Non servono più i trucchi dell’ingegneria sociale. Niente link sospetti da cliccare, nessun file da scaricare per sbaglio, nessuna email trappola. Gli exploit zero-click hanno ribaltato tutto: basta ricevere un messaggio, un’immagine o un video per ritrovarsi il telefono nelle mani degli hacker. Succede tutto in automatico, senza che tu te ne accorga, spesso senza lasciare il minimo indizio.
Come funziona l’attacco invisibile
Ogni volta che un’app riceve qualcosa dall’esterno — un messaggio WhatsApp, una foto, un’email — deve “leggerlo” per capire di cosa si tratta. Questa operazione si chiama parsing ed è il momento in cui il software traduce i dati grezzi in qualcosa di visualizzabile sullo schermo.
Il problema nasce quando il codice che gestisce questa lettura contiene un errore non ancora scoperto dagli sviluppatori (chiamato vulnerabilità zero-day, cioè sconosciuta). Gli hacker costruiscono un file malevolo che sfrutta proprio quell’errore: quando il tuo telefono lo riceve, esegue automaticamente il codice dannoso nascosto al suo interno.
Spesso il messaggio di attacco si cancella da solo subito dopo, non lasciando tracce. Tu non vedi nulla, non clicchi su nulla, non autorizzi nulla. Ma l’hacker è già entrato: può leggere i tuoi contatti, le email, le chat, guardare le foto. Nei casi peggiori può accendere microfono e videocamera da remoto, registrare le telefonate, trasformare il tuo smartphone in una cimice sempre attiva.
Chi finisce nel mirino
I bersagli non vengono scelti a caso. Nel mirino finiscono soprattutto persone che hanno accesso a informazioni delicate: giornalisti sotto pressione, attivisti per i diritti umani, diplomatici, politici. Il caso più famoso risale al 2018, quando un video su WhatsApp inviato all’iPhone di Jeff Bezos ha permesso al principe saudita Mohammed bin Salman di rubare dati riservati al capo di Amazon. Un attacco silenzioso, preciso, devastante.
Anche le aziende sono a rischio, soprattutto quelle che operano in settori strategici o molto competitivi. Lo spionaggio industriale attraverso exploit zero-click può causare danni economici enormi: progetti rubati, mosse anticipate dai concorrenti, segreti finiti nelle mani sbagliate.
Da dove entrano gli attaccanti
App di messaggistica
iMessage, WhatsApp, Telegram: queste app leggono automaticamente i messaggi che ricevi per mostrarti notifiche e anteprime. Nel 2021 è stato scoperto FORCEDENTRY, uno degli exploit zero-click più avanzati mai documentati. Creato dal gruppo NSO (quello dello spyware Pegasus), sfruttava un bug nella gestione delle immagini di Apple, colpendo iMessage su iPhone, Mac e Apple Watch. Anche chi aveva installato tutti gli aggiornamenti poteva essere compromesso, senza fare assolutamente nulla.
Servizi di sistema
Bluetooth, Wi-Fi, AirDrop, lettori di file video e audio: sono componenti che lavorano in background e analizzano continuamente dati in arrivo senza chiederti permesso. Nel 2017 venne scoperto BlueBorne, un gruppo di vulnerabilità che colpivano il Bluetooth su Android, iPhone, Windows e Linux. Bastava essere nel raggio d’azione Bluetooth di un dispositivo vulnerabile per infettarlo, senza collegamento, senza autorizzazioni, senza lasciare tracce.
Email e visualizzazione contenuti web
L’app Mail di iPhone ha nascosto per anni delle falle di sicurezza scoperte solo nel 2020 dai ricercatori di ZecOps. Questi bug permettevano di eseguire codice dannoso attraverso email costruite appositamente ed erano presenti almeno da iOS 6, uscito nel 2012. I ricercatori hanno dimostrato che venivano già sfruttati dal 2018: per diversi anni gli hacker hanno operato indisturbati. Su iOS 13 l’attacco poteva avvenire completamente in background, senza che l’utente vedesse alcun comportamento strano.
