Nel 2025, quasi il 10 percento delle aziende globali del settore telecomunicazioni ha subìto attacchi ransomware; il 20,76% degli utenti dello stesso ambito ha ricevuto minacce sui dispositivi. Sono alcuni dei dati più significativo che emergono dal Kaspersky Security Bulletin 2025 dedicato alle telco.​​

Il comune denominatore è una chiusura di anno in cui si sono mescolati minacce consolidate e nuove sfide operative. Il mix di eventi che gli operatori hanno dovuto fronteggiare va dalle intrusioni mirate da parte di gruppi APT alle compromissioni della supply chain, interruzioni DDoS e frodi legate alle SIM swapping. Nel 2026 lo scenario non cambia in modo sostanziale: Kaspersky evidenzia che le pressioni persistono, anzi, l'adozione di tecnologie emergenti apre nuovi fronti di vulnerabilità.

Più nel dettaglio, i gruppi APT hanno mantenuto un focus sulle infrastrutture telco, con l’obiettivo di ottenere un accesso invisibile per le attività di spionaggio a lungo termine o per sfruttare posizioni privilegiate nelle reti. Fra le campagne più note i ricercatori evidenziano Salt Typhoon del 2025, in particolare focus sul routing, e l'operazione SyncHole del gruppo Lazarus che riconfermano per l’ennesima volta la resilienza degli attaccanti, che puntano a infrastrutture critiche per ottenere dati sensibili e capacità di interruzione dei servizi.

Interruzioni che coinvolgono spesso la supply chain. Le telco dipendono da ecosistemi complessi con fornitori multipli, appaltatori e piattaforme collaborative. È scontato che una breccia in un prodotto diffuso può esporre credenziali, configurazioni, documenti operativi, facilitando il passaggio dall'IT corporate alle reti di servizio. La dimostrazione di questo è quanto avvenuto nel luglio 2025, quando una catena di exploit su Microsoft SharePoint on-premises ha consentito l’esecuzione remota non autenticata e il deploy di web-shell su server esposti.​ A cadere vittime sono state telco asiatiche e mediorientali.​

Sopra abbiamo accennato ad altri tipi di minacce. Partiamo con gli attacchi DDoS, che nel caso specifico mirano a innescare effetti collaterali su infrastrutture condivise. All'inizio del 2025 NTT Docomo registrò una interruzione di servizio di circa 11 ore che bloccò l'accesso a servizi per 90 milioni di abbonati.​

Prospettive per il 2026

Nel 2026, secondo gli esperti di Kaspersky, le transizioni tecnologiche in corso nelle telco tenderanno ad amplificare l’esposizione al rischio. L’uso esteso di automazione basata su AI nella gestione di rete apre scenari di esecuzione a catena: template errati di configurazione o dati di telemetria avvelenati possono propagare lo stesso errore su vasta scala e trasformarlo in pochi istanti in una interruzione di servizio.

La migrazione verso la crittografia post-quantistica introduce un significativo margine di instabilità operativa. Gli operatori accelerano per rispondere alla logica del “harvest now, decrypt later”, ma le implementazioni ibride fatte di fretta possono causare problemi di interoperabilità e di performance.

L’integrazione tra reti 5G e costellazioni satellitari LEO (NTN) amplia la superficie d’attacco coinvolgendo stazioni terrestri, portali di management e software di coordinamento. L’aumento dei partner in gioco moltiplica i possibili punti di compromissione: una singola violazione a livello di infrastruttura a terra può influire sul routing via satellite e compromettere, anche solo temporaneamente, la continuità del servizio.