Cybersecurity 21 maggio 2026 7 min di lettura

In che modo la pubblicità intrusiva minaccia la nostra sicurezza online?

Spesso tendiamo a separare le cose: da una parte la pubblicità che è solo «fastidiosa», dall'altra i virus che sono «pericolosi». Salvo che il confine tra le due è praticamente scomparso oggi con quello che si chiama malvertising. Analisi di una minaccia ben reale.

In breve

Il malvertising (pubblicità malevola) permette a un pirata di installare uno spyware o di reindirizzare verso un sito di phishing senza che tu clicchi, semplicemente perché il banner si è caricato sulla pagina. Il sistema di aste Real-Time Bidding rende gli editori incapaci di controllare ciò che mostrano. A questo si aggiungono i dark patterns, quelle interfacce progettate per manipolarti. Bloccare la pubblicità non è quindi un comfort visivo — è una misura di cybersecurity.

Sezione 01

Quando il banner pubblicitario diventa un'arma

Non bisogna per forza cliccare su un link sospetto in una mail per farsi hackerare. A volte basta visitare un sito di informazione assolutamente legittimo. Le reti pubblicitarie sono talmente complesse e automatizzate — il sistema di aste in tempo reale, ovvero il Real-Time Bidding — che gli editori dei siti non controllano più affatto ciò che viene mostrato da loro.

I pirati comprano spazi pubblicitari del tutto legalmente. Poi iniettano codice malevolo nello spazio pubblicitario. Solo caricando la pagina, il tuo browser può eseguire questo codice e installare discretamente uno spyware o reindirizzarti verso una pagina di phishing molto ben imitata.

⚠ Drive-by download

È lo scenario in cui un'infezione avviene senza interazione dell'utente. Il banner si carica, sfrutta una falla del browser (spesso nella gestione JavaScript o nei plugin), e installa il malware in background. Nessun click, nessun download da confermare.

+42 % di aumento delle campagne di malvertising rilevate tra il 2023 e il 2025 secondo l'ENISA (Agenzia dell'Unione europea per la cybersecurity).

Sezione 02

Il Real-Time Bidding e l'incontrollabile

Il Real-Time Bidding (RTB) è diventato la modalità d'acquisto pubblicitario dominante. Concretamente, quando carichi una pagina:

Il tuo profilo (interessi presunti, storico, geolocalizzazione) viene inviato a una piattaforma di aste.
Centinaia di inserzionisti vengono notificati in parallelo e sottopongono un'offerta.
Il miglior offerente vince — in alcune decine di millisecondi.
La sua creatività pubblicitaria viene iniettata nello spazio riservato sulla pagina.

Il problema è strutturale: l'editore del sito non vede mai la pubblicità prima che venga mostrata. Non ha alcun mezzo pratico per verificare se il codice del banner è legittimo, se contiene uno script di tracking abusivo, o peggio, un exploit. I controlli delle piattaforme RTB esistono ma restano largamente insufficienti di fronte al volume — decine di miliardi di transazioni al giorno.

L'Interactive Advertising Bureau (IAB) ha tentato di normare standard (ads.txt, sellers.json) per limitare le frodi, ma il malvertising resta uno degli angoli di attacco più redditizi per i gruppi cybercriminali.

Sezione 03

La truffa per manipolazione: i dark patterns

Oltre all'attacco tecnico puro, la pubblicità intrusiva usa massicciamente i «dark patterns». Si tratta di interfacce progettate per ingannarti:

Finte croci di chiusura: clicchi sulla X per chiudere la pubblicità, ma in realtà è un pulsante di click che apre la regia pubblicitaria.
Allarmi ansiogeni: «Il tuo PC è infetto, clicca qui!», «Hai vinto un iPhone, reclamalo ora!».
Finti pulsanti di sistema: banner che imitano le notifiche Windows o macOS per spingere all'installazione di un finto antivirus.
Confirm shaming: «No grazie, preferisco pagare di più la mia assicurazione» invece di un semplice «No».
Roach motel: facile iscriversi, quasi impossibile cancellarsi.

Queste pratiche sono ormai esplicitamente disciplinate dal Digital Services Act europeo e dal Garante Privacy lato italiano. Le sanzioni salgono — ma il divario tra la sanzione e il beneficio realizzato resta ancora largamente a favore degli inserzionisti malevoli.

