Da oggi tutti i numeri italiani iscritti al Registro delle Opposizioni dovrebbero essere finalmente al riparo dal marketing telefonico non richiesto. Ma tra call center esteri, numeri falsificati e scappatoie tecniche, la tregua potrebbe essere solo parziale.
Quarantatré milioni di chiamate bloccate in sole due settimane. È il primo risultato tangibile della guerra al telemarketing selvaggio, emerso dai dati Agcom. Una media di 1,9 milioni di chiamate fantasma intercettate ogni giorno: il 5,74% del totale delle telefonate ricevute dagli italiani. Numeri che fotografano l’entità di una “piaga sociale”, come la definisce Federico Lagni, direttore del Club nazionale cyberprotection.
Ma la partita è tutt’altro che chiusa. Dal 19 novembre entra in vigore la seconda fase del piano anti-spoofing, questa volta rivolta ai finti numeri mobili. Una misura tecnicamente più complessa che potrebbe decuplicare i risultati del primo intervento, ma che si scontrerà ancora con le centrali estere e le scappatoie del sistema.
Il piano in due fasi: cosa è cambiato ad agosto
Il primo filtro, operativo dal 19 agosto 2024, ha neutralizzato le chiamate provenienti dall’estero con finti numeri fissi italiani. Il meccanismo era relativamente semplice: tutti gli operatori nazionali sono stati obbligati ad applicare sistemi che verificano l’autenticità dei prefissi geografici (02 per Milano, 06 per Roma, 011 per Torino). Se una chiamata arrivava dall’estero spacciandosi per un numero italiano, veniva immediatamente abbattuta.
Il risultato è stato immediato: i call center illegali hanno semplicemente spostato le loro operazioni sui numeri mobili, moltiplicando le chiamate da finti cellulari con prefissi 335, 347, 348, 392. In parallelo sono esplose le chiamate da numeri realmente esteri: +44 britannici, +33 francesi, +41 svizzeri, +355 albanesi.
“L’evoluzione era prevedibile”, ammetteva l’Agcom già a settembre. Ed è proprio per questo che è stata preparata la seconda fase.
Come funziona il nuovo filtro sui cellulari
La tecnologia implementata dal 19 novembre è significativamente più sofisticata rispetto alla prima fase. Gli operatori nazionali devono ora scambiarsi in tempo reale tutti i dati per verificare natura e origine di ogni singola chiamata.
Il processo è articolato in tre step:
- Verifica dell’esistenza: quando una chiamata arriva dall’estero con un prefisso mobile italiano, l’operatore ricevente verifica immediatamente se quel numero esiste davvero nel database nazionale. Se non esiste, viene bloccata.
- Interrogazione incrociata: se il numero è reale, l’operatore interroga il gestore che lo ha in gestione per verificare se l’utente è effettivamente all’estero in roaming.
- Validazione finale: solo se risulta che l’utente è legittimamente presente all’estero, la chiamata viene autorizzata a entrare in Italia. Altrimenti viene abbattuta.
“Rappresenta una forzatura tecnica totalmente a carico degli operatori”, spiega Lagni, “che dovrebbe produrre risultati almeno 10 volte superiori al filtro di agosto”.
La piattaforma i-RPS sviluppata da Italtel, già adottata da tre grandi operatori italiani e due francesi, gestisce questo complesso sistema di smistamento “intelligente”, garantendo scambi di dati criptati e generando report dettagliati per ogni chiamata rifiutata. “Ogni cittadino riceve in media 15 chiamate indesiderate al mese”, evidenzia Carlo Filangieri, CEO di Italtel, “e nel secondo trimestre 2024 le chiamate moleste a livello mondiale hanno superato i 13,7 miliardi”.
Il punto debole: le centrali off-shore
La debolezza del sistema rimane strutturale: le centrali operative all’estero, concentrate soprattutto nei Balcani e nel Nord Africa, continueranno a operare impunemente. Utilizzano software VOIP che generano numeri casuali o clonano numerazioni inesistenti, rendendole impossibili da rintracciare o perseguire perché fuori dalla giurisdizione italiana.
