce direttamente con l'azienda richiedente. Solo le organizzazioni che hanno superato questo processo ottengono il badge.
Per ottenerlo, un'azienda deve fare richiesta tramite Meta Business Manager, dimostrare di essere un'entità legalmente registrata e soddisfare i criteri di autenticità stabiliti dalle policy di Meta. Meta stessa descrive il badge come indicatore che 'l'account è stato confermato come account autentico di un brand o organizzazione degna di nota'. Puoi leggere la descrizione ufficiale del badge nella sezione di supporto di WhatsApp: cerca su Google 'whatsapp verified business badge supporto' oppure apri direttamente faq.whatsapp.com.
È fondamentale capire la differenza tra il badge verde e il semplice profilo WhatsApp Business. Un account WhatsApp Business può avere un'icona diversa (la 'B' stilizzata sul profilo), ma questo non equivale al badge verde. La 'B' indica solo che l'account usa l'app Business — che, come abbiamo detto, è aperta a chiunque. Il badge verde, invece, è visibile direttamente nella schermata della chat, accanto al nome del contatto, ed è assegnato solo dopo verifica.
03 — Come ispezionare il badge in tre tap
Riconoscere il badge verde è semplice, ma richiede un gesto attivo: non aspettare di notarlo passivamente, cercalo tu per primo ogni volta che ricevi un messaggio da un'azienda che non hai contattato di persona. La procedura è la stessa su Android e iPhone.
Apri la conversazione con il mittente. In alto, dove vedi il nome del contatto, fai un tap sul nome stesso (o sull'icona del profilo). Si apre la scheda informativa dell'account. Scorri verso il basso: se l'account ha il badge verde, troverai una sezione chiamata 'Verifica' con la scritta 'Verificato da Meta'. Se questa sezione non c'è, il badge non c'è.
Attenzione a un dettaglio: il badge verde compare anche direttamente nella lista chat, accanto al nome, come una piccola spunta verde cerchiata. Ma non affidarti solo a questa visione rapida — gli schermi piccoli possono ingannare. Il controllo definitivo è quello descritto sopra: tap sul nome → scheda profilo → sezione 'Verifica'. Prenditi quei dieci secondi.
Se hai dubbi su cosa stai guardando, apri faq.whatsapp.com e cerca 'account verificati' oppure 'verified business': trovi schermate ufficiali che mostrano esattamente come appare il badge. Confronta quello che vedi nella schermata ufficiale con quello che vedi nella chat che ti ha scritto.
04 — Gli account clone: come si presentano e perché convincono
Un account clone è un profilo WhatsApp Business creato da truffatori per impersonare un'azienda reale. Il nome del profilo rispecchia fedelmente quello dell'azienda reale ('Poste Italiane', 'BancoPosta', 'Intesa Sanpaolo', 'Vodafone Italia'). La foto del profilo è il logo ufficiale, scaricato in pochi secondi da Google Immagini. La descrizione del profilo può contenere orari, link al sito reale, persino il numero verde della vera azienda.
Il risultato è un profilo visivamente indistinguibile dall'originale — se non cerchi il badge. Questi account contattano le vittime con pretesti credibili: un'anomalia sul conto, un pacco fermo in dogana, una promozione riservata ai clienti fedeli, la scadenza imminente di un documento SPID. Il tono è professionale, il messaggio è personalizzato, il link inserito nella chat porta a una pagina che imita il sito ufficiale.
La Polizia Postale (commissariatodips.it) documenta regolarmente questo tipo di frode nei suoi comunicati. I settori più imitati in Italia sono le banche (Intesa Sanpaolo, UniCredit, BPER, BNL), Poste Italiane, i corrieri (SDA, BRT, DHL, GLS), gli operatori telefonici (TIM, Vodafone, WindTre) e l'INPS. Se hai ricevuto messaggi da uno di questi nomi senza averli contattati prima, il primo pensiero dovrebbe essere: verifico il badge.
Un dettaglio spesso trascurato: i cloni usano numeri di telefono stranieri o numeri italiani anonimi attivati con SIM prepagata. Il numero che vedi accanto al nome 'Poste Italiane Assistenza' potrebbe essere un +44 britannico o un +39 con prefisso mobile sconosciuto. Poste Italiane comunica via WhatsApp solo attraverso canali ufficiali elencati su poste.it: cerca 'poste italiane whatsapp ufficiale' su Google per trovare la pagina di supporto aggiornata, oppure apri direttamente poste.it e usa il motore di ricerca interno con la parola 'WhatsApp'.
05 — La regola d'oro: nessuna azienda seria chiede dati via chat
Questa è la regola più importante dell'intera guida, e vale in ogni situazione: nessuna banca, nessun ente pubblico, nessun operatore telefonico italiano ti chiederà mai — via WhatsApp o qualsiasi altra chat — di fornire credenziali di accesso, numeri di carte di credito, codici PIN, codici OTP (i codici temporanei che arrivano via SMS) o password. Mai.
