Il settore delle telecomunicazioni si prepara a un 2026 denso di sfide sul fronte della cybersecurity. Secondo il nuovo rapporto Kaspersky Security Bulletin, le minacce che hanno caratterizzato il 2025 non solo persisteranno, ma si intrecceranno con nuovi rischi legati all’intelligenza artificiale, alla crittografia quantistica e all’integrazione tra reti 5G e satellitari. I dati parlano chiaro: tra novembre 2024 e ottobre 2025, il 12,79% degli utenti del settore telco è stato colpito da minacce Web, il 20,76% ha subito attacchi sui dispositivi e quasi il 10% delle organizzazioni mondiali ha dovuto fronteggiare ransomware. Un quadro preoccupante che evidenzia la pressione costante a cui sono sottoposti gli operatori.

​

Le minacce tradizionali

Kaspersky identifica quattro categorie di attacchi principali. Gli APT (Advanced Persistent Threats) sono intrusioni mirate che permettono agli hacker di infiltrarsi silenziosamente nelle reti per attività di spionaggio a lungo termine. La catena di approvvigionamento rappresenta un altro punto critico: poiché le telco dipendono da numerosi fornitori e piattaforme integrate, una vulnerabilità in un software diffuso può aprire le porte all’intera rete. Infine, gli attacchi DDoS (Distributed Denial of Service) continuano a mettere fuori uso i servizi, sovraccaricando le infrastrutture con traffico illegittimo.

​

I nuovi rischi tecnologici

La vera novità del 2026 riguarda però i rischi operativi legati alle tecnologie emergenti. La gestione delle reti assistita da IA, se mal configurata, può amplificare errori su larga scala o agire su dati manipolati. La transizione verso la crittografia post-quantistica, necessaria per proteggersi dai futuri computer quantistici, rischia di creare problemi di compatibilità se implementata troppo frettolosamente. Infine, l’integrazione tra reti 5G e satellitari introduce nuovi punti deboli nei sistemi di interconnessione.

​“Le minacce classiche non scompaiono, ma oggi si combinano con i rischi dell’automazione IA, della crittografia quantistica e dell’integrazione satellitare”, spiega Leonid Bezvershenko di Kaspersky GReAT. “Gli operatori devono difendersi dalle minacce note e integrare la sicurezza nelle nuove tecnologie fin dall’inizio”.

​Per affrontare questo scenario complesso, Kaspersky raccomanda monitoraggio costante delle minacce APT, controllo umano sulle decisioni automatizzate ad alto impatto, preparazione anti-DDoS e implementazione di soluzioni EDR (Endpoint Detection and Response) per individuare precocemente le intrusioni.

Leggi anche: “Nuove minacce alimentate dall’IA”

*Illustrazione progettata da Kaspersky

Periodo di saldi significa caccia all’affare, ma anche picco di truffe digitali. Una nuova ricerca Kaspersky lancia l’allarme: il 63% degli italiani è convinto di riconoscere le frodi online “a occhio”, ma solo il 30% usa davvero strumenti di sicurezza quando compra su internet. Un’illusione di controllo che si scontra con numeri preoccupanti: nell’ultimo anno sono stati registrati quasi 6,7 milioni di attacchi phishing che imitavano negozi, sistemi di pagamento e banche, e più della metà era indirizzata proprio agli acquirenti online.

​

L’istinto non basta più

Cosa significa phishing? È la tecnica con cui i criminali informatici ti inviano email o messaggi che sembrano provenire da fonti ufficiali (la tua banca, Amazon, Poste Italiane) per spingerti a cliccare su link falsi e rubare i tuoi dati. Magari ti arriva una email con scritto “Il tuo pacco è fermo in dogana, clicca qui per sbloccarlo” oppure “Offerta lampo: smartphone a 99 euro, solo per oggi”. Il link porta a una pagina identica a quella vera, inserisci i dati della carta… e il gioco è fatto.

