META: L’IMPERO IMPERFORABILE

Come Meta ha trasformato le crisi in asset strategici e perché 17,5 milioni di dati rubati sono solo l’ultimo episodio di una storia molto più grande

È martedì mattina, 7 gennaio 2026. Mentre milioni di europei scrollano Instagram durante la pausa caffè, nei sotterranei del dark web sta circolando un file che contiene i loro dati personali: email, numeri di telefono, indirizzi. Diciassette milioni e mezzo di profili, impacchettati in formato JSON, pronti per essere usati da chiunque voglia lanciare campagne di phishing su scala industriale. Il prezzo? Zero. L’hacker che li ha pubblicati, nascosto dietro lo pseudonimo “Solonik”, li ha rilasciati gratuitamente su BreachForums.

Il giorno dopo, l’8 gennaio, iniziano ad arrivare le email. Milioni di utenti ricevono notifiche di reset password da Instagram. Non phishing: comunicazioni autentiche, inviate dai server ufficiali di Meta. I sistemi di sicurezza della piattaforma, sotto pressione da richieste automatizzate massive, hanno perso la capacità di distinguere tra richieste legittime e attacchi coordinati. Il rate limiting — il meccanismo che dovrebbe bloccare richieste anomale — è collassato.

Tre giorni dopo, l’11 gennaio, arriva la risposta ufficiale di Meta. Non è stata una violazione dei nostri sistemi, assicura l’azienda. Gli account sono sicuri. È stato solo un bug che permetteva richieste esterne di reset password. Potete ignorare quelle email.

Due settimane dopo quello che dovrebbe essere uno danno di immagine devastante per le piattaforme di Zuckerberg nulla è cambiato. La capitalizzazione di mercato sfiora i 1,6 trilioni di dollari. Il numero di utenti attivi quotidiani continua a crescere. Il titolo in borsa è stabile.

Questa non è la storia di un data breach. È la storia di un impero digitale che ha sviluppato un’impermeabilità strutturale agli scandali. Un impero dove le crisi si trasformano in voci di bilancio, le multe miliardarie in costi operativi prevedibili, e i leak di milioni di dati personali in temporanee turbolenze di PR. Benvenuti nell’era della società-piattaforma imperforabile.

META: IL PATTERN CHE SI RIPETE

Per capire cosa rende Meta diversa, bisogna fare un passo indietro. Anzi, otto anni indietro, al marzo 2018. È allora che esplode lo scandalo Cambridge Analytica: 87 milioni di profili Facebook sfruttati per campagne di propaganda politica che hanno influenzato sia la vittoria di Trump nel 2016 che il referendum sulla Brexit. Il mondo scopre che i dati personali di decine di milioni di persone sono stati estratti attraverso un’app apparentemente innocua e venduti a un’azienda che li ha usati per manipolare il voto.

La reazione è immediata e furiosa. Congressional hearings negli Stati Uniti, interrogatori parlamentari in Europa, investigazioni in tutto il mondo. Mark Zuckerberg si scusa pubblicamente. “Abbiamo la responsabilità di proteggere i vostri dati”, promette. “Se non possiamo farlo, non meritiamo di servirvi.”

Arrivano le sanzioni. La Federal Trade Commission americana infligge una multa record: 5 miliardi di dollari. È il 2019. Il Regno Unito aggiunge 500mila sterline (il massimo consentito dalla legge all’epoca). Nel 2022, una class action si conclude con un accordo da 725 milioni di dollari.

E poi? Cosa succede dopo multe per quasi 6 miliardi di dollari? Facebook aggiunge una sezione privacy nei settings. Introduce l’Oversight Board, un comitato di supervisione che può rivedere decisioni di moderazione dei contenuti. Modifica le API per limitare l’accesso dei developer ai dati degli utenti.

Ma il modello di business — raccolta massiva di dati comportamentali per pubblicità iper-targetizzata — resta identico. L’architettura di estrazione non viene toccata. E gli utenti? Nel 2018 Facebook aveva 2,32 miliardi di utenti attivi mensili. Nel 2019, dopo Cambridge Analytica, 2,5 miliardi. Nel 2020, 2,8 miliardi. La crescita non si è mai fermata.

Quello che sembrava uno scandalo esistenziale si è rivelato un’oscillazione temporanea. Il titolo in borsa ha perso valore per qualche mese, poi è risalito. I profitti sono cresciuti. Cambridge Analytica è diventata un caso di studio nelle business school, un esempio di crisis management da manuale.

