telemarketing

Robocall con numero truffa: c’è la soluzione

Le robocall con numero alterato (cli spoofing) danneggiano molti, utenti e settore. Tutto il mondo prova ad affrontare il problema in vario modo. L’Italia ha una soluzione tecnica in arrivo nel 2025. Ecco tutto quello che c’è da sapere

Pubblicato il 23 apr 2025

Antongiulio Lombardi

Regulatory Affairs Director at Wind Tre

Giovanni Broccatelli

Responsabile Core & Beyond The Core Regulated Markets at Wind Tre

L’Italia ha una soluzione tecnica alle robocalls con numero alterato- cli spoofing. Merito di un tavolo di lavoro tra operatori e Agcom, di cui gli utenti vedranno i frutti nei prossimi mesi, quando gli operatori integreranno questa soluzione.

Vediamo nel dettaglio di che si tratta.

Consenso nel telemarketing: regole e tutele per consumatori e operatori

Indice degli argomenti

Cosa sono le robocall con cli spoofing

Le robocall sono chiamate telefoniche automatizzate, spesso di tipo fraudolento o pubblicitario — rappresentano un rischio crescente per la privacy e la sicurezza degli utenti. Le normative internazionali si sono evolute per fronteggiare l’uso illecito di queste tecnologie, con risposte differenti in base ai contesti giuridici.

Le robocall sono effettuate con numeri alterati, soggetti al c.d. spoofing del chiamate o cli spoofing.

Mentre in molti Paesi come gli USA il fenomeno è definito in generale come “robocall” in Italia lo stesso è definito come “chiamate soggette a spoofing”.

Pur cambiando la definizione come si vedrà il fenomeno è unico ed esteso a tutto il mondo.

Il presente articolo analizza la soluzione in via di impementazioni in Italia, il quadro normativo negli Stati Uniti, in Cina e nell’Unione Europea ed in alcuni altri Paesi, evidenziando i fondamenti giuridici, le autorità coinvolte e le soluzioni tecniche implementate.

Perché le chiamate con numero alterato sono un problema: ecco i danni a utenti e settore

Le chiamate con CLI spoofing (ossia Caller Line Identification spoofing) sono un problema serio perché permettono a chi chiama di falsificare il numero di telefono che compare sul display del ricevente, facendo sembrare che la chiamata provenga da una fonte affidabile – come una banca, un ente pubblico o un numero locale conosciuto. Questo meccanismo è spesso utilizzato nel telemarketing aggressivo e, peggio ancora, nelle truffe telefoniche.
Ecco perché è pericoloso e quali danni può causare:

🕵️‍♂️ 1. Truffe e frodi: danni diretti alle vittime

I truffatori fingono di essere banche, istituti di credito, compagnie telefoniche o forze dell’ordine.
Possono convincere le vittime a fornire dati sensibili (come codici OTP o credenziali bancarie) o a trasferire denaro.
Spesso colpiscono le persone più vulnerabili, come gli anziani.
👉 Danno: perdita di denaro, furto di identità, compromissione della sicurezza personale.

📞 2. Telemarketing mascherato: danni alla fiducia e alla privacy

Le aziende di marketing usano numeri locali falsificati per aumentare le risposte alle chiamate.
Le persone rispondono pensando si tratti di un vicino o di un numero importante, per poi scoprire che è pubblicità.
👉 Danno: invasione della privacy, perdita di tempo, irritazione diffusa verso le chiamate sconosciute.

😠 3. Perdita di fiducia nei servizi telefonici

Se le chiamate sembrano non essere più affidabili, le persone cominciano a ignorare anche numeri autentici (come quelli del medico, della scuola, della banca, ecc.).
Può diventare un problema anche per le aziende che fanno customer service legittimo.
👉 Danno: calo della fiducia nel sistema telefonico, peggioramento della comunicazione tra cittadini e servizi essenziali.

Redazione

La situazione in Italia per il Cli Spoofing

Il fenomeno delle chiamate indesiderate effettuate con la modifica della numerazione mittente (il cosiddetto CLI^[1] Spoofing) è un fenomeno al centro di fortissima attenzione.

Il fenomeno ha varie origini ma alla base di tutto c’è l’intenzione da parte di determinati soggetti di contattare in modo lecito o meno i consumatori con la finalità di vendere prodotti servizi o nei casi peggiori tentare frodi di qualsiasi genere.

