Perdere l'accesso alla propria pagina Facebook aziendale è un'esperienza che vediamo succedere ogni mese a imprenditori sardi. Gli attacchi non sono casuali: sono sistematici, automatizzati e sempre più difficili da distinguere dalle comunicazioni ufficiali di Meta. In pochi minuti, anni di lavoro — fan accumulati, contenuti pubblicati, campagne attive, dati di pagamento salvati nel Business Manager — possono finire in mano a qualcun altro.
La buona notizia è che proteggersi è possibile, e non richiede competenze tecniche avanzate. Richiede di applicare correttamente gli strumenti che Meta mette già a disposizione — strumenti che la maggior parte degli account aziendali non usa.
Perché le pagine aziendali sono un bersaglio
Una pagina Facebook aziendale con migliaia di fan è un asset con valore economico reale. I truffatori lo sanno. Prendere il controllo di una pagina consolidata permette loro di: pubblicare truffe o contenuti fraudolenti a un pubblico già fidelizzato, accedere ai metodi di pagamento salvati per le inserzioni pubblicitarie, usare il Business Manager per lanciare campagne a pagamento con il tuo budget, o semplicemente rivenderla sul mercato nero.
Gli attacchi più comuni seguono uno schema ricorrente: prima compromettono il profilo personale dell'amministratore della pagina, poi attraverso quel profilo prendono controllo della pagina stessa. Per questo proteggere il profilo personale è il primo — e più importante — livello di difesa.
Autenticazione a due fattori (2FA): il livello di protezione minimo accettabile
L'autenticazione a due fattori (2FA) è lo strumento di difesa più efficace disponibile e va attivata immediatamente su ogni account che ha ruolo amministrativo sulla pagina. Senza 2FA, chiunque ottenga la tua password — tramite phishing, violazione di un altro sito, o indovinandola — può accedere al tuo account in pochi secondi.
- Come attivarla: vai su Impostazioni → Sicurezza e accesso → Autenticazione a due fattori. Scegli "App di autenticazione" come metodo.
- Usa un'app dedicata, non gli SMS: le app come Google Authenticator, Authy o Microsoft Authenticator sono significativamente più sicure degli SMS. Gli SMS sono vulnerabili al SIM swapping, una tecnica con cui i truffatori convincono l'operatore telefonico a trasferire il tuo numero su una SIM in loro possesso.
- Salva i codici di recupero: Meta ti fornisce codici monouso da usare se perdi accesso all'app. Salvali offline — stampali o annotali — e conservali in un luogo sicuro.
Gestione dei ruoli: meno amministratori, meno rischi
Ogni persona con il ruolo di Amministratore sulla tua pagina è un potenziale punto di ingresso per un attacco. Più amministratori ci sono, maggiore è la superficie esposta. La regola pratica è: assegna il ruolo minimo necessario per svolgere il lavoro.
- Amministratore: solo il titolare o un responsabile di fiducia. Può modificare impostazioni, assegnare ruoli e cancellare la pagina.
- Editor: può pubblicare contenuti, rispondere ai commenti e gestire inserzioni. È sufficiente per la maggior parte dei collaboratori.
- Moderatore: può rispondere ai messaggi e nascondere commenti. Utile per chi gestisce il customer care.
- Revisiona periodicamente i ruoli: vai in Impostazioni → Ruoli della Pagina ogni 3-6 mesi. Rimuovi ex-collaboratori, ex-agenzie e chiunque non lavori più con te. Un account abbandonato con ruolo Admin è una porta aperta.
Riconoscere i falsi messaggi di Meta: la truffa più diffusa
La truffa più comune che colpisce le pagine Facebook aziendali arriva come un messaggio diretto o un'email che avvisa di una presunta violazione: copyright, contenuti inappropriati, attività sospetta. Il messaggio dice che la pagina verrà disattivata entro 24 ore se non si completa una "verifica" cliccando su un link.
Meta non ti contatterà mai tramite messaggio privato su Facebook per queste questioni. Le uniche comunicazioni ufficiali di Meta arrivano nella sezione "Avvisi di qualità" dentro Business Manager, o via email da indirizzi @fb.com o @facebookmail.com. Qualsiasi altra comunicazione è una truffa.
- Non cliccare mai sui link in messaggi urgenti riguardanti la tua pagina.
- Controlla lo stato della pagina direttamente da business.facebook.com.
- Se hai dubbi, cerca il testo del messaggio su Google — le truffe circolanti sono quasi sempre già documentate online.
Cosa fare se hai già perso l'accesso
Se l'account è già stato compromesso, agisci seguendo questo ordine:
- Usa la funzione "Hai dimenticato la password?" per tentare il recupero via email o telefono — se l'attaccante non ha ancora cambiato questi dati, puoi rientrare.
- Segnala l'account compromesso a Meta tramite facebook.com/hacked — Meta ha una procedura specifica per account rubati.
- Contatta Meta Business Support se la pagina era collegata a un account Business Manager con metodi di pagamento attivi: possono bloccare i pagamenti mentre recuperi l'accesso.
- Documenta tutto: screenshot, date, messaggi ricevuti. Se hai subito danni economici (campagne pubblicitarie lanciate senza consenso), la documentazione è necessaria per un eventuale rimborso o denuncia.
Sicurezza del Business Manager: il livello avanzato
Se usi Meta Business Manager per gestire inserzioni pubblicitarie, aggiungi un livello di protezione in più: attiva la verifica aziendale di Meta (richiede documento d'identità del titolare), limita l'accesso alle risorse pubblicitarie solo agli account strettamente necessari, e abilita i limiti di spesa sulle campagne per ridurre i danni in caso di accesso non autorizzato.
La sicurezza degli account social aziendali non è un problema tecnico — è un problema di processo. Richiede 30 minuti per impostare tutto correttamente, e poi solo piccole revisioni periodiche. L'alternativa è rischiare di perdere anni di lavoro in una notte.
Vuoi un controllo rapido della sicurezza dei tuoi account social e aziendali? Contattaci: in una sessione di un'ora ti aiutiamo a mettere in sicurezza tutto quello che riguarda la tua presenza digitale.