AI

Telegram nel 2026: perché i ban non fermano il crimine

Daniele Messi · 01 Aprile 2026 · 7 min di lettura
Telegram nel 2026: perché i ban non fermano il crimine
Immagine: SmartWorld.it

Nonostante milioni di canali rimossi e controlli sempre più severi, Telegram rimane il principale hub per le attività criminali online. Nel 2026, la piattaforma continua a essere il luogo dove si organizzano truffe, frodi e operazioni di hacking, persino dopo il giro di vite seguito dall’arresto del CEO Pavel Durov a fine 2024. I numeri sono impressionanti: 43,5 milioni di canali bloccati nel 2025 e un ritmo ancora più accelerato nei primi mesi di quest’anno, con picchi di 500.000 cancellazioni in una sola giornata. Eppure, le attività criminali non si fermano. Semplicemente, si adattano.

Secondo l’analisi di Check Point Exposure Management, il problema non è la capacità di Telegram di rimuovere contenuti illeciti—quella funziona. Il vero nodo è che le comunità criminali dietro quei canali non spariscono con un semplice ban. Hanno sviluppato strategie sofisticate di resilienza: backup anticipati, reti di account interconnessi, tecniche di elusione pensate per confondere i moderatori. In altre parole, la piattaforma di messaggistica ha trasformato il suo modello di business in quello di un marketplace sotterraneo quasi inattaccabile.

I numeri che raccontano un fallimento parziale

I dati pubblicati nei primi mesi del 2026 sono impressionanti da un lato, allarmanti dall’altro. All’inizio di quest’anno, Telegram ha accelerato drasticamente le rimozioni: da una media di 10.000-30.000 cancellazioni giornaliere nel 2025 a 80.000-140.000 nel 2026, con punte eccezionali oltre le 500.000 in un singolo giorno. È un’escalation che testimonia una moderazione sempre più aggressiva e, probabilmente, l’implementazione di nuovi sistemi automatici di rilevamento.

Ma ecco il dato che dovrebbe preoccupare chiunque lavori in sicurezza informatica: secondo Check Point, circa il 20% dei canali bloccati era direttamente collegato ad attività criminali che colpiscono le aziende. Non stiamo parlando di spam o di gruppi di appassionati. Parliamo di operazioni sofisticate: carding (compravendita di dati bancari), vendita di “Fullz” (pacchetti completi di identità digitali rubate) e veri servizi di hacking-as-a-service. È uno spaccato del crimine informatico professionale che continua a prosperare perfino dopo le chiusure.

La stragrande maggioranza di questi canali criminali rimane attiva attraverso meccanismi di ridondanza. Quando Telegram ne chiude uno, la comunità si sposta rapidamente su un canale di backup già preparato. L’operatività rimane quasi intatta: il pubblico è già stato invitato in anticipo grazie a link e forward condivisi precedentemente. Il risultato è che ogni ban introduce più attrito, ma non una vera interruzione delle operazioni.

Le strategie di elusione che funzionano

Di fronte a controlli più serrati, gli attaccanti non hanno abbandonato Telegram. Hanno semplicemente cambiato tattica. Nelle comunità clandestine è emerso un arsenale di tecniche sofisticate pensate per confondere sia i moderatori umani che i sistemi automatici. Le più diffuse includono l’uso del filtro “Richiesta di adesione”, che limita l’accesso ai soli utenti verificati dagli amministratori, bloccando efficacemente i bot di moderazione. Un’altra pratica comune è l’inserimento di dichiarazioni di conformità alle regole nelle descrizioni dei canali—spesso con tag diretti ai vertici di Telegram—che creano l’illusione di legalità mantenendo contenuti chiaramente illeciti.

La più insidiosa? La creazione sistematica di canali di backup organizzati in vere e proprie reti. Non è un semplice piano B: è un’architettura resiliente costruita fin dall’inizio per sopravvivere alle rimozioni. Quando un canale cade, i membri sanno già dove andare. È come avere filiali di un’azienda: chiuderne una non fa sparire l’organizzazione.

