Cybersecurity, il 2026 non sarà un anno di tregua per le telco. Le minacce che hanno segnato il 2025 – dagli attacchi mirati alle catene di fornitura fino alle offensive Ddos – non arretrano. Anzi, si intrecciano con nuovi rischi operativi generati dall’adozione accelerata di tecnologie come l’automazione di rete basata sull’AI, la crittografia post‑quantistica e l’integrazione tra 5G e satelliti.
È il quadro delineato dal Kaspersky Security Bulletin, che avverte: “Le minacce che hanno dominato il 2025, campagne Apt, attacchi alla catena di approvvigionamento e attacchi Ddos , non stanno scomparendo”.
Gli operatori di telecomunicazioni devono avere visibilità su entrambe le dimensioni della cybersecurity: mantenere difese solide contro le minacce note e integrare la sicurezza in queste nuove tecnologie fin dal primo giorno. “La chiave è disporre di un’intelligence continua sulle minacce, che si estenda dall’endpoint all’edge fino all’orbita”, dichiara Leonid Bezvershenko, Senior Security Researcher di Kaspersky GReAT.
Il capitolo telecomunicazioni del Bulletin rileva, nel periodo novembre 2024‑ottobre 2025, esposizione a minacce web per il 12,79% degli utenti del settore, minacce sui dispositivi per il 20,76% e attacchi ransomware al 9,86% delle organizzazioni telco. Dati che confermano una pressione strutturale.
Indice degli argomenti
Perché il settore resta un bersaglio strategico
Gli operatori custodiscono posizioni privilegiate nell’ecosistema delle comunicazioni. La visibilità su traffico, segnalazione e interconnessioni li rende obiettivi di spionaggio e persistence. Le Apt cercano accessi furtivi e duraturi, sfruttando credenziali, errori di configurazione e strumenti legittimi. Il rischio di cybersecurity si amplifica quando l’infrastruttura incorpora componenti eterogenei e servizi esterni.
Nel 2025, i trend europei hanno mostrato ransomware in evoluzione e una forte crescita delle campagne di phishing industrializzato. L’automazione dell’ingegneria sociale facilita l’iniziale compromissione. La complessità di ambienti cloud‑native, api e microservizi aumenta la superficie esposta. Ne deriva una minaccia che unisce tecniche note e strumenti avanzati.
Automazione e Ia: efficienza, ma con controllo umano
La gestione di rete assistita dall’AI promette rapidità e precisione. Può ridurre tempi di diagnosi e migliorare la qualità dell’esperienza. Ma introduce un rischio nuovo: amplificazione degli errori. Se i modelli reagiscono a dati fuorvianti, l’automazione può diffondere configurazioni errate su vasta scala.
Il Bulletin invita a trattare la AI‑ops come un programma di change management. Serve controllo umano sulle azioni a impatto alto. Servono percorsi di rollback chiari. Serve validazione continua dei dati che alimentano gli algoritmi. In assenza di questi presìdi, la promessa di efficienza si trasforma in punto singolo di fallimento a livello di cybersecurity.
Transizione Pqc: cybersecurity futura senza blocchi operativi
La crittografia post-quantistica è passaggio obbligato per la cybersecurity. Gli standard Fips 203, 204 e 205 hanno definito i pilastri della migrazione. La sfida per le telco è operativa. Portare Kyber, Dilithium e Sphincs+ in ambienti misti, con apparati legacy e interfacce eterogenee, può generare interoperabilità fragile e penalità prestazionali.
La rotta realistica è migrazione graduale, con test a matrice su tls, ipsec, piani di interconnessione, roaming e peering. È cruciale coordinare fornitori, Ott e partner di rete. Errori nella fase ibrida possono bloccare servizi critici o introdurre regressioni difficili da diagnosticare. La sicurezza post‑quantistica deve esordire senza rumore per l’utente finale.
Integrazione 5g‑ntn: resilienza e complessità
L’integrazione tra 5G e Ntn amplia copertura e ridondanza. Le specifiche release 17 e gli enhancement di release 18 hanno abilitato Nr‑Ntn e IoT‑Ntn. La promessa è forte: continuità del servizio in aree remote e in condizioni di emergenza.
Ma la convergenza introduce complessità. Ritardi variabili, celle mobili, doppler e orchestrazione tra core, Ran e segmento spaziale complicano autenticazione, handover e policy. La sicurezza deve essere by design, con metriche di QoS e affidabilità che tengano conto dei nuovi gradi di libertà. Errori di coordinamento possono degradare il servizio anche in presenza di risorse abbondanti.
Ddos: da incidente di sicurezza a problema di capacità
Gli attacchi Ddos sono diventati iper‑volumetrici e brevi. Durano pochi minuti, ma superano soglie record e colpiscono i picchi di traffico.
Le reti devono quindi combinare mitigazioni upstream, protezione del routing periferico e telemetria che anticipi i segnali di congestione. La rapidità richiede difese autonome. Gli attacchi terminano spesso prima che un processo manuale si attivi. Il valore della threat intelligence sta nell’arricchire indicatori e nel riconoscere botnet emergenti. È un tema di resilienza operativa, non solo di perimetro.
Supply chain: fiducia misurabile, non presunta
La supply chain è vettore a leva. Un componente compromesso si propaga lungo l’ecosistema. Nel settore telco, managed services, piattaforme cloud e strumenti di orchestrazione sono spesso condivisi. La difesa richiede visibilità e controllo continuo sui terzi.
Servono Sbom (Software Bill of Materials) aggiornate, firma e verifica degli artefatti, segregazione dei Ci/Cd (Continuous Integration / Continuous Delivery) e monitoraggio degli ambienti di build. La due diligence non si esaurisce all’onboarding. Va mantenuta nel ciclo di vita del contratto. L’obiettivo è trasformare la fiducia in metrica operativa, verificabile e auditabile.
Compliance e governo del rischio: l’effetto Nis2
La direttiva Nis2 ha alzato l’asticella. Per le telco, classificate come essential entities, le richieste sono stringenti. Gestione del rischio, reporting tempestivo, supply‑chain security e responsabilità del management non sono più opzionali.
Le sanzioni possono arrivare a 10 milioni di euro o al 2% del fatturato globale. In molte giurisdizioni la trasposizione procede a velocità diverse. I gruppi cross‑border devono evitare asimmetrie di conformità. L’adeguamento diventa vantaggio competitivo se integrato alla strategia di servizio e non confinato alla funzione di sicurezza.
Dati, persone, processi: tre assi per la resilienza
La resilienza non nasce dai prodotti. Nasce dalla combinazione di dati affidabili, persone formate e processi ripetibili. La formazione riduce l’efficacia di phishing e ingegneria sociale. La raccolta di telemetria normalizzata consente correlazioni più rapide. I processi di incident response e crisis management devono integrare comunicazione verso clienti e autorità, in linea con Nis2.
Dalle raccomandazioni all’azione
Il Kaspersky Security Bulletin propone azioni concrete. Monitorare il panorama Apt e le infrastrutture rilevanti. Adottare Edr per la rilevazione precoce e il contenimento rapido. Trattare i Ddos come una sfida di capacità con mitigazioni a monte e indicatori arricchiti. Governare l’automazione come gestione del cambiamento, con controllo umano e validazione dei dati.
Queste mosse si allineano con le tendenze emerse nella comunità europea. I report di scenario hanno evidenziato il peso di ransomware, hacktivism a bassa intensità e sfruttamento veloce delle vulnerabilità. La traiettoria è chiara: difesa in profondità, intelligence continua e capacità di assorbire urti senza interruzioni visibili all’utente.
