Rischi Cyber Social Media: Social Engineering e Minacce AI Generativa 2026

L’attività sui rischi cyber social media espone milioni di utenti a minacce sempre più sofisticate. L’analisi che segue è proposta dal punto di vista della gestione del rischio e delle implicazioni assicurative; le valutazioni tecniche di sicurezza informatica competono a professionisti IT specializzati. Cinque anni fa, il report “How to hack a human” di Tessian evidenziava come oltre tre quarti delle persone pubblicassero informazioni sui social che potevano renderli vulnerabili ad attacchi informatici. Oggi, nel 2026, lo scenario è drammaticamente peggiorato con l’avvento dell’intelligenza artificiale generativa.

Come leggere questo approfondimento

Questo articolo elabora i contenuti del report Tessian “How to hack a human” dal punto di vista della gestione del rischio e delle implicazioni assicurative per le aziende italiane. Le raccomandazioni tecniche (MFA, sistemi endpoint, protocolli di verifica) competono ai professionisti IT interni o ai partner di sicurezza: il ruolo di Pico Adviser è strutturare la copertura Cyber Risk più adeguata all’esposizione specifica di ogni azienda.

Rischi cyber social media — in sintesi: Il social engineering sfrutta informazioni pubblicate sui social per attacchi mirati. Il 50% degli utenti condivide foto e nomi dei figli; il 72% menziona compleanni; l’81% aggiorna il proprio status lavorativo su LinkedIn. L’AI generativa ha amplificato questi rischi: analisi automatica di profili in secondi, phishing personalizzato, deepfake video e vocali indistinguibili. Nel 2025 una multinazionale ha trasferito 35 milioni di dollari dopo una call con CEO e CFO deepfake. Gli attacchi BEC e social engineering sono coperti dalle polizze Cyber Risk moderne, con massimali da 100.000 a 5 milioni di euro. Pico Adviser, broker indipendente dal 1991, seleziona la copertura più adeguata per ogni profilo aziendale.

Rischi Cyber Social Media: Social Engineering e Minacce nell’Era dell’AI Generativa

Il social engineering — l’insieme di tecniche psicologiche volte a spingere le persone a rivelare informazioni sensibili — si è evoluto grazie agli strumenti di AI. Gli attaccanti possono ora creare contenuti estremamente personalizzati e convincenti analizzando automaticamente migliaia di post social. Pertanto, la consapevolezza dei rischi e l’adozione di comportamenti prudenti online sono diventate questioni di sicurezza aziendale critica.

L’Evoluzione del Social Engineering: Dal 2021 al 2026

Nel 2021, il report Tessian evidenziava che gli attaccanti analizzavano manualmente i profili social per identificare target vulnerabili. Il processo richiedeva tempo e competenze umane. Tuttavia, l’intelligenza artificiale ha rivoluzionato completamente questo scenario. Oggi, strumenti automatizzati analizzano profili social in pochi secondi, estraendo dati su interessi, relazioni familiari, abitudini di viaggio e connessioni professionali.

Le piattaforme di AI generativa permettono di creare e-mail di phishing perfettamente scritte, imitando lo stile comunicativo di colleghi o dirigenti aziendali. Inoltre, la sintesi vocale consente di produrre telefonate deepfake convincenti, dove la voce del CEO chiede trasferimenti urgenti di denaro. Di conseguenza, anche dipendenti addestrati possono cadere in truffe sempre più realistiche.

Un dato preoccupante riguarda l’aumento esponenziale degli attacchi. Se nel 2020 Tessian rilevava un incremento del 15% nel semestre, i dati 2025-2026 mostrano aumenti del 40-50% annuo. Pertanto, le aziende italiane devono affrontare un volume di tentativi di frode mai visto prima, con livelli di sofisticazione che rendono obsolete le difese tradizionali.

Informazioni a Rischio Pubblicate sui Social: Cosa Rivelano gli Utenti

Il report Tessian del 2021 identificava comportamenti rischiosi specifici che rimangono attuali anche nel 2026. Il 50% degli utenti condivide nomi e foto dei propri figli. Questo consente agli attaccanti di creare scenari di minaccia emotiva estremamente convincenti. Inoltre, le foto geolocalizzate rivelano scuole, abitazioni e percorsi quotidiani.

Il 72% degli utenti menziona celebrazioni di compleanno. Questa informazione sembra innocua ma permette di crackare password che spesso includono date di nascita. Combinando compleanno con nomi di familiari pubblicati, gli attaccanti possono rispondere a domande di sicurezza bancarie. Pertanto, informazioni frammentate diventano combinazioni letali per la sicurezza.

L’81% aggiorna il proprio status lavorativo su LinkedIn. Cambi di ruolo, nuove assunzioni e promozioni creano finestre temporali perfette per attacchi. Infatti, un neoassunto non conosce ancora procedure interne e può essere facilmente ingannato da e-mail che simulano richieste del reparto IT o HR. Inoltre, i primi giorni di lavoro sono frenetici e riducono l’attenzione ai dettagli sospetti.

