Il caso Meta AI riporta sotto i riflettori un tema che molte aziende stanno ancora sottovalutando: il vero rischio non è soltanto il chatbot, ma la fiducia eccessiva che gli viene concessa all’interno di processi delicati. Secondo Check Point Research, le recenti indiscrezioni su alcuni account Instagram di alto profilo compromessi mostrano che, quando un sistema di intelligenza artificiale viene inserito in procedure sensibili come il recupero di un account, non è più solo uno strumento di supporto: diventa parte del perimetro di sicurezza.

Abuso dei chatbot

Secondo gli esperti il rischio deriva da un possibile abuso del chatbot di supporto basato su Meta AI, che sarebbe stato spinto a modificare l’indirizzo e-mail associato ad alcuni profili Instagram. Tra gli account coinvolti, secondo quanto riportato, ci sarebbero anche profili collegati alla Casa Bianca dell’era Obama, a Sephora e al Chief Master Sergeant della Space Force statunitense. Ma il punto, per Check Point, è che la questione non va letta solo come un classico caso di prompt injection o jailbreak, cioè come un sistema “ingannato” da input malevoli.

Il problema più serio starebbe infatti nel modo in cui l’intelligenza artificiale viene integrata nei processi aziendali. Un recupero account non è una semplice operazione di assistenza clienti: è una procedura che decide chi può entrare in possesso di un’identità digitale. In pratica, equivale a consegnare le chiavi di casa a qualcuno dopo aver controllato chi è davvero. Se in questo passaggio entra in gioco un agente AI con privilegi troppo ampi o con verifiche insufficienti, il rischio non nasce solo da ciò che il modello dice, ma da ciò che può fare.

Il nodo cruciale

Il rischio è che un sistema di intelligenza artificiale può anche seguire correttamente le proprie istruzioni e causare comunque un incidente di sicurezza. In altre parole, non serve che sia “hackerato” in senso classico. Basta che sia inserito in un workflow progettato male, con autorizzazioni troppo estese o senza controlli indipendenti. È un po’ come affidare a un centralinista il compito di aprire la cassaforte: anche se esegue gli ordini alla perfezione, il problema è avergli dato quel potere.

Secondo gli esperti, il nuovo perimetro di sicurezza non si ferma più al modello AI. Comprende anche gli strumenti a cui può accedere, i privilegi che eredita, il contesto operativo in cui agisce e i controlli che dovrebbero scattare prima di ogni azione sensibile. Questo significa che proteggersi da prompt injection e jailbreak resta importante, ma oggi non basta più. Le aziende devono ragionare anche in termini di gestione delle identità, controllo degli accessi, segmentazione dei privilegi e monitoraggio costante dei processi automatizzati.

*Illustrazione progettata da CheckPoint

Negli ultimi giorni alcuni report online hanno rilanciato l’ipotesi di un possibile problema nella gestione delle credenziali da parte di Microsoft Edge, sostenendo che, in particolari condizioni operative, username, password e altri segreti possano transitare o rimanere in memoria in forma leggibile durante alcune fasi dell’autenticazione. Il tema ha attirato attenzione perché tocca un punto molto sensibile: anche quando una password è conservata in modo cifrato su disco, potrebbe comunque dover essere decifrata temporaneamente per essere usata dal browser. È proprio in quel momento che, secondo varie ricostruzioni circolate online, i dati potrebbero risultare visibili nella memoria del processo.

È però importante distinguere tra un allarme generalizzato e uno scenario tecnico molto più circoscritto. Al momento non risulta pubblicato da Microsoft un advisory specifico dedicato a Edge che descriva formalmente il caso nei termini usati da parte degli articoli apparsi in Rete. Questo non significa automaticamente che il tema sia irrilevante, ma suggerisce prudenza: senza una nota tecnica ufficiale, senza una CVE esplicitamente associata e senza dettagli validati dal produttore, il rischio è sovrastimare o semplificare un comportamento che potrebbe rientrare nel normale funzionamento di un browser quando deve usare credenziali già decifrate.

In effetti, nei moderni sistemi operativi il vero discrimine è spesso il contesto della minaccia. Se un computer è già compromesso da malware, da un infostealer o da codice eseguito con privilegi sufficienti, leggere dati sensibili dalla memoria non è un’ipotesi remota ma una tecnica già nota e usata da anni. In altre parole, il problema non sarebbe tanto “Edge espone le password a chiunque”, quanto piuttosto “su un sistema già violato, anche i dati temporaneamente presenti in memoria possono diventare recuperabili”. È una differenza sostanziale, perché sposta l’attenzione dal browser, da solo, all’intera postura di sicurezza del dispositivo.

