I cybercriminali non cercano soltanto il punto d’ingresso più semplice: puntano a restare nascosti nei livelli più profondi delle reti di telecomunicazione, dove i controlli di sicurezza risultano spesso meno estesi rispetto a quelli che si applicano verso gli endpoint. È questo il punto di partenza dell’analisi sulla sicurezza delle reti tlc di Maher Yamout, Lead Security Research del Global Research & Analysis Team (GReAT) di Kaspersky. In questa intervista, realizzata a Roma durante Kaspersky Horizons 2026, Yamout mette in fila i nuovi fronti per chi è chiamato a proteggere le infrastrutture di comunicazione: agentic AI, integrazione tra 5G e satellite, supply chain estese, oltre alle minacce che diventano di giorno in giorno più sofisticate dal punto di vista tecnologico.
Indice degli argomenti
Dal punto di vista del team GReAT, qual è oggi la minaccia più sottovalutata dagli operatori telecom europei?
In Europa, come nel resto del mondo, è la capacità degli attaccanti di radicarsi nell’infrastruttura e restarvi nascosti a lungo. Abbiamo osservato casi in cui gruppi specializzati in attacchi avanzati e persistenti sono riusciti a restare all’interno di ambienti telco per mesi, con accesso a componenti profondi delle reti.
Spesso l’attenzione si concentra sugli endpoint, dove esistono più controlli e strumenti di sicurezza. Ma nelle telecomunicazioni bisogna guardare anche a ciò che sta sotto: switch, apparati di rete, sistemi core, elementi che consentono al servizio di funzionare. Se il focus resta soltanto dove i controlli sono già maturi, si rischia di lasciare zone cieche proprio nei punti più critici. Ed è lì che un attaccante può restare nascosto e muoversi con maggiore libertà.
Kaspersky Horizons ha dedicato molta attenzione all’agentic AI. In reti tlc sempre più automatizzate, che utilizzo dell’intelligenza artificiale potrebbero fare gli attaccanti?
Alcuni aspetti sono già visibili oggi, altri diventeranno più concreti man mano che le aziende inizieranno a implementare sistemi agentici nei propri ambienti interni.
Il rischio aumenta se un attaccante ottiene accesso all’infrastruttura che governa gli agenti AI di una rete: potrebbe infatti arrivare a segreti, Api, credenziali e persino manipolare il comportamento dell’agente, spingendolo a compiere azioni diverse da quelle previste. Il punto centrale è capire come questi agenti sono connessi all’organizzazione e quali privilegi hanno.
Per questo serve un approccio molto rigoroso: privilegi minimi, monitoraggio continuo e test costanti. Gli agenti devono avere solo l’accesso davvero necessario per svolgere il proprio compito. Dare loro troppa autonomia o troppi permessi significa ampliare la superficie di attacco.
Quali superfici d’attacco emergono quando le reti terrestri si estendono verso partner, segmenti satellitari e infrastrutture che l’operatore non controlla pienamente?
Ogni nuova integrazione porta con sé una sfida: far funzionare tutto e, allo stesso tempo, renderlo sicuro. Di solito la prima priorità è la disponibilità del servizio. Ma quando si collegano 5G, ground station, componenti satellitari e altri elementi, entrano in gioco nuove entità e nuovi punti di passaggio.
Le ground station, ad esempio, possono diventare punti di connettività cruciali tra satellite e rete terrestre. Se aumentano, aumenta anche l’interesse degli attaccanti. Inoltre, quando si integrano tecnologie diverse, emergono sempre complessità: ogni tecnologia ha limiti propri e farle dialogare può portare a configurazioni con livelli minimi di sicurezza.
Questo vale anche per il rapporto con cloud provider e partner esterni, ma nelle telecomunicazioni il rischio è ancora più alto perché l’intera società si appoggia alle reti telecom. Una debolezza in questi ambienti può avere conseguenze molto ampie.
Che cosa deve cambiare nella gestione della supply chain per rendere questi ambienti più resilienti?
La supply chain va considerata come parte integrante della superficie d’attacco. Bisogna capire quali accessi ha, quali sistemi tocca, quali dipendenze introduce e come vengono monitorate nel tempo.
Le integrazioni tra tecnologie diverse sono spesso il punto più delicato. Anche ambienti apparentemente separati possono creare rischi se esistono connessioni non governate o configurazioni poco visibili. Il tema dello shadow IT resta importante: gli attaccanti cercano sempre l’opportunità più semplice, il servizio meno controllato, la porta socchiusa.
Per questo serve una gestione più dinamica: visibilità continua, verifica tecnica, controllo degli accessi e capacità di individuare rapidamente anomalie lungo tutta la catena dei fornitori.
Guardando al mercato italiano ed europeo, anche alla luce di Nis2, qual è il principale gap culturale o organizzativo che impedisce ancora agli operatori telco di adottare un approccio proattivo verso le minacce emergenti?
Leggi e regolamenti sono fondamentali. Ma bisogna evitare un approccio puramente burocratico alla sicurezza, quello dello “spuntare le caselle”, basato soltanto sul rispetto formale dei requisiti o sul superamento degli audit.
I controlli di sicurezza sono costosi, richiedono tempo e risorse, quindi serve realismo da entrambe le parti: chi scrive le regole deve comprendere i vincoli tecnici e organizzativi delle aziende, mentre le aziende devono andare oltre la semplice conformità. L’obiettivo deve essere cambiare mentalità, non solo completare una checklist.
La sicurezza deve diventare parte del modo in cui si progettano e si integrano le tecnologie. Gli attaccanti aspettano di trovare aperto anche soltanto un piccolo varco. E quando lo trovano, lo sfruttano.