Il contatto dei clienti finali non va visto sempre negativamente ma la cosa importante è che venga fatto nel rispetto delle regole privacy o regolamentari e che il cliente finale sia messo nelle condizioni di comprendere cosa gli si sta proponendo e soprattutto che sia in grado di poter risalire a chi lo ha chiamato in caso di frode.

Purtroppo, esistono soggetti che non si curano del rispetto delle regole e di conseguenza fanno un utilizzo “selvaggio” e “molesto” delle chiamate verso i consumatori finali anche mascherandosi spesso dietro Operatori telefonici o energetici o di altro settore per vendere prodotti senza che gli stessi abbiano mai dato assenzo a tali forme di telemarketing o teleselling, o peggio ancora con il fine di frodare il consumatore.

Occorre chiarire che si parla di “CLI spoofing” quando le chiamate vengono effettuate utilizzando come numero mittente un numero “falso” nel senso di inesistente o appartenente ad altri ignari clienti dei vari operatori telefonici, “artificiosamente” apposto dal frodatore, in modo che non si possa mai risalire al reale mittente della chiamata.

Il fenomeno del “CLI Spoofing” è un fenomeno mondiale all’attenzione di moltissimi stati.

L’FCC (Federal Communications Commission) americana ha imposto a partire dal 30 giugno 2021 l’obbligo di adottare il cosiddetto protocollo Stir & Shaken per contrastare il fenomeno. I lavori sono iniziati in America ben prima, tuttavia anche a valle dell’implemtazione della misura citata il fenomeno del CLI Spoofing non si è affatto ridotto e risulta vivo e vegeto^[2] con circa 4 -5 miliardi di telefonate fraudolente ogni mese in america. Due amministrazioni presidenziali quindi, quella di Trump prima e quella di Biden poi hanno affrontato il problema senza tuttavia risolvere il problema completamente.

Anche la Francia ha adottato soluzioni basate su un protocollo chiamato Stir/Shaken che però “è in grado di arginare solo in parte il problema”.

Infatti, va evidenziato che il protocollo Stir/Shaken agisce solo sulle reti completamente IP, che non sono ancora completamente adottate da tutti gli operatori o da tutti gli stati. Inoltre, laddove si vogliano adottare soluzioni efficaci, queste devono avere una base comune in ogni stato/nazione ed essere adottate da tutti. In sostanza il protocollo Stir/Shaken per essere efficace dovrebbe essere adottato da tutti gli operatori del mondo contemporaneamente.

Il report Cept ECC 338^[3] emesso nel 2022 ben descrive la situazione e fa una carrellata delle varie soluzioni al tempo in analisi nei vari paesi.

Al report CEPT ECC 338 ha fatto seguito la Raccomandazione ECC/REC/(23)03^[4] pubblicata a novembre 2023. In tale raccomandazione che tratta le misure atte a gestire le chiamate vocali internazionali entranti con sospetto CLI nazionale E.164 “spoofato” emerge chiaramente che la quota maggiore di chiamate con numeri falsificati è causata da chiamate in arrivo con numeri di telefono nazionali tramite interfacce di rete internazionali. Gli utenti finali hanno l’impressione di avere a che fare con parti affidabili (ad esempio banche di cui sono clienti) e vengono quindi tratti in inganno. La suddetta raccomandazione ECC propone misure per gestire tali chiamate vocali internazionali in arrivo con presunti numeri E.164^[5] nazionali falsificati come CLI.

Le meritevoli attività dell’Autorità per le Garanzie nelle comunicazioni contro lo spoofing del chiamante

Va ricordato e sottolineato che l’Autorità per le Garanzie nelle Comunicazioni italiana (AGCOM) ha fatto e sta facendo una attività meritoria sul tema, che, come detto, è estremamente complesso e su scala mondiale.

Il tema della lotta al contrasto allo spoofing è stato ricordato da AGCOM anche nella relazione annuale al parlamento del 2023^[6] e del 2024^[7]

Innanzi tutto, è fondamentale sottolineare che la normativa italiana (Piano di Numerazione Nazionale (PNN) – Delibera 8/15/CIR e s.m.i.) detta regole molto stringenti nei confronti degli operatori italiani ai quali è imposto un divieto di modifica del CLI.