“Da subito non si arrenderanno”, prevede Dino Papagni, presidente di Assocall Confcommercio. “Però, non essendo più un 347 il numero che appare sul display, mi auguro che i cittadini prendano coscienza che a queste chiamate non si deve rispondere. Il disturbo rimarrà fino a quando qualcuno non deciderà di spegnere questi centralini: devono smettere di fare affari”.
Il meccanismo economico che alimenta il fenomeno è brutalmente semplice: ogni numero “attivo” – un utente che risponde anche solo con un “Pronto?” – viene rivenduto in database paralleli che circolano nel sottobosco digitale. Broker di dati, società di teleselling e piattaforme di lead generation acquistano queste liste a peso d’oro. Un singolo dato può essere rivenduto decine di volte.
Il costo sociale: 2,6 miliardi di euro all’anno
Le cifre del fenomeno sono impressionanti. Secondo l’indagine mUp Research per Facile.it, nel 2023 quasi 3,9 milioni di italiani sono stati vittime di truffe telefoniche attraverso finti call center, false email o messaggistica istantanea. Il danno medio: 124 euro per utenza mobile, 157 euro per telefonia fissa. Totale: 628 milioni di euro solo per le truffe dirette.
Ma il danno economico complessivo è molto più alto. Consumerismo No Profit stima che il telemarketing aggressivo produca oltre 2 miliardi di euro di danni ai consumatori nel solo settore energia. Nel 2024, circa 5 milioni di utenti sono stati spinti a cambiare gestore attraverso pratiche scorrette, senza reali vantaggi economici, finendo per pagare tra il 10% e il 20% in più sulle bollette.
I canali più utilizzati dai truffatori sono i finti call center (63,3% per telefonia fissa, 47,1% per mobile), seguiti da false email e SMS. Un dato preoccupante: più di un truffato su due (52%) non ha denunciato l’accaduto, per vergogna (20%) o per non farlo sapere a familiari e amici (15%).
L’operazione Energy Switch: anatomia di una truffa
Un caso emblematico è l’operazione “Energy Switch”, condotta dal Centro Operativo per la Sicurezza Cibernetica della Lombardia della Polizia Postale, che ha smantellato una rete internazionale di call center tra Italia e Albania. Con firme false e registrazioni vocali manipolate, stipulavano contratti luce e gas non richiesti.
L’indagine ha coinvolto 35 obiettivi (32 in Italia, 3 in Albania), portando al sequestro di server e documenti, fermando l’associazione a delinquere. Un esempio di come i call center illegali siano ormai strumenti per mettere a segno vere e proprie truffe con risvolti penali gravi.
Guida pratica: come difendersi
1. Iscrizione al Registro delle Opposizioni
Il primo passo fondamentale resta l’iscrizione (o il rinnovo) al Registro Pubblico delle Opposizioni su https://registrodelleopposizioni.it/. L’iscrizione comporta la revoca automatica di tutti i consensi precedenti. Significa che nessun operatore regolare italiano può più contattarvi, salvo rapporti contrattuali in corso.
Importante: il RPO funziona solo contro gli operatori legali italiani. È inefficace contro le centrali estere.
2. Non rispondere mai
La regola d’oro: non rispondere a numeri sconosciuti, soprattutto se:
- Hanno prefissi esteri (+44, +33, +355, ecc.)
- Sono cellulari che non avete in rubrica
- Chiamano ripetutamente senza lasciare messaggi
Un solo “Pronto?” basta per finire in decine di database rivenduti illegalmente.
3. Attivare le protezioni native del telefono
Sia Android che iPhone offrono funzioni integrate:
- iPhone: Impostazioni > Telefono > Blocco chiamate e identificazione > “Silenzia sconosciuti”
- Android: Telefono > Impostazioni > ID chiamante e spam > “Filtra chiamate spam”
4. App antispam di terze parti
Applicazioni come Truecaller o Hiya sfruttano database globali collaborativi per riconoscere e bloccare numeri sospetti segnalati da milioni di utenti. Sono particolarmente efficaci contro i numeri che cambiano frequentemente.
