Qual è il problema principale che affligge gli utenti di Google Ads nel 2026?

Gli utenti di Google Ads, in particolare agenzie di marketing e inserzionisti, stanno subendo attacchi sofisticati che portano al furto di account e all'utilizzo improprio dei budget pubblicitari per promuovere truffe e malware.

Cosa sono gli account MCC (My Client Centre) e perché sono così importanti?

Gli account MCC sono "chiavi maestre" che permettono di gestire molti account pubblicitari di clienti diversi. Se un criminale compromette un account MCC, può accedere a un numero elevato di account secondari.

Come vengono violati gli account Google Ads?

Il metodo principale è il "malvertising": i criminali acquistano spazi pubblicitari su Google per parole chiave pertinenti a Google Ads e indirizzano gli utenti verso siti di phishing che imitano l'interfaccia di login ufficiale. Inserendo le credenziali su questi siti, gli utenti compromettono il proprio account.

Come fanno i criminali a superare l'autenticazione a due fattori (2FA)?

I moderni kit di phishing intercettano il "cookie di sessione", che permette ai criminali di accedere all'account senza dover inserire la password e il codice 2FA.

Qual è il ruolo dell'ingegneria sociale in questi attacchi?

I criminali utilizzano email che simulano comunicazioni interne di Google per indurre gli amministratori ad accettare nuovi utenti o verificare violazioni di policy inesistenti, ottenendo così l'accesso agli account.

Qual è l'impatto di questi attacchi sulle agenzie di marketing?

Le agenzie subiscono perdite economiche dovute al drenaggio dei budget pubblicitari, danni alla reputazione e perdita di fiducia da parte dei clienti.

Cosa sta facendo Google per contrastare questi attacchi?

Google ha bloccato e rimosso milioni di annunci che violavano le policy, inclusi tentativi di truffa e phishing. Tuttavia, la natura automatizzata della pubblicità rende difficile arginare completamente il fenomeno.

Quali sono le raccomandazioni per gli utenti di Google Ads per proteggere i propri account?

Gli utenti sono invitati a implementare le migliori pratiche di sicurezza e a prestare attenzione alle comunicazioni sospette, poiché la sicurezza è una responsabilità condivisa.

Google 2 months ago

Google ads sotto attacco: hacker rubano account e budget pubblicitari

Un’analisi approfondita rivela come i criminali informatici stiano sfruttando le falle di sicurezza di Google Ads per colpire agenzie e inserzionisti, trasformando la piattaforma in un’arma a doppio taglio

Immaginate di svegliarvi, controllare il saldo del conto aziendale e scoprire che decine di migliaia di euro sono stati spesi nel giro di poche ore per pubblicizzare siti truffaldini di criptovalute o malware in Brasile.

Tentate di accedere al pannello di controllo, ma la password non funziona.

Il recupero via email? Dirottato. L’autenticazione a due fattori? Aggirata.

Non è la trama di una serie distopica, ma la realtà che molte agenzie di marketing e inserzionisti stanno vivendo in questo inizio di 2026. Quello che sta accadendo nel mondo di Google Ads è un paradosso tecnologico affascinante e terrificante allo stesso tempo: la piattaforma pubblicitaria più potente del mondo viene usata come arma contro i suoi stessi utenti.

Siamo di fronte a un livello di sofisticazione che merita di essere analizzato non come un semplice bug di sicurezza, ma come un cambiamento strutturale nel modo in cui il crimine informatico sfrutta le grandi piattaforme.

Il furto delle chiavi maestre

Per capire la gravità della situazione, bisogna comprendere cosa sono gli account MCC (My Client Centre). Nel gergo del marketing digitale, un MCC è una “chiave maestra”: un unico account che gestisce decine, a volte centinaia, di account pubblicitari di clienti diversi.

Se un criminale riesce a violare un singolo profilo utente con accesso amministrativo, non sta scassinando una cassaforte, sta aprendo l’intero caveau della banca.

Il metodo di attacco prevalente, affinato in modo preoccupante negli ultimi mesi, si basa su una tecnica chiamata malvertising (malicious advertising). I criminali acquistano spazi pubblicitari su Google stesso, posizionandosi in cima ai risultati di ricerca per parole chiave come “Google Ads login” o “Assistenza Google”.

L’utente, spesso un professionista che va di fretta, clicca sul primo risultato che vede. L’interfaccia è identica a quella ufficiale, ma il codice sottostante è una trappola.

Già all’inizio dello scorso anno, Malwarebytes ha documentato per la prima volta una vasta campagna di phishing che utilizzava proprio questi falsi annunci per indirizzare gli utenti verso siti clone, spesso ospitati ironicamente su Google Sites per aumentare la credibilità agli occhi delle vittime e dei filtri di sicurezza.

Una volta inserite le credenziali, il danno è fatto. Ma c’è un dettaglio tecnico che rende tutto più inquietante: il superamento dell’autenticazione a due fattori (2FA).