Nel 2018 con la delibera 156/18/CIR ha fornito indicazioni specifiche anche ai Call Center i quali hanno l’obbligo di garantire la presentazione dell’identificazione della linea chiamante (CLI) e di assicurarsi che i numeri utilizzati per effettuare le chiamate siano richiamabili dall’utente.

Gli operatori italiani, se da una parte possono controllare le chiamate originate dalle loro reti, dall’altra non sono in grado di controllare le chiamate che gli vengono consegnate da altri operatori. Ovviamente non è escluso che ci siano operatori italiani che non rispettando la normativa abbiano tale tipo di comportamento, ma in considerazione delle disposizioni del PNN e degli obblighi vigenti su di essi sono individuabili e controllabili.

Le analisi effettuate tuttavia fanno emergere che il fenomeno del CLI Spoofing è concentrato principalmente sulle chiamate entranti da Internazionale (come riconosciuto sia dalla verifiche effettuata da AGCOM sia dalla Raccomandazione ECC/REC/(23)03 prima menzionata) rendendo gli operatori italiani vittime del fenomeno insieme ai loro clienti.

AGCOM ha fatto e sta facendo tutta una serie di attività volte al contrasto delle chiamate con CLI Spoofing ed ha agito e sta agendo in modo attento e corretto in quanto bloccare una chiamata non è una attività semplice da fare in considerazione del fatto che è necessario bloccare ciò che deve essere bloccato e non altro.

Da tempo AGCOM, ha iniziato ad esaminare le possibili soluzioni per il contrasto al CLI Spoofing entranti da internazionale nell’ambito del cosiddetto Comitato Tecnico Antifrode, poi confluito nel “Comitato per la sicurezza delle Comunicazioni Elettroniche” istituito con la delibera 86/21/CIR.

A luglio 2022 AGCOM ha consentito agli operatori di Bloccare le chiamate entranti da Internazionale aventi un CLI non conforme alla normativa ITU T.E.164 e nel corso delle riunioni con gli operatori effettuate nell’ambito del Comitato per la sicurezza delle Comunicazioni Elettroniche ha esaminato una serie di soluzioni che possono essere utili al contrasto del fenomeno.

Inoltre AGCOM ha emesso nel corso del 2023 una delibera (12/23/CIR) che regola l’invio degli SMS con ALIAS (ossia aventi come CLI un mittente alfanumerico) ed ha approvato a settembre 2023 con la delibera 197/23/CONS il codice di Condotta per attività di Call Center introducendo il divieto di modifica del CLI nel caso delle chiamate vocali non solo per gli operatori (per i quali era stato già stabilito dal Piano di Numerazione Nazionale) ma anche per i soggetti che svolgono attività di call center per teleselling e telemarketing nell’ambito di servizi di comunicazione elettronica.

, Dopo l’emissione della Raccomandazione ECC/REC/ (23)03 e dopo il correttivo al Codice delle Comunicazioni Elettroniche introdotto nel 2024 dal D.lgs. 48/2024 che ha fornito i poteri ad AGCOM per lavorare sulle soluzioni di blocco:

“2. [..] L’Autorità può stabilire norme di applicazione generalizzata per bloccare l’accesso da numeri o da servizi al fine di contrastare frodi o abusi, anche prevedendo misure regolamentari dissuasive.In particolare, l’Autorità può imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usano numerazione nazionale per identificarne l’origine, ovvero che non rispettano le specifiche Raccomandazioni dell’ITU-T. [..].”

tenendo in conto la delicatezza del problema e gli strumenti normativi e codicistici nel frattempo intervenuti, AGCOM ha avviato a dicembre 2024 una consultazione pubblica (la 457/24/CONS) dove ha identificato e sottoposto a consultazione le soluzioni antispoofing utilizzabili avviando un tavolo tecnico con gli operatori per la definizione delle specifiche tecniche di dettaglio.

In particolare, le soluzioni che AGCOM ha identificato, sottoposto a consultazione e che sono in fase di approfondimento nel tavolo tecnico tra AGCOM ed operatori (si veda l’allegato B -art.2 comma 8 – alla delibera 457/24/CONS^[8] hanno l’obiettivo di proteggere alla “frontiera” i clienti italiani impedendo l’ingresso di chiamate “Spoofate”.