5. Segnalare sempre
Ogni segnalazione conta. Potete denunciare:
- Al Garante Privacy: https://www.gpdp.it
- Ad AGCOM: https://www.agcom.it
- Alla Polizia Postale per sospette truffe
Queste segnalazioni alimentano i fascicoli sanzionatori. Il Garante può comminare sanzioni fino a 20 milioni di euro per violazione documentata.
6. Se avete già risposto
Se avete inavvertitamente fornito dati o firmato contratti:
- Esercitatene immediatamente il diritto di recesso (14 giorni per legge)
- Documentate tutto: registrazioni, SMS, email
- Presentate reclamo formale all’operatore
- Se necessario, rivolgetevi a un’associazione consumatori
Il Registro delle Opposizioni: limiti e prospettive
La nuova normativa, introdotta nel 2022 e resa operativa anche per i cellulari, prevede che gli operatori regolari italiani rispettino rigorosamente il RPO. Chi viola queste disposizioni rischia sanzioni pesantissime.
Il risultato atteso: le chiamate da aziende note (energia, telefonia, assicurazioni) dovrebbero crollare drasticamente. Gli operatori che lavorano nella legalità – circa il 70% del mercato secondo Assocall – si adegueranno immediatamente.
Ma il restante 30%, costituito da call center irregolari o esteri, continuerà a operare. “La giustificazione economica alimenta ancora questo enorme mercato”, osserva Lagni. “Se vale ancora molto, proseguiranno con altre modalità. Oppure, e me lo auguro, avvieranno un percorso di regolamentazione mettendosi in regola”.
La proposta delle associazioni consumatori
La richiesta che arriva unanime da tutte le associazioni consumatori è netta: privare di validità tutti i contratti siglati via telefono. Una misura drastica ma che, secondo Consumerismo No Profit e altre organizzazioni, sarebbe l’unica in grado di stroncare definitivamente il fenomeno.
La proposta, sostenuta da mesi, è finora caduta nel silenzio delle istituzioni. Il timore è che una misura così radicale penalizzerebbe anche gli operatori legali che utilizzano il canale telefonico in modo corretto. Ma il dibattito è aperto.
Cosa aspettarsi dopo il 19 novembre
Il nuovo sistema rappresenta un passo avanti significativo, ma non la soluzione definitiva. Possiamo aspettarci:
Effetti immediati:
- Drastica riduzione delle chiamate da finti cellulari italiani
- Aumento temporaneo delle chiamate da numeri esteri reali
- Maggiore facilità nell’identificare le chiamate sospette
Effetti a medio termine:
- Riduzione complessiva del fenomeno del 60-70% secondo le stime
- Adeguamento degli operatori illegali con nuove strategie
- Maggiore consapevolezza dei consumatori
Sfide aperte:
- Necessità di accordi internazionali per estendere le tutele
- Contrasto al vishing bancario (già in sviluppo con la piattaforma Italtel)
- Educazione continua dei consumatori
È prima di tutto una battaglia culturale
Il 19 novembre non segna sicuramente la fine del telemarketing selvaggio, ma probabilmente l’inizio di una nuova fase. Una fase in cui la tecnologia, le normative e soprattutto la consapevolezza dei consumatori possono finalmente giocare un ruolo attivo.
La vera rivoluzione sarà quando i cittadini smetteranno di rispondere a numeri sconosciuti, rendendo economicamente insostenibile il modello di business dei call center illegali. Perché in un mercato dove il dato personale vale più dell’oro, l’unica vera difesa è imparare a non renderlo disponibile.
Il consiglio finale è semplice quanto efficace: se non riconoscete il numero, non rispondete. Se è importante, lasceranno un messaggio. Se non lo fanno, avete appena evitato l’ennesima chiamata molesta.
