Se gestisci una pagina aziendale su Facebook o Meta, nelle ultime settimane potresti aver ricevuto un'email con oggetto «You've received a Business Manager partner request». Sembra una comunicazione ufficiale di Meta. Ha il logo giusto, il layout corretto, persino il pulsante «View request» identico a quello vero. Ma è una truffa, e una delle più pericolose in circolazione proprio in questo momento.

I ricercatori di sicurezza informatica di SpiderLabs e di alphaMountain.ai hanno documentato la campagna nelle ultime settimane di aprile 2026, con infrastruttura costruita appositamente a partire dal 16 aprile. Non si tratta di un tentativo improvvisato: è un sistema organizzato, pensato per colpire le imprese.

Come funziona e perché è così difficile da riconoscere

Il meccanismo è sottile. Gli attaccanti non inventano email false partendo da zero: creano o compromettono account Facebook Business reali, poi inviano richieste di partnership genuine attraverso il sistema Meta Business Manager. Il risultato è che il messaggio arriva da infrastruttura autentica, passa i filtri antispam e non lascia tracce sospette nell'intestazione tecnica.

Chi clicca sul pulsante non viene portato direttamente su una pagina truffaldina. Prima passa per servizi cloud legittimi come Google Forms, che funzionano da trampolino e rendono il link ancora meno sospetto agli occhi dei sistemi di sicurezza. Solo alla fine si arriva alla destinazione reale: una pagina falsa del centro assistenza di Meta, costruita per sembrare identica all'originale.

Lì viene chiesto di «verificare» l'account, inserire la password, i dati della pagina aziendale e, nelle versioni più avanzate, anche il codice di autenticazione a due fattori. Dati che i truffatori usano per prendere il controllo completo dell'account in pochi minuti.

Cosa rischiano le imprese

Il danno non si limita a una pagina Facebook compromessa. Chi gestisce Business Manager per più clienti — agenzie di comunicazione, consulenti di marketing, social media manager — con un solo click sbagliato espone tutti gli account del proprio portafoglio. Una singola approvazione può dare agli attaccanti accesso a budget pubblicitari, pixel di tracciamento, account Instagram e WhatsApp collegati, e persino ai dati di pagamento associati alle campagne.

Il dominio usato nella campagna attuale punta a indirizzi come «marketing-partner-join.com» — nomi costruiti per sembrare plausibili a una lettura veloce, ma che non hanno nulla a che fare con Meta. Eppure il rischio di non accorgersene in tempo è altissimo, proprio perché le aziende ricevono abitualmente richieste legittime di partnership su quella piattaforma.

Come difendersi: cinque regole pratiche

La prima cosa da fare è non cliccare mai sui link contenuti in email di questo tipo, anche se sembrano perfettamente ufficiali. Se arriva una richiesta di partnership, va verificata direttamente su business.facebook.com o business.meta.com, digitando l'indirizzo nel browser: se non c'è nessuna richiesta in sospeso nella sezione dedicata, l'email era falsa.

La seconda regola è attivare l'autenticazione a due fattori su tutti gli account aziendali, se non è già attiva. Non elimina il rischio — la truffa tenta di rubare anche quei codici — ma aggiunge un livello di protezione significativo.

Terzo punto: chi gestisce account per più clienti deve informare il proprio team. Basta che una sola persona approvi la richiesta per esporre l'intero portafoglio. La formazione interna, in questo caso, vale più di qualsiasi software.

Quarto: controllare sempre il dominio di destinazione prima di inserire qualunque dato. Meta usa meta.com, facebook.com e facebookmail.com. Tutto il resto è sospetto, a prescindere da quanto sembri autentico.

Infine, se si sospetta di aver già cliccato su un link di questo tipo, la priorità è cambiare immediatamente la password dell'account Facebook Business e revocare gli accessi di eventuali partner sconosciuti dalla sezione Impostazioni di Business Manager.