Rischi exploit zero-click per le PMI: scenari e conseguenze
| Tipo di rischio | Modalità di attacco | Conseguenze per la PMI |
|---|---|---|
| Spionaggio industriale | Compromissione dei dispositivi di titolari, amministratori o responsabili R&D tramite messaggistica aziendale | Furto di progetti, strategie commerciali, listini riservati, brevetti in sviluppo. Perdita di vantaggio competitivo e possibile fallimento di investimenti pluriennali |
| Esfiltrazione dati clienti | Attacco ai dispositivi del personale commerciale o amministrativo con accesso a CRM e database | Violazione GDPR con sanzioni fino a 20 milioni di euro o 4% del fatturato globale. Danni reputazionali, perdita di fiducia dei clienti, possibili azioni legali |
| Accesso a credenziali bancarie | Compromissione dispositivi con app di home banking o token digitali installati | Sottrazione diretta di fondi, bonifici fraudolenti, accesso a linee di credito. Blocco operativo dell’attività per settimane durante le indagini |
| Furto proprietà intellettuale | Accesso a email e documenti condivisi su dispositivi di progettisti, designer, sviluppatori software | Perdita di know-how distintivo, copie anticipate da concorrenti, impossibilità di tutelare brevetti. Danno economico difficilmente quantificabile |
| Compromissione negoziazioni | Monitoraggio in tempo reale di comunicazioni durante trattative commerciali, gare d’appalto, acquisizioni | Perdita di contratti strategici, prezzi al ribasso imposti, esclusione da gare. Vantaggio informativo asimmetrico a favore di competitor |
| Ricatto e estorsione | Raccolta di informazioni sensibili o imbarazzanti su titolari e management attraverso chat, email, registrazioni audio | Richieste estorsive, minacce di divulgazione, pressioni per decisioni aziendali contro gli interessi della PMI |
| Sabotaggio operativo | Cancellazione o modifica di dati critici, comunicazioni alterate con fornitori e clienti | Interruzione dell’attività produttiva, ordini persi, contratti annullati per inadempienza, danni alle relazioni commerciali consolidate |
| Accesso a sistemi aziendali | Uso del dispositivo compromesso come ponte per infiltrarsi nella rete aziendale interna | Compromissione dell’intera infrastruttura IT, ransomware su server, blocco totale delle operazioni. Costi di ripristino spesso insostenibili per PMI |
| Manipolazione comunicazioni finanziarie | Alterazione di email e messaggi relativi a pagamenti, bonifici, ordini di acquisto | Business Email Compromise (BEC): pagamenti a fornitori falsi, ordini fraudolenti, perdite finanziarie dirette difficilmente recuperabili |
Perché le PMI sono particolarmente vulnerabili:
- Budget limitato: impossibilità di investire in soluzioni di sicurezza enterprise-level
- BYOD diffuso: uso promiscuo di dispositivi personali per lavoro senza policy di sicurezza
- Scarsa formazione: personale non addestrato a riconoscere minacce informatiche avanzate
- Assenza di SOC: nessun monitoraggio continuo delle minacce e dei comportamenti anomali
- Aggiornamenti ritardati: paura di bloccare operatività porta a rimandare patch di sicurezza critiche
- Concentrazione del rischio: poche persone chiave gestiscono informazioni critiche, compromettendone una si ottiene molto
Impatto economico medio stimato: le PMI colpite da attacchi informatici avanzati registrano perdite tra 50.000 e 500.000 euro, con il 60% che non riesce a riprendersi completamente entro 12 mesi dall’incidente.
Come proteggersi
Non esistono difese infallibili contro gli exploit zero-click, ma alcune precauzioni riducono molto il rischio. La prima regola: installare sempre gli aggiornamenti di sistema operativo e app appena disponibili. Le vulnerabilità scoperte vengono corrette dai produttori, ma servono a poco se rimandiamo l’installazione delle patch.
Disattivare funzioni come Bluetooth, AirDrop o Wi-Fi quando non le usiamo riduce le possibilità di attacco. Per i dispositivi aziendali, i sistemi MDM (Mobile Device Management) permettono di applicare regole di sicurezza da un punto centrale e tenere sotto controllo comportamenti anomali.
Chi maneggia informazioni particolarmente sensibili dovrebbe considerare l’uso di telefoni dedicati solo a comunicazioni critiche, separati da quelli usati tutti i giorni. Alcune organizzazioni scelgono smartphone con sistemi operativi rafforzati o con funzionalità molto limitate proprio per ridurre i punti deboli.
La consapevolezza resta lo strumento più importante: sapere che un attacco può arrivare senza alcun segnale cambia completamente il nostro approccio alla sicurezza digitale. Non basta più “stare attenti a non cliccare”: dobbiamo pensare che il rischio esiste sempre, anche quando tutto sembra funzionare normalmente.
Checklist di protezione: quanto sei protetto?
| Azione di difesa | Efficacia | Difficoltà | Per chi è indispensabile |
|---|---|---|---|
| Aggiornamenti immediati di sistema e app | ⭐⭐⭐⭐⭐ | Facile | Tutti |
| Disattivare Bluetooth e Wi-Fi quando non servono | ⭐⭐⭐⭐ | Facile | Tutti |
| Disattivare AirDrop (o tenerlo su “Solo contatti”) | ⭐⭐⭐⭐ | Facile | Utenti Apple |
| Anteprime messaggi disattivate nelle notifiche | ⭐⭐⭐ | Facile | Chi maneggia dati sensibili |
| Dispositivo separato per comunicazioni critiche | ⭐⭐⭐⭐⭐ | Costoso | Giornalisti, attivisti, dirigenti |
| Sistema MDM aziendale con monitoraggio | ⭐⭐⭐⭐⭐ | Complesso | Aziende e organizzazioni |
| Riavvio frequente del dispositivo (almeno settimanale) | ⭐⭐⭐ | Facile | Chi maneggia dati sensibili |
| Evitare app di messaggistica per comunicazioni ultra-sensibili | ⭐⭐⭐⭐⭐ | Scomodo | Target ad alto rischio (politici, diplomatici) |
Livello di rischio personale:
- 🟢 Basso: utente medio, nessuna informazione critica
- 🟡 Medio: professionisti con dati aziendali riservati
- 🔴 Alto: giornalisti investigativi, attivisti, dirigenti C-level, politici
Ricorda: nessuna difesa è assoluta, ma applicare anche solo le prime tre azioni della tabella riduce drasticamente la superficie d’attacco. Gli exploit zero-click sono costosi da sviluppare e vengono usati contro obiettivi specifici, non a caso.
Livello di rischio personale:
- 🟢 Basso: utente medio, nessuna informazione critica
- 🟡 Medio: professionisti con dati aziendali riservati
- 🔴 Alto: giornalisti investigativi, attivisti, dirigenti C-level, politici
Ricorda: nessuna difesa è assoluta, ma applicare anche solo le prime tre azioni della tabella riduce drasticamente la superficie d’attacco. Gli exploit zero-click sono costosi da sviluppare e vengono usati contro obiettivi specifici, non a caso.