Che cosa mi aspetto io
Caro lettore, ora vorrei dirti anche qual’è la mia personale idea su come si svilupperà il telemarketing dopo il 19 novembre: troppi soldi in ballo portano a cercare alternative per aggirare gli ostacoli, quindi lo sviluppo non sarà così lineare come vorrebbe il legislatore. Già si vedono le avvisaglie delle strategie che verranno sviluppate nei prossimi mesi:
1. SIM farms e numeri monouso reali
Come funziona: installano rack con centinaia di SIM card fisiche italiane acquistate con documenti falsi o rubati. Ogni SIM viene usata per poche chiamate prima di essere bruciata.
Perché è efficace:
- Sono numeri italiani REALI, quindi passano tutti i filtri
- Impossibile bloccarli preventivamente
- Il costo è irrisorio: 5-10€ per SIM, acquistate in blocco nei Balcani o Est Europa
- La tecnologia esiste già: le SIM farm sono usate da anni per spam SMS e account fake
Indicatori: vedrai chiamate da cellulari italiani attivi da pochi giorni, spesso con prefissi di operatori minori o MVNO.
2. Shift massiccio sulla messaggistica
WhatsApp Business API (usata legalmente) + automation bot:
- Non è una chiamata, quindi bypassa tutti i filtri voce
- Messaggi personalizzati con AI generativa
- Costi di invio bassissimi (frazione di centesimo)
- Database di numeri WhatsApp acquistabili sul dark web
Telegram: ancora più permissivo, zero controlli, impossibile da tracciare.
RCS (Rich Communication Services): il nuovo standard Android che sostituirà gli SMS. Più ricco graficamente, ma anche più vulnerabile all’abuso.
Previsione: entro 6 mesi vedrai un’esplosione di messaggi commerciali non richiesti su WhatsApp da “aziende verificate” (account comprati o clonati).
3. AI deepfake vocale e automazione
La tecnologia è già matura:
- Voice cloning: clonano la voce di un tuo familiare con 10 secondi di audio (preso da social/video pubblici)
- AI conversazionale: chatBot vocali che sostengono conversazioni naturali, indistinguibili da operatori umani
- Costo: praticamente zero una volta sviluppato il sistema
Scenario realistico: ti chiama un numero italiano reale, risponde una AI che simula perfettamente un operatore umano, ti tiene in conversazione, raccoglie dati, chiude contratti. Scalabile all’infinito.
4. Exploit delle piattaforme Social
LinkedIn:
- Messaggi diretti commerciali mascherati da networking
- Profilazione accurata (ruolo, azienda, fatturato stimato)
- Nessun filtro anti-spam efficace
Facebook/Instagram:
- Ads iper-targetizzati che raccolgono lead
- Messaggi Messenger automatizzati
- Profili fake verificati (si comprano con documenti falsi a 500-1000€)
TikTok: emergente per target giovani, praticamente terra di nessuno per regolamentazione.
5. Triangolazione tramite numeri italiani compromessi
Tecnica avanzata:
- Infettano con malware smartphone di utenti italiani (tramite app fake o phishing)
- Usano quegli smartphone come “proxy” per effettuare chiamate
- La chiamata risulta da un numero italiano reale, con geolocalizzazione italiana, in roaming regolare
Difesa: praticamente impossibile distinguerla da una chiamata legittima. L’unico modo è non rispondere a numeri non in rubrica.
6. Acquisto di banche dati “legali”
Il trucco:
- Società italiana regolare acquista database di consensi marketing (raccolti con clausole ambigue o pre-spuntate)
- Rivende questi dati a società off-shore
- La società off-shore chiama sostenendo di avere “consenso pregresso”
Legalità: zona grigia. Tecnicamente illegale, ma difficilissimo da perseguire se la società italiana chiude e riapre con altro nome.
