Truffe WhatsApp: gli schemi più diffusi e i rischi per le agenzie immobiliari

WhatsApp è ormai il primo canale con cui un'agenzia parla con proprietari, inquilini e potenziali clienti: si concordano appuntamenti, si inviano planimetrie, si negoziano offerte. Proprio questa naturalezza, però, lo ha reso anche il terreno preferito dai truffatori. Secondo il report Kaspersky di giugno 2026, in Italia la perdita media per le truffe veicolate via messaggistica è di 770 euro; nel suo Report annuale 2025 la Polizia Postale ha censito oltre 27mila casi di cybercrime economico-finanziario, per un giro di somme sottratte superiore ai 269 milioni di euro nell'ultimo biennio. Vale la pena conoscere i meccanismi più ricorrenti, anche perché diversi di questi schemi possono colpire direttamente il lavoro quotidiano di un'agenzia immobiliare.
Perché WhatsApp funziona così bene per chi truffa
Il punto non è tecnico, è relazionale. Su WhatsApp convivono tre elementi che interessano molto i truffatori: l'identità della persona (foto, nome, numero), la sua rete di contatti (la rubrica) e la fiducia costruita tramite chat abituali.
Un messaggio che sembra arrivare da un contatto noto, o che riprende il tono di una conversazione già in corso, abbassa immediatamente le difese. La logica è sempre la stessa: prima l'ingegneria sociale, cioè costruire una situazione credibile e urgente, poi la richiesta economica o di dati.
Gli schemi più diffusi in questo momento
Il finto parente in difficoltà
Un numero sconosciuto scrive "ho cambiato telefono" e subito dopo racconta un problema urgente: cellulare rotto, conto bloccato, carta non funzionante. Chiede un bonifico o una ricarica, spiegando che non può essere chiamato. È una truffa vecchia ma ancora efficace, perché fa leva su pressione temporale e legame familiare. L'unica difesa reale è verificare fuori dalla chat, chiamando il vecchio numero o un altro parente.
Il finto ente o la finta azienda
Nel maggio 2026 il Csirt Italia ha segnalato una campagna che imitava le comunicazioni di Autostrade per l'Italia per un presunto pedaggio non pagato: si chiedeva prima la targa del veicolo, poi si guidava la vittima verso l'inserimento dei dati della carta. Lo schema, basato sull'impersonare un marchio noto, funziona perché l'importo richiesto è piccolo e quindi plausibile da pagare subito. La stessa logica si applica a corrieri, banche o enti pubblici: un link ricevuto via WhatsApp per un pagamento va sempre trattato con sospetto, soprattutto se il numero mittente è estero o il link è abbreviato.
L'account rubato che scrive ai contatti veri
Più insidiosa è la variante in cui il messaggio arriva davvero da un profilo autentico, già compromesso: stessa foto, stesso nome, stessa cronologia di chat. Il Cert-AgID, l'ente dell'Agenzia per l'Italia Digitale che monitora le campagne malevole, ha segnalato a febbraio 2026 lo schema "prestami dei soldi", diffuso proprio tramite account rubati che chiedono denaro urgente ai contatti della vittima. Chi sospetta che il proprio account sia stato compromesso dovrebbe controllare subito i dispositivi collegati e disconnettere le sessioni sconosciute.
Il codice a sei cifre da non inoltrare mai
Un contatto scrive di aver ricevuto "per errore" un codice destinato alla vittima e chiede di rimandarglielo; a volte il codice viene presentato come verifica di sicurezza o passaggio per partecipare a un concorso. In realtà quel codice serve a registrare l'account su un nuovo dispositivo: se viene condiviso, chi lo riceve prende il controllo del profilo. WhatsApp non chiede mai di inoltrare codici in chat, e nessuna assistenza legittima passa da un contatto personale per validare un account.
La falsa votazione e i dispositivi collegati
Nota anche come truffa della ballerina, questa variante parte da un account già compromesso che chiede di votare un bambino per un concorso, o invia un link del tipo "ho trovato una tua foto". La pagina esterna induce la vittima a inserire numero e codice, collegando di fatto l'account WhatsApp a un dispositivo controllato dall'attaccante, che da quel momento può leggere chat, note vocali e file senza che la vittima se ne accorga.
Il finto operatore in videochiamata
Una chiamata o videochiamata da parte di un presunto operatore bancario o di un corriere porta la vittima ad attivare la condivisione dello schermo, con la scusa di risolvere un problema. Da quel momento l'attaccante vede tutto: credenziali, codici via sms, saldo, iban. Non serve alcun malware, basta la disponibilità della vittima a mostrare lo schermo. Nessun istituto bancario chiede mai di condividere il proprio schermo o di leggere un codice al telefono.
Task scam e finti guadagni facili
Un messaggio propone un lavoro da casa: mettere like, scrivere recensioni, seguire profili. All'inizio viene anche pagata una piccola somma, per dimostrare che "il sistema funziona". Quando il saldo maturato cresce, il prelievo si blocca e per sbloccarlo viene chiesta una cauzione o una commissione. È una classica truffa ad anticipo: il guadagno mostrato è fittizio, l'unico denaro reale è quello versato dalla vittima.
Trading, criptovalute e romance scam
Un contatto sconosciuto scrive di aver sbagliato numero, oppure una conoscenza nata su un'app di incontri si sposta su WhatsApp. La relazione viene coltivata per settimane prima che compaia il tema dell'investimento in criptovalute, con rendimenti crescenti e prelievi inizialmente possibili. È il cosiddetto pig butchering: la vittima viene portata a versare somme sempre maggiori, finché al momento del prelievo non compaiono tasse e commissioni da pagare per sbloccare i fondi.
Il punto di vista di un'agenzia immobiliare