Secondo lo studio Kaspersky, il 98% degli italiani dichiara di essere consapevole dei rischi, eppure le misure concrete scarseggiano. La maggioranza si limita a controllare se un link sembra strano o se il design del sito è sospetto, ma questi segnali oggi non bastano. I truffatori usano intelligenza artificiale per creare siti clonati alla perfezione, con grafica curata, recensioni false e persino certificati di sicurezza contraffatti.
“È particolarmente preoccupante il modo in cui i criminali informatici stanno sfruttando l’intelligenza artificiale per creare tentativi di phishing sempre più sofisticati e mirati, spesso difficili da riconoscere per gli utenti comuni”, spiega Olga Altukhova, analista di Kaspersky.

​

Chi rischia di più

I dati mostrano che le generazioni più anziane (over 55) sono quelle meno protette: solo il 32% usa software di sicurezza dedicati. Ma anche tra i più giovani la situazione non è rosea. Un 37% dei ragazzi si affida al passaparola di amici e parenti prima di acquistare, mentre solo il 19% crea un indirizzo email separato per registrarsi su siti sconosciuti. Molti, inoltre, salvano i dati della carta di credito direttamente sui portali di e-commerce per comodità, senza rendersi conto che in caso di violazione tutti quei dati finiscono nelle mani sbagliate.

​Come difendersi davvero

Kaspersky ha stilato una lista di regole d’oro per non cadere nelle trappole durante i saldi. Prima di tutto:
>Mai salvare i dati completi della carta sui siti, a meno che non sia strettamente necessario. Se fai molti acquisti online, valuta l’idea di creare una carta di debito ricaricabile dedicata solo a questo scopo, così in caso di problemi il danno è limitato.
>Attiva sempre le notifiche SMS o push per ogni transazione: se vedi un addebito che non riconosci, puoi bloccare la carta immediatamente.
>Occhio alle “vendite lampo” troppo belle per essere vere. Se un iPhone ultimo modello costa 200 euro invece di 1.000, probabilmente è una fregatura.
>Diffida dei siti che ti spingono a decidere in fretta con countdown fasulli o che non accettano resi. >Controlla sempre l’URL del sito: i truffatori creano indirizzi simili a quelli veri cambiando una lettera (ad esempio “amaz0n.com” al posto di “amazon.com”).

​Altra regola fondamentale: password diverse per ogni account e, quando possibile, attiva l’autenticazione a due fattori. Significa che oltre alla password ti viene richiesto un codice via SMS o app: anche se qualcuno ruba la tua password, senza quel codice non può entrare.

​​

Informarsi per proteggersi

I truffatori aggiornano continuamente le loro tecniche, e quello che funzionava ieri potrebbe non bastare domani. Per questo è importante rimanere informati: seguire blog specializzati in sicurezza informatica, leggere le news sulle nuove minacce e non abbassare mai la guardia. Durante i saldi la tentazione di cliccare su ogni offerta è forte, ma bastano pochi secondi di attenzione in più per evitare che un affare diventi un incubo.

Leggi anche: “Saldi invernali: occhio alle truffe”

*Illustrazione progettata da Freepik

Un’operazione criminale su vasta scala ha colpito la Corea del Sud, dove oltre 120.000 videocamere private sono state violate da gruppi di hacker. Non parliamo solo di webcam dei computer, ma anche di telecamere di sicurezza domestiche, baby monitor e altri dispositivi IoT (Internet of Things, cioè quegli oggetti “intelligenti” connessi a Internet come campanelli video o telecamere Wi-Fi). I cybercriminali hanno trasformato questi occhi elettronici in strumenti di spionaggio, registrando momenti intimi e scene di vita quotidiana delle vittime per poi vendere il materiale sul Dark Web.