7. eSIM e identità virtuali
Tecnologia eSIM:
- Non serve SIM fisica
- Attivabili online in minuti
- Operatori virtuali internazionali che non verificano identità
- Costo: 2-5€ per numero
Prossimo step: eSIM farm con migliaia di identità virtuali, cambiate continuamente, ospitate su server invece che su rack fisici.
8. Ingegneria sociale avanzata con OSINT
Open Source Intelligence:
- Raccolgono informazioni pubbliche dai social
- Sanno nome, famiglia, lavoro, interessi PRIMA di chiamarti
- Chiamate ultra-personalizzate che abbassano le difese
Esempio reale: “Buongiorno Sig. Rossi, la chiamo per l’immobile che ha messo in vendita a Milano in Via X. Abbiamo un acquirente interessato…” (info presa da portali immobiliari pubblici). Non stanno vendendo nulla, stanno profilando.
9. Sfruttamento del click-to-call e callback
Meccanismo:
- Sito web (anche legittimo ma compromesso) con pulsante “Richiamami”
- Inserisci il numero “per essere ricontattato”
- Hai appena dato consenso esplicito
- Database venduto a catena
Variante subdola: numeri a pagamento mascherati. Chiami per info, paghi 2€/minuto senza saperlo.
10. Attacchi alle infrastrutture Telco (scenario avanzato)
SS7 Exploit:
- Vulnerabilità nel protocollo di segnalazione delle reti cellulari
- Permette di intercettare SMS, deviare chiamate, geolocalizzare
- Usato da nation-state actors, ma in vendita sul dark web a 10-15k€
SIM Swapping industriale:
- Clonano la tua SIM convincendo l’operatore con documenti falsi
- Ricevono codici 2FA, svuotano conti
- Call center illegali già usano questa tecnica per truffe bancarie
Previsioni realistiche (Timeline 2025-2026)
Q1:
- Boom messaggistica WhatsApp/Telegram commerciale non richiesta
- Prime segnalazioni di voice cloning per truffe mirate
Q2:
- Diffusione SIM farm con numeri italiani reali
- AI conversazionali indistinguibili da operatori umani
Q3-Q4:
- Normalizzazione delle chiamate da numeri esteri reali
- Primi casi di exploit SS7 per telemarketing di alto valore (B2B)
Poi…:
- Il 60% del telemarketing illegale sarà su canali non-voce
- Le chiamate vocali saranno riservate a target ad alto valore con dossier OSINT completo
- Deepfake vocali diventeranno mainstream per truffe elaborate
La vera difesa (approccio Zero-Trust)
La mkia opinione, quindi è che l’unico approccio davvero efficace è Zero Trust Communication:
- Whitelist only: rispondi SOLO a numeri in rubrica
- Segmentazione: numero principale solo per famiglia/lavoro. Numero secondario usa-e-getta per servizi
- Monitoraggio attivo: app come Truecaller, ma sapendo che condividi i tuoi dati
- Email/SMS sacrificabili: usa alias email e numeri virtuali per registrazioni online
- 2FA basato su app, mai SMS: Il SIM swapping è troppo facile
- OSINT su te stesso: googla il tuo nome, vedi cosa trovano. Rimuovi tutto il possibile
I filtri AGCOM sono ottimi per bloccare lo spoofing “stupido”. Ma i criminali informatici evolveranno verso:
- Numeri reali (non bloccabili)
- Canali alternativi (messaggistica, social)
- AI automation (costi azzerati, scala infinita)
- Social engineering sofisticato (OSINT + psicologia)
La battaglia è asimmetrica: difendersi costa molto più che attaccare. L’unico vero deterrente sarebbe rendere i contratti telefonici nulli per legge, come chiedono i consumatori. Senza questa misura, il mercato nero continuerà a prosperare, semplicemente cambiando canale.
Il telemarketing illegale non morirà. Diventerà invisibile, integrato nei canali che già usiamo quotidianamente.
Stay tuned, avremo modo di riparlarne. Intanto ci piacerebbe sapere qual’è la vostra opinione al riguardo.