Un ulteriore elemento di persistenza emerso dall’analisi di Check Point riguarda i messaggi inoltrati. Anche dopo la chiusura di un canale, migliaia di forward continuano a circolare nei gruppi ancora attivi, contenenti link, guide operative e contatti. I dati mostrano picchi particolari nei periodi di forte applicazione delle regole (febbraio, marzo, aprile 2025), quasi come se le comunità criminali facessero scorte di informazioni prima che i controlli si intensifichino. La conoscenza operativa non scompare con il canale originale: rimane frammentata ma viva, accessibile attraverso screenshot salvati, guide condivise, contatti memorizzati.

Perché Telegram batte ogni alternativa

Nonostante tutto, il fenomeno rimane circoscritto a Telegram. Negli ultimi tre mesi analizzati da Check Point, sono stati individuati circa 3 milioni di link di invito Telegram condivisi negli ambienti clandestini. Discord rappresenta meno del 6% di quel volume. Signal, SimpleX e piattaforme basate su Matrix sono quasi assenti. Non è casualità. È effetto di rete.

Con oltre 800 milioni di utenti, Telegram offre una combinazione unica di fattori: portata globale, facilità d’uso, API aperte per la creazione di bot, un modello di moderazione relativamente decentralizzato rispetto ai competitor. Per un’organizzazione criminale, significa accesso a un bacino potenziale di reclute, clienti e fornitori senza paragoni. Un caso esemplare è quello del gruppo di hacker AKULA: all’inizio del 2025 ha provato a migrare su SimpleX, ma i follower non lo hanno seguito in numeri sufficienti. Il gruppo è tornato su Telegram. Altre app alternative vengono usate occasionalmente per comunicazioni dirette e riservate, ma Telegram rimane la piattaforma di riferimento per diffusione di contenuti, reclutamento e marketplace illegali.

Le implicazioni per le aziende italiane

Per le aziende italiane, soprattutto nel settore finanziario e del commercio elettronico, questo scenario presenta rischi concreti. Se il 20% dei canali bloccati colpisce direttamente le imprese—attraverso frodi, furti di credenziali, servizi di hacking—significa che i criminali hanno obiettivi specifici e sofisticati. Non è una minaccia astratta: è organizzata, è resiliente, ed è attivamente alla ricerca di vittime.

La lezione per i team di sicurezza è che monitorare il singolo canale non basta più. Bisogna mappare l’intera rete: gli account interconnessi, i backup, i link circolanti nelle comunità affini. È un compito immane, ma necessario. Allo stesso tempo, le piattaforme come Telegram dovranno decidere se mantenere l’approccio attuale—sempre più distruttivo ma fondamentalmente reattivo—oppure se investire in sistemi predittivi che anticipino la creazione dei backup e interrompano la catena di ridondanza prima che si consolidi.

Una battaglia ancora lontana dalla conclusione

Nel 2026, è evidente che il giro di vite su Telegram ha avuto effetti visibili ma non definitivi. I 43,5 milioni di canali rimossi nel 2025 e il ritmo ancora accelerato di questi primi mesi dimostrano impegno. Ma la capacità adattativa dei criminali è rimasta intatta, persino aumentata. Hanno imparato a costruire infrastrutture decentralizzate, a sfruttare gli effetti di rete, a mantenere operatività anche quando i singoli nodi vengono eliminati.

Leggi anche:

Il vero cambio di paradigma arriverà solo quando la piattaforma avrà la capacità di non solo rimuovere canali, ma di prevenire la ricostituzione delle comunità dietro di essi. Fino a quel momento, Telegram resterà quello che è oggi: uno spazio dove la messaggistica legittima convive con uno dei più sofisticati ecosistemi criminali mai creati online. Una sfida che va oltre la moderazione, toccando questioni di architettura di sistema, responsabilità legale e cooperazione internazionale. Nel frattempo, gli attaccanti continuano a perfezionare le loro strategie, un ban alla volta.

Fonte: SmartWorld.it

#crimine informatico #Cybersecurity #frodi online #sicurezza aziendale #telegram