Qualche giorno fa un amico mi ha contattato dicendomi che il suo Instagram, un account con oltre 100.000 follower, era stato disabilitato. Indagando insieme è emerso che il problema di partenza non era affatto su Instagram: era il suo Facebook a essere stato disattivato per primo, e siccome i due profili erano collegati, Meta ha automaticamente disattivato anche Instagram per associazione, nonostante non ci fosse nulla di irregolare sul suo comportamento su quella piattaforma specifica. Ma la scoperta più importante è arrivata risalendo alla causa originale: il problema non era nato da un attacco mirato a Facebook o Instagram, bensì da un software scaricato da una fonte non verificata sul suo PC. Una volta eseguito, quel software ha aperto una porta di accesso diretto al sistema, permettendo a un malintenzionato di entrare nel computer e prendere il controllo di qualsiasi account fosse rimasto loggato nel browser: Amazon, Facebook e a cascata tutto il resto. Non un attacco "a Instagram" in senso stretto, ma una compromissione a monte, sul dispositivo stesso, che si è poi riversata su ogni piattaforma aperta in quel momento. È un episodio che racconta bene quanto certe dinamiche siano subdole, e da cui vale la pena partire per capire come muoversi in casi simili.
Ti accorgi di colpo che non riesci più ad accedere a Instagram, oppure il profilo appare disattivato senza un motivo apparente: è l'incubo di chiunque abbia un profilo social, ma nella maggior parte dei casi esiste una via d'uscita concreta se si agisce con metodo e rapidità. La prima cosa da fare è capire in che situazione ci si trova davvero, perché non tutti i blocchi sono uguali. Se ricevi email da Instagram su modifiche che non hai effettuato tu, è quasi certamente un caso di hacking. Se invece semplicemente non riesci a fare login e tutto sembra normale, potrebbe trattarsi solo di una password sbagliata o di un problema temporaneo di connessione: prima di allarmarti, prova a riconnetterti da una rete diversa e verifica che il numero di telefono abbia campo, perché a volte il codice di sicurezza semplicemente non arriva subito.
Il metodo più rapido, se l'hacker non ha ancora modificato l'email associata al tuo account, è tentare "Password dimenticata?" dalla schermata di login: inserisci email, username o numero di telefono, scegli come ricevere il codice e segui la procedura. Costa zero tentativi e a volte risolve tutto in pochi minuti. Se questo non funziona, il passo successivo è andare su instagram.com/hacked da browser, non dall'app, e cliccare su "Il mio account è stato hackerato". Da qui parte una procedura di verifica dell'identità che nel 2026 include spesso un video selfie di pochi secondi in cui muovi la testa come indicato a schermo: Meta lo usa al posto del documento d'identità per confermare che sei davvero tu il proprietario del profilo.
Se l'hacker ha già cambiato anche l'email associata, la situazione è più delicata ma non impossibile da risolvere: in questo caso conviene comunque insistere con la procedura ufficiale di instagram.com/hacked, perché è pensata proprio per gestire questi scenari più complessi. Nel frattempo è importante avvisare i contatti più stretti tramite un altro canale, come WhatsApp o SMS, spiegando che l'account è stato compromesso e di ignorare eventuali richieste di denaro o link sospetti inviati a loro nome: è una delle tattiche più comuni usate da chi prende il controllo di un profilo.
C'è un punto su cui vale la pena essere estremamente chiari: nessun servizio a pagamento, "esperto" o presunto contatto interno può accelerare il recupero da parte di Meta. Chiunque prometta di restituirti l'account in poche ore dietro compenso sta quasi certamente cercando di truffarti o di sottrarti ulteriori dati. Allo stesso modo, meglio evitare di aprire più richieste di recupero contemporaneamente, perché il sistema tende a bloccarle tutte, e non ha senso aspettare giorni sperando che la situazione si risolva da sola: più tempo passa, più aumentano le probabilità che l'account venga usato per attività dannose o addirittura rivenduto, soprattutto se si tratta di un profilo con un numero consistente di follower o con finalità professionali.
Una volta recuperato l'accesso, le prime 24 ore sono cruciali. Vai su Impostazioni → Sicurezza → Attività di accesso e chiudi tutte le sessioni tranne quella che stai usando in quel momento, perché l'hacker potrebbe avere ancora dispositivi collegati. Cambia subito la password con una lunga e mai usata prima, verifica che email e numero di telefono associati siano davvero i tuoi, e attiva l'autenticazione a due fattori tramite un'app come Google Authenticator o Authy, più sicura rispetto all'SMS. Se in passato hai concesso l'accesso ad app esterne per statistiche, follower o automazioni, controlla i permessi dal Centro gestione account e revoca quelli che non riconosci: è una delle porte d'ingresso più frequenti per i furti di account.
Per i successivi 30 giorni conviene mantenere una minima vigilanza quotidiana, controllando eventuali email da security@mail.instagram.com e l'elenco dei dispositivi collegati. Chi è riuscito a violare un account una volta potrebbe ritentare con tecniche diverse, spesso di phishing mirato basato su ciò che ha osservato durante l'accesso precedente: email che segnalano falsi problemi di copyright, offerte di badge di verifica, messaggi di finte collaborazioni con brand o menzioni sospette nelle Storie sono tra le trappole più diffuse nel 2026.
