Migliaia di utenti italiani colpiti. Meta nega violazioni ma circolano dati online. Malwarebytes: informazioni su milioni di profili nel dark web

ITALIA, 9 gennaio 2026 – Sta succedendo a molti utenti italiani, spesso all’improvviso e senza segnali evidenti. Si apre la posta elettronica o si guarda una notifica sul telefono e compare un messaggio che mette subito in allarme: “Abbiamo ricevuto una richiesta per reimpostare la tua password di Instagram”. Tutto sembra normale, persino rassicurante. Ed è proprio questo il problema.

La truffa dell’account Instagram che sta circolando in queste settimane gioca su un terreno scivoloso, dove vero e falso si somigliano troppo. Il messaggio è costruito come quelli ufficiali, con la stessa grafica, lo stesso linguaggio, gli stessi pulsanti.

L’utente, temendo che qualcuno stia cercando di entrare nel suo profilo, clicca per difendersi. Ma quel click, invece di proteggere, spalanca la porta ai truffatori.

Il cuore della truffa è semplice e spietato. Il link contenuto nella mail o nella notifica non porta a una pagina ufficiale di Instagram, ma a un sito clone, una copia quasi perfetta. Qui viene chiesto di inserire la password attuale “per sicurezza”. Un gesto che appare logico, soprattutto quando si è convinti di essere sotto attacco.

È proprio in quell’istante che l’account viene consegnato ai truffatori. Nessuna forzatura, nessun allarme, nessuna avvisaglia evidente. Solo una procedura apparentemente corretta, che sfrutta l’urgenza e la fiducia costruita negli anni da una piattaforma usata ogni giorno da milioni di persone.

Nel giro di pochi minuti, chi ha messo le mani sulle credenziali cambia l’indirizzo email associato al profilo, modifica i dati di recupero e disconnette il proprietario legittimo da ogni dispositivo. Smartphone, computer, tablet: tutto fuori.

Recuperare l’account diventa difficilissimo, a volte impossibile, lasciando gli utenti senza accesso ai propri contenuti, contatti e messaggi.

In mezzo alle segnalazioni di profili spariti e allarme diffuso, Meta ha chiarito la propria posizione. Instagram sostiene di non aver subito un attacco diretto ai suoi sistemi e di non aver perso database o password. Nessun maxi-hackeraggio, dunque, secondo la versione ufficiale.

La piattaforma ha parlato invece di un problema tecnico che avrebbe permesso a soggetti esterni di generare richieste di reset password per alcuni account reali. In pratica, molte email di reimpostazione sarebbero state inviate dal sistema senza che gli utenti le avessero richieste. Email vere nella forma, provenienti da domini autentici, ma inattese.

Parallelamente, alcune società di sicurezza informatica, tra cui Malwarebytes, segnalano la circolazione online di dati riconducibili a milioni di account Instagram. Si tratterebbe di informazioni come indirizzi email e numeri di telefono, finite su forum e mercati del dark web e potenzialmente utilizzate per campagne di phishing mirate.

Meta ha negato che questa esposizione derivi da una violazione recente dei sistemi di Instagram, ma il dato resta rilevante: anche senza un hackeraggio diretto della piattaforma, informazioni personali già diffuse possono rendere più credibili email e messaggi truffaldini, aumentando il rischio per gli utenti.

Ed è qui che si crea il corto circuito. Perché quando una comunicazione è indistinguibile da quelle ufficiali, anche l’utente più attento può abbassare la guardia. In questo clima di confusione, i truffatori hanno fatto il resto, replicando quelle stesse comunicazioni e inserendo link fraudolenti capaci di intercettare password reali.

Instagram ha invitato gli utenti a ignorare le richieste di reset non sollecitate e ha assicurato di aver risolto l’anomalia. Ma il danno, almeno per molti, era già fatto.

Per proteggersi da questo tipo di attacco, è fondamentale seguire alcune regole di sicurezza:

Mai cliccare sui link contenuti nelle email di reset password, anche se sembrano autentiche. Aprire sempre l’app o il sito di Instagram digitando manualmente l’indirizzo.

Se si riceve una notifica di reset password non richiesta, ignorarla completamente. Se si hanno dubbi, accedere all’account direttamente dall’app e verificare le impostazioni di sicurezza.

Abilitare sempre l’autenticazione a due fattori (2FA) su Instagram. Questo aggiunge un livello di sicurezza che rende molto più difficile l’accesso non autorizzato anche se la password viene compromessa.

Verificare periodicamente gli accessi recenti al proprio account dalle impostazioni di sicurezza, per individuare eventuali attività sospette.

Mai inserire la propria password su pagine che sembrano diverse dall’interfaccia ufficiale di Instagram, anche se il dominio appare corretto.

In caso di sospetto furto dell’account, segnalare immediatamente a Instagram attraverso i canali ufficiali e tentare il recupero seguendo le procedure indicate.

La vigilanza resta l’arma più efficace contro truffe sempre più sofisticate che sfruttano la fiducia degli utenti nei confronti delle piattaforme che utilizzano quotidianamente.