Un comportamento particolarmente rischioso emerso dal 2022 riguarda la condivisione di achievement professionali: certificazioni ottenute, corsi completati, eventi seguiti. Queste informazioni permettono agli attaccanti di costruire profili dettagliati delle competenze tecniche del target, identificando i livelli di accesso ai sistemi che probabilmente possiede.

Vuoi proteggere la tua azienda dal rischio cyber legato ai social media?

Compila il modulo Contattaci

Messaggi Out-of-Office: Una Miniera d’Oro per gli Attaccanti

I messaggi automatici di assenza dall’ufficio rappresentano una vulnerabilità sottovalutata ma critica. Il 53% dei dipendenti comunica nelle e-mail OOO il tempo esatto di assenza. Inoltre, il 51% fornisce informazioni per il contatto personale. Pertanto, gli attaccanti sanno esattamente quando un dirigente non può verificare direttamente richieste sospette.

Il 42% spiega dove andrà durante l’assenza. Questo dettaglio permette agli attaccanti di creare pretesti convincenti. Ad esempio, un’e-mail che dice “sono bloccato alle Maldive, carta di credito rubata, puoi fare un bonifico urgente?” risulta estremamente credibile se chi riceve sa che il mittente è effettivamente là.

Katie Paxton-Fear, docente di cybersecurity presso la Manchester Metropolitan University, sottolineava già nel 2021 che i messaggi OOO forniscono tutte le informazioni necessarie per impersonare una persona. Nel 2026, con l’AI generativa, questo problema è esploso. I chatbot possono generare centinaia di varianti di e-mail fraudolente personalizzate per ogni assenza rilevata.

Una best practice aziendale consiste nel configurare messaggi OOO generici: “sarò assente con accesso limitato alla posta. Per questioni urgenti contattare l’ufficio al numero centralino”. Pertanto, mai includere date precise, destinazioni o numeri personali. Le aziende dovrebbero inoltre implementare sistemi che disabilitano automaticamente i messaggi OOO dopo il rientro.

LinkedIn e Rischi Cyber Social Media: Il Network Preferito dagli Attaccanti

LinkedIn è diventato lo strumento principale per attacchi mirati al settore corporate. Gli utenti pubblicano volontariamente organigrammi aziendali completi, ruoli esatti, responsabilità e progetti in corso. Di conseguenza, gli attaccanti identificano rapidamente chi ha accesso a sistemi critici, chi gestisce budget e chi approva pagamenti.

Un attacco tipico inizia con una richiesta di connessione da un profilo falso ma credibile: recruiter, fornitore, potenziale cliente. Una volta accettata, l’attaccante accede alla rete di contatti e mappa relazioni gerarchiche. Sa pertanto chi risponde a chi, quali team collaborano e chi ha autorità decisionale. Queste informazioni permettono di orchestrare attacchi Business Email Compromise (BEC) estremamente mirati.

Nel 2026, gli attaccanti utilizzano profili LinkedIn generati interamente da AI: foto deepfake, esperienze professionali plausibili, endorsement falsi ma convincenti. Questi profili interagiscono gradualmente con il target commentando post e costruendo fiducia prima di sferrare l’attacco. Di fatto, la distinzione tra profilo reale e falso è diventata impercettibile anche per utenti esperti.

Deepfake e Intelligenza Artificiale: Nuove Frontiere del Pericolo

L’avvento dell’AI generativa ha introdotto minacce che nel 2021 erano fantascienza. I deepfake video permettono di creare videochiamate false indistinguibili dalla realtà. Un CFO può ricevere una videochiamata Zoom apparentemente dal CEO che chiede un bonifico urgente. Voce, volto, gestualità e background sono perfettamente replicati da algoritmi che hanno analizzato ore di video pubblici.

Casi reali documentati nel 2025 includono truffe per milioni di euro basate su videoconferenze deepfake. Un’azienda multinazionale ha trasferito 35 milioni di dollari dopo una call con quello che sembrava il CFO di Hong Kong. In realtà, tutti i partecipanti erano deepfake generati da AI. Pertanto, le procedure di autenticazione basate solo su riconoscimento visivo o vocale non sono più sufficienti.

Le contromisure includono l’implementazione di protocolli di verifica multipla: codici one-time condivisi su canali diversi, frasi di sicurezza concordate preventivamente, callback su numeri verificati. Inoltre, per transazioni superiori a soglie definite, è obbligatoria l’autenticazione in presenza o tramite firma digitale con token hardware.

Best Practice Aziendali: Formazione e Policy di Sicurezza

Le aziende devono adottare policy chiare sull’utilizzo dei social media da parte dei dipendenti. È necessario un regolamento che definisce quali informazioni possono essere condivise online. Ad esempio, vietare la pubblicazione di foto di badge aziendali, organigrammi dettagliati, nomi di progetti interni o clienti senza autorizzazione.