Sezione 04

Casi reali: chi è già stato colpito

Il malvertising non è una minaccia teorica. Alcuni esempi documentati negli ultimi anni:

Il New York Times e la BBC hanno diffuso senza saperlo banner contenenti codice ransomware (2016, ma il pattern resta attuale).
Forbes, MSN, AOL e diversi grandi portali sono stati contaminati dalla campagna «AdGholas» che colpiva specificamente i browser non aggiornati.
YouTube ha visto comparire più volte pubblicità preroll che reindirizzavano verso siti di phishing che imitavano Google o Microsoft.
Siti di notizie italiani ed europei hanno diffuso nel 2024 banner che sfruttavano una falla zero-day su Chrome prima che fosse corretta.

Il punto comune: nessun sito malevolo. Nessun download a tradimento. Solo un sito legittimo, un banner truccato passato attraverso i controlli, e un utente con il browser non aggiornato.

Sezione 05

Come proteggersi in pratica

Combattere la pubblicità con strumenti performanti come Sheeldy non è quindi solo una questione di comfort visivo — è una vera misura di igiene di cybersecurity di base. Le azioni concrete, in ordine di impatto:

1. Mantenere browser e OS aggiornati

La grande maggioranza delle campagne di malvertising sfrutta falle già corrette. Attiva gli aggiornamenti automatici. È gratis ed è la difesa più efficace.

2. Installare un ad blocker

uBlock Origin su Firefox, Brave nativo. Non per comfort, ma perché un banner non caricato è un banner che non può attaccarti.

3. Disattivare i plugin inutili

Flash, Java, vecchi lettori PDF integrati nel browser. Questi vecchi componenti sono passerelle classiche per il drive-by download.

4. Tagliare la raccolta che alimenta il targeting

Le campagne di malvertising funzionano per targeting — colpiscono profili precisi. Più il tuo profilo è dettagliato presso i data brokers, più sei un bersaglio attraente. Cancellare i tuoi dati dai broker (quello che fa Sheeldy) riduce meccanicamente il rischio di essere preso di mira.

Domande frequenti

Cos'è il malvertising?

Il malvertising (contrazione di malicious advertising) indica l'iniezione di codice malevolo in spazi pubblicitari legittimi. Il pirata acquista uno spazio pubblicitario tramite un sistema di aste automatizzato, ci infila uno script che sfrutta una falla del browser, e qualsiasi visitatore del sito che carica la pubblicità può essere infettato — senza nemmeno cliccarci sopra.

Bisogna cliccare su una pubblicità per essere infettati?

No. Nel caso del malvertising tramite drive-by download, il semplice caricamento del banner esegue il codice malevolo. Nessun click, nessuna conferma è necessaria. Un utente prudente che non clicca mai sulle pubblicità può comunque essere compromesso.

Cos'è il Real-Time Bidding (RTB)?

Un sistema di aste automatizzato che decide in pochi millisecondi quale pubblicità verrà mostrata sulla pagina che stai visitando. Il tuo profilo viene messo all'asta tra centinaia di inserzionisti, il migliore offerente vince, e il suo banner viene iniettato. L'editore del sito non controlla cosa viene mostrato.

Cos'è un dark pattern?

Un'interfaccia progettata per ingannarti o manipolarti: finte croci di chiusura, allarmi ansiogeni, pulsanti rossi minacciosi piazzati dove ti aspettavi un pulsante di conferma neutro, opt-out nascosto dietro dieci sottomenu. Il Garante Privacy e l'Europa (Digital Services Act) sanzionano ormai esplicitamente queste pratiche.

Come proteggersi dal malvertising?

Quattro misure combinate: un browser aggiornato (le patch chiudono le falle sfruttate), un ad blocker performante (uBlock Origin su Firefox, Brave), un antivirus attivo con rilevamento web, e la cancellazione dei tuoi dati dai data brokers per non essere più preso di mira.

Fonti Rapporti dell'Agenzia dell'Unione europea per la cybersecurity (ENISA) sul malvertising e il drive-by download · Lavori di riferimento di Harry Brignull sui dark patterns · Digital Services Act (DSA) dell'Unione europea · Documentazione IAB su ads.txt e sellers.json.

In sintesi

La pubblicità intrusiva non è più un semplice argomento di comfort. Con il malvertising, il Real-Time Bidding e i dark patterns, è diventata un vettore d'attacco di cybersecurity a tutti gli effetti. Proteggersi richiede di bloccare a valle (ad blocker, browser aggiornato) e a monte (cancellazione dei dati che alimentano il targeting). È esattamente la promessa di Sheeldy: spezzare la catena dove è ancora reversibile.