Con oltre 3 miliardi di utenti attivi mensili nel mondo e un tasso di penetrazione superiore al 90% in Italia, WhatsApp è la piattaforma su cui transitano conversazioni personali, dati sensibili e documenti di lavoro ogni giorno. Eppure, mentre la crittografia end-to-end protegge il contenuto dei messaggi, tre impostazioni del profilo restano spesso configurate nella modalità più esposta. Ad aprile 2026, dopo il rilascio delle Strict Account Settings da parte di Meta (gennaio 2026, fonte: blog ufficiale WhatsApp), sempre più utenti stanno finalmente intervenendo su foto profilo, sezione Info e ultimo accesso. Questa guida ti spiega come farlo nel modo corretto e perché queste modifiche riducono concretamente il rischio di profilazione, phishing e social engineering.
- Perché le impostazioni del profilo sono il vero punto debole
- Immagine del profilo: il primo dato esposto
- Sezione Info: il rischio dei dettagli personali
- Ultimo accesso e stato online: la traccia comportamentale
- Strict Account Settings: il lockdown in un tap
- Privacy Avanzata della Chat e passkey
- Tabella riepilogativa
- FAQ — Domande frequenti
• Le impostazioni sicurezza WhatsApp 2026 più critiche riguardano foto profilo, Info e ultimo accesso — non i messaggi
• Limita la visibilità di questi tre elementi a “I miei contatti” o “Nessuno” per ridurre l’esposizione
• Le Strict Account Settings, rilasciate a gennaio 2026, bloccano tutto in un solo toggle: allegati da sconosciuti, anteprime link, chiamate anonime
• La Privacy Avanzata della Chat impedisce l’esportazione delle conversazioni e il download automatico dei media
• Attiva la verifica in due passaggi e le passkey per completare la protezione dell’account
Perché le impostazioni del profilo WhatsApp sono il vero punto debole
La crittografia end-to-end di WhatsApp è un pilastro solido: ogni messaggio, chiamata e file condiviso viene cifrato sul dispositivo del mittente e decifrato solo su quello del destinatario. Nemmeno Meta può leggerne il contenuto in transito. Tuttavia, le informazioni visibili nel profilo — foto, testo nella sezione Info, orario dell’ultimo accesso — non sono protette dalla stessa logica.
Chiunque conosca il tuo numero di telefono può potenzialmente visualizzare questi dati se le impostazioni di privacy sono lasciate su “Tutti”, la configurazione predefinita per molti account creati prima del 2025.
Il punto critico è che il numero telefonico è l’identificativo univoco di WhatsApp. Non servono username o email: basta il numero. In un contesto dove database di numeri telefonici circolano abitualmente in forum e marketplace del dark web, ridurre la quantità di informazioni accessibili da un numero sconosciuto diventa una misura di difesa concreta.
Questa vulnerabilità è esattamente il vettore sfruttato nelle truffe WhatsApp del finto parente, dove i criminali raccolgono foto profilo e dati pubblici per costruire messaggi credibili.
Immagine del profilo: il primo dato esposto nella sicurezza WhatsApp
La foto profilo è il dato più immediatamente riconoscibile collegato a un numero telefonico. Nella configurazione predefinita più permissiva, qualsiasi utente WhatsApp che inserisca il tuo numero in rubrica può visualizzarla.
Questo apre tre scenari di rischio concreti:
- Impersonificazione: un attaccante scarica la foto e la utilizza per creare un profilo clone, inviando messaggi ai tuoi contatti fingendosi te
- Profilazione automatizzata: tool di scraping possono associare numeri telefonici a volti reali su larga scala
- Social engineering mirato: conoscendo l’aspetto della vittima, un attaccante può costruire scenari di ingegneria sociale molto più convincenti
Come modificare l’impostazione: Impostazioni → Privacy → Immagine del profilo → seleziona “I miei contatti”. In questo modo, solo chi è già nella tua rubrica potrà vedere la foto. Per il massimo livello di restrizione, seleziona “Nessuno”.
Sezione Info di WhatsApp: il rischio nascosto dei dettagli personali
La sezione “Info” (o “About”) di WhatsApp è un campo di testo libero che molti utenti utilizzano per inserire frasi personali, riferimenti al lavoro, alla città o allo stato d’animo. Nonostante appaia innocua, rappresenta una delle fonti di dati più sfruttate nelle campagne di phishing mirato.
Un attaccante che legge “Project Manager @ AziendaXYZ — Milano” nella sezione Info ottiene immediatamente tre informazioni utili: ruolo professionale, azienda e città. Questo è sufficiente per costruire un’email di spear phishing altamente credibile o un messaggio WhatsApp che simula una comunicazione aziendale interna.