Il meccanismo è tanto semplice quanto preoccupante. I malintenzionati hanno sfruttato tre punti deboli molto comuni: password banali (come “12345” o “admin”), configurazioni di sicurezza sbagliate lasciate di default dai proprietari e firmware obsoleti mai aggiornati. Immaginate di avere una serratura sulla porta di casa, ma di lasciare la chiave sotto lo zerbino: i criminali digitali hanno fatto esattamente questo, cercando sistematicamente dispositivi vulnerabili e accedendo ai flussi video in diretta senza che nessuno se ne accorgesse.

Le conseguenze sono drammatiche

Secondo le autorità sudcoreane, migliaia di video rubati circolano già su piattaforme illegali del Dark Web, dove vengono catalogati per categoria e rivenduti come contenuti personalizzati a chi è disposto a pagarli. La violazione della privacy è totale: persone filmate nei momenti più privati della loro vita domestica, spesso senza alcuna consapevolezza di essere osservate.

Le forze dell’ordine stanno ora lavorando a stretto contatto con i fornitori di servizi cloud e i produttori di hardware per arginare la fuga di dati. L’obiettivo è identificare i dispositivi compromessi, bloccare gli accessi non autorizzati e rimuovere il materiale illegale dalle piattaforme clandestine.

Questo caso solleva un allarme globale sulla sicurezza dei dispositivi IoT domestici. Molti utenti installano queste telecamere per sentirsi più sicuri, senza rendersi conto che una configurazione superficiale può trasformarle nel loro opposto: strumenti di sorveglianza nelle mani sbagliate. Gli esperti raccomandano di cambiare sempre le password predefinite, attivare l’autenticazione a due fattori quando disponibile e mantenere aggiornato il software dei dispositivi. La comodità della tecnologia smart non deve mai venire a scapito della nostra privacy più intima.

Leggi anche: “Anonymous ha violato oltre 400 telecamere private”

*Illustrazione progettata da Koreaherald

Ormai è noto a tutti: presto i siti a luci rosse non saranno più liberamente accessibili dall’Italia. Con l’entrata in vigore della delibera AGCOM n. 96/25/CONS, infatti, le piattaforme dovranno presto introdurre sistemi certificati di verifica dell’età per impedire l’accesso ai minori di 18 anni. Una svolta che promette di rivoluzionare il modo in cui questi contenuti vengono fruiti, ma che sta incontrando ritardi, resistenze e un livello di complessità tecnica che molti operatori non avevano previsto.

Che sta succedendo?

Il ritardo non è casuale. Molti portali, soprattutto internazionali, si sono trovati davanti una normativa percepita come “complessa e costosa da implementare”. La paura principale è ovviamente legata all’aspetto economico: diversi operatori ipotizzano che una parte degli utenti adulti possa evitare l’uso della verifica dell’età, anche se anonima, per timori legati alla privacy. E una riduzione di traffico rischierebbe di tradursi in minori ricavi. Motivo per cui alcuni gestori stanno aspettando di valutare l’impatto reale del nuovo sistema. A tutto questo si aggiunge un problema di visione a lungo termine. L’Italia è il primo Paese europeo a imporre un sistema obbligatorio di controllo dell’età basato su criteri così rigorosi. Le piattaforme internazionali temono che altri Stati possano seguire la stessa strada ma con requisiti diversi, rendendo necessario sviluppare sistemi multipli, costosi e difficili da mantenere.

Difficoltà tecniche

In un contesto simile, i siti stanno lamentando complessità tecniche e non banali. La normativa, infatti, richiede l’uso di un verificatore terzo certificato, che deve rilasciare un token anonimo legato solo alla maggiore età dell’utente e non alla sua identità. Per integrare questo sistema, le piattaforme devono modificare infrastrutture consolidate, spesso progettate per funzionare in modo uniforme a livello globale. I portali più piccoli devono affrontare costi significativi, non solo per l’integrazione tecnica ma anche per le verifiche di sicurezza e l’adeguamento alle procedure richieste dall’AGCOM. I portali più grandi, invece, devono bilanciare la necessità di conformarsi alla legge con il timore di compromettere la fluidità dell’esperienza degli utenti, considerata essenziale per mantenere alti i volumi di traffico.

