Questa settimana il web ha scoperto che l’AI customer support di Meta è stata usata per rubare account Instagram. Non un banale phishing, non un exploit da script-kiddie: gli aggressori hanno parlato con un bot, lo hanno ingannato, e hanno ottenuto accesso a profili reali. Il problema non è solo tecnico: è sistemico.
Da anni sentiamo parlare di AI safety, di allineamento, di rischi esistenziali. Poi arriva un attacco concreto, semplice, che colpisce milioni di utenti. E lo fa sfruttando proprio la fiducia che le aziende ripongono nell’intelligenza artificiale, senza averne prima verificato i confini. Il Mythos, il modello di Meta, non è stato violato con supercomputer: è stato aggirato con un prompt ben scritto. La differenza? È sottile, ma devastante.
Perché questa notizia riguarda ogni PMI italiana che usa strumenti basati su AI, da un chatbot Shopify a un assistente Meta Ads. Riguarda chi ha delegato la gestione clienti a un sistema automatico senza chiedersi: “E se qualcuno lo usa contro di me?”. Noi, di Meteora Web, lo vediamo tutti i giorni: la sicurezza informatica nelle PMI italiane è considerata un costo, non un investimento. Backup non configurati, form senza protezione, e ora AI non testate. Il costo reale? Un account Instagram rubato per un e-commerce può significare migliaia di euro persi in vendite e reputazione.
La nostra posizione è chiara: l’AI non è per definizione sicura. Va trattata come qualsiasi software: va testata, limitata, monitorata.
L’Unione Europea ha approvato l’AI Act, ma la sua applicazione pratica è lenta. Nel frattempo, le piattaforme USA rilasciano funzionalità AI di fretta, spingendo le aziende a integrarle per restare competitive. Il risultato? Bollate digitali senza controllo. Noi crediamo che possedere il proprio stack tecnologico, o almeno avere la capacità di auditare ciò che si usa, sia l’unica strada per non finire ostaggio di vulnerabilità altrui. Non si tratta di essere contro l’AI: si tratta di usarla con gli occhi aperti, come abbiamo sempre fatto, dal codice al conto economico.
Cosa fare, quindi? Se sei un imprenditore o sviluppatore: 1) Verifica ogni integrazione AI che hai sul tuo sito o nei tuoi processi — chiedi al fornitore come gestisce la sicurezza, se i log sono monitorati, se il modello ha limiti di contesto; 2) Non dare mai all’AI permessi che non dai a un umano — zero fiducia, verifica continua; 3) Se usi piattaforme come Meta, attiva autenticazione a due fattori e monitora le sessioni. Se sei un policy maker: l’AI Act deve includere obblighi chiari di responsabilità per i provider di AI che causano danni. Non basta una nota di scuse.
Sponsored Protocol