Va ricordato inoltre che la presenza di segreti in memoria, per un certo intervallo di tempo, non è di per sé una scoperta eccezionale nel mondo della sicurezza. Molte applicazioni, quando devono autenticare un utente, negoziare una sessione o riempire un modulo di login, gestiscono dati sensibili in RAM. La vera domanda è per quanto tempo restino esposti, con quali protezioni, in quali processi e quanto sia realistico per un attaccante intercettarli. Senza questi dettagli, il rischio è trasformare una questione tecnica complessa in un titolo allarmistico ma poco preciso.

In questo quadro si inseriscono le tecnologie di protezione sviluppate da Microsoft per ridurre il furto di credenziali in memoria. Tra queste c’è Credential Guard, funzione di sicurezza di Windows che usa meccanismi di virtualizzazione per isolare meglio alcuni segreti e limitare l’accesso da parte di processi malevoli. Non è una soluzione “magica” per ogni scenario, ma rientra proprio in quella strategia che punta a contenere l’impatto di un dispositivo compromesso, impedendo che il furto delle credenziali diventi immediato o banale. Anche per questo, più che inseguire il singolo titolo allarmistico, ha senso ragionare in termini di difesa multilivello: sistema aggiornato, protezione antimalware, isolamento dei privilegi, uso di password manager affidabili e, dove possibile, autenticazione a più fattori.

Per gli utenti e per le aziende, la conclusione più equilibrata è questa: al momento non ci sono elementi pubblici sufficienti per parlare con certezza di una nuova falla di Edge confermata ufficialmente nei termini più sensazionalistici letti online. Esiste però un tema reale e più ampio, che riguarda la sicurezza dei segreti in memoria quando un sistema è già sotto il controllo di codice ostile. In questo senso, il caso può essere utile come promemoria: non basta proteggere le password “a riposo”, cioè salvate in modo cifrato, se poi il dispositivo su cui vengono usate è già stato compromesso. Il punto centrale, oggi come ieri, resta impedire che un attaccante arrivi a eseguire codice sul sistema della vittima.

Il settore finanziario è sempre più sotto pressione e il motivo non è solo il ransomware. Secondo il nuovo Financial Services Threat Landscape Report 2026 di CrowdStrike, nel 2025 gli attori legati alla Corea del Nord hanno sottratto miliardi di dollari in asset digitali, mentre gruppi riconducibili alla Cina hanno intensificato le attività di spionaggio e i criminali comuni hanno aumentato la pressione con vishing e ransomware. A rendere il quadro ancora più preoccupante c’è l’uso crescente dell’intelligenza artificiale, che aiuta gli attaccanti a muoversi più in fretta e a sembrare più credibili.

Attacchi hands-on-keyboard

Uno dei dati più forti del report riguarda proprio gli attacchi “hands-on-keyboard”, cioè le intrusioni in cui dietro lo schermo non c’è solo un malware automatico, ma un operatore umano che si muove nella rete come farebbe un ladro dentro un edificio. CrowdStrike segnala che questo tipo di incursioni contro gli istituti finanziari è aumentato del 43% a livello globale e del 48% in Nord America negli ultimi due anni. In pratica, gli attaccanti entrano, osservano, si adattano e colpiscono con maggiore precisione.

Il capitolo più clamoroso riguarda però gli avversari nordcoreani. Secondo il report, nel 2025 i furti di asset digitali sono cresciuti del 51% su base annua, fino a raggiungere 2,02 miliardi di dollari sottratti complessivamente. Il gruppo PRESSURE CHOLLIMA avrebbe firmato il più grande furto finanziario mai registrato, con 1,46 miliardi di dollari in criptovalute rubati grazie a software “trojanizzato”, cioè apparentemente legittimo ma modificato per includere codice malevolo, distribuito attraverso una compromissione della supply chain. In parole semplici, è come comprare un prodotto fidato e scoprire che è stato manomesso prima di arrivare nelle proprie mani.

