import re as re_module
html = re_module.sub(
    r'(tg://[A-Za-z0-9?&=._/+-]+)',
    r'<a href="\1" target="_blank" rel="noopener">\1</a>',
    html
)

# Потом очищаем от XSS (экранирует скрипты, но оставляет таблицы)
html = bleach.clean(html, tags=ALLOWED_TAGS, attributes=ALLOWED_ATTRS, strip=True)