Lo SPID non va bene!

Il cuore della normativa è il modello del “doppio anonimato”. Il sito Web deve essere in grado di verificare che l’utente sia maggiorenne, ma senza sapere chi sia. Allo stesso tempo, il soggetto che verifica l’età non deve conoscere la piattaforma che l’utente intende visitare.
Questa architettura nasce per evitare profilazioni indesiderate e tutelare la privacy, rendendo impossibile collegare l’identità di una persona ai contenuti che visualizza. Proprio per questa ragione non è consentito utilizzare SPID o CIE direttamente sul sito Web: garantire la separazione tra verifica e fruizione è un pilastro della normativa.
Il meccanismo richiede dunque la presenza di un intermediario certificato che rilasci un codice anonimo.

Le intenzioni dell’Italia

L’obiettivo della normativa è ridurre l’esposizione dei minori ai contenuti porno, ormai accessibili con estrema facilità. Tuttavia, la piena efficacia del sistema dipenderà dalla capacità di portare a bordo la maggior parte dei siti. Se una parte significativa del traffico si sposterà verso piattaforme non regolamentate, estere o facilmente raggiungibili tramite VPN, la riforma rischierà di perdere una fetta importante del suo impatto. Questo scenario potrebbe inoltre penalizzare proprio i portali che decideranno di adeguarsi per primi.

Cosa accade adesso?

Nei prossimi mesi l’AGCOM dovrà verificare la conformità delle piattaforme, gestire contestazioni e valutare eventuali aggiornamenti tecnici del sistema. Le prime sanzioni o i primi blocchi potrebbero arrivare presto, ma il vero banco di prova sarà la capacità di rendere questo meccanismo stabile e accettato dagli utenti.

Leggi anche: “Uno scudo che fa acqua“

Individuata una nuova e ampia campagna di truffe online che sfrutta uno degli strumenti più comuni nel lavoro quotidiano: le e-mail con link a documenti condivisi. A scoprirla sono stati i ricercatori di Check Point, che hanno intercettato oltre 40.000 messaggi di phishing indirizzati a più di 6.000 aziende in tutto il mondo.

Esempio di e-mail di phishing

Il meccanismo è semplice quanto efficace. I messaggi imitano notifiche apparentemente legittime di servizi molto diffusi come SharePoint, DocuSign o piattaforme di firma elettronica, invitando l’utente a “rivedere un documento”, “firmare un contratto” o “aprire una fattura”. Chi riceve l’e-mail ha quindi pochi motivi per dubitare: si tratta di attività normali, soprattutto in settori come consulenza, immobiliare, sanità o finanza.

Il trucco sta nei link

Invece di portare a un vero documento, il collegamento reindirizza verso una pagina falsa che ha lo scopo di rubare credenziali di accesso o informazioni sensibili. Per rendere l’inganno ancora più credibile, i criminali informatici hanno sfruttato servizi di protezione e reindirizzamento URL legittimi, cioè sistemi normalmente usati per rendere più sicuri i link nelle e-mail aziendali. In pratica, il link “sembra sicuro” perché passa da domini affidabili, ma la destinazione finale è dannosa.

In una variante ancora più sofisticata, i ricercatori hanno osservato che l’indirizzo finale del sito truffaldino viene completamente nascosto dietro una catena di reindirizzamenti. È un po’ come seguire una serie di porte apparentemente ufficiali, senza mai vedere quella finale fino a quando è troppo tardi.

Esempio di e-mail di phishing dalla variante in stile DocuSign

Secondo Check Point, questa campagna dimostra quanto sia facile oggi imitare servizi digitali affidabili e quanto sia importante mantenere alta l’attenzione, anche quando un’e-mail sembra “normale”. Il consiglio è sempre lo stesso: diffidare dei messaggi inattesi o urgenti, controllare con attenzione il mittente, passare il mouse sopra i link prima di cliccare e, quando possibile, accedere ai servizi direttamente dal browser invece che tramite e-mail.