Ciò che AGCOM intende far applicare a valle della definizione delle specifiche di dettaglio sono i seguenti blocchi principali:

blocco delle chiamate vocali internazionali in arrivo che non rispettano la Raccomandazione ITU-T E.157;
blocco delle chiamate vocali internazionali in arrivo con un numero geografico/fisso nazionale E.164, salvo casi giustificati (con le eccezioni da definire e gestire in modo adeguato nel tavolo AGCOM/operatori)
blocco delle chiamate vocali internazionali in arrivo con un numero mobile nazionale E.164 come CLI dopo aver controllato e verificato che l’utente finale non sia in roaming all’estero, salvo casi giustificati.

Cosa ha fatto Wind Tre

Anche Wind Tre dal canto suo ha fatto tutto quanto era possibile fare con gli strumenti normativi/regolamentari a disposizione.

Innanzi tutto, ha segnalato il fenomeno e partecipato attivamente ai tavoli tecnici promossi da AGCOM sulle tematiche dello spoofing.

Wind Tre peraltro nel 2023, è stato il primo operatore italiano ad implementare il blocco delle chiamate avete un CLI Italiano in formato non a standard E.164 a seguito dell’emissione da parte di AGCOM del via libera su base volontaria all’implementazione di tale blocco. Successivamente anche altri operatori hanno applicato tale blocco.

Tuttavia, la soluzione di blocco delle chiamate con mittente non a standard, sebbene sia stato un primo strumento necessario, da solo non basta perché non consente di bloccare tutte le chiamate con CLI alterato, ma costituisce, un primo elemento di contrasto, andando ad indirizzare almeno una parte del fenomeno. Di fatto con questa soluzione è come se stessimo bloccando alla frontiera tutte le macchine con la targa rossa, consapevoli però che le macchine in ingresso da bloccare sono quelle con la targa contraffatta anche di tutti gli altri colori.

Inoltre, Wind Tre ha spontaneamente implementato già nel 2022 una soluzione chiamata “please don’t call” che non blocca alcuna chiamata ma fornisce uno strumento al cliente Wind Tre per identificare chiamate potenzialmente moleste fornendo quindi uno strumento informativo che fornisce al cliente una consapevolezza maggiore.

Wind Tre inoltre ha partecipato attivamente al tavolo per la definizione dei codici promossi dal Garante Privacy e da AGCOM per la definizione del codice sui call center.

Entrambe i codici hanno la finalità di contrastare i fenomeni di teleselling e telemarketing selvaggio ed entrambe i codici sono stati applicati da Wind Tre

Cli spoofing e robocall: la situazione negli Stati Uniti d’America, Repubblica Popolare Cinese, Europa ed altri Paesi

Vediamo ora negli altri Paesi.

La disciplina delle robocalls negli Stati Uniti

Quadro normativo

Il Telephone Consumer Protection Act (TCPA), approvato nel 1991 (47 U.S.C. § 227), è la legge fondamentale per il contrasto alle robocalls. Esso vieta l’uso di sistemi automatizzati di chiamata o messaggi preregistrati verso numeri di rete fissa o mobile senza il previo consenso esplicito dell’interessato^[9].

Applicazione del TCPA al marketing telefonico

Il marketing telefonico è uno dei principali ambiti applicativi del TCPA. La normativa stabilisce che:

Le chiamate con finalità pubblicitarie devono avere il consenso scritto dell’utente;
I consumatori possono iscriversi al National Do Not Call Registry, e le aziende devono verificare i numeri prima di ogni campagna;
La mancata osservanza comporta sanzioni fino a 1.500 dollari per ogni chiamata effettuata in violazione^[10].

Autorità competenti e ordini esecutivi

La Federal Communications Commission (FCC) e la Federal Trade Commission (FTC) sono gli enti regolatori principali. La FCC ha emanato numerose ordinanze per chiarire e rafforzare il TCPA, tra cui:

Call Blocking Order (FCC 20-187) che autorizza i provider a bloccare proattivamente chiamate sospette^[11];
STIR/SHAKEN Framework, sistema tecnico per l’autenticazione dei numeri chiamanti^[12].

Dal punto di vista esecutivo, si segnalano diversi ordini esecutivi di vari presidenti e la legge che ha dato nel 2020 al FCC ampi poteri per il blocco delle robocalls^[13]

Le robocalls nella normativa cinese

La legge PIPL e le sue implicazioni

La Personal Information Protection Law (PIPL) della Repubblica Popolare Cinese^[14], entrata in vigore nel 2021, è la legge di riferimento in materia di dati personali. Le robocalls rientrano nell’ambito del trattamento automatizzato per finalità di marketing. In particolare:

Il trattamento deve fondarsi su consenso esplicito e specifico (art. 13);
L’interessato ha il diritto di revocare il consenso e opporsi al marketing (art. 44);
In caso di violazione, sono previste sanzioni fino a 50 milioni di yuan o il 5% del fatturato annuo^[15].