Le protezioni da applicare sono identiche a quelle della foto profilo: Impostazioni → Privacy → Info → “I miei contatti”. In alternativa, svuota completamente il campo: meno dati esponi, meno superficie di attacco offri.
Se vuoi capire come i criminali informatici sfruttano queste informazioni per orchestrare truffe OTP su WhatsApp, l’analisi che ho pubblicato di recente approfondisce le tecniche più comuni.
Ultimo accesso e stato online: la traccia comportamentale
L’ultimo accesso e lo stato online sono i dati più sottili e potenzialmente più pericolosi tra le tre impostazioni da modificare. Mostrano quando un utente ha utilizzato WhatsApp l’ultima volta e se è attualmente connesso.
Questi dati consentono di:
- Ricostruire pattern di utilizzo: un osservatore può identificare gli orari abituali di attività e inattività
- Sincronizzare attacchi mirati: un tentativo di phishing inviato esattamente quando la vittima è online ha probabilità di successo molto più alte
- Verificare la lettura di messaggi: incrociando lo stato online con l’assenza di risposta, si ottiene una conferma indiretta di lettura anche con le spunte blu disattivate
La configurazione più sicura prevede: Impostazioni → Privacy → Ultimo accesso e Online → “Nessuno” per entrambi. Attenzione: disattivando il proprio ultimo accesso, non sarà più possibile visualizzare quello degli altri contatti. È un trade-off accettabile per chi privilegia la sicurezza.
Strict Account Settings WhatsApp: il lockdown in un tap
A gennaio 2026, Meta ha rilasciato una funzionalità che va oltre la singola modifica di ciascuna impostazione: le Strict Account Settings. Si tratta di una modalità in stile “lockdown” — concettualmente simile alla Lockdown Mode di Apple — che applica in un singolo toggle il livello massimo di restrizione su tutto l’account.
Attivando le Strict Account Settings, WhatsApp blocca automaticamente:
- Allegati e media da contatti non in rubrica
- Anteprime dei link nei messaggi
- Chiamate da numeri sconosciuti
- Inserimento in gruppi da parte di sconosciuti
- Visibilità di foto profilo, Info, ultimo accesso e stato online (limitata ai soli contatti)
Inoltre, la verifica in due passaggi viene attivata automaticamente e le notifiche di sicurezza (cambio codice crittografico di un contatto) vengono abilitate e bloccate.
Come attivare: Impostazioni → Privacy → Avanzate → Strict Account Settings → attiva il toggle. La funzionalità è gestibile esclusivamente dal dispositivo principale: non può essere modificata da WhatsApp Web o desktop.
Questa modalità è stata progettata principalmente per giornalisti, figure pubbliche e attivisti esposti ad attacchi sofisticati come spyware, ma rappresenta un’opzione valida per qualsiasi utente che voglia massimizzare la protezione con il minimo sforzo di configurazione.
Per chi vuole proteggere anche la connessione di rete su dispositivi mobili, la funzionalità di split tunneling VPN introdotta con Android 17 rappresenta un complemento ideale.
Privacy Avanzata della Chat e passkey: i livelli aggiuntivi di protezione WhatsApp
Le tre impostazioni di base e le Strict Account Settings non sono gli unici strumenti disponibili nel 2026. WhatsApp ha introdotto due ulteriori livelli di protezione che meritano attenzione.
Privacy Avanzata della Chat
Lanciata nel 2025, la Privacy Avanzata della Chat è un’impostazione attivabile per singola chat o gruppo. Impedisce ai partecipanti di esportare la conversazione, disabilita il download automatico dei media e blocca l’utilizzo dei messaggi per le funzionalità AI di Meta.
È particolarmente utile per conversazioni sensibili — professionali, mediche, legali — dove il rischio di diffusione accidentale o intenzionale del contenuto è elevato.
Passkey e autenticazione biometrica
Le passkey rappresentano l’evoluzione della verifica in due passaggi tradizionale. Invece di un PIN a 6 cifre, l’accesso al nuovo dispositivo viene autenticato tramite Face ID, Touch ID o codice del dispositivo. Questo elimina il rischio di intercettazione del codice SMS — uno dei vettori principali negli attacchi di SIM swapping.
Attivazione: Impostazioni → Account → Passkey → Configura.
La combinazione di passkey + Strict Account Settings + Privacy Avanzata della Chat rappresenta il livello massimo di protezione disponibile su WhatsApp nel 2026, senza richiedere competenze tecniche avanzate.