La formazione continua è fondamentale. Tuttavia, non bastano sessioni annuali generiche: le minacce evolvono mensilmente. Pertanto, programmi di security awareness moderni includono simulazioni di phishing mensili, newsletter con esempi reali di attacchi ricevuti, gamification per premiare comportamenti sicuri.

Un aspetto spesso trascurato riguarda i profili social di dirigenti e C-level. Questi soggetti sono target primari e devono adottare misure di protezione superiori. I loro account devono avere autenticazione multifattore obbligatoria, restrizioni sulla visibilità dei post e verifica manuale delle richieste di connessione. È consigliabile inoltre mantenere separati profili personali e professionali.

Phishing via Social Media: Tecniche Comuni e Segnali di Allarme

Il phishing è migrato da e-mail a messaggi diretti su social media. LinkedIn Messages, Facebook Messenger, Instagram DM e WhatsApp Business sono ora vettori primari di attacco. I messaggi sembrano provenire da contatti legittimi grazie all’account hijacking: un collega il cui account è stato compromesso invia link malevoli a tutta la sua rete.

I segnali di allarme includono richieste urgenti inusuali, errori grammaticali incoerenti con il mittente abituale, proposte di lavoro o investimento troppo vantaggiose. Inoltre, link accorciati (bit.ly, tinyurl) devono sempre destare sospetto perché nascondono la destinazione reale.

Una tecnica sofisticata emersa nel 2024 coinvolge la creazione di siti clone perfetti. L’attaccante replica la pagina di login di LinkedIn, Microsoft 365 o Google Workspace. Il link nel messaggio porta alla pagina clone e l’utente inserisce credenziali che vengono immediatamente rubate. Il sito clone effettua poi un redirect alla pagina reale, quindi l’utente non nota nulla inizialmente.

Le aziende devono implementare sistemi di protezione endpoint che bloccano accessi a domini noti per phishing. L’autenticazione multifattore basata su app (non SMS) è obbligatoria per tutti gli account aziendali. Di fatto, anche se le password vengono rubate, l’attaccante non può accedere senza il secondo fattore.

Coperture Assicurative Cyber contro i Rischi Social Media

Le polizze Assicurazione Cyber Risk moderne coprono specificamente perdite derivanti da social engineering e Business Email Compromise. I trasferimenti fraudolenti causati da e-mail falsificate o telefonate deepfake rientrano pertanto nelle garanzie delle polizze cyber di qualità. Un’azienda che subisce una truffa BEC può recuperare le somme perse, entro i limiti di polizza.

Tuttavia, le compagnie assicurative richiedono l’implementazione di controlli minimi di sicurezza. Questi includono autenticazione multifattore, formazione annuale documentata del personale, procedure di verifica per pagamenti sopra soglie definite e backup regolari dei dati. Pertanto, un’azienda che non rispetta questi requisiti può vedersi negare l’indennizzo anche con polizza valida.

I massimali per social engineering e BEC variano tipicamente da 100.000 a 5 milioni di euro. Alcune polizze includono inoltre servizi di incident response: team di esperti che intervengono immediatamente per limitare i danni, recuperare fondi trasferiti e gestire comunicazioni con autorità e clienti. La rapidità di intervento nelle prime ore post-attacco è cruciale per minimizzare le perdite.

Vuoi una valutazione della tua esposizione al rischio cyber e delle coperture assicurative adeguate?

Compila il modulo Contattaci

Conclusioni: Consapevolezza e Protezione dai Rischi Cyber Social Media

Il report Tessian del 2021 evidenziava rischi che oggi, nel 2026, si sono materializzati con conseguenze devastanti per migliaia di aziende. L’intelligenza artificiale ha amplificato esponenzialmente capacità e velocità degli attaccanti. Pertanto, affidarsi solo alla tecnologia di difesa non è sufficiente: serve una cultura aziendale della sicurezza che coinvolga ogni dipendente.

La consapevolezza dei rischi cyber social media deve diventare parte integrante del mindset aziendale. Ogni post, ogni connessione LinkedIn, ogni messaggio OOO deve essere valutato criticamente. Le aziende devono investire non solo in tecnologie di difesa ma anche in formazione continua e polizze assicurative adeguate.

Il social engineering sfrutta la natura umana: fiducia, urgenza, autorità, paura. Gli algoritmi di AI perfezionano questi attacchi rendendoli quasi impercettibili. Di conseguenza, la difesa richiede consapevolezza costante, procedure rigorose e protezione assicurativa per gli eventi che inevitabilmente supereranno le barriere tecniche e umane. Dal 1991 affianchiamo PMI italiane nella strutturazione di coperture Cyber Risk adeguate: scopri perché affidarsi a Pico Adviser per la protezione dai rischi cyber social media.

Fonti e Approfondimenti

Documentazione originale: Tessian “How to hack a human” Report 2021, interviste comunità HackerOne. Esperti citati: Harry Denley (MyCrypto), Katie Paxton-Fear (Manchester Metropolitan University). Per accedere al report originale: How to hack a human — Tessian Research. Fonte primaria: Tessian Limited.

FAQ – Rischi cyber social media: social engineering e protezione aziendale