Le implicazioni del PIPL sono stringenti: le aziende devono garantire trasparenza, sicurezza tecnica e accountability nelle campagne automatizzate. Qualsiasi invio massivo senza base giuridica può costituire una violazione.

Il ruolo del MIIT e il filtraggio tecnico

Il Ministero dell’Industria e della Tecnologia dell’Informazione (MIIT) ha attuato una serie di misure tecniche per il contrasto delle robocalls. Dal 2019, è in vigore un sistema centralizzato di identificazione dei numeri sospetti con le seguenti caratteristiche:

Verifica dell’identità del chiamante tramite codici numerici autorizzati;
Creazione di una lista nera di numeri segnalati;
Obbligo per gli operatori di adottare algoritmi di call pattern recognition^[16].

Il MIIT ha pubblicato nel 2020 un documento normativo intitolato “Notice on Regulating the Management of Telecommunications Business User Real Identity Information” ^[17] che vincola gli operatori a registrare e verificare i dati degli utenti, bloccando l’uso anonimo dei sistemi di chiamata automatica^[18].

La normativa dell’Unione Europea su robocall e spoofing chiamante

GDPR e Direttiva ePrivacy

Nell’Unione Europea^[19], le robocalls sono regolate principalmente da:

Communication from the Commission of 22 January 2004 on unsolicited commercial communications or spam’ [COM(2004) 28 final) in relazione alle comunicazioni scritte
Regolamento (UE) 2016/679 – GDPR: considera le chiamate automatiche trattamento di dati personali, richiedendo il consenso (art. 6, par. 1, lett. a)^[20];
Direttiva 2002/58/CE – Direttiva ePrivacy (modificata dalla Direttiva 2009/136/CE): l’art. 13 vieta l’uso di chiamate automatizzate senza consenso preventivo.

In molti Stati membri, la Direttiva è stata recepita con leggi nazionali. Ad esempio:

In Italia: Codice Privacy (D.lgs. 196/2003, art. 130);
In Germania: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Sanzioni e autorità competenti

Le autorità garanti della privacy nei singoli Stati membri sono incaricate della vigilanza. Le sanzioni possono arrivare fino a 20 milioni di euro o il 4% del fatturato mondiale, in base all’art. 83 GDPR^[21].

Il fenomeno globale delle robocall e normative in altri Paesi

Canada

In Canada, il quadro normativo è delineato dal Telecommunications Act e dalle Telecommunications Unsolicited Telecommunications Rules (2016), che hanno istituito il National Do Not Call List (DNCL). Le regole principali prevedono:

Divieto di chiamate automatizzate non richieste a utenti registrati nel DNCL senza consenso esplicito (sanzioni fino a 15 000 CAD per violazione)^[22];
Obbligo per gli operatori di verificare i numeri prima di ogni campagna;
Poteri di indagine e sanzione a carico del Canadian Radio‑television and Telecommunications Commission (CRTC).

Australia

L’Australia ha adottato lo Spam Act 2003 e ha istituito il Do Not Call Register nel 2007. Le robocalls commerciali richiedono:

Consenso esplicito dell’utente (opt‑in) per messaggi preregistrati;
Identificazione chiara del chiamante e numero di ritorno valido;
Sanzioni fino a 2,1 milioni AUD da parte del Australian Communications and Media Authority (ACMA)^[23].

India

In India, il Telecom Regulatory Authority of India (TRAI) regola le comunicazioni commerciali attraverso le Telecom Commercial Communications Customer Preference Regulations (TCCCPR) e un sistema chiamato Do Not Disturb (DND). Le novità includono:

Registrazione obbligatoria delle campagne con codice di origine;
Filtraggio in rete basato su liste bianche e nere;
Sanzioni pecuniarie variabili in base alla gravità fino a 5 lakh INR per ogni violazione^[24].

