Numeri record di rimozioni nel 2025, ma gli ecosistemi criminali su Telegram non arretrano. Canali di backup, richieste di accesso manuali e contenuti inoltrati garantiscono la continuità operativa.
Autore: Redazione SecurityOpenLab
Nel 2025 Telegram ha rimosso 43,5 milioni di canali e gruppi. Le rimozioni giornaliere, storicamente comprese tra 10.000 e 30.000, sono lievitate a una media stabile inclusa fra 80.000 e 140.000, con picchi che hanno superato le 500.000 in un singolo giorno. Sono numeri che, sulla carta, sembrano descrivere una piattaforma che si è lasciata alle spalle il discutibile ruolo di patria dei cyber criminali. In realtà, una analisi del team Check Point Exposure Management rivela che gli ecosistemi criminali su Telegram non si stanno affatto riducendo, anzi, si stanno evolvendo.
Per comprendere l’analisi bisogna fare un passo indietro. Telegram ha costruito la propria reputazione (e buona parte del proprio successo), attorno alla filosofia esplicita di non interferenza: nessuna moderazione dei contenuti, nessuna risposta alle richieste delle Forze dell'Ordine, crittografia end-to-end nelle chat private. Pavel Durov, cofondatore e CEO di Telegram, lasciò la Russia nel 2014 proprio per essersi rifiutato di consegnare al servizio segreto russo dati cifrati degli utenti. Questo approccio ha fatto di Telegram un ambiente operativo ideale per i cyber criminali: canali pubblici con centinaia di migliaia di iscritti in cui si scambiano liberamente dati di carte di credito rubate, credenziali di accesso, kit per frodi informatiche, strumenti di hacking e servizi su commissione. In sostanza, Telegram aveva un’offerta analoga al dark web, ma con un'interfaccia moderna, alta reperibilità dei contenuti, e una base utenti di oltre 800 milioni di persone che garantiva scala e visibilità senza precedenti.
Il 24 agosto 2024 Durov venne arrestato in Francia e formalmente indagato per dodici capi d'accusa, tra cui complicità nella distribuzione di materiale pedopornografico, traffico di droga, frode e rifiuto di collaborazione con le autorità giudiziarie, quindi rilasciato dietro cauzione con il divieto di lasciare la Francia. A settembre 2024 Telegram annunciò la volontà di collaborare con le autorità e fornire gli indirizzi IP e i numeri di telefono degli utenti dietro mandato giudiziario. I risultati del giro di vite sono quelli elencati in apertura, ma permane un problema di persistenza evidenziato dall’indagine di Check Point: grazie all’inoltro di contenuti, continuano a circolare migliaia di messaggi che mantengono vive le informazioni operative anche dopo la chiusura delle fonti originali.
Come spesso accade nel cybercrime, il meccanismo vincente fa perno sulla capacità di adattamento. Per bloccare i bot di moderazione automatizzati, molti gruppi usano il filtro Request to Join (richieste di accesso) che blocca chi non viene approvato manualmente, rendendo il canale invisibile ai sistemi di scansione. La tecnica più efficace è però quella dei canali di backup pre-creati: prima che avvenga la rimozione di un canale, i gestori preparano uno o più canali alternativi e vi fanno anticipatamente migrare il pubblico, così da mantenere intatta la continuità operativa.
Il risultato è che Telegram resta l’hub dominante per i traffici illeciti. Nei tre mesi precedenti alla pubblicazione del report, gli esperti di Check Point hanno identificato circa tre milioni di link di invito a canali Telegram negli ambienti underground, superando di gran lunga la concorrenza di Discord, Signal, SimpleX e le piattaforme basate su Matrix. Il vantaggio competitivo di Telegram per i cybercriminali è strutturale: la base di 800 milioni di utenti attivi genera effetti di rete che nessun competitor è in grado di replicare sotto l’aspetto di broadcast, reclutamento e mercato.
Per chi difende, tutto questo significa che non è efficiente affidarsi solo all'applicazione delle policy della piattaforma. Piuttosto bisogna attuare un monitoraggio continuo dell'esposizione, usando strumenti di threat intelligence capaci di tracciare le connessioni tra entità.