Non è una consuetudine aziendale che varia da caso a caso: è una regola di sicurezza che le stesse aziende dichiarano esplicitamente sulle loro pagine ufficiali. Intesa Sanpaolo lo scrive nella sezione 'Sicurezza' del suo sito (intesasanpaolo.com/sicurezza). UniCredit lo dichiara nella sezione 'Proteggiti dalle frodi' (unicredit.it). Poste Italiane lo ribadisce in poste.it/sicurezza. INPS lo indica su inps.it nella sezione 'Attenzione alle frodi'. Puoi verificare questi contenuti in autonomia aprendo il sito ufficiale di ciascun ente e cercando con Ctrl+F la parola 'chat' o 'WhatsApp'.
Se un messaggio WhatsApp ti chiede di cliccare un link e inserire la tua password bancaria 'per sbloccare il conto', oppure di condividere un codice OTP 'per verificare la tua identità', si tratta di una truffa indipendentemente da chi sembra mandarlo. Il badge verde è un indicatore utile, ma la regola d'oro viene prima: i dati non si condividono via chat, punto.
Un caso pratico: ricevi un WhatsApp da 'Intesa Sanpaolo' che dice 'Abbiamo rilevato un accesso sospetto al suo conto. Invii il codice OTP che riceverà via SMS per bloccare l'operazione.' Questo è un segnale di truffa inequivocabile — anche se il profilo avesse un badge verde (cosa che in questo caso non avrebbe). Il codice OTP non va mai condiviso con nessuno: è scritto nero su bianco nel messaggio SMS che te lo invia la banca stessa ('Non condividere questo codice con nessuno').
06 — Verificare l'identità tramite i canali ufficiali
Se hai ricevuto un messaggio e non sei sicuro di chi sia il mittente, il modo più affidabile per verificarlo è semplice: ignora il messaggio per qualche minuto e contatta l'azienda attraverso un canale che NON dipende da quel messaggio. Questo è il principio del 'canale indipendente': non usare il numero, il link o le istruzioni contenute nel messaggio sospetto — usane uno che hai trovato tu, da zero.
Come trovare il canale indipendente? Hai tre strade sicure. Prima: apri il sito ufficiale dell'azienda digitando direttamente nella barra degli indirizzi del browser (non cliccando link nel messaggio). La maggior parte delle grandi aziende italiane ha una sezione 'Contatti' o 'Canali ufficiali' che elenca i numeri verdi, le email ufficiali e, se presente, il profilo WhatsApp verificato. Seconda: usa l'app ufficiale dell'azienda installata sul tuo telefono (l'app della banca, l'app di Poste, l'app del corriere) — accedi normalmente e controlla se c'è davvero una notifica o un avviso. Terza: chiama il numero verde stampato sul retro della tua carta di credito o sul contratto cartaceo che hai in casa.
Esempi concreti. Hai ricevuto un messaggio da 'SDA Corriere' che dice che il tuo pacco è fermo? Apri sda.it, vai su 'Assistenza clienti' e usa il tracker ufficiale con il tuo numero di spedizione. Se il pacco risulta in consegna regolare, il messaggio era falso. Hai ricevuto un messaggio da 'INPS' su un rimborso? Apri inps.it, accedi con SPID o CIE al tuo fascicolo previdenziale: se non c'è nessuna comunicazione nell'area personale, il messaggio era falso. Hai ricevuto un messaggio da 'Vodafone' su una fattura? Apri l'app MyVodafone: se non c'è nessuna anomalia nell'area clienti, il messaggio era falso.
Un ultimo consiglio pratico: salva nella rubrica del tuo telefono i numeri verdi delle aziende con cui hai rapporti frequenti. Poste Italiane: 803.160 (gratuito da fisso) o 06.4526.3322 da mobile. Intesa Sanpaolo: 800.303.306. UniCredit: 800.323.285. INPS: 803.164 (gratuito da fisso). Averli già salvati ti permette di chiamare in trenta secondi, senza dover cercare nulla sotto pressione.
07 — Tre scenari reali: come si riconosce il clone in pratica
Scenario uno: il 'blocco del conto'. Ricevi alle 22:47 un WhatsApp da un numero +39 351 con nome profilo 'BancoPosta Sicurezza'. Il messaggio dice che il tuo conto è stato temporaneamente sospeso per un accesso anomalo e ti chiede di cliccare un link per 'ripristinare l'accesso'. Cosa fai? Prima: non clicchi nulla. Seconda: fai tap sul nome del contatto — non c'è nessuna sezione 'Verifica'. Terza: apri l'app BancoPosta ufficiale (scaricata dall'App Store o Google Play, non da link terzi) — il conto è perfettamente accessibile. Conclusione: messaggio falso, account clone.
Scenario due: il 'pacco in dogana'. Ricevi un messaggio da 'DHL Italia' con foto profilo del logo DHL che dice che il tuo pacco è fermo per tasse doganali non pagate e che devi versare 2,50 euro cliccando un link. Il link porta a una pagina con layout identico a dhl.com, ma l'URL nella barra del browser è 'dhl-italia-consegna.info'. Cosa fai? Non clicchi. Apri dhl.com/it-it/home/contatti.html e usi il tracker ufficiale con il numero di tracciamento che trovi nella email originale del venditore. Se non hai quel numero, il pacco non esiste.