Sempre sul fronte nordcoreano, CrowdStrike evidenzia come l’AI venga ormai usata per rendere più efficaci le operazioni di inganno. FAMOUS CHOLLIMA avrebbe raddoppiato le proprie attività usando identità generate artificialmente per infiltrarsi in exchange di criptovalute, fintech e banche retail. STARDUST CHOLLIMA, invece, avrebbe triplicato l’intensità delle proprie campagne impiegando falsi recruiter e perfino ambienti di videoconferenza generati digitalmente per prendere di mira aziende del settore in Nord America, Europa e Asia. In pratica, non si tratta più solo di e-mail sospette: oggi anche un colloquio di lavoro o un contatto professionale possono diventare strumenti d’attacco.

Il pericolo viene dalla Cina

Accanto alla minaccia nordcoreana, il report segnala anche l’espansione dello spionaggio legato alla Cina. HOLLOW PANDA avrebbe condotto intrusioni contro istituti finanziari nelle Filippine, in Indonesia e in Brasile, mentre MURKY PANDA avrebbe distribuito una rete di “relay box” su oltre 150 endpoint in 36 Paesi, prendendo di mira 340 organizzazioni in più di 30 settori. Tra i bersagli più colpiti figurano proprio i servizi finanziari, che restano una miniera di dati strategici, denaro e accessi privilegiati.

Non meno allarmante è la pressione dell’eCrime. CrowdStrike riferisce che 423 organizzazioni del settore finanziario sono apparse su siti di leak, con un aumento del 27% su base annua. MUTANT SPIDER si distingue per campagne di vishing, cioè truffe telefoniche in cui un criminale si finge una persona affidabile per ottenere accessi o credenziali, poi rivenduti a gruppi ransomware. SCATTERED SPIDER, invece, avrebbe ripreso nella prima metà del 2025 operazioni aggressive contro il comparto assicurativo.

Leggi anche: “CrowStrike Threat Hunting Report”

*Illustrazione progettata da CrowdStrike

Gli attacchi contro gli smartphone Android che sfruttano la tecnologia NFC stanno crescendo rapidamente e diventano sempre più difficili da riconoscere. Secondo Kaspersky, nei primi quattro mesi del 2026 gli attacchi di tipo relay via NFC sono aumentati del 188% rispetto allo stesso periodo del 2025, passando da oltre 12.300 a 35.600 tentativi bloccati.

Tutto parte dall’NFC

Per capire il problema bisogna partire dall’NFC, la tecnologia che permette pagamenti contactless e scambi di dati a distanza molto ravvicinata. È quella che usiamo, per esempio, quando avviciniamo il telefono o la carta al POS per pagare. Proprio questa comodità, però, può diventare un punto debole se i criminali riescono a inserirsi nel flusso dell’operazione e a far credere al sistema che tutto stia avvenendo in modo legittimo. Gli esperti descrivono due modalità principali di attacco. La prima è la cosiddetta NFC diretta: la vittima viene contattata tramite chat o app di messaggistica, spesso con la scusa di una verifica urgente, e convinta a installare un’app dannosa travestita da software finanziario. Dopo l’installazione, i truffatori chiedono di avvicinare la carta bancaria allo smartphone infetto e di inserire il PIN. In questo modo i dati della carta finiscono nelle mani degli aggressori.

La seconda modalità, oggi considerata ancora più insidiosa, è la NFC inversa. In questo caso i truffatori convincono la vittima a impostare sul proprio telefono un’app malevola come sistema di pagamento contactless predefinito. A quel punto la persona viene spinta a recarsi a uno sportello automatico e a versare denaro su un presunto “conto sicuro”. In realtà non sta mettendo al riparo i propri soldi, ma li sta trasferendo direttamente ai criminali.

È proprio questo aspetto a rendere la truffa particolarmente efficace. In molte frodi tradizionali l’attaccante ruba denaro di nascosto; qui invece è la vittima stessa a eseguire l’operazione, convinta di proteggersi. Per chi osserva dall’esterno, il trasferimento può sembrare del tutto normale, ed è quindi più difficile da individuare e bloccare in tempo.

In queste campagne sono coinvolte diverse famiglie di malware Android  tra cui SuperCard X, PhantomCard, NGate e altre varianti basate su NFCGate. La Russia resta l’area più esposta, ma segnala una crescita anche in Europa e America Latina, segno che il fenomeno sta uscendo dai confini in cui era stato notato inizialmente. Un altro elemento importante è l’evoluzione del mercato criminale. Secondo gli esperti, questi strumenti stanno entrando sempre più in logiche di malware-as-a-service, cioè modelli in cui il software dannoso viene di fatto “offerto” ad altri gruppi criminali come un servizio pronto all’uso. In pratica, non serve più sviluppare da zero un attacco sofisticato: basta procurarsi il kit giusto e usarlo.

