La progressiva stretta sui canali clandestini di Telegram sta modificando gli equilibri dell’ecosistema criminale online. Le ricerche condotte da Kaspersky Digital Footprint Intelligence mostrano un incremento rilevante delle rimozioni operate dalla piattaforma e, allo stesso tempo, una sorprendente maggiore longevità dei canali illegali che riescono a rimanere attivi. Due dinamiche che si intrecciano e che stanno spingendo molte community dell’underground a migrare verso nuove destinazioni digitali.
L’ecosistema Telegram non offre più la stabilità di un tempo
Il monitoraggio di oltre 800 canali bloccati tra il 2021 e il 2024 mette in luce un ambiente ancora ricco di attività illecite, ma sempre meno favorevole a chi tenta di gestire servizi criminali in modo continuativo. Telegram continua a offrire strumenti utili per l’automazione del cybercrime: i bot integrati gestiscono richieste, incassano pagamenti in criptovalute, distribuiscono carte rubate, log di info-stealer, kit di phishing, o orchestrano attacchi DDoS senza intervento umano. L’archiviazione illimitata elimina inoltre la necessità di una infrastruttura esterna per diffondere database sottratti e documenti multi-gigabyte.
Questa combinazione ha favorito negli anni attività ad alto volume e a basso costo. Le transazioni più sensibili, come la vendita di zero-day o dati ad alto valore, restano comunque confinate ai forum del dark web, dove la reputazione continua a rappresentare un elemento indispensabile.
Canali più longevi, ma anche più colpiti
I ricercatori evidenziano un primo cambiamento significativo: la percentuale di canali “ombra” in grado di superare nove mesi di vita è più che triplicata nel biennio 2023-2024 rispetto al periodo 2021-2022. Una resistenza maggiore nonostante un secondo trend, molto più incisivo, si manifesti in parallelo.
Dal 2024 la frequenza delle rimozioni operate da Telegram è aumentata in modo netto. I livelli mensili registrati dall’autunno dello scorso anno risultano paragonabili ai picchi del 2023, e il ritmo continua ad accelerare nel 2025. L’effetto è un ambiente più instabile, con chiusure improvvise che ostacolano la costruzione di canali affidabili nel tempo.
I limiti strutturali spingono alla fuga
Oltre ai blocchi più frequenti, Telegram presenta altre criticità per gli attori malevoli. L’assenza di crittografia end-to-end di default, l’impossibilità di utilizzare server propri per le comunicazioni e il codice lato server chiuso riducono il controllo e aumentano il rischio operativo.
Non sorprende che gruppi consolidati come BFRepo (quasi 9.000 iscritti) o l’operazione Angel Drainer, nota per servizi malware-as-a-service, abbiano iniziato a spostare le loro attività verso piattaforme alternative o su messenger proprietari. Le chiusure ripetute su Telegram hanno compromesso la loro continuità, inducendoli a cercare spazi meno esposti alla moderazione.
L’analisi degli esperti
Secondo Vladislav Belousov, Digital Footprint Analyst di Kaspersky, i criminali continuano a considerare Telegram uno strumento comodo per varie attività illecite, ma il rapporto rischio-beneficio non appare più vantaggioso. Canali più longevi non compensano l’aumento delle rimozioni, che impedisce di costruire servizi affidabili. La volatilità crescente spinge l’underground verso le prime fasi di una migrazione strutturale.
Aiutaci a crescere: lasciaci un like :)