WhatsApp ha avviato il rollout della funzione che permette agli utenti di riservare un username, introducendo una nuova identità digitale. Questa novità consente di essere contattati tramite un handle anziché il numero di telefono, promettendo maggiore privacy. Tuttavia, il cambiamento solleva già rischi reali di impersonificazione e frodi, come evidenziato da esperti di sicurezza e dalle autorità regolatorie in India, il mercato più grande per il servizio con oltre 500 milioni di utenti.
La funzione username e le difese di Meta
La nuova funzionalità di WhatsApp permette agli utenti di scegliere un username univoco, tra 3 e 40 caratteri.
Meta ha dichiarato di aver predisposto difese contro le usurpazioni: varianti di nomi associate a figure pubbliche, enti governativi o marchi verificati vengono riservate ai legittimi titolari. L'azienda ha implementato ulteriori misure di protezione, come la limitazione dei contatti iniziali da parte di utenti non in rubrica, il blocco dei tentativi ripetuti di indovinare un username e l'evidenziazione di indicatori quando si riceve un messaggio da un account sconosciuto.
L'allarme delle autorità indiane: frodi e impersonazioni
Il Ministero dell’Elettronica e Tecnologie dell’Informazione (MeitY) indiano ha espresso serie preoccupazioni, inviando una diffida formale a Meta. Il Ministero ha sottolineato il rischio concreto di un incremento di frodi online, phishing, "digital arrest scams" e attacchi di impersonificazione, facilitati dalla possibilità per i malintenzionati di contattare le vittime senza rivelare il proprio numero di telefono.
L'attenzione si concentra sulla facilità con cui si potrebbero imitare account di individui, autorità pubbliche, istituzioni finanziarie e agenzie governative. Il MeitY ha richiesto a WhatsApp di sospendere il rollout fino al completamento di consultazioni con il Governo e ha chiesto spiegazioni per evitare azioni regolatorie.
Rischi concreti di abuso
Durante la fase di test, è stato rilevato che username riconducibili a figure pubbliche o istituzioni di rilievo in India, come “indiamodi”, “shahrukh.actor”, “teamamitabh”, “ambanijio” e “rbi_verify”, erano ancora disponibili. In un contesto dove l'autorità percepita di un nome può essere sfruttata per frodi, come la creazione di false credenziali bancarie o autoritarie, il potenziale danno è significativo e immediato.
Privacy e tracciabilità: una dicotomia
Rachel Tobac, CEO di SocialProof Security, ha riconosciuto che gli username rappresentano un vantaggio per la privacy, riducendo l'esposizione del numero di telefono e i rischi di attacchi come SIM swap o phishing. Ha però evidenziato il pericolo delle "lookalike usernames" e ha consigliato agli utenti di scegliere handle non facilmente intuibili. La funzione si inserisce in un dibattito più ampio in India, dove si cerca di legare gli account digitali ai numeri SIM per migliorare la tracciabilità e contrastare le frodi. Tuttavia, i critici sostengono che i nomi utente potrebbero indebolire questo vincolo tracciabile, creando una zona grigia tra anonimato e identificabilità.
Equilibrio tra sicurezza, privacy e regolamentazione
La posizione dei regolatori indiani, come il MeitY, riflette un approccio orientato alla prevenzione delle vulnerabilità, richiedendo chiarezza e la sospensione del rollout. D'altra parte, gruppi per i diritti digitali, come l’Internet Freedom Foundation, argomentano che la soluzione non risiede nell'imporre restrizioni sull'uso dei prodotti tramite leggi vaghe, ma nell'applicare e rafforzare le normative penali contro chi abusa di tali funzioni. Meta ha difeso l'approccio graduale al rollout, affermando di voler raccogliere feedback e preoccupazioni in vista di un lancio più ampio previsto entro la fine del 2026. Il bilancio tra privacy, sicurezza e fiducia, in un contesto normativo complesso come quello indiano, rimane una sfida aperta. WhatsApp, innovando il modello di contatto, deve dimostrare che i benefici non si traducano in un pericolo collettivo.