La sicurezza telco sta cambiando bersaglio. Per anni l’abbiamo raccontata come un tema “di rete”: proteggere core, trasporto, accesso. Oggi il punto di rottura è più prosaico e più pericoloso: la relazione. App, portali, customer care, procedure di recovery, SIM change, onboarding, comportamento del personale corporate. È lì che l’attacco trova attrito minimo e impatto massimo, perché non deve “sfondare” l’infrastruttura: deve convincere qualcuno, o infilarsi in una prassi. GSMA Intelligence lo mette in numeri con una frattura difficile da ignorare: per gli operatori europei la minaccia è alta sia sulla rete sia sull’IT customer-facing (92% in entrambi i casi), ma quando si chiede quanto siano solide le difese la rete “tiene” (76% si dichiara strong/very strong) e il fronte verso il cliente si sbriciola (28%).
Indice degli argomenti
Le paure principali: data breach e DDoS
E quando si entra nel merito delle paure, l’Europa risponde senza giri: data breach (96% high/very high) e DDoS (92%).
DDoS sta per Distributed Denial of Service: non è l’intrusione elegante che ruba dati nel silenzio, è l’asfissia. Si satura un servizio con traffico distribuito finché la disponibilità diventa un incidente pubblico: sito che non risponde, app che si pianta, API che vanno in timeout. E, dettaglio importante, spesso è anche una distrazione: mentre tutti guardano la diga che cede, qualcuno prova a passare altrove.
È la geografia della fiducia, quella che il cliente sperimenta sulla propria pelle.
Sicurezza come continuità: quando l’outage diventa incidente di fiducia
L’altra metà della storia, quella che spesso finisce nel cassetto “operations”, è security nel senso più telco possibile: tenere in piedi il servizio. Nel perimetro europeo, infatti, gli incidenti “di sicurezza” nelle telecomunicazioni includono in modo esplicito quelli che impattano la continuità (availability), non solo quelli “malevoli”: perché per un operatore un outage è già un incidente di fiducia, con effetti immediati su clienti, canali e reputazione. È anche per questo che ENISA, nel report Telecom Security Incidents 2024 (pubblicato a luglio 2025), aggrega 188 incidenti notificati nel 2024 (156 nel 2023). Dentro quel numero c’è un messaggio che sembra scritto per chi governa tecnologia e rischio insieme: tra le cause tecniche ricorrenti compaiono i cable cuts (41 incidenti) e i faulty software change/update; e se guardi l’impatto in user hours lost, ENISA indica che i cambi software difettosi pesano di più, con 524 milioni di ore-utente perse contro 331 milioni dei tagli di cavo. Nel mondo delle infrastrutture critiche, la sicurezza non coincide solo con l’attacco sventato: coincide con la continuità garantita. Quando la continuità salta, al cliente non interessa se la causa è un criminale o una release maldestra o un cavo danneggiato: vede una cosa sola, la fiducia che si incrina.
Filiera e terze parti: l’interruzione che si propaga
Poi c’è la filiera, che rappresenta orma la prospettiva necessaria attraverso guardare a queste sfide. ENISA classifica 65 incidenti come fallimenti di terze parti e sottolinea l’aumento rispetto al 2023 (52). È il segno più chiaro di una realtà che i board conoscono, ma che tende a restare astratta finché non “cade” in produzione: un operatore, ormai, è architettura e filiera. Un mosaico di sistemi interdipendenti; e quando una dipendenza si spezza – cloud, vendor, piattaforme, servizi condivisi – l’interruzione non resta confinata, si propaga. In questa logica a catena la supply chain oggi incide direttamente sulla disponibilità del servizio.