Molti pensano che ricevere il codice SMS o la notifica sull’app renda invulnerabili.

Non è così.

I moderni kit di phishing non si limitano a copiare la password; intercettano il cookie di sessione, quel piccolo file che dice al server “questo utente è già verificato”. Rubando quello, il ladro entra dalla porta principale con il pass della sicurezza già al collo.

L’ingegneria sociale si è evoluta

Non si tratta solo di tecnologia, ma di psicologia. Le segnalazioni più recenti indicano un aumento di email che simulano perfettamente le comunicazioni interne di Google, invitando gli amministratori ad accettare nuovi utenti o verificare violazioni di policy inesistenti.

È una guerra di logoramento.

Le agenzie si trovano a combattere contro un nemico invisibile che agisce mentre l’assistenza ufficiale, spesso gestita da sistemi automatizzati o personale oberato, fatica a tenere il passo. La frustrazione è palpabile nelle parole di chi gestisce questi budget milionari.

Né io né nessuno del mio team riusciamo ad accedere, né a nessuno dei nostri account. Abbiamo ricevuto email che notificavano l’aggiunta di un utente amministrativo sconosciuto. Questa persona ha poi collegato il proprio MCC a molti dei nostri account.

— Craig Skalko, Professionista d’agenzia

La dinamica descritta da Skalko evidenzia un vuoto operativo spaventoso. Nel lasso di tempo che intercorre tra il furto dell’account e l’intervento umano del supporto di Google, i criminali possono drenare budget enormi.

Una volta dentro, lanciano campagne ad altissima spesa per promuovere truffe, sapendo di avere le ore contate.

È una rapina lampo digitale.

L’escalation è stata netta. Verso la fine del 2025, Barry Schwartz ha segnalato un’impennata di attacchi mirati agli account manager, confermando che i bersagli non sono più i piccoli inserzionisti inesperti, ma le grandi balene che gestiscono portafogli corposi.

Questo sposta l’asticella del rischio: non è più solo una questione di perdita economica diretta, ma di reputazione e fiducia tra agenzie e clienti.

La risposta del gigante

Google non è rimasta a guardare, ovviamente. L’azienda ha dispiegato risorse enormi per ripulire il suo ecosistema, consapevole che se gli inserzionisti perdono fiducia nella piattaforma, il modello di business crolla. La risposta è stata massiccia in termini di volumi.

Secondo i dati più recenti, Google ha riferito di aver bloccato o rimosso oltre 200 milioni di annunci che violavano le policy, inclusi tentativi di truffa e phishing.

Tuttavia, la natura stessa dell’automazione pubblicitaria gioca a sfavore dei difensori. Per ogni annuncio malevolo abbattuto dall’intelligenza artificiale di Mountain View, ne spuntano altri dieci generati automaticamente da botnet, magari con leggere variazioni semantiche o grafiche per aggirare i controlli.

Ginny Marvin, figura chiave nella comunicazione tra Google Ads e il pubblico, ha ammesso la difficoltà di arginare completamente il fenomeno, richiamando alla responsabilità condivisa.

Purtroppo questi tipi di tattiche non sono rari. Mentre i nostri team agiscono per prevenire i furti di account, esortiamo le nostre agenzie partner e gli inserzionisti a implementare le migliori pratiche di sicurezza.

— Ginny Marvin, Google Ads Liaison

Qui risiede il nodo gordiano della sicurezza informatica moderna. Le piattaforme costruiscono mura sempre più alte, ma devono lasciare dei cancelli aperti per permettere agli utenti di lavorare.

È proprio su questi cancelli — l’interazione umana, la fretta, la fiducia nel marchio “Google” — che i criminali concentrano i loro sforzi.

Siamo di fronte a una corsa agli armamenti dove l’utente finale è spesso l’anello debole, ma anche la vittima sacrificale. Se da un lato è doveroso richiedere maggiore attenzione da parte di chi gestisce gli account, dall’altro sorge spontanea una domanda scomoda:

È accettabile che una delle aziende tecnologiche più avanzate al mondo permetta che il proprio motore di ricerca diventi il vettore principale per attaccare i suoi stessi clienti paganti?

Scritto da Marco Rossi

Giornalista tech con 10 anni di esperienza nel settore. Appassionato di innovazione e early adopter incallito. Ama raccontare come la tecnologia cambia la vita quotidiana delle persone.

Addio alle mappe, benvenuto all’assistente digitale: come Google sta rivoluzionando la guida

Il Marketing B2B nell’Era AI: Proprietà del Percorso vs. Declino del Traffico Organico

Da Codificatori ad Architetti: Come l’AI Riscrive il Ruolo degli Ingegneri

Amazon Shop Direct e la guerra degli standard nell’e-commerce

Categories

Pages

Newsletter

Non perdere nemmeno un articolo.

Google ads sotto attacco: hacker rubano account e budget pubblicitari