Contesto

Negli ultimi anni Telegram si è affermata come una delle piattaforme preferite dagli attori del cybercrime per la comunicazione, diffusione e pubblicazione di informazioni riservate, frutto di attività illecite.
Una sorta di dark web secondario, composto da una miriade di canali gestiti da cybergang in crescita costante: solo nel 2022 si è registrato un incremento del 250%.
La migrazione su Telegram è iniziata nel 2020 quando sono stati hackerati molti forum utilizzati da cybercriminali. Nel primo trimestre del 2022, una serie di attacchi informatici e fughe di dati ha suscitato una nuova ondata di pubblicità per gruppi e canali su Telegram che offrono servizi di cybercrime. Nel secondo trimestre del 2022, si è registrato un numero record di oltre 27.000 messaggi relativi ad attività illecite.
Nonostante l’evidenza di questi dati,Telegram LLC, società a responsabilità limitata con sede a Dubai e fondata dall’imprenditore russo Pavel Durov, si è dimostrata poco sensibile alle segnalazioni di abuso dei suoi utenti.
In Italia la Federazione degli editori si è mossa formalmente con l’Agcom per chiedere un provvedimento urgente per la sospensione del social sui cui canali vengono scaricati gratuitamente quotidiani e giornali con una perdita stimata di 250 milioni all’anno.
In Brasile Telegram è stata addirittura bloccata per mancata collaborazione nelle indagini riguardanti un gruppo neonazista. In ambito di cybersecurity, la totale mancanza iniziativa nell’identificare, limitare e bloccare informazioni legate ad attività malevole di fatto favorisce la diffusione di attività illegali e si configura di supporto al cybercrime.

Rapporto tecnico

Nel contesto delle attività di monitoraggio di Cyber Threat Intelligence, abbiamo raccolto alcuni esempi di utilizzo di Telegram da parte di cybercriminali. Dalla distribuzione di tool malevoli, diffusione di exploit e pubblicazione di anteprime di data breach: i messaggi che vengono scambiati coprono un’ampia casistica di cybercrimini.

1. Tool per la creazione di ransomware


2. Documenti falsi come passaporti e carte di identità di vari paesi.


3. Account per piattaforme di streaming, social network, criptovalute e betting.


4. Attacchi DDos a pagamento: “crime as a service”.

Sotto il profilo giuridico la condotta di Telegram LLC appare in contrasto con la Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno (“Direttiva sul commercio elettronico”) in riferimento agli articoli 14, 15 e 16 di cui si riporta un estratto.

Articolo 14
“Hosting”
1. Gli Stati membri provvedono affinché, nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore non sia responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio, a condizione che detto prestatore:
a) non sia effettivamente al corrente del fatto che l’attività o l’informazione è illecita e, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione;

[…].

Articolo 15
Assenza dell’obbligo generale di sorveglianza

[…].

2. Gli Stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti
, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati

Articolo 16
“Codici di condotta”

1. Gli Stati membri e la Commissione incoraggiano:

a) l’elaborazione, da parte di associazioni o organizzazioni imprenditoriali, professionali o di consumatori, di codici di condotta a livello comunitario volti a contribuire all’efficace applicazione degli articoli da 5 a 15;

[…].

Il crescente utilizzo di Telegram da parte del cybercrime rappresenta un costante pericolo per l’integrità dei dati dei cittadini europei, di Enti pubblici e privati e per la sicurezza di infrastrutture critiche. L’applicazione di messaggistica creata da Pavel Durov, si è affermata, nel corso degli ultimi anni, come una “zona franca” in cui ogni tipo di scambio è lecito. Le attività rilevate comprendono:

• compravendita di passaporti falsi,
• account di piattaforme di streaming,
• account esfiltrati di dipendenti di organizzazioni nazionali ed internazionali,

• criptovalute,
• tool per l’esecuzione di attacchi informatici di vario genere.

Tutto questo, rende ragionevole considerare la piattaforma Telegram come un dark web alternativo e, per questo,“malevola”, che facilita la collaborazione tra i vari attori del cybercrime e ne rafforza la capacità organizzativa.

Data la fondatezza delle preoccupazioni legate alle attività di cybercrime su Telegram, potrebbe essere necessario considerare l’adozione di misure restrittive, come la sospensione temporanea o la limitazione dell’accesso all’applicazione, affinché vengano implementate e garantite, da chi la gestisce, le necessarie misure di sicurezza.

Sarà valutato un coinvolgimento attivo di Google e Apple per valutare la rimozione dell’applicazione mobile dai loro store nel nostro Paese, e sul territorio europeo, fino a quando non vengano adottate e dimostrate misure concrete e tempestive di contenimento delle attività illegali su di essa.

Ciò si rende necessario in quanto il cyber threat intelligence team di Almaviva opera h24 e in proattività per proteggere i propri clienti sia pubblici che privati, strategici per lo sviluppo e l’innovazione sia in territorio nazionale che internazionale.