META E IL RITO DELLE VIOLAZIONI

Cambridge Analytica non era un’anomalia. Era l’inizio di una serie. Tra giugno e dicembre 2018 — lo stesso anno dello scandalo — Meta notifica al regolatore irlandese dodici data breach separati in sei mesi. Dodici. Nel 2022 arriva una multa da 17 milioni di euro per violazioni del GDPR. Nessun titolo sui giornali internazionali. Nessuna indignazione globale. Solo un comunicato stampa e un bonifico.

Aprile 2021: 533 milioni di profili Facebook vengono pubblicati online. I dati erano stati estratti nel 2019 attraverso una vulnerabilità nel contact importer di Facebook — uno strumento che permetteva di trovare persone cercando per numero di telefono. Gli hacker hanno sfruttato questa funzione per fare scraping massivo. Meta corregge il bug a settembre 2019, ma i dati continuano a circolare liberamente. Nessuna multa formale. Solo raccomandazioni di cambiare password.

2022 diventa l’anno delle multe GDPR. Il regolatore irlandese colpisce ripetutamente: 405 milioni di euro per violazioni sulla protezione dei minori su Instagram. Altri 390 milioni per pratiche illegali nel targeting pubblicitario. Altri 265 milioni per un leak causato da scraping. In totale, oltre un miliardo di euro in dodici mesi.

Settembre 2024: viene alla luce che Meta ha conservato 600 milioni di password di Facebook e Instagram in plain text — in chiaro, senza crittografia — per anni, dal 2012. Qualsiasi dipendente con accesso ai server avrebbe potuto leggerle come se fossero scritte su un post-it. È l’errore zero della cybersecurity, la violazione più basica dei principi di protezione dati. Multa: 101 milioni di euro.

E arriviamo al gennaio 2026. Il leak di 17,5 milioni di profili Instagram è solo l’ultimo capitolo di una serie che non accenna a concludersi. La tecnica è sempre la stessa: sfruttamento di API mal protette, scraping massivo, pubblicazione sui forum underground. La risposta di Meta è sempre la stessa: minimizzazione e promesse di miglioramenti futuri.

ANTITRUST: QUANDO L’IMMUNITÀ DIVENTA SENTENZA

Il 18 novembre 2025 — due mesi prima del leak Instagram — accade qualcosa di ancora più significativo. Il giudice federale James Boasberg archivia la causa antitrust della Federal Trade Commission contro Meta. È una sentenza che fa epoca, anche se passa quasi inosservata nei media generalisti.

La causa era stata intentata nel dicembre 2020 e chiedeva una cosa radicale: smembrare Meta. Secondo la FTC, l’azienda aveva implementato una strategia “buy-or-bury” — compra i competitor potenziali o distruggili — attraverso l’acquisizione di Instagram nel 2012 per un miliardo di dollari e di WhatsApp nel 2014 per 19 miliardi. L’obiettivo era eliminare ogni minaccia competitiva e consolidare un monopolio nel mercato del “personal social networking”.

Dopo quasi cinque anni di battaglia legale e sei settimane di processo, il giudice Boasberg conclude che la FTC non ha dimostrato che Meta sia attualmente un monopolio. Il ragionamento è sottile ma devastante: sì, forse Meta era dominante nel 2012 e 2014 quando ha fatto quelle acquisizioni. Ma oggi? Oggi compete con TikTok e YouTube. Il mercato è cambiato. Meta stessa ha trasformato Facebook e Instagram da piattaforme di connessione sociale a piattaforme di contenuti video algoritmici per contrastare TikTok. Questa capacità di adattamento dimostra che non ha potere monopolistico.

È una logica circolare perfetta: Meta adatta le sue piattaforme per schiacciare i competitor emergenti, e questa capacità di schiacciarli viene usata come prova che non ha un monopolio. L’abilità di neutralizzare le minacce diventa la dimostrazione dell’assenza di potere di mercato.

Ma guardiamo i numeri. Nel novembre 2025, quando viene emessa la sentenza, Meta controlla 3,98 miliardi di utenti attivi mensili attraverso la sua “Family of Apps”: Facebook, Instagram, WhatsApp, Messenger. Quasi metà della popolazione mondiale connessa a internet. In UK, il 79,9% degli utenti internet usa WhatsApp, il 72,3% usa Facebook. WhatsApp è l’app di messaggistica dominante in oltre 150 paesi. L’80,3% degli utenti Instagram usa anche Facebook — un livello di integrazione cross-platform che crea effetti network moltiplicativi.