Tabella riepilogativa: impostazioni sicurezza WhatsApp 2026 a confronto
| Impostazione | Percorso | Valore consigliato | Rischio se non modificata |
|---|---|---|---|
| Foto profilo | Privacy → Immagine del profilo | I miei contatti / Nessuno | Impersonificazione, scraping |
| Info (About) | Privacy → Info | I miei contatti / campo vuoto | Spear phishing, profilazione |
| Ultimo accesso / Online | Privacy → Ultimo accesso | Nessuno | Tracciamento comportamentale |
| Strict Account Settings | Privacy → Avanzate | Attivo | Superficie di attacco ampia |
| Privacy Avanzata Chat | Dentro la singola chat | Attivo su chat sensibili | Esportazione non autorizzata |
| Passkey | Account → Passkey | Configurata | SIM swapping, furto account |
| Verifica in due passaggi | Account → Verifica in due passaggi | Attiva con email di recupero | Registrazione non autorizzata |
Ho realizzato un video dedicato su YouTube @tuttelevitediunmaker dove analizzo le impostazioni sicurezza WhatsApp 2026 in modo pratico e visivo, con la procedura step-by-step per configurare le Strict Account Settings. Se vuoi supportare questo progetto e accedere a contenuti esclusivi, trovi tutto su Patreon.
#tuttelevitediunmaker
FAQ — Domande frequenti sulle impostazioni sicurezza WhatsApp
Quali impostazioni WhatsApp cambiare subito per la privacy?
Le tre impostazioni da modificare immediatamente sono foto profilo, sezione Info e ultimo accesso/stato online. Tutte e tre si trovano in Impostazioni → Privacy e vanno limitate a “I miei contatti” o “Nessuno”. Queste modifiche riducono la quantità di dati accessibili a chiunque conosca il tuo numero di telefono, abbassando il rischio di profilazione e social engineering.
Come si attivano le Strict Account Settings su WhatsApp?
Le Strict Account Settings si attivano dal dispositivo principale andando su Impostazioni → Privacy → Avanzate → Strict Account Settings. Il toggle applica in automatico il livello massimo di restrizione su tutto l’account, inclusi blocco allegati da sconosciuti, disattivazione anteprime link e silenziamento chiamate da numeri non in rubrica. Non è possibile modificare questa impostazione da WhatsApp Web.
Come nascondere l’ultimo accesso e lo stato online su WhatsApp?
Per nascondere entrambi, vai su Impostazioni → Privacy → Ultimo accesso e online e seleziona “Nessuno” per ciascuna voce. Tieni presente che disattivando il tuo ultimo accesso non potrai più visualizzare quello degli altri contatti. È una limitazione bidirezionale voluta per garantire la reciprocità della privacy.
La crittografia end-to-end di WhatsApp protegge anche il profilo?
No, la crittografia end-to-end protegge esclusivamente il contenuto dei messaggi, delle chiamate e dei file condivisi nelle chat. Le informazioni del profilo — foto, Info, ultimo accesso — sono metadati separati e la loro visibilità dipende esclusivamente dalle impostazioni di privacy configurate dall’utente. Per questo motivo, intervenire manualmente su queste impostazioni è essenziale.
Che differenza c’è tra Privacy Avanzata della Chat e Strict Account Settings?
Le Strict Account Settings agiscono a livello di account globale, limitando l’esposizione del profilo e bloccando interazioni da sconosciuti. La Privacy Avanzata della Chat opera invece su singole conversazioni o gruppi, impedendo l’esportazione della chat, il download automatico dei media e l’utilizzo dei messaggi per le funzionalità AI. Le due funzionalità sono complementari e possono essere attivate contemporaneamente.
Conclusione
Le impostazioni di sicurezza WhatsApp nel 2026 non richiedono competenze tecniche: richiedono consapevolezza. La crittografia end-to-end fa il suo lavoro sui messaggi, ma il profilo resta esposto a chiunque abbia il tuo numero. Modificare foto profilo, Info e ultimo accesso è un’operazione che richiede meno di due minuti e riduce significativamente la superficie di attacco disponibile per attori malevoli. Le Strict Account Settings aggiungono un ulteriore livello di protezione con un solo toggle.
Hai già modificato queste tre impostazioni sul tuo WhatsApp, o ti affidi ancora alla configurazione di default?
#tuttelevitediunmaker
Ruolo: Professionista IT | Specialista AI & Cybersecurity | Creator YouTube
Professionista IT con esperienza pluriennale nel settore energetico e delle utility, specializzato in intelligenza artificiale, cybersecurity e sistemi embedded. Autore del blog tuttelevitediunmaker e del canale YouTube omonimo, dove analizza le tecnologie emergenti con un approccio tecnico-editoriale accessibile.