Giappone

Il Giappone inquadra le chiamate automatiche nell’Act on the Protection of Personal Information (APPI) e in linee guida del Ministry of Internal Affairs and Communications (MIC). Si richiede:

Consenso informato per ogni tipologia di chiamata automatica;
Registro volontario di opposizione (Robocall Opt‑out List);
Misure tecniche di filtraggio basate su blacklist fornite dagli operatori^[25].

Brasile

In Brasile, l’Agência Nacional de Telecomunicações (Anatel) e il Código de Defesa do Consumidor vietano le chiamate promozionali senza previa autorizzazione. Dal 2022^[26] vige l’obbligo di:

Inserimento nel Registro Nacional de Bloqueio de Chamadas (RENOB);
Utilizzo di database con consensi validi;
Sanzioni fino a 11 milioni BRL per violazioni sistematiche^[27].

Regno Unito

Nel Regno Unito le robocall rientrano nella disciplina del Privacy and Electronic Communications (EC Directive) Regulations 2003 (PECR), integrata dal Data Protection Act 2018.

Le chiamate automatizzate, in particolare di offerte finanziarie e assicurative, hanno subito un’impennata, con tecniche di ID‑spoofing per mascherare il numero chiamante.
Soluzioni:
- Il sistema Telephone Preference Service (TPS) obbliga gli operatori a bloccare le chiamate verso numeri registrati;
- Ofcom ha emesso linee guida per l’adozione di tecnologie di autenticazione (simili a STIR/SHAKEN) e incentiva l’uso di filtri basati su algoritmi di pattern recognition^[28].

Sudafrica

La protezione dei dati personali è affidata al Protection of Personal Information Act (POPIA), mentre il settore TLC è regolato dall’Independent Communications Authority of South Africa (ICASA).

Dilagano robocall con offerte energetiche e truffe a danno di pensionati;
Soluzioni:
- ICASA ha introdotto un “Do Not Call” List nazionale e linee guida per il “call‑blocking” da parte degli operatori; la lista è gestita dalla associazione delle imprese Direct Marketing Association of South Africa^[29] (DMASA).
- POPIA richiede il consenso preventivo per il trattamento dei dati a fini di marketing, con sanzioni fino al 10 milioni ZAR^[30].

Messico

In Messico la tutela del consumatore e del dato personale è affidata al Federal Consumer Protection Law e al Federal Law on Protection of Personal Data Held by Private Parties.

Uso di robocall per servizi di prestito a tassi usurai;
Soluzioni:
- L’IFT (Instituto Federal de Telecomunicaciones) gestisce un registro di opposizione alle chiamate automatizzate;
- Le aziende devono implementare sistemi di voice‑print recognition per certificare l’origine delle chiamate e impedire lo spoofing ^[31].

Corea del Sud

L’ Act on Promotion of Information and Communications Network Utilization and Information Protection disciplina le chiamate automatiche^[32].

Uso crescente di robocall vocali per promozioni turistiche e truffe su pagamenti digitali;
Soluzioni:
- Il governo ha istituito un sistema di censimento dei numeri autorizzati e una blacklist nazionale, da aggiornare in tempo reale;
- Gli operatori devono adottare filtri di deep‑packet inspection per bloccare i flussi VoIP sospetti^[33]

Russia

In Russia la materia è coperta dalla Federal Law on Information, Information Technologies and Protection of Information e sorvegliata da Roskomnadzor.

Campagne di robocall ai danni di cittadini stranieri residenti in Russia, con richieste di dati sensibili;
Soluzioni:
- Roskomnadzor gestisce un database centralizzato di numeri “sicuri” e collaborazioni con provider VoIP per bloccare in entrata le chiamate da numeri non registrati;
- Sanzioni amministrative fino a 1 milione RUB per gli operatori che non implementano i filtri obbligatori^[34]⁵.