Scenario tre: il messaggio con badge verde reale. Ricevi un WhatsApp da 'Trenitalia' con il badge verde verificato. Il messaggio ti informa di un rimborso per un treno cancellato. In questo caso il mittente potrebbe essere autentico — ma applica ugualmente la regola d'oro: vai su trenitalia.com → 'Il mio profilo' → 'Rimborsi' per verificare se il rimborso è presente nel tuo account. Non cliccare link nel messaggio anche se ha il badge: usa sempre il sito ufficiale per qualsiasi operazione economica. Il badge certifica l'identità, non la sicurezza del link contenuto nel messaggio.
08 — Se hai già risposto o cliccato: cosa fare adesso
Hai cliccato un link sospetto o hai inserito dati personali prima di leggere questa guida? Non farti prendere dal panico: l'azione rapida riduce i danni in modo significativo. Il tempo è il fattore critico.
Se hai inserito le credenziali bancarie o un codice OTP: chiama immediatamente il numero verde della tua banca (quello sul retro della carta o sul sito ufficiale) e comunica l'accaduto. Le banche hanno procedure di emergenza attive 24 ore su 24 per bloccare carte e transazioni sospette. Non aspettare il giorno lavorativo successivo. Dopo aver chiamato, accedi all'app o al sito ufficiale della banca e cambia la password.
Se hai condiviso dati personali (codice fiscale, numero di carta, indirizzo): presenta una denuncia alla Polizia Postale. Puoi farlo online su commissariatodips.it → 'Sportello Online' → 'Compila una segnalazione', oppure recandoti fisicamente all'ufficio di Polizia Postale più vicino. La denuncia non recupera il danno già fatto, ma permette alle autorità di tracciare il numero fraudolento e proteggere altre persone.
Se hai solo cliccato il link senza inserire dati: il rischio è inferiore, ma non trascurabile. Alcuni link installano software malevolo in modo invisibile. La precauzione minima è riavviare il telefono e, se noti comportamenti anomali (batteria che si scarica in fretta, dati mobili consumati rapidamente, app che si aprono da sole), considera di fare un reset alle impostazioni di fabbrica dopo aver fatto un backup in un luogo sicuro. Se sei su Android, puoi anche eseguire una scansione con Google Play Protect: apri il Play Store → icona del tuo account → 'Play Protect' → 'Scansiona'.
09 — Una abitudine da costruire: il controllo dei tre secondi
La difesa più efficace contro gli account clone non è la tecnologia — è un'abitudine mentale. Prima di rispondere a qualsiasi messaggio WhatsApp proveniente da un'azienda o un ente, prenditi tre secondi per fare una sola domanda: 'Ho il numero di questa azienda già salvato nei miei contatti, oppure mi ha scritto per primo un numero che non riconosco?'
Se il numero non è in rubrica, il secondo passo automatico è: tap sul nome → cerco il badge verde. Se non c'è badge, il messaggio va trattato con sospetto, indipendentemente da quanto sembri ufficiale. Questo controllo non richiede competenze tecniche e non si sbaglia mai: o il badge c'è, o non c'è.
Con il tempo, questo controllo diventa automatico come allacciare la cintura di sicurezza in auto. Non lo fai perché pensi che avresti un incidente: lo fai perché è la procedura standard. Allo stesso modo, controllare il badge non significa diffidare di tutti — significa semplicemente seguire una procedura di buon senso che ti protegge senza rallentare la tua vita quotidiana.
Condividi questa abitudine con chi ti sta vicino. I truffatori puntano spesso su persone che usano WhatsApp con familiarità ma non conoscono il dettaglio del badge. Spiegare il controllo del badge a un familiare richiede due minuti e può evitare una truffa che vale centinaia di euro. Tre secondi. Fanno la differenza.
10 — Riepilogo: le cinque cose da ricordare
Prima cosa: il nome visualizzato su WhatsApp Business non è verificato. Chiunque può chiamarsi 'Poste Italiane' o 'UniCredit Assistenza'. Il nome non basta.
Seconda cosa: il badge verde (cerchio verde con spunta bianca, sezione 'Verifica' nel profilo) è il solo indicatore affidabile di identità verificata da Meta. Per controllarlo: tap sul nome del contatto → scorri fino a 'Verifica'. Se non c'è, non è verificato.
Terza cosa: nessuna azienda seria chiede credenziali, PIN, OTP o password via chat WhatsApp. Se te li chiedono, è una truffa — con o senza badge verde. Questa regola è scritta esplicitamente sulle pagine di sicurezza di banche, Poste e INPS.
Quarta cosa: se hai dubbi, contatta l'azienda attraverso un canale indipendente — sito ufficiale (digitato da te nella barra del browser), app ufficiale, numero verde sul contratto o sulla carta. Non usare nulla che provenga dal messaggio sospetto.
Quinta cosa: se hai già inserito dati, chiama subito la banca e presenta denuncia su commissariatodips.it. La velocità è decisiva.