Numerosi utenti italiani stanno vivendo questa esperienza: improvvisamente, senza alcun preavviso, ricevono una comunicazione via email o notifica mobile che genera immediata preoccupazione: “È stata richiesta la reimpostazione della password del tuo profilo Instagram”. L’aspetto è professionale, affidabile. Ma è esattamente qui che si annida l’insidia.
L’inganno degli account Instagram diffuso in questo periodo si muove su un piano insidioso, dove autenticità e falsità diventano indistinguibili. Il testo replica fedelmente le comunicazioni ufficiali: identica veste grafica, stesso tono comunicativo, medesimi elementi interattivi. Chi riceve il messaggio, preoccupato che qualcuno stia tentando un accesso non autorizzato, reagisce d’istinto cliccando. Quel gesto, pensato come difesa, diventa invece la chiave d’accesso per i malintenzionati.
Come funziona l’inganno che sfrutta l’ansia dell’utente
Il funzionamento dell’inganno è diretto ed efficace. Il collegamento presente nella comunicazione non conduce alla piattaforma autentica di Instagram, bensì a una replica digitale, una pagina contraffatta pressoché identica all’originale. In questa fase viene richiesto l’inserimento della chiave d’accesso corrente “per motivi di verifica”. Un’azione che sembra ragionevole, specialmente quando si è convinti di dover bloccare un tentativo di intrusione.
Proprio in quel momento preciso avviene il trasferimento del controllo dell’account ai criminali informatici. Nessuna violazione complessa, nessun segnale d’allarme percepibile, nessun indizio manifesto. Solamente una procedura all’apparenza legittima, che fa leva sull’urgenza percepita e sulla credibilità accumulata nel tempo da una piattaforma utilizzata quotidianamente da milioni di individui.
In pochissimo tempo, chi ottiene le credenziali sostituisce l’indirizzo email collegato al profilo, altera i sistemi di recupero e scollega il legittimo proprietario da tutti i dispositivi. Telefoni, computer portatili, tablet: ogni accesso viene interrotto. Riappropriarsi del profilo diventa estremamente complicato, in alcuni casi del tutto impossibile.
La posizione ufficiale di Instagram e le zone d’ombra della vicenda
Mentre crescono le segnalazioni di profili scomparsi e si diffonde l’allarme generale, Meta ha fornito la sua versione dei fatti. Instagram dichiara di non aver subito compromissioni dirette della propria infrastruttura e di non aver registrato perdite di archivi o credenziali. Nessuna violazione su larga scala, quindi, stando alla comunicazione ufficiale.
L’azienda ha invece identificato un malfunzionamento tecnico che avrebbe consentito a entità esterne di generare richieste di reimpostazione password per determinati profili esistenti. In sostanza, numerose email di recupero sarebbero state inviate automaticamente dal sistema senza che i destinatari le avessero effettivamente richieste. Comunicazioni autentiche nella struttura, provenienti da server verificati, ma del tutto inaspettate.
Contemporaneamente, diverse aziende specializzate in sicurezza digitale, inclusa Malwarebytes, hanno rilevato la presenza online di informazioni associate a milioni di profili Instagram. Si parla di dati quali indirizzi di posta elettronica e recapiti telefonici, diffusi su piattaforme del dark web e potenzialmente sfruttati per operazioni di phishing personalizzate.
Meta ha escluso che tale diffusione sia conseguenza di una recente compromissione dei sistemi Instagram, tuttavia il fenomeno rimane significativo: anche in assenza di un attacco diretto alla piattaforma, informazioni personali già circolanti possono rendere più convincenti messaggi fraudolenti, amplificando il pericolo per chi li riceve.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
Ed è precisamente in questa zona grigia che si genera il problema. Quando una comunicazione fraudolenta risulta identica a quelle autentiche, persino chi presta massima attenzione può cadere nell’errore. In questo contesto di incertezza, i truffatori hanno agito inserendo collegamenti contraffatti in grado di catturare password reali.
Instagram ha raccomandato agli utenti di ignorare le richieste di reimpostazione non richieste e ha garantito di aver corretto l’anomalia tecnica. Ma per molti, il danno era ormai compiuto.