Se invece il profilo risulta disattivato e non hackerato, il percorso è leggermente diverso: Instagram disabilita un account quando ritiene che siano state violate le linee guida della piattaforma, ma può trattarsi anche di un errore. In questo caso la procedura corretta è quella di revisione ufficiale, sempre accessibile dalle pagine di assistenza dedicate, evitando anche qui qualsiasi servizio esterno che promette la riattivazione rapida dietro pagamento.
C'è un caso particolare che sta diventando sempre più frequente e che vale la pena conoscere, perché confonde molti utenti: l'account Instagram viene disattivato non per un hackeraggio diretto, ma come effetto collaterale di un attacco al Facebook collegato. Chi ha unito i due profili tramite Meta Account Center, per comodità di accesso o gestione, può ritrovarsi improvvisamente bloccato su entrambi i social senza aver fatto nulla di sbagliato in prima persona. Il meccanismo tipico è questo: un malintenzionato collega un account Instagram falso, spesso usato per spam o inserzioni illecite, al profilo Facebook di un'altra persona. Quando Meta individua l'attività sospetta e interviene, blocca tutto ciò che risulta collegato: non solo il profilo Instagram falso, ma anche il vero account Facebook della vittima e le eventuali pagine pubbliche associate. Il risultato è che ci si ritrova con entrambi i profili sospesi senza aver ricevuto alcun avviso chiaro sul motivo.
In questi casi il canale di recupero non è instagram.com/hacked ma il modulo dedicato di Facebook per gli account disabilitati (raggiungibile da facebook.com/help/contact), dove selezionare l'opzione relativa all'hackeraggio e compilare con precisione tutti i campi richiesti, inclusi i dettagli tecnici del dispositivo usato di solito per accedere. È un processo che spesso richiede più tentativi: non è raro dover inviare il modulo tre o quattro volte prima di ottenere risposta, quindi conviene annotarsi cosa si è scritto in ogni invio per non ripetere gli stessi errori. Una volta accettata la richiesta, arriva un'email con le istruzioni per il video di verifica dell'identità, simile a quello usato per Instagram. Chi ha un account business collegato a una pagina Facebook può anche provare a contattare il supporto Meta Verified (la "spunta blu"), ma vale la pena sapere in anticipo che questo canale aiuta soprattutto quando l'account è ancora attivo e compromesso da un accesso esterno, mentre è quasi sempre inutile in caso di sospensione totale legata a un collegamento illecito.
Questo genere di provvedimento a catena è un esempio perfetto di come i blocchi Meta si propaghino lungo i collegamenti tra account, colpendo anche chi su una piattaforma non ha commesso alcuna violazione diretta. Vale anche la pena ribaltare la prospettiva più comune: spesso si pensa all'account social come al punto debole, mentre in molti casi il punto debole è il PC. Tenere il browser sempre loggato su decine di servizi è comodissimo, ma trasforma ogni singola falla di sicurezza del dispositivo in una violazione simultanea di tutto ciò che si usa quotidianamente. Scaricare software da fonti non ufficiali, anche quando sembra innocuo o utile, resta una delle porte d'ingresso più comuni per questo tipo di attacchi: bastano pochi secondi di disattenzione per trasformare un singolo download in un accesso totale al proprio ecosistema digitale.
Da qui derivano alcuni accorgimenti pratici che vale la pena adottare: scaricare programmi solo da siti ufficiali o store verificati, effettuare regolarmente il logout dai servizi più sensibili invece di lasciarli sempre aperti nel browser, e usare un password manager con password diverse per ogni piattaforma, così che una singola compromissione non dia automaticamente accesso a tutto il resto. Utile anche mantenere aggiornato un antivirus in tempo reale sul proprio computer, capace di intercettare software sospetti prima ancora che vengano eseguiti.
Se non è strettamente necessario, meglio quindi non collegare Instagram e Facebook tramite Account Center, oppure farlo sapendo che un problema di sicurezza sull'uno può trascinarsi dietro anche l'altro. Chi gestisce pagine pubbliche per lavoro può ridurre il rischio nominando co-amministratori di fiducia, così da avere sempre qualcuno in grado di intervenire se l'account principale finisce bloccato.
Un'ultima risorsa poco conosciuta ma utile per chi si trova in Europa è l'Appeals Centre Europe (appealscentre.eu), un organismo indipendente nato per gestire proprio i casi di disattivazione ritenuta ingiusta sulle piattaforme che rientrano nel Digital Services Act, tra cui Instagram e Facebook. Si può fare ricorso quando si ritiene che un account sia stato sospeso o rimosso senza una motivazione valida, dopo aver già tentato la procedura di reclamo interna della piattaforma. Non sostituisce i canali ufficiali di Meta, ma rappresenta un'opzione in più, esterna e imparziale, da tenere presente soprattutto quando le vie interne sembrano non portare a nulla.