A inizio giugno 2026, un gruppo di attaccanti ha sfruttato il sistema di supporto clienti basato su intelligenza artificiale di Meta per rubare account Instagram. Nessun exploit complesso: hanno convinto l’AI a resettare le password. Il nome in codice dell’operazione? Mythos. Il risultato? Centinaia di account compromessi, brand colpiti, utenti in ostaggio.
La notizia non è solo una cronaca di sicurezza informatica. È il sintomo di un problema più profondo: le grandi piattaforme USA stanno deployando AI nei processi critici senza controlli adeguati. E quando un chatbot può essere manipolato per aggirare l’autenticazione, non è un bug – è una falla di progettazione sistemica.
Perché conta per le PMI italiane
Molte aziende italiane usano Instagram come canale di vendita. Un account rubato significa giorni di fatturato perso, reputazione danneggiata, clienti confusi. E la risposta di Meta? Un ticket su un altro chatbot. Noi, di Meteora Web, gestiamo e-commerce che dipendono da queste piattaforme. Lo vediamo ogni giorno: la sicurezza delle PMI è in mano a terzi che non rispondono delle proprie falle. Il costo non è solo diretto – è anche il tempo perso a ricostruire fiducia.
In Europa si discute di AI Act, di obblighi di trasparenza. Ma questo episodio mostra il limite: la regolamentazione arriva sempre dopo l’incidente. Serve un cambio di passo: responsabilità diretta dei fornitori di AI per i danni causati, sanzioni automatiche per falle di sicurezza evitabili, audit obbligatori dei sistemi di IA usati nei processi critici. Altrimenti le PMI restano carne da cannone digitale.
La nostra posizione è chiara
Noi, di Meteora Web, abbiamo sempre sostenuto che la sicurezza non è un optional. Quando un server si rompe, quando un certificato SSL scade, quando un form viene lasciato senza protezione, il costo è reale. Ma qui non è un errore umano: è un modello di business che spinge a rilasciare funzionalità AI senza test di sicurezza adeguati. Big Tech tratta la sicurezza come costo, non come investimento. E chi paga? Le piccole imprese che usano questi strumenti senza alternative reali. L’AI Act deve includere obblighi di responsabilità per danni da manipolazione dei modelli. Non linee guida, non raccomandazioni: norme vincolanti con multe che facciano male.
Il digital divide non è solo geografico: è anche di potere contrattuale. Un’azienda di Sciacca non può negoziare con Meta. Chi deve proteggerla? Il legislatore europeo. Finora ha fatto troppo poco.
Ecco cosa fare, subito: se gestisci un profilo aziendale su piattaforme social, attiva l’autenticazione a due fattori su ogni account, limita i permessi dei chatbot di supporto, monitora le sessioni attive. Ma soprattutto: smetti di considerare queste piattaforme come infrastrutture affidabili. Costruisci canali diretti con i tuoi clienti – email, sito proprietario, CRM. La tecnologia che possiedi è l’unica su cui hai controllo.
Sponsored Protocol
