Un assistente virtuale pensato per dare una mano a chi aveva perso l’accesso al proprio profilo si è trasformato, per settimane, nello strumento perfetto per gli aggressori. I chatbot AI di Meta hanno di fatto spalancato una porta su Instagram, permettendo a malintenzionati di prendere il controllo di numerosi account. Quello che doveva essere un servizio di supporto si è rivelato un comodo grimaldello, e la cosa fa riflettere parecchio su quanto sia rischioso affidare operazioni delicate a sistemi automatici.
Diverse ricostruzioni giornalistiche hanno raccontato la dinamica: il bot di assistenza consentiva di cambiare l’indirizzo email collegato a un profilo e, subito dopo, di resettare la password. L’incidente è venuto a galla all’inizio di giugno 2026 e ha riacceso una domanda tutt’altro che banale, ovvero quanta responsabilità si prendono le aziende quando lasciano gestire compiti sensibili a degli agenti AI. E soprattutto: quali tutele tecniche servono davvero per evitare disastri su larga scala.
Come funzionava l’attacco e perché filava liscio
Il meccanismo era tanto lineare quanto efficace. L’aggressore avviava la normale procedura di recupero account e, sfruttando il chatbot, chiedeva di associare al profilo un nuovo indirizzo email, ovviamente sotto il suo controllo. A quel punto bastava aspettare il codice di verifica nella casella indicata, completare il reset e il gioco era fatto: profilo conquistato.
Per alzare le probabilità di riuscita, molti criminali si appoggiavano a delle VPN così da simulare una posizione geografica simile a quella abituale della vittima. In questo modo i controlli sulla localizzazione si ammorbidivano e gli allarmi automatici scattavano molto meno. Dimostrazioni dell’exploit hanno iniziato a girare in canali frequentati sia da ricercatori sia da operatori del cybercrime, segno di quanto fosse semplice mettere in pratica il trucco. A finire nel mirino non sono stati solo profili qualunque: tra le vittime ci sono stati anche account istituzionali e username rari, di quelli che sul mercato hanno un valore concreto. Insomma, non si trattava di puro vandalismo, ma spesso di vero e proprio profitto economico.
Conseguenze e cosa imparare da questa storia
Gli esperti hanno inquadrato l’episodio come una versione aggiornata di un classico problema di sicurezza, il cosiddetto confused deputy: un sistema dotato di privilegi che esegue azioni per conto di qualcuno che quei diritti non li avrebbe affatto. Il rischio cresce quando un modello linguistico decide sulla base di segnali probabilistici, senza barriere rigide e deterministiche a fare da filtro.
Un dato però è emerso con chiarezza: l’autenticazione a più fattori ha fatto la differenza. Gli account protetti con MFA si sono rivelati molto più ostici da violare, limitando parecchio i danni. Per arginare situazioni simili, gli addetti ai lavori indicano alcune mosse precise. Tenere separati i canali di verifica dall’interfaccia conversazionale, per cominciare. Poi imporre che nessuna modifica critica venga eseguita senza un’approvazione umana, registrare e tenere sotto osservazione ogni operazione del bot, e affidarsi a sistemi di rilevamento delle anomalie basati sul comportamento e sul contesto. C’è anche il principio del minimo privilegio, da applicare sempre, riducendo al minimo i poteri concessi all’assistente.
Aggiungono inoltre che test di penetrazione continui e programmi di bug bounty mirati proprio sui flussi di assistenza automatizzata possono stanare comportamenti sospetti prima che vengano sfruttati in massa. Da parte sua, Meta ha fatto sapere di aver corretto la falla e di essere al lavoro per mettere in sicurezza i profili coinvolti. La vicenda lascia però un insegnamento più ampio: automatizzare compiti sensibili senza vincoli adeguati finisce per ampliare la superficie esposta agli attacchi.