Chi lavora nel settore immobiliare ha una particolarità che lo espone in modo specifico a questi schemi: riceve ogni giorno messaggi da numeri sconosciuti. Un contatto mai salvato che scrive per un immobile, chiede informazioni su una visita o invia documenti è la normalità del lavoro, non un'anomalia. Questo rende più difficile applicare l'istinto di diffidenza che scatterebbe in altri contesti, e più facile cadere in alcune varianti degli schemi appena descritti:
Il finto acquirente
Un finto acquirente può inviare una caparra apparentemente versata in eccesso e chiedere la restituzione della differenza tramite un altro canale, un classico schema di overpayment che si conclude con un bonifico reale fatto dall'agenzia e un pagamento iniziale poi revocato o fraudolento;
Furto del codice a sei cifre
Un profilo WhatsApp Business dell'agenzia può essere preso di mira con lo stesso furto del codice a sei cifre descritto sopra, con il rischio che l'account venga usato per scrivere a tutti i clienti in rubrica chiedendo bonifici urgenti;
Il trucco del cambio di numero
Un presunto proprietario può contattare l'agenzia sostenendo di aver "cambiato numero" e chiedere l'invio di dati sensibili di un contratto o di un inquilino con la scusa dell'urgenza.
In tutti questi casi il canale che rende credibile la truffa è proprio quello che l'agenzia usa ogni giorno per lavorare: la familiarità con WhatsApp diventa il punto debole.
Le buone pratiche da adottare in agenzia
Verificare fuori dalla chat
Ogni richiesta di denaro, codice o dati sensibili che arriva via WhatsApp andrebbe confermata con una chiamata al numero già noto del cliente o del collega, oppure con un contatto su un canale diverso, ad esempio l'email.
Non condividere mai codici di verifica
Nessun servizio legittimo, incluso WhatsApp stesso, chiede di inoltrare un codice ricevuto via sms o via chat.
Attivare la verifica in due passaggi
Vale per gli account personali e, soprattutto, per il numero WhatsApp Business dell'agenzia: controllare periodicamente i dispositivi collegati e disconnettere le sessioni non riconosciute riduce il rischio che un account compromesso resti attivo a lungo.
Diffidare dei link di pagamento ricevuti in chat
Per bonifici, caparre o pagamenti di qualsiasi tipo è preferibile usare i canali ufficiali già concordati con il cliente, digitando l'indirizzo del sito manualmente invece di cliccare link ricevuti via messaggio.
Trattare le richieste anomale come un segnale, non come un'eccezione da gestire in fretta.
Un acquirente che ha fretta di farsi restituire una somma versata in eccesso, o un proprietario che chiede dati riservati con urgenza insolita, meritano una verifica in più anche a costo di rallentare la trattativa di qualche ora.
Un canale di comunicazione, non di autenticazione
La regola più solida, valida sia per i privati sia per chi lavora ogni giorno con WhatsApp come strumento professionale, è considerarlo un canale di comunicazione e non un canale di autenticazione. Quando in chat arrivano richieste di soldi, codici, credenziali o condivisione dello schermo, la conversazione va interrotta e verificata altrove. Nella maggior parte delle truffe, del resto, il danno non si consuma al primo messaggio: si consuma nel momento in cui si accetta che una chat, da sola, basti a stabilire chi c'è davvero dall'altra parte.
Articoli correlati

Come funziona il nuovo attacco che ruba la sessione WhatsApp senza che la vittima se ne accorga e come è possibile difendersi

Il meccanismo è quello del cosiddetto callback phishing: non sono i truffatori a chiamarti, ma sei tu a contattarli. Scopri come difenderti

Le truffe su WhatsApp sono sempre più diffuse e spesso iniziano con una semplice chiamata spam o con un messaggio apparentemente innocuo.

Un finto link di voto può portare i truffatori a prendere il controllo del tuo WhatsApp. Ecco come riconoscere l’inganno e proteggere il tuo account
.png&w=1920&q=75)