Per difendersi, le indicazioni sono molto concrete: non installare app ricevute via link su chat, SMS o social, non seguire istruzioni di sconosciuti davanti a un bancomat e usare una protezione affidabile sullo smartphone Android.

*Illustrazione progettata da Kaspersky

Un messaggio apparentemente innocuo ricevuto su WhatsApp, un SMS che sembra arrivare dalla banca o una richiesta urgente da parte di un familiare. Oggi una truffa digitale può partire da situazioni che fanno parte della nostra quotidianità e trasformarsi in una perdita economica nel giro di pochi minuti.

A fotografare il fenomeno è una nuova ricerca realizzata da Kaspersky, secondo cui in Italia oltre la metà delle truffe veicolate tramite messaggi va a segno entro 30 minuti dal primo contatto. Ancora più sorprendente è il dato relativo alla velocità: quasi una vittima su quattro cade nella trappola in meno di cinque minuti.

Secondo lo studio, il danno economico medio supera i 770 euro per persona. Una cifra che, per molte famiglie, può rappresentare l’equivalente di un mese di spesa alimentare, delle bollette o di altre spese essenziali.

Le piattaforme più utilizzate dai criminali informatici sono proprio quelle che milioni di persone usano ogni giorno per comunicare: WhatsApp, SMS e Instagram. I truffatori sfruttano infatti un principio molto semplice: più un messaggio appare familiare, meno probabilità ci sono che venga percepito come pericoloso.

Un esempio tipico è il messaggio che avvisa di un presunto problema con una consegna o con il conto bancario. Altre volte il criminale si finge un figlio o un parente che ha cambiato numero di telefono e ha bisogno urgente di denaro. Situazioni credibili che spingono la vittima ad agire rapidamente senza verificare.

A rendere il fenomeno ancora più insidioso è l’utilizzo crescente dell’intelligenza artificiale. Se fino a pochi anni fa le truffe erano spesso riconoscibili per errori grammaticali o testi poco convincenti, oggi i messaggi possono essere scritti in modo impeccabile e imitare il linguaggio di persone reali.

L’IA consente inoltre di creare immagini, video e persino registrazioni vocali false ma estremamente realistiche. I cosiddetti “deepfake” permettono di simulare la voce di un familiare o di un collega, aumentando notevolmente la credibilità dell’inganno. In pratica, ricevere un messaggio vocale che sembra provenire da una persona conosciuta non è più una garanzia di autenticità.

Le conseguenze non si fermano al denaro sottratto. Lo studio evidenzia infatti un forte impatto emotivo sulle vittime. Rabbia, frustrazione e senso di sconforto possono durare per mesi dopo l’accaduto, minando la fiducia nelle comunicazioni digitali e nelle persone.

Un altro dato significativo riguarda il furto di dati personali. Oltre alle perdite economiche, molte vittime consegnano inconsapevolmente informazioni sensibili come indirizzi e-mail, numeri di telefono, credenziali di accesso o dati relativi alla propria abitazione. Informazioni che possono essere riutilizzate per ulteriori attacchi.

Gli esperti ricordano che la migliore difesa resta la prudenza. Quando un messaggio chiede di effettuare un pagamento urgente, cliccare su un link o condividere informazioni personali, è sempre consigliabile fermarsi qualche minuto e verificare l’identità del mittente attraverso un canale diverso. Una telefonata diretta, ad esempio, può essere sufficiente per smascherare una truffa.

*Illustrazione progettata da Kaspsesky

La cybersicurezza non è più una voce da delegare agli uffici legali o un adempimento da archiviare in un fascicolo. Oggi, per le aziende, significa soprattutto una cosa: saper resistere davvero a un attacco informatico e continuare a lavorare anche sotto pressione. È da questa consapevolezza che nasce il Cyber Resilience Summit 2026, l’evento promosso da Logos Technologies e in programma l’11 giugno a Montebelluna, negli spazi di Infinite Area, con oltre cento tech leader del Triveneto attesi e una platea complessiva di circa 160 partecipanti.

Il messaggio è chiaro: il 2026 segna uno spartiacque per il sistema produttivo del Nordest. Da un lato finisce il periodo di adattamento legato alla direttiva NIS2, dall’altro entra nel vivo il Cyber Resilience Act europeo, che alza l’asticella per aziende e produttori di tecnologie digitali. In altre parole, non basta più dichiarare di essere conformi alle regole: bisogna dimostrare, con strumenti, processi e competenze, di saper proteggere infrastrutture, dati e continuità operativa.

Contesto sempre più critico

Secondo i dati citati nel testo, sei piccole aziende su dieci non riescono a sopravvivere oltre sei mesi dopo un attacco informatico grave, mentre i danni economici possono superare i 100 mila euro per una PMI e arrivare a un milione per una grande impresa. A pesare non sono solo i costi tecnici per il ripristino, ma anche i blocchi produttivi, i problemi legali e il danno reputazionale. Per un territorio come il Triveneto, dove il manifatturiero ha un ruolo centrale, il rischio è ancora più sensibile: fermare una filiera oggi può voler dire rallentare o bloccare molte aziende insieme.

È proprio su questo scenario che punta il summit organizzato da Logos Technologies, azienda di Mestre attiva dal 1998 nel supporto tecnologico alle imprese del territorio. L’evento si rivolge a imprenditori, specialisti di cybersicurezza e professionisti IT e OT. Quest’ultima sigla indica le tecnologie operative, cioè i sistemi che controllano macchinari, impianti e processi industriali: non i computer d’ufficio, ma quelli che tengono in piedi la produzione vera e propria.

Il programma dell’evento

Il summit prevede oltre dieci sessioni formative e workshop dal taglio molto concreto. Tra gli interventi annunciati ci sono quelli di Microsoft, Arrow Electronics, Veeam, ThinkQuantum, CyberRabbit, SGBox e RedHive. Si parlerà di protezione dei dati, backup immutabili, gestione dei log, servizi SOC, difesa degli endpoint e persino di applicazioni della fisica quantistica alla sicurezza informatica. Tradotto per chi non mastica il gergo: si discuterà di come evitare che un attacco blocchi i server, cancelli i dati o apra falle invisibili nelle reti aziendali.

Tra i momenti più interessanti ci sarà anche un laboratorio pratico dedicato agli attacchi “man in the middle”, cioè a quelle tecniche con cui un criminale si inserisce di nascosto nella comunicazione tra due sistemi per intercettare dati o prendere il controllo di una sessione.

Una nuova truffa online dimostra che, oggi, per mettere in difficoltà gli utenti non serve nemmeno installare un virus sul computer. Secondo Barracuda Research, dall’inizio del 2026 sono stati rilevati circa 2,8 milioni di attacchi legati a CypherLoc, un kit di scareware via browser progettato per spaventare la vittima e convincerla a chiamare un falso servizio di assistenza tecnica.

Il termine scareware indica proprio questo: una truffa costruita per far paura. In pratica, l’utente riceve una mail di phishing con un link o un allegato; dopo il clic, viene portato su una pagina che all’apparenza sembra normale. In realtà, al suo interno è nascosto un codice che si attiva solo in presenza di determinate condizioni, per esempio quando non rileva strumenti di sicurezza o ambienti di analisi. È un po’ come una trappola che scatta soltanto quando capisce di avere davanti una vittima “vera” e non un sistema di controllo.

Da quel momento la pagina prende il controllo del browser: passa a schermo intero, blocca i comandi, rallenta il sistema e mostra falsi avvisi di sicurezza dal tono allarmante. L’obiettivo è creare panico. Sullo schermo possono comparire forti segnali acustici, messaggi ripetuti, moduli di accesso finti e perfino l’indirizzo IP dell’utente, mostrato come se fosse la prova di un attacco in corso. Per chi non è esperto, vedere questi elementi tutti insieme può dare l’impressione che il computer sia davvero compromesso.

La truffa in pratica

Il punto più insidioso è che la truffa non punta subito a installare malware, ma a manipolare il comportamento della persona. A un certo punto compare infatti un numero di telefono presentato come unica soluzione al problema. Chi chiama, però, non trova un tecnico vero, ma un truffatore che si spaccia per assistenza ufficiale. Da lì può iniziare una seconda fase dell’attacco, fatta di ingegneria sociale: domande studiate per ottenere password, accessi o dati personali, proprio come farebbe un finto operatore bancario che cerca di convincerci a rivelare il PIN. Secondo Barracuda, CypherLoc rappresenta bene l’evoluzione dello scareware: non più solo schermate bloccate e messaggi grossolani, ma framework molto più sofisticati, capaci di eludere i controlli e usare il browser come strumento di pressione psicologica. In sostanza, la finestra del browser diventa il palcoscenico della truffa.

*Illustrazione progettata da Barracuda