Trend 2012–2024: più eventi, resilienza che sposta l’impatto
Più che il dato puntuale, conta la traiettoria. Nel periodo 2012–2024 ENISA descrive una crescita costante del numero di incidenti telco, con il 2024 al punto più alto della serie; e nello stesso passaggio nota che la quantità di ore-utente perse è “più o meno la stessa” di dieci anni fa – un modo sobrio per dire che resilienza e ripristino, quando funzionano, spostano l’impatto anche se gli eventi aumentano. Ma due traiettorie restano scomode. La prima: ENISA segnala un aumento degli incidenti legati a fenomeni naturali negli ultimi tre anni, cioè che la climate resilience non è un capitolo ESG, è una riga del runbook. La seconda: dal 2021 cresce il numero di very large incidents, arrivati a 92 nel 2024. E, per leggere bene la serie storica, ENISA ricorda anche che i picchi 2021–2022 sono legati all’allargamento del perimetro (l’inclusione di nuovi “territori” come gli OTT provider).
Dalla complessità alla disciplina: release, ripristino, osservabilità
Qui non serve scegliere tra catastrofismo e rassicurazione, ma serve leggere il trend. È più utile: stiamo diventando più complessi. E nella complessità, la sicurezza si sposta dal perimetro alla disciplina: release engineering, governance dei fornitori, capacità di ripristino, osservabilità end-to-end. Da qui in avanti non basta ripristinare, ma bisogna saper rendicontare mentre ripristini. La NIS2 – Direttiva (UE) 2022/2555 – mette un metronomo alla crisi: early warning entro 24 ore e notifica dell’incidente entro 72 ore dal momento in cui l’organizzazione diventa consapevole dell’evento significativo. Ecco perché, nel 2026, più che chiedersi se un incidente “è cyber” o “è operativo”, la domanda vera sarà un’altra: quanto velocemente torni in piedi, e quanto bene sai spiegare- a te stesso, al regolatore, al mercato- perché sei caduto.
AI: più velocità, scala e “credibilità” dell’inganno
Poi arriva l’AI, e cambia ulteriormente la metrica: velocità, scala, credibilità dell’inganno. GSMA la definisce, senza romanticismi, una lama a doppio taglio: abilita una nuova qualità di attacco (phishing e social engineering più scalabili, malware e botnet più adattivi, deepfake credibili) e allo stesso tempo cambia la fisica della difesa, soprattutto dove il collo di bottiglia è umano. Sui deepfake, ad esempio, GSMA è molto concreta: riporta che gli operatori stanno già sperimentando tentativi reali di inganno e impersonation, citando casi di falsi documenti e tentativi di deception verso i sistemi.
Automazione e XDR: correlare segnali prima che diventino frode e churn
La risposta operativa si sta spostando verso l’automazione, perché la velocità ormai supera la capacità di reazione tradizionale. Nelle survey GSMA, l’automazione della risposta e della remediation è tra i casi d’uso più frequentemente indicati come prioritari per la sicurezza telco. Qui cresce l’attenzione verso approcci XDR (Extended Detection and Response): piattaforme che raccolgono segnali da domini diversi- email, endpoint, identità, cloud, rete e applicazioni – e li correlano per ricostruire una singola storia, invece di lasciare una sequenza di allarmi scollegati. GSMA nota anche un punto “telco-specifico”: l’XDR funziona davvero quando è addestrato e integrato sui dati e sugli asset dell’operatore, non quando è una soluzione enterprise generica appoggiata sopra la rete. Il caso tipico è quello che parte da una mail di phishing e prosegue con un login anomalo sull’area clienti e una richiesta di SIM swap: se i puntini si uniscono in tempo, puoi alzare l’autenticazione o bloccare l’operazione ad alto rischio prima che diventi frode, rimborso e churn.
Threat forecasting e rischi dei modelli
In parallelo, il threat forecasting- la capacità di anticipare una campagna incrociando segnali deboli e attivando contromisure prima che l’incidente esploda- è indicato dal 40% degli operatori come top-two use case, e BT viene citata come realtà che lo ha già portato in “live production”. La condizione per non trasformare tutto questo in un rischio aggiuntivo è chiara anche nei timori: per il 52% degli operatori europei la preoccupazione numero uno, quando si parla di AI in security, è la reliability ed explainability dei modelli; segue il tema data privacy e protection (40%). Non è un dibattito filosofico: se non sai spiegare perché un modello ha deciso, non sai governare né l’errore né il regolatore. E GSMA inserisce anche la cornice: richiama l’AI Act e scrive che, per il ruolo di infrastruttura critica, le telco sono particolarmente impattate, collocandole nel perimetro dei “high-risk AI systems”.
