Per molti è semplicemente un’app di messaggistica ricca di funzionalità, ma Telegram nasconde un lato molto meno innocuo. Dietro le conversazioni quotidiane di centinaia di milioni di persone, continua a prosperare un ecosistema di attività criminali che nemmeno un’ondata di controlli senza precedenti è riuscita a smantellare davvero. Una recente analisi di Check Point Exposure Management mette nero su bianco una realtà scomoda: nonostante rimozioni record e milioni di canali chiusi, la piattaforma resta il punto di riferimento assoluto per chi organizza truffe, frodi e servizi di hacking.
I numeri parlano da soli. Nel solo 2025, Telegram ha bloccato oltre 43,5 milioni di canali e gruppi. Un volume impressionante, che nei primi mesi del 2026 è ulteriormente cresciuto: le rimozioni giornaliere sono passate da una media di 10.000/30.000 a una fascia stabile tra 80.000 e 140.000, con picchi che hanno superato le 500.000 cancellazioni in un singolo giorno. Questo giro di vite è arrivato anche sull’onda dell’arresto del CEO Pavel Durov a fine 2024 e di una moderazione decisamente più rigida introdotta l’anno successivo. Eppure, circa il 20% dei canali bloccati risultava collegato ad attività criminali dirette contro le aziende: operazioni di carding, vendita di “Fullz” (pacchetti completi di dati identificativi rubati) e veri e propri servizi di hacking pronti all’uso.
Perché chiudere i canali non basta a fermare il crimine su Telegram
Il problema di fondo ha un nome preciso: persistenza. Quando Telegram chiude un canale, la comunità che ci gravitava attorno non scompare. Molti gruppi criminali preparano in anticipo canali di backup, spesso creati prima ancora che arrivi il ban, così da avere già pronto un punto di ritrovo alternativo. La migrazione avviene in modo rapido e quasi indolore, perché il pubblico è già stato raggiunto tramite inviti e link condivisi in precedenza. Il risultato è che l’operatività resta quasi intatta. Il giro di vite introduce più attrito, certo, ma non una vera interruzione.
C’è poi la questione dei contenuti che sopravvivono alla cancellazione. Migliaia di messaggi inoltrati continuano a circolare anche dopo la chiusura del canale originale. Guide operative, contatti, informazioni su frodi: tutto resta accessibile attraverso forward, screenshot e materiale salvato altrove. I dati di Check Point mostrano picchi nei messaggi inoltrati che citano fonti ormai bloccate, soprattutto nei periodi di forte applicazione delle regole tra febbraio, marzo e aprile 2025.
Le tecniche di elusione si fanno sempre più sofisticate. Tra le pratiche più diffuse c’è l’uso del filtro “Richiesta di adesione” per bloccare i bot di moderazione, l’inserimento di dichiarazioni di non responsabilità nelle descrizioni dei canali per fingersi conformi alle regole, e la creazione sistematica di canali di backup organizzati in gruppi per garantire una ricostituzione immediata dopo ogni rimozione.
Telegram resta il re: le alternative non reggono il confronto
Nonostante qualche tentativo di migrazione verso altre piattaforme, Telegram rimane saldamente il canale preferito dalla criminalità informatica. Negli ultimi tre mesi analizzati, Check Point ha individuato circa 3 milioni di link di invito Telegram condivisi negli ambienti clandestini. Discord rappresenta meno del 6% di quel volume, mentre Signal, SimpleX e le piattaforme basate su Matrix risultano quasi assenti. Un caso emblematico è quello del gruppo di hacker AKULA, che all’inizio del 2025 ha tentato di trasferirsi su SimpleX. Il tentativo è fallito: i follower non hanno seguito in numeri sufficienti e il gruppo è tornato su Telegram. Con oltre 800 milioni di utenti attivi, la piattaforma offre una base che nessun concorrente riesce a eguagliare.
