L’episodio che coinvolge l’assistente di supporto automatizzato di rappresenta qualcosa di più interessante di una semplice vulnerabilità tecnica. Rivela un problema strutturale che sta emergendo in tutta l’industria tecnologica: l’idea che un agente basato su intelligenza artificiale possa sostituire processi di sicurezza costruiti nel corso di anni senza introdurre nuovi rischi sistemici.
Secondo quanto confermato dall’azienda, gli aggressori sarebbero riusciti a sfruttare il chatbot di assistenza per modificare l’indirizzo email associato a profili di Instagram e successivamente reimpostarne la password. La procedura era sorprendentemente semplice. Simulando la posizione geografica della vittima tramite VPN e interagendo con il sistema di supporto, l’attaccante convinceva il bot a eseguire una sequenza di operazioni che, una volta completata, portava al controllo totale dell’account.
Il punto più interessante non è che l’IA abbia commesso un errore. Il punto è che non ha commesso alcun errore dal proprio punto di vista. Ha seguito perfettamente le istruzioni e le regole operative che le erano state assegnate.
Questa distinzione è fondamentale. Nella cybersecurity tradizionale si tende a pensare alle vulnerabilità come a bug software, errori di programmazione o falle crittografiche. Qui siamo davanti a qualcosa di diverso: un fallimento di governance dell’automazione. Il sistema era stato progettato per aiutare gli utenti a recuperare rapidamente l’accesso ai propri account. Gli hacker hanno semplicemente imparato a impersonare un utente legittimo meglio di quanto il sistema fosse in grado di distinguerli.
L’industria dell’intelligenza artificiale sta attraversando una fase in cui ogni azienda vuole dimostrare di possedere agenti autonomi capaci di eseguire operazioni sempre più complesse. Prenotare viaggi, effettuare acquisti, rispondere ai clienti, modificare configurazioni di account, autorizzare procedure amministrative. Il valore commerciale è evidente: meno personale umano, tempi di risposta più rapidi, costi operativi inferiori.
La sicurezza, tuttavia, segue una logica opposta. Ogni processo critico dovrebbe introdurre attriti, verifiche indipendenti e controlli multipli. L’automazione tende invece a eliminare proprio quegli attriti che storicamente hanno impedito agli attaccanti di operare con facilità.
Quando un essere umano del supporto clienti riceve una richiesta sospetta può notare incoerenze, formulare domande aggiuntive o semplicemente decidere di interrompere la procedura. Un agente AI, salvo protezioni specifiche, non possiede questo istinto. Possiede regole.
La vicenda dimostra inoltre un fenomeno sempre più diffuso nel mondo della sicurezza: gli attaccanti non cercano necessariamente vulnerabilità nel codice. Cercano vulnerabilità nei processi. Se il percorso più semplice per compromettere un account non è forzare una password ma convincere il sistema di recupero credenziali a consegnarlo spontaneamente, allora è lì che si concentreranno gli investimenti criminali.
Particolarmente significativo è il fatto che siano stati coinvolti profili ad alta visibilità, inclusi brand e figure istituzionali. Questo suggerisce che il problema non fosse limitato a casi marginali ma riguardasse il cuore stesso del meccanismo di recupero account. In un’economia digitale in cui gli account social rappresentano asset economici, reputazionali e politici, una falla di questo tipo assume un peso molto maggiore rispetto alla perdita di accesso a un semplice servizio online.
La lezione strategica per il settore tecnologico è piuttosto chiara. L’intelligenza artificiale non dovrebbe essere considerata un sostituto dei controlli di sicurezza ma un ulteriore elemento da sottoporre a controlli di sicurezza. La differenza sembra semantica, ma in realtà cambia completamente il modello di progettazione.
Molte aziende stanno implementando agenti AI con privilegi elevati prima di aver sviluppato modelli maturi di supervisione. È una dinamica che ricorda le prime fasi del cloud computing, quando la velocità di adozione superava la capacità di governare i rischi. Oggi la pressione competitiva legata all’AI sta producendo comportamenti simili.
La storia del supporto automatizzato di Meta probabilmente verrà ricordata come uno dei primi casi emblematici dell’era degli agenti autonomi. Non perché l’attacco fosse particolarmente sofisticato, ma per il motivo opposto. Se un sistema può essere sfruttato seguendo esattamente il percorso previsto dai progettisti, significa che il problema non è l’hacker. È il modello operativo.
Nell’euforia che circonda gli agenti AI, molte aziende stanno misurando velocità, produttività e riduzione dei costi. Gli aggressori stanno misurando qualcos’altro: quanti privilegi vengono concessi a un sistema che non comprende realmente le conseguenze delle proprie azioni. La distanza tra queste due metriche sta diventando uno dei principali rischi della nuova economia dell’intelligenza artificiale.