7. Soluzioni tecniche e limiti

Paese	Soluzione	Problemi principali
USA	Il protocollo STIR/SHAKEN è obbligatorio per i principali operatori statunitensi dal 2021. Esso utilizza certificati digitali per autenticare il numero chiamante, impedendo il fenomeno del caller ID spoofing^[35].	Adozione non universale; necessità di interconnessioni di tipo IP; costi elevati di certificati.
Cina	Call pattern recognition. Algoritmi predittivi e whitelist La Cina ha implementato sistemi di intelligenza artificiale per analizzare comportamenti di chiamata sospetti. Il MIIT mantiene una whitelist di numeri autorizzati per servizi pubblici e bancari. Il riconoscimento vocale è utilizzato per classificare i contenuti^[36].	Falsi positivi; blocco di chiamate legittime; dati storici limitati.
UE	Blacklist / RPO	Liste onerose da aggiornare; inefficace contro numeri esteri/spoofed.
Italia	Regole del Piano di Numerazione NazionaleBlocco delle chiamate non in formato ITU T E.164Codice AGCOM telesellingCodice garante Privacy su telemarketing e telesellingRegistro Pubblico Opposizioni^[37]	Le regole sono efficaci per contrastare il fenomeno interno al paese ma non nel caso le chiamate entrino da internazionale.
Canada	DNCL	Enforcement debole su VoIP esteri; copertura rurale limitata.
Australia	Opt‑in + identificazione	Pressione su PMI; spostamento su canali non regolamentati.
India	Whitelist/Blacklist	Gestione codici complessa; DND ignorato.
Giappone	Opt‑out list	Bassa adesione; limiti tecnici operatori minori.
Brasile	RENOB	Ritardi aggiornamenti; problemi transnazionali enforcement.
UK	TPS + autenticazione	STIR/SHAKEN parziale; poteri Ofcom limitati.
Sudafrica	DNC + call‑blocking	Scarsa consapevolezza utenti; reti 2G/3G problematiche.
Messico	Voice‑print recognition	Privacy biometrici; accuratezza multilingue.
Corea Sud	Whitelist + DPI VoIP	Complessità infrastruttura; net neutrality.
Russia	Database “sicuri”	Sovraccarico statale; overblocking di numeri esteri.
Francia	obbligatorio il prefisso identificativo “Spam” per le chiamate pubblicitarie^[38]adozione del protocollo Stir/Shaken	Poco efficaci e non universali.

La situazione è in continua evoluzione e si possono trovare informazioni da diverse fonti, tra cui quelle già citate, i report della GSMA^[39] o altro.

Ci sono varie modalità con cui i vari paesi tentano di contrastare il fenomeno ma al momento non si è trovata una via comune di soluzione.

Come funzionerà la soluzione italiana contro lo spoofing telefonico

Il contrasto alle robocalls ed alle chiamate con CLI Spoofato in generale richiede un approccio multilivello: legislazioni solide, tecnologie di autenticazione e filtraggio, e consapevolezza degli utenti. La cooperazione internazionale tra autorità di regolazione, operatori di rete e fornitori di servizi VoIP sarà cruciale per contenere un fenomeno che sfrutta infrastrutture globali e sfida la tradizionale sovranità normativa.

L’approccio normativo e tecnico alle robocalls varia a seconda del contesto giuridico e politico. Gli Stati Uniti puntano su regole di consenso e strumenti tecnologici condivisi come STIR/SHAKEN. La Cina centralizza i controlli attraverso il MIIT e il PIPL, adottando soluzioni predittive e filtri di rete. L’UE basa la propria regolamentazione sulla disciplina del GDPR e della Direttiva ePrivacy, con applicazioni nazionali differenziate. Un’armonizzazione globale appare necessaria per contrastare il fenomeno transnazionale delle robocalls.

In Italia AGCOM con un approccio pragmatico e risolutivo dopo la consultazione pubblica 457/24/CONS ha organizzato un tavolo tecnico tra Autorità ed operatori con l’obiettivo di definire nel dettaglio le misure tecniche per Arginare il fastidioso fenomeno del CLI Spoofing.

Tre tipologie di chiamate robocall spoofing che saranno bloccate

La soluzione italiana top secret nei suoi dettagli per motivi si sicurezza sarà all’avanguardia e sarà in grado di bloccare alla “frontiera”, quindi ai confini nazionali, le chiamate di tre tipologie (che sono quasi la totalità di quelle che rientrano nel perimetro del CLI Spoofing) ossia:

le chiamate spam con struttura della numerazione non aderente agli standard,
le chiamate che sebbene abbiano un prefisso fisso italiano provengono dall’estero,
le chiamate con prefisso mobile italiano ma che provengono anch’esse dall’estero quando il cliente titolare di quel numero non è in roaming (in quest’ultimo caso vengono fatte salve pertanto le chiamate in roaming effettuate da utenti italiani che si trovano effettivamente oltreconfine).

E’ una soluzione complessa ma una volta implementata anche la parte di blocco per i mobili non in roaming si stima consentirà di arginare il 95% delle chiamate in CLI spoofing”.