Segnali nativi di rete e API
Sul lato delle risposte, c’è un filone che merita attenzione perché ribalta la prospettiva: riusare segnali “nativi” della rete – quelli che una telco vede per definizione – per rendere più robuste certe verifiche di identità lungo i journey digitali. In questa direzione si collocano le API di GSMA Open Gateway su SIM Swap e Number Verification, pensate proprio per casi d’uso di fraud prevention e autenticazione (in sostanza: verificare eventi di SIM swap o verificare che il numero in uso sul device corrisponda a quello dichiarato dall’utente). Nulla di magico da solo, ma un tassello coerente: spostare protezione “a monte”, dove l’attacco nasce spesso, prima che diventi ticket e crisi reputazionale.
DLP e GenAI: la “produttività” diventa esfiltrazione
E poi c’è il tema che molti stanno vivendo in silenzio: la fuga di dati non attraverso un attacco, ma attraverso la “produttività”. Il report GSMA lo tratta in modo pragmatico quando parla di DLP (Data Loss Prevention): strumenti che provano a riconoscere informazioni sensibili e a impedirne l’uscita dai canali sbagliati – email, chat app, e perfino tool di genAI non autorizzati – perché oggi l’esfiltrazione può essere anche un “copia e incolla” fatto bene e senza malizia.
Qui il punto non è demonizzare le piattaforme chatgpt-like: è governarle. OpenAI, per esempio, dichiara che per ChatGPT Business/Enterprise/Edu e per l’API, “by default” input e output non vengono usati per addestrare i modelli. E sulle Temporary Chat specifica che non vengono usate per migliorare i modelli, pur potendo conservarne una copia “fino a 30 giorni” per ragioni di safety. Traduzione operativa, valida per qualunque vendor e qualunque board: il prompt è dato. E come ogni dato, va in un perimetro autorizzato, con regole di redazione/mascheramento e controlli coerenti- perché la comodità è spesso il corridoio più corto tra una scorciatoia interna e un titolo di giornale.
ll filo rosso: esposizione esterna e varchi interni
In fondo, il filo che tiene insieme identità, continuità, filiera e AI è che oggi la sicurezza si gioca su due fronti: chi ti attacca e come ti esponi da solo. Da una parte c’è un avversario che non sta “inventando” qualcosa di nuovo: sta imparando a usare meglio ciò che noi stessi stiamo costruendo. Europol lo dice in una frase che sembra scritta per le telco: “the DNA of organised crime is changing”. Dall’altra parte c’è la complessità quotidiana- processi, cambiamenti, strumenti di produttività- che crea varchi senza intenzione: un dato copiato nel posto sbagliato, una procedura aggirata “per fare prima”, un controllo indebolito mentre si corre per ripristinare un servizio. Il risultato, nel linguaggio telco, è sempre lo stesso: la minaccia (esterna) si adatta alla nostra trasformazione- cloud, API, automazione, AI- e l’errore (interno) abbassa la soglia d’ingresso. Per questo la statistica di Verizon non suona come moralismo ma come fotografia industriale: nel DBIR 2025 l’“human element” è coinvolto in circa il 60% dei casi analizzati. La conclusione, a questo punto, è quasi inevitabile: se la sicurezza resta un tema di strumenti, perderà contro un rischio che ormai è anche comportamento; se diventa disciplina- di change, supply chain, customer journey e uso governato dell’AI- torna a essere ciò che dovrebbe: un’infrastruttura invisibile che regge il servizio e, soprattutto, la fiducia.
