Nonostante il giro di vite senza precedenti, Telegram continua a essere uno degli hub principali per le attività criminali online. È quanto emerge dall’ultimo report di Check Point Software Technologies, che analizza l’evoluzione dell’ecosistema cybercriminale sulla piattaforma dopo mesi di interventi massicci da parte del servizio di messaggistica.
I numeri raccontano una stretta reale: solo nel 2025 sono stati chiusi oltre 43,5 milioni tra canali e gruppi, con un’accelerazione importante anche nei primi mesi del 2026. Eppure, il risultato è tutt’altro che definitivo. Le comunità criminali non solo resistono, ma si adattano con una velocità sorprendente, dimostrando come la semplice rimozione dei contenuti non sia sufficiente a fermare il fenomeno.
In sostanza, la moderazione aumenta, ma la struttura alla base delle attività illecite resta solida. E Telegram, per caratteristiche tecniche e diffusione globale, continua a essere il punto di riferimento per comunicazione, scambio e organizzazione nel sottobosco cyber.
Indice:
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Telegram sotto pressione: sono milioni i canali rimossi
Il giro di vite avviato da Telegram tra il 2025 e il 2026 rappresenta uno degli interventi più aggressivi mai visti su una piattaforma di messaggistica. Le rimozioni giornaliere sono passate da una media di 10-30 mila a picchi di oltre 500 mila in un solo giorno, con una media stabile tra 80 e 140 mila.
Numeri impressionanti, che sulla carta suggerirebbero un netto ridimensionamento delle attività illegali. Ma scavando più a fondo, emerge una realtà più complessa. Secondo Check Point Software Technologies, circa il 20% dei canali rimossi era direttamente collegato ad attività criminali rilevanti per le aziende, come il carding, la vendita di dati rubati (i cosiddetti “fullz”) e servizi di hacking.
Il vero problema, però, è la persistenza delle informazioni. Anche dopo la chiusura dei canali, i contenuti continuano a circolare attraverso messaggi inoltrati, mantenendo vive conoscenze e strumenti operativi. In altre parole, si elimina il contenitore, ma non il contenuto.
Questa dinamica evidenzia un limite strutturale delle attività di moderazione: colpire i singoli nodi non basta quando la rete è già distribuita e resiliente.
I cybercriminali si adattano e aggirano i controlli
Se la piattaforma alza il livello dei controlli, gli attori malevoli rispondono evolvendo le proprie strategie. È una corsa continua, in cui chi attacca sembra avere spesso un vantaggio temporale.
Tra le tecniche più diffuse c’è l’utilizzo della funzione “richiesta di adesione”, che permette di filtrare l’accesso e bloccare i bot di moderazione automatica. Altri gruppi inseriscono disclaimer nelle descrizioni dei canali, simulando conformità alle regole per evitare controlli più severi.
Ancora più interessante è la strategia dei canali di backup. Molte community creano in anticipo copie dei propri spazi, pronte ad attivarsi nel momento in cui il canale principale viene chiuso. In alcuni casi, gli utenti sono già migrati prima ancora che la rimozione avvenga, garantendo continuità operativa quasi totale.
Questa capacità di adattamento riflette un cambiamento più ampio nel cybercrime moderno. Gli attaccanti non si affidano più a singole piattaforme o infrastrutture, ma progettano sistemi ridondanti, capaci di sopravvivere anche a interventi massicci.
Telegram resta il principale hub della cybercriminalità
Nonostante i tentativi di migrazione verso alternative, Telegram mantiene una posizione dominante. Negli ultimi tre mesi, il report evidenzia circa 3 milioni di link di invito condivisi in ambienti clandestini, numeri nettamente superiori rispetto a qualsiasi altra piattaforma.
Servizi come Discord rappresentano una quota marginale, mentre app come Signal o soluzioni decentralizzate restano poco utilizzate in questo contesto. Anche i tentativi più strutturati di spostamento, come quello del gruppo hacker AKULA verso altre piattaforme, si sono rivelati fallimentari.
Il motivo è semplice: l’effetto rete. Con oltre 800 milioni di utenti attivi, Telegram offre una portata difficilmente replicabile. È il luogo dove si incontrano domanda e offerta nel mondo cybercriminale, ma anche dove avviene reclutamento, scambio di informazioni e distribuzione di strumenti.
Per le aziende e i team di sicurezza, questo si traduce in una necessità precisa: monitorare Telegram non è più opzionale. Ignorarlo significa lasciare scoperta una parte fondamentale del panorama delle minacce.
Moderazione e sicurezza: perché non basta rimuovere contenuti
Il report di Check Point Software Technologies mette in evidenza un punto sensibilissimo: la moderazione, da sola, non è sufficiente. Eliminare canali e contenuti è importante, ma non risolve il problema alla radice.
Le reti criminali sono strutturate per sopravvivere alle interruzioni. Per questo motivo, i team di sicurezza devono adottare un approccio più ampio, basato sulla threat intelligence e sulla gestione continua dell’esposizione.
Individuare le connessioni tra i vari attori, monitorare i flussi di comunicazione e anticipare i movimenti diventa fondamentale per smantellare intere infrastrutture, non solo singoli canali.
In altre parole, Telegram continua a essere uno specchio molto chiaro di come si evolve il cybercrime. La stretta c’è stata ed è reale, ma non è bastata a fermare il fenomeno. I criminali si adattano, cambiano strategia e restano presenti: segno che la partita è ancora aperta e tutt’altro che vicina alla conclusione.