Una maxi-truffa finanziaria che sfrutta le piattaforme di Meta ha colpito 25 paesi, fra cui l'Italia. È quanto emerso da una ricerca pubblicata da Bitdefender, che ha documentato un ecosistema di frodi su larga scala distribuito tramite pubblicità a pagamento su Meta, attivo in 25 paesi distribuiti su sei continenti. I ricercatori hanno identificato 310 campagne di malvertising e oltre 26.000 annunci pubblicitari in 15 lingue, progettati per impersonare testate giornalistiche affidabili, istituti bancari e personaggi pubblici. L'obiettivo era attirare le vittime in falsi schemi di investimento basati su depositi iniziali.

Bitdefender stima che l’Italia sia uno dei paesi maggiormente colpiti, con circa il 15-17% dei rilevamenti globali degli annunci fraudolenti. In totale, nel nostro paese hanno circolato circa 35 campagne distinte, che ci collocano al secondo posto per esposizione dopo la Polonia. Il dato è rilevante anche per la cura con cui i truffatori hanno adattato i contenuti al contesto italiano, sfruttando programmi televisivi noti, figure istituzionali reali e siti web di ristoranti fiorentini, con l’obiettivo di rendere gli annunci più credibili.

Una truffa ben architettata

La struttura dell'attacco parte da un contenuto apparentemente giornalistico. L'utente che naviga su Facebook o Instagram vede un annuncio che simula la grafica di una testata giornalistica nota, oppure che riprende il formato di un breaking news. Il testo attira l’attenzione perché fa riferimento a uno "scandalo in diretta TV" o a un evento economico di grande impatto, che coinvolge figure pubbliche reali: politici, dirigenti bancari, imprenditori. Il messaggio è costruito per generare urgenza e curiosità, due leve psicologiche particolarmente efficaci.

Chi faceva clic sull'annuncio veniva portato su una pagina che imitava l'aspetto di un sito giornalistico legittimo, completa di loghi, layout editoriale e taglio redazionale. Qui era presente un'opportunità di investimento descritta come esclusiva e temporanea, spesso associata a programmi governativi di supporto finanziario o a tecnologie emergenti come le criptovalute. Il primo obiettivo della pagina era la raccolta dei dati personali dell'utente: nome, cognome, numero di telefono, indirizzo email. Attuando un classico schema di vishing che va tanto di moda al momento, le vittime venivano poi contattate telefonicamente, via SMS e via email da sedicenti consulenti finanziari, che le incalzano per convincerle a effettuare un primo deposito. Le piattaforme utilizzate includono servizi di trading ad alto rischio, schemi che replicano la struttura delle opzioni binarie e canali per il trasferimento diretto di fondi. In tutti i casi, veniva sottratto denaro alle vittime.

Bitdefender ha ricostruito l'operazione come un incrocio di tre campagne distinte, costruite secondo lo stesso schema e probabilmente gestite da due o tre gruppi di truffatori. A queste si aggiungeva una quarta campagna di dimensioni minori e con caratteristiche proprie. La sovrapposizione delle infrastrutture tecniche e la presenza di metadati riconducibili a modelli di affiliazione suggeriscono un'architettura modulare di tipo scam-as-a-service, progettata per essere scalabile e replicabile in nuovi mercati senza dover ricostituire ogni volta l'intera catena operativa.

Non mancavano tecniche di evasione particolarmente elaborate per sfuggire ai sistemi di moderazione di Meta. I ricercatori hanno documentato spoofing dei domini, catene di reindirizzamento su più livelli prima di arrivare alla pagina finale della truffa, l’utilizzo di omografi (caratteri visivamente identici a quelli latini ma appartenenti ad altri alfabeti Unicode) per simulare URL di siti legittimi, e rotazione delle entità pubblicitarie per evitare che lo stesso account venisse segnalato più volte.

Nel caso italiano, si è rivelata particolarmente insidiosa una variante che ha sfruttato i siti web reali di ristoranti fiorentini come preview degli annunci. Questa tecnica si aggancia al fatto che i sistemi automatici di moderazione analizzano la destinazione dell'annuncio: se il dominio appare nella preview come quello di un'attività commerciale legittima, la probabilità che l'annuncio venga bloccato si riduce sensibilmente. Solo dopo il primo clic, l'utente veniva reindirizzato verso la pagina fraudolenta attraverso una catena di redirect.

L'utilizzo delle piattaforme pubblicitarie di Meta come vettore principale non è casuale. La reach di Facebook e Instagram, la sofisticazione degli strumenti di targeting demografico e geografico, e la velocità con cui si possono lanciare nuove campagne rendono queste piattaforme particolarmente ghiotte per chi gestisce operazioni di frode su scala globale. Un gruppo che voglia colpire contemporaneamente utenti italiani, polacchi, brasiliani e australiani con messaggi localizzati può farlo attraverso un'unica interfaccia pubblicitaria, con costi relativamente contenuti e la capacità di sostituire rapidamente gli annunci rimossi con varianti appena create.

La ricerca Bitdefender evidenzia come le truffe sugli investimenti contemporanee abbiano subìto un'evoluzione significativa rispetto ai modelli del passato. Non si presentano più come proposte palesemente sospette provenienti da mittenti sconosciuti, ma come notizie credibili inserite nel flusso informativo quotidiano degli utenti.

I contenuti italiani analizzati da Bitdefender mostrano come questa strategia sia stata applicata con precisione al contesto nazionale. Gli annunci si presentano come video o trascrizioni di puntate di programmi come Porta a Porta di Rai 1, con riferimenti a ospiti reali della scena economica e politica.