Leggi anche: “Vulnerabiità in SharePoint“

Cari lettori,

il 2025 ci ha regalato rivoluzioni tecnologiche che fino a ieri sembravano fantascienza: l’intelligenza artificiale è entrata nelle nostre case, i device smart hanno riempito ogni angolo domestico, e la sfida tra innovazione e sicurezza non è mai stata così attuale.

Mentre ci prepariamo a chiudere questo anno straordinario, vogliamo augurarvi un Natale sereno, lontano da password dimenticate e aggiornamenti infiniti. Che possiate godervi questi giorni con le persone che amate, magari disconnettendovi (solo un po’!) dalla tecnologia per riconnettervi con ciò che conta davvero.

Il 2026 ci aspetta con nuove sfide: continuate a visitare le pagine del sito per rimanere aggiornati su tutte le novità, approfondimenti e articoli esclusivi che abbiamo in programma per voi nel prossimo anno. Grazie per essere la community più appassionata e fedele che una rivista possa desiderare.

Buone Feste e Felice 2026!

La redazione di Hacker Journal

L’uscita di un film molto atteso è sempre un evento globale, capace di catalizzare l’attenzione di milioni di persone. Ma dove c’è grande interesse, spesso si inseriscono anche i cybercriminali. È quello che sta accadendo con Avatar 3: secondo un’analisi di Kaspersky, stanno aumentando le truffe online che sfruttano il nome del film per ingannare gli utenti e rubare dati personali e denaro.

La truffa in dettaglio

Il meccanismo è piuttosto semplice e proprio per questo efficace. I truffatori creano siti Web falsi che promettono la visione in streaming del film, spesso “gratuita” o “in anteprima”. Queste pagine sono realizzate in più lingue per raggiungere un pubblico internazionale, ma presentano spesso traduzioni imprecise, errori grammaticali o nomi di dominio sospetti, tutti segnali che dovrebbero far scattare un campanello d’allarme.

Una volta entrati nel sito, l’utente si trova davanti a un finto lettore video. Cliccando su “play”, invece di partire il film viene richiesto di registrarsi per ottenere l’accesso “completo” o “illimitato”. In questa fase vengono chiesti dati come indirizzo e-mail e numero di telefono. In alcuni casi, il passo successivo è ancora più rischioso: viene proposta una presunta “prova gratuita” che richiede l’inserimento dei dati di pagamento.

Il pericolo non riguarda solo la perdita di qualche euro. Fornire informazioni personali a questi siti significa esporsi al furto di identità o alla compromissione degli account, soprattutto se si usa la stessa password su più servizi. Un esempio pratico: una password rubata per “vedere un film” potrebbe poi essere utilizzata per accedere alla posta elettronica o ai social network.

Esempio di sito web in inglese che offre la possibilità di guardare o scaricare il film Avatar 3 e altre uscite recenti

Come proteggersi?

Il primo consiglio è diffidare delle offerte troppo allettanti. I film appena usciti non sono disponibili gratuitamente online su siti sconosciuti. È sempre meglio affidarsi solo a piattaforme di streaming ufficiali e controllare con attenzione l’indirizzo del sito web. Anche una lettera sbagliata nel nome può indicare una pagina fraudolenta.

Kaspersky raccomanda inoltre di utilizzare soluzioni di sicurezza affidabili, in grado di bloccare link di phishing e siti malevoli prima ancora che l’utente inserisca i propri dati. Un’ulteriore protezione arriva dall’autenticazione a due fattori (2FA): in pratica, oltre alla password viene richiesto un secondo codice, ad esempio ricevuto via SMS, che rende molto più difficile l’accesso non autorizzato agli account.

Leggi anche: “Nuove frodi legate a Stranger Things“