Cosa non riesce a bloccare

Quel 5% mancante riguarda quelle chiamate effettuate dall’estero con numerazione di quel paese specifico, quindi con prefisso internazionale non italiano, soggetta a Spoofing effettuate da soggetti che operano illegalmente attraverso numeri internazionali in capo a operatori che agiscono violando le normative. Ad oggi non è possibile tecnicamente bloccare questa tipologia di chiamate, mentre per le chiamate che venissero originate in Italia e gestite a livello nazionale gli utenti potranno segnalarle all’Agcom o alla Polizia Postale ed in qual caso le Autorità avranno modo di bloccarle poiché l’identificazione dei soggetti nazionali potrà essere facilmente verificata.

Una soluzione che abbatta il fenomeno al 100% non esiste ma in Italia nel giro di pochi mesi si assisterà a un radicale cambio di passo”. Si può anche dire che la soluzione italiana non necessità di essere in linea con nessun altra in quanto sarà in grado di limitare il fenomeno tutte le volte che si cercherà di ingannare il cliente chiamato utilizzando un numero chiamante nazionale italiano, fisso o mobile che sia.

La complessità sottostante non deve spaventare, ne deve essere posta come ostacolo alla implementazione delle soluzioni. Va solo consentito agli operatori il giusto tempo di implementazione per attuare le misure che sono in via di definizione e che come sempre porranno il nostro paese all’avanguardia.

Fatto questo sarà comunque necessario mantenere la guardia alta perché coloro che agiscono illegalmente sono veloci e capaci di modificare il proprio comportamento e trovare altre modalità per effettuare le loro illecite attività.

Per questo sarà necessario anche riconoscere che le attività di blocco o di contrasto ai fenomeni illeciti svolte dagli operatori telefonici sono attività assimilabili a nuove “prestazioni obbligatorie” ai fini di giustizia e come tali andranno trattate ristorando gli operatori per gli investimenti e costi operativi ricorrenti sostenuti e che sosterranno.

Bibliografia

MIIT Regulatory Documents, www.miit.gov.cn
Regolamento (UE) 2016/679 (GDPR)
Direttiva 2002/58/CE e successive modifiche

La protezione dei dati (个人信息) nell’Unione Europea e nella Repubblica Popolare Cinese un confronto tra PIPL e GDPR e prime applicazioni Antongiulio Lombardi; Junhong Hu; Antonio Lombardi; Pacini Giuridica 2023

FTC Guidelines and Do Not Call Registry, www.ftc.gov
Executive Orders – Federal Register, www.federalregister.gov
Hiya Inc., Trust in Robocall Index, 2024.
CRTC, Unsolicited Telecommunications Rules, 2016.
ACMA, Annual Spam Compliance Report, 2024.
TRAI, TCCCPR Implementation Guidelines, 2021.
MIC Japan, Robocall Filtering Standards, 2022.
Anatel, Regulation of Unsolicited Calls, 2021.
Report Cept ECC 338, 2022
Raccomandazione ECC/REC/(23)03
Relazione annuale AGCOM, 2023
Relazione Annuale AGCOM, 2024
Delibera AGCOM 8/15/CIR
Delibera AGCOM 156/18/CIR
Delibera AGCOM 86/21/CIR
Delibera AGCOM 12/23/CIR
Delibera AGCOM 457/24/CONS
Delibera 197/23/CONS,
Codice delle Comunicazioni Elettroniche come modificato dal D.lgs. 48/2024
GSMA White Paper Improving CLI Validity – Solutions and Regulatory Assessment, 2023

https://www.gsma.com/security/wp-content/uploads/2023/10/Improving-CLI-Validity-%E2%80%93-Solutions-and-Regulatory-Assessment.pdf ↑

CLI: Calling Line Identification – Rappresenta in sostanza il numero chiamante. ↑

Over a year following FCC’s STIR/SHAKEN, America still has a huge robocall problem – (https://venturebeat.com/datadecisionmakers/over-a-year-following-fccs-stir-shaken-america-still-has-a-huge-robocall-problem/ ) ↑

https://docdb.cept.org/download/4027 ↑

https://docdb.cept.org/download/4402 ↑

Lo standard ITU-T E.164 è una raccomandazione dell’Unione Internazionale delle Telecomunicazioni (ITU) