Rischi Cyber Social Media: Social Engineering e Minacce AI Generativa 2026

Rischi Cyber Social Media: Social Engineering e Minacce nell’Era dell’AI Generativa

L’attività sui social media espone milioni di utenti a minacce cyber sempre più sofisticate. Cinque anni fa, il report “How to hack a human” di Tessian evidenziava come oltre tre quarti delle persone pubblicassero informazioni sui social che potevano renderli vulnerabili ad attacchi informatici. Oggi, nel 2026, lo scenario è drammaticamente peggiorato con l’avvento dell’intelligenza artificiale generativa.

Il social engineering, ovvero l’insieme di tecniche psicologiche volte a spingere le persone a rivelare informazioni sensibili, si è evoluto grazie agli strumenti di AI. Infatti, gli attaccanti possono ora creare contenuti estremamente personalizzati e convincenti analizzando automaticamente migliaia di post social. Pertanto, la consapevolezza dei rischi e l’adozione di comportamenti prudenti online sono diventate questioni di sicurezza aziendale critica.

L’Evoluzione del Social Engineering: Dal 2021 al 2026

Nel 2021, il report Tessian evidenziava che gli attaccanti analizzavano manualmente i profili social per identificare target vulnerabili. Il processo richiedeva tempo e competenze umane. Tuttavia, l’intelligenza artificiale ha rivoluzionato completamente questo scenario. Oggi, strumenti automatizzati basati su modelli linguistici analizzano profili social in pochi secondi, estraendo dati su interessi, relazioni familiari, abitudini di viaggio e connessioni professionali.

Le piattaforme di AI generativa permettono di creare e-mail di phishing perfettamente scritte, imitando lo stile comunicativo di colleghi o dirigenti aziendali. Inoltre, la sintesi vocale consente di produrre telefonate deepfake convincenti, dove la voce del CEO chiede trasferimenti urgenti di denaro. Di conseguenza, anche dipendenti addestrati possono cadere in truffe sempre più realistiche.

Un dato preoccupante riguarda l’aumento esponenziale degli attacchi. Se nel 2020 Tessian rilevava un incremento del 15% nel semestre, i dati 2025-2026 mostrano aumenti del 40-50% annuo. Pertanto, le aziende italiane devono affrontare un volume di tentativi di frode mai visto prima, con livelli di sofisticazione che rendono obsolete le difese tradizionali.

Informazioni a Rischio Pubblicate sui Social: Cosa Rivelano gli Utenti

Il report Tessian del 2021 identificava comportamenti rischiosi specifici che rimangono attuali anche nel 2026. Innanzitutto, il 50% degli utenti condivide nomi e foto dei propri figli. Questo consente agli attaccanti di creare scenari di minaccia emotiva (“suo figlio Marco è in pericolo”) estremamente convincenti. Inoltre, le foto geolocalizzate rivelano scuole, abitazioni e percorsi quotidiani.

Il 72% degli utenti menziona celebrazioni di compleanno. Questa informazione sembra innocua ma permette di crackare password che spesso includono date di nascita. Inoltre, combinando compleanno con nomi di familiari pubblicati, gli attaccanti possono rispondere a domande di sicurezza bancarie. Pertanto, informazioni frammentate diventano combinazioni letali per la sicurezza.

L’81% aggiorna il proprio status lavorativo su LinkedIn. Di fatto, cambi di ruolo, nuove assunzioni e promozioni creano finestre temporali perfette per attacchi. Infatti, un neoassunto non conosce ancora procedure interne e può essere facilmente ingannato da e-mail che simulano richieste del reparto IT o HR. Inoltre, i primi giorni di lavoro sono frenetici e riducono l’attenzione ai dettagli sospetti.

Un comportamento particolarmente rischioso emerso dal 2022 in poi riguarda la condivisione di achievement professionali: certificazioni ottenute, corsi completati, eventi seguiti. Queste informazioni permettono agli attaccanti di costruire profili dettagliati delle competenze tecniche del target, identificando i livelli di accesso ai sistemi che probabilmente possiede.

Vuoi proteggere la tua azienda dal rischio cyber legato ai social media?

Compila il modulo Contattaci 

Messaggi Out-of-Office: Una Miniera d’Oro per gli Attaccanti

I messaggi automatici di assenza dall’ufficio rappresentano una vulnerabilità sottovalutata ma critica. Il 53% dei dipendenti comunica nelle e-mail OOO il tempo esatto di assenza (“sarò fuori dal 15 al 25 luglio”). Inoltre, il 51% fornisce informazioni per il contatto personale (“per urgenze chiamare il numero +39…”). Pertanto, gli attaccanti sanno esattamente quando un dirigente o un responsabile finanziario non può verificare direttamente richieste sospette.

Il 42% spiega dove andrà durante l’assenza (“in vacanza alle Maldive”, “al matrimonio di mio fratello”). Questo dettaglio permette agli attaccanti di creare pretesti convincenti. Ad esempio, un’e-mail che dice “sono bloccato alle Maldive, carta di credito rubata, puoi fare un bonifico urgente?” risulta estremamente credibile se chi riceve sa che il mittente è effettivamente là.

Katie Paxton-Fear, docente di cybersecurity presso la Manchester Metropolitan University, sottolineava già nel 2021 che i messaggi OOO forniscono tutte le informazioni necessarie per impersonare una persona senza dover svolgere attività particolarmente sofisticate. Nel 2026, con l’AI generativa, questo problema è esploso. Infatti, i chatbot possono generare centinaia di varianti di e-mail fraudolente personalizzate per ogni assenza rilevata.

Una best practice aziendale consiste nel configurare messaggi OOO generici: “sarò assente con accesso limitato alla posta. Per questioni urgenti contattare l’ufficio al numero centralino”. Pertanto, mai includere date precise, destinazioni o numeri personali. Inoltre, le aziende dovrebbero implementare sistemi che disabilitano automaticamente i messaggi OOO dopo il rientro, evitando che rimangano attivi per errore.

LinkedIn: Il Social Network Preferito dagli Attaccanti Professionali

LinkedIn è diventato lo strumento principale per attacchi mirati al settore corporate. Infatti, gli utenti pubblicano volontariamente organigrammi aziendali completi, ruoli esatti, responsabilità e progetti in corso. Di conseguenza, gli attaccanti identificano rapidamente chi ha accesso a sistemi critici, chi gestisce budget e chi approva pagamenti.

Un attacco tipico inizia con una richiesta di connessione da parte di un profilo falso ma credibile: recruiter, fornitore, potenziale cliente. Una volta accettata, l’attaccante accede alla rete di contatti e può mappare relazioni gerarchiche. Pertanto, sa chi risponde a chi, quali team collaborano e chi ha autorità decisionale. Queste informazioni permettono di orchestrare attacchi Business Email Compromise (BEC) estremamente mirati.

Nel 2026, gli attaccanti utilizzano profili LinkedIn generati interamente da AI: foto deepfake, esperienze professionali plausibili, endorsement falsi ma convincenti. Inoltre, questi profili interagiscono gradualmente con il target commentando post, condividendo contenuti, costruendo fiducia prima di sferrare l’attacco vero e proprio. Di fatto, la distinzione tra profilo reale e falso è diventata impercettibile anche per utenti esperti.

Deepfake e Intelligenza Artificiale: Nuove Frontiere del Pericolo

L’avvento dell’AI generativa ha introdotto minacce che nel 2021 erano fantascienza. I deepfake video permettono di creare videochiamate false indistinguibili dalla realtà. Infatti, un CFO può ricevere una videochiamata Zoom apparentemente dal CEO che chiede un bonifico urgente. Voce, volto, gestualità e background sono perfettamente replicati da algoritmi che hanno analizzato ore di video pubblici della persona imitata.

Casi reali documentati nel 2025 includono truffe per milioni di euro basate su videoconferenze deepfake. Un’azienda multinazionale ha trasferito 35 milioni di dollari dopo una call con quello che sembrava il CFO di Hong Kong. In realtà, tutti i partecipanti alla call erano deepfake generati da AI. Pertanto, le procedure di autenticazione basate solo su riconoscimento visivo o vocale non sono più sufficienti.

Le contromisure includono l’implementazione di protocolli di verifica multipla: codici one-time condivisi su canali diversi, frasi di sicurezza concordate preventivamente, callback su numeri verificati. Inoltre, per transazioni superiori a soglie definite, è obbligatoria l’autenticazione in presenza o tramite firma digitale con token hardware.

Best Practice Aziendali: Formazione e Policy di Sicurezza

Le aziende devono adottare policy chiare sull’utilizzo dei social media da parte dei dipendenti. Innanzitutto, è necessario un regolamento che definisce quali informazioni possono essere condivise online. Ad esempio, vietare la pubblicazione di foto di badge aziendali (spesso contengono codici a barre o QR code validi per accessi), organigrammi dettagliati, nomi di progetti interni o clienti senza autorizzazione.

La formazione continua è fondamentale. Tuttavia, non bastano sessioni annuali generiche. Infatti, le minacce evolvono mensile e i dipendenti devono essere aggiornati costantemente. Pertanto, programmi di security awareness moderni includono simulazioni di phishing mensili, newsletter con esempi reali di attacchi ricevuti, gamification per premiare comportamenti sicuri.

Un aspetto spesso trascurato riguarda i profili social di dirigenti e C-level. Questi soggetti sono target primari e devono adottare misure di protezione superiori. Infatti, i loro account devono avere autenticazione multifattore obbligatoria, restrizioni sulla visibilità dei post, verifica manuale delle richieste di connessione. Inoltre, è consigliabile mantenere separati profili personali e professionali.

Phishing via Social Media: Tecniche Comuni e Segnali di Allarme

Il phishing è migrato da e-mail a messaggi diretti su social media. Infatti, LinkedIn Messages, Facebook Messenger, Instagram DM e WhatsApp Business sono ora vettori primari di attacco. I messaggi sembrano provenire da contatti legittimi grazie all’account hijacking: un collega il cui account è stato compromesso invia link malevoli a tutta la sua rete.

I segnali di allarme includono richieste urgenti inusuali (“ho bisogno di un favore, puoi cliccare questo link?”), errori grammaticali incoerenti con il mittente abituale, proposte di lavoro o investimento troppo vantaggiose. Inoltre, link accorciati (bit.ly, tinyurl) devono sempre destare sospetto perché nascondono la destinazione reale.

Una tecnica sofisticata emersa nel 2024 coinvolge la creazione di siti clone perfetti. L’attaccante replica la pagina di login di LinkedIn, Microsoft 365 o Google Workspace. Il link nel messaggio DM porta alla pagina clone. L’utente inserisce credenziali che vengono immediatamente rubate. Inoltre, il sito clone effettua un redirect alla pagina reale, quindi l’utente non nota nulla di anomalo inizialmente.

Le aziende devono implementare sistemi di protezione endpoint che bloccano accessi a domini noti per phishing. Inoltre, l’autenticazione multifattore basata su app (non SMS) è obbligatoria per tutti gli account aziendali. Di fatto, anche se le password vengono rubate, l’attaccante non può accedere senza il secondo fattore.

Coperture Assicurative Cyber: Protezione Finanziaria contro Social Engineering

Le polizze cyber risk moderne coprono specificamente perdite derivanti da social engineering e Business Email Compromise. Infatti, i trasferimenti fraudolenti causati da e-mail falsificate o telefonate deepfake rientrano nelle garanzie delle polizze cyber di qualità. Pertanto, un’azienda che subisce una truffa BEC può recuperare le somme perse, entro i limiti di polizza.

Tuttavia, le compagnie assicurative richiedono l’implementazione di controlli minimi di sicurezza. Questi includono autenticazione multifattore, formazione annuale documentata del personale, procedure di verifica per pagamenti sopra soglie definite, backup regolari dei dati. Pertanto, un’azienda che non rispetta questi requisiti può vedersi negare l’indennizzo anche con polizza valida.

I massimali per social engineering e BEC variano tipicamente da 100.000 a 5 milioni di euro. Inoltre, alcune polizze includono servizi di incident response: team di esperti che intervengono immediatamente per limitare i danni, recuperare fondi trasferiti, gestire comunicazioni con autorità e clienti. Di fatto, la rapidità di intervento nelle prime ore post-attacco è cruciale per minimizzare le perdite.

Vuoi una valutazione della tua esposizione al rischio cyber e delle coperture assicurative adeguate?

Compila il modulo Contattaci 

Conclusioni: Consapevolezza e Protezione Multilivello

Il report Tessian del 2021 evidenziava rischi che oggi, nel 2026, si sono materializzati con conseguenze devastanti per migliaia di aziende. L’intelligenza artificiale ha amplificato esponenzialmente capacità e velocità degli attaccanti. Pertanto, affidarsi solo alla tecnologia di difesa non è sufficiente: serve una cultura aziendale della sicurezza che coinvolga ogni dipendente.

La consapevolezza dei rischi legati ai social media deve diventare parte integrante del mindset aziendale. Ogni post, ogni connessione LinkedIn, ogni messaggio OOO deve essere valutato criticamente. Inoltre, le aziende devono investire non solo in tecnologie di difesa ma anche in formazione continua e polizze assicurative adeguate.

Il social engineering sfrutta la natura umana: fiducia, urgenza, autorità, paura. Gli algoritmi di AI perfezionano questi attacchi rendendoli quasi impercettibili. Di conseguenza, la difesa richiede consapevolezza costante, procedure rigorose e protezione assicurativa per gli eventi che inevitabilmente supereranno le barriere tecniche e umane.

Fonti e Approfondimenti

Documentazione originale: Tessian “How to hack a human” Report 2021, interviste comunità HackerOne. Esperti citati: Harry Denley (MyCrypto, anti-phishing specialist), Katie Paxton-Fear (Manchester Metropolitan University, cybersecurity). Per accedere al report originale Tessian: How to hack a human – Tessian Research. Fonte primaria: Tessian Limited.