La sentenza consacra un paradosso kafkiano: Meta è troppo dinamica per essere considerata un monopolio secondo i criteri legali del XX secolo, ma abbastanza dominante da controllare le comunicazioni digitali di quattro miliardi di persone. Legalmente, non è un monopolio. Funzionalmente, opera come un’infrastruttura critica privatizzata senza supervisione pubblica.

L’IMPERFORABILITÀ DI META

Nel 1980, Robert Metcalfe formulò una legge semplice: il valore di una rete di telecomunicazioni è proporzionale al quadrato del numero di utenti connessi. Più persone usano la rete, più diventa preziosa per ciascun utente. Con 4 miliardi di utenti, Meta non opera più secondo effetti network lineari. Opera secondo una fisica diversa, dove la massa stessa della piattaforma crea una forza gravitazionale che attrae e trattiene gli utenti indipendentemente dalla qualità del servizio.

In molti paesi, WhatsApp non è solo un’app di messaggistica è il canale attraverso cui si accede a servizi governativi, si fanno transazioni commerciali, si organizzano comunità. In India Brasile, Indonesia, Messico WhatsApp è diventato sinonimo di connettività digitale.

Quando un’infrastruttura serve miliardi di persone per funzioni essenziali, la sua governance diventa una questione di interesse pubblico. Ma a differenza delle utilities tradizionali — energia, acqua, trasporti — queste infrastrutture digitali non sono soggette agli stessi obblighi di servizio pubblico, agli stessi standard di resilienza, alle stesse forme di supervisione democratica.

Questo crea un paradosso politico: i regolatori non possono permettersi di applicare sanzioni che potrebbero destabilizzare le operazioni della piattaforma senza causare disruzioni sociali massive. Meta lo sa, e lo usa come leva negoziale. Quando l’UE ha minacciato restrizioni sul trasferimento transatlantico dei dati, Meta ha paventato il ritiro dal mercato europeo. La minaccia era credibile proprio perché le conseguenze sarebbero state politicamente insostenibili.

L’ASIMMETRIA INFORMATIVA

Nel gennaio 2026, quando Malwarebytes scopre il dataset di 17,5 milioni di profili Instagram sul dark web e lo segnala, Meta risponde che si tratta di “scraping” e non di “breach”. È una distinzione tecnica: scraping significa estrarre dati attraverso richieste automatizzate alle API, breach significa violare i sistemi interni. Ma chi può verificare questa affermazione?

Solo Meta ha accesso completo ai log dei server, alle metriche API, alla cronologia degli accessi. I regolatori devono credere sulla parola all’azienda che stanno regolamentando. È come chiedere a una banca sotto investigazione di fornire volontariamente i propri libri contabili e accettare qualsiasi cosa dichiari. Gli algoritmi che determinano cosa vedono 4 miliardi di persone ogni giorno sono scatole nere proprietarie. I sistemi di sicurezza interni sono opachi. Le metriche di engagement sono controllate unilateralmente.

Frances Haugen, la whistleblower che nel 2021 ha rivelato migliaia di documenti interni di Facebook, ha dimostrato l’entità di questa opacità. L’azienda disponeva di ricerche che provavano che Instagram danneggiava la salute mentale delle adolescenti, ma questi studi non erano mai stati condivisi con i regolatori.

LE MULTE COME COSTO OPERATIVO

Dal 2018 al 2024, l’azienda ha fatturato circa 690,6 Mld $ con un utile stimato in 211,7 Mld $ e ha ricevuto 9 Mld $ di dollari in multe per violazioni della privacy, pratiche anticoncorrenziali, protezione dei minori. Sembrano tanti sono solo 1,3% del fatturato e il 4,2% degli utili.

Le multe milionarie non sono deterrenti. Sono voci di bilancio prevedibili, fattori di rischio calcolati, costi operativi da ammortizzare nei prossimi trimestri. Meta ha persino creato una linea di spesa dedicata: nel 2025 ha allocato 1,2 miliardi di dollari per “regulatory compliance technology”. Non per conformarsi, ma per costruire infrastrutture che permettano di navigare un panorama regolatorio frammentato, ritardare implementazioni, negoziare esenzioni, fare forum shopping tra 37 giurisdizioni diverse.

L’ULTIMO ATTO: GENNAIO 2026 E DOPO

Torniamo al punto di partenza. È gennaio 2026. Diciassette milioni e mezzo di profili Instagram circolano sul dark web. Gli utenti ricevono email sospette. Malwarebytes lancia l’allarme. Meta risponde con un comunicato standard. I media ne parlano per qualche giorno. Poi la storia scompare dal ciclo delle notizie.

Tra qualche mese, forse, il regolatore irlandese aprirà un’investigazione. Tra uno o due anni, arriverà una multa. Meta la pagherà, emetterà un comunicato che parla di “impegno per la privacy degli utenti”, aggiornerà i termini di servizio che nessuno legge. E nel frattempo avrà generato altri cento miliardi di dollari in ricavi pubblicitari.

Il numero di utenti attivi continuerà a crescere. I 3,98 miliardi diventeranno 4,2, poi 4,5. Nuovi mercati verranno conquistati. Nuove feature verranno copiate dai competitor emergenti e integrate nell’ecosistema. L’impero continuerà la sua espansione silenziosa.

E tra qualche anno, ci sarà un altro leak. Altri milioni di dati rubati. Altre email di scuse. Altre multe. Altre promesse. Lo stesso copione, gli stessi attori, lo stesso risultato: nulla cambia sostanzialmente.

Questa è la realtà della società-piattaforma imperforabile. Non è imperforabile perché inviolabile. È imperforabile perché ha costruito quattro colonne di potere — lock-in gravitazionale, dipendenza infrastrutturale, asimmetria informativa, internalizzazione delle sanzioni — che rendono inefficaci gli strumenti regolatori tradizionali. Ha trasformato la propria dimensione in un’arma difensiva. Ha fatto della propria indispensabilità una forma di immunità.

Perché il punto è questo: Meta non è un’anomalia. È un modello. Google, Amazon, Apple operano con logiche simili. Ognuna ha costruito le proprie colonne di imperforabilità. Ognuna ha trasformato la propria dimensione in immunità politica.

Il leak Instagram del gennaio 2026 ci mette di fronte a una scelta. Possiamo continuare a trattare ogni scandalo come un episodio isolato, a infliggere multe che vengono assorbite come costi operativi, a illuderci che basti “regolamentare meglio” usando gli stessi strumenti che hanno fallito per un decennio. Oppure possiamo riconoscere che siamo di fronte a una forma di potere nuova, per cui servono strumenti nuovi.

Interoperabilità obbligatoria per rompere il lock-in. Separazioni strutturali per eliminare il too-big-to-fail. Audit pubblici per dissolvere l’asimmetria informativa. Governance democratica per allineare gli incentivi. Non sono soluzioni facili. Ma sono le uniche che affrontano le cause strutturali invece dei sintomi.

Tra dieci anni, guarderemo indietro a questo momento. O vedremo che è stato l’inizio di un ripensamento radicale di come governare il potere di piattaforma. O vedremo che era solo un altro episodio nella lunga serie di scandali che non hanno cambiato nulla. La scelta, incredibilmente, è ancora nostra. Ma il tempo stringe. Ogni giorno che passa, le colonne dell’imperforabilità diventano più solide. L’impero diventa più difficile da scalfire.

La società-piattaforma è imperforabile. Per ora. Ma nulla è permanente, se siamo disposti a ripensare le architetture.

FONTI

• Malwarebytes — “Received an Instagram password reset email? Here’s what you need to know” Malwarebytes Blog (Jan 2026)
• Malwarebytes — public statement on the 17.5M Instagram dataset X / @Malwarebytes (Jan 2026)
• The Verge — Instagram says it fixed the issue that triggered password reset emails The Verge (Jan 2026)
• TechRadar — Meta denies breach; coverage on the reset-email wave and leak claims TechRadar (Jan 2026)
• FTC v. Meta — Memorandum Opinion (Judge James E. Boasberg), Nov 18, 2025 Justia (court document page)
• Irish DPC — Instagram Inquiry decision (€405m), Sep 15, 2022 Data Protection Commission (official press release)
• Irish DPC — Facebook “Data Scraping” Inquiry decision (€265m), Nov 28, 2022 Data Protection Commission (official press release)