Roma, 10 gennaio 2026 – Nei giorni scorsi potreste aver ricevuto anche voi una mail di Instagram per resettare la password. La buona notizia? Molto probabilmente non è la solita campagna di phising. La cattiva? È molto peggio. Quello che sta accadendo in queste ore è infatti l’onda d’urto di uno dei più gravi incidenti di sicurezza degli ultimi dieci anni. Non si tratta di un semplice bug momentaneo, ma, secondo quanto riportano gli esperti di Malwarebytes Labs, di una massiccia violazione dei dati (data breach). Un database contenente le informazioni sensibili di circa 17,5 milioni di utenti di Instagram, infatti, è stato sottratto e messo in vendita sul Dark Web, quella parte di internet che richiede particolari accorgimenti per essere esplorata.
La situazione
A differenza di altri episodi passati, questa volta la situazione è particolarmente critica perché i dati rubati non si limitano al mondo digitale. Oltre a nomi utente, email e numeri di telefono, il database include gli indirizzi fisici di residenza. Probabilmente sottratti sfruttando una falla nei sistemi che gestiscono i profili Business o lo Shopping su Instagram, questi dati trasformano il rischio da virtuale a reale, esponendo le vittime al pericolo di doxxing: la pratica di rendere pubblici i dati privati di una persona per invogliare altri a molestarla o perseguitarla nel mondo reale.
Approfondisci:
L’azienda italiana che collaborerà alla creazione di una costellazione di satelliti per gli Emirati Arabi. Cosa prevede il progetto SIRB
Il paradosso dei vip
Un aspetto allarmante di questa vicenda riguarda i profili più in vista. “Gli account con un alto numero di follower – spiega il collettivo di sicurezza italiano RansomNews – potrebbero essere tra i bersagli privilegiati di questa ondata. Il motivo è puramente economico: rubare il profilo a un influencer, a uno sportivo, a un politico o a un’azienda permette agli hacker di chiedere un riscatto in denaro per la restituzione dell’account o per non divulgare contenuti privati”. Questi profili, paradossalmente, sono anche spesso meno protetti di quelli degli utenti comuni. “La gestione di un account da milioni di follower è affidata a staff numerosi (social media manager, agenzie, assistenti) e l’utilizzo dell’autenticazione a due fattori (quella che richiede un codice temporaneo oltre alla password, ndr) diventa un ostacolo logistico. Condividere un codice che cambia ogni 30 secondi tra persone diverse che lavorano da luoghi diversi è laborioso. Per comodità, quindi, questa protezione fondamentale viene spesso disattivata, rendendo i profili più preziosi paradossalmente i più esposti”.
Approfondisci:
YouTube dice basta ai falsi trailer fatti con IA: via centinaia di canali e stop ai deepfake
Il caos nelle mail
La situazione più confusa per gli utenti riguarda la pioggia di email con oggetto “Resetta la tua password”. È fondamentale chiarire un punto: molte di queste email sono autentiche e provengono davvero da Instagram.
Poiché gli hacker sono in possesso di milioni di nomi utente, molto probabilmente – come spiega TheCyberSecGuru – stanno usando dei software automatici (bot) per tentare di indovinare le password a ripetizione (“attacco forza bruta”). I sistemi di sicurezza di Instagram rilevano questi tentativi sospetti e, per difesa, inviano automaticamente al legittimo proprietario una mail reale avvisando del tentativo di accesso o chiedendo il cambio password. Tuttavia, è proprio in questa confusione che si nascondono gli sciacalli. Criminali informatici estranei al furto principale stanno approfittando del panico per inviare milioni di email di phishing che imitano perfettamente quelle vere. Il loro obiettivo è mescolarsi al flusso di avvisi legittimi sperando che l’utente, spaventato, clicchi su un link falso e regali spontaneamente le sue credenziali. La distinzione è sottile e pericolosa: potreste avere nella stessa casella di posta una mail vera (inviata dal sistema di difesa di Meta) e una falsa (inviata da un truffatore), arrivate a pochi minuti di distanza. È fondamentale, quindi, non cliccare mai sui link nelle mail, ma agire sempre direttamente dall’app ufficiale.
Il pericolo nel telefonino
Oltre all’indirizzo di casa, la presenza dei numeri di telefono nel database rubato espone al cosiddetto rischio di Sim-Swapping. Con il tuo numero e i tuoi dati personali, un criminale può infatti ingannare l’operatore telefonico e chiedere di trasferire la tua linea su una nuova SIM. Se ci riescono, riceveranno loro i tuoi SMS, inclusi i codici di sicurezza per entrare nel tuo Instagram o nel tuo conto bancario.
Come proteggersi
La prima regola è mantenere la calma ma agire subito. Non fidatevi delle mail in arrivo: aprite Instagram, andate nelle Impostazioni e cercate la voce “Email da Instagram”. Lì troverete il registro ufficiale delle comunicazioni vere; se la mail che avete ricevuto non è in quella lista, è una truffa. Successivamente, cambiate la password scegliendone una complessa e, cosa più importante, attivate l’autenticazione a due fattori tramite un’app di autenticazione (come Google Authenticator o Duo Mobile). Questo piccolo passaggio rende inutile il furto del vostro numero di telefono e blinda il vostro account contro la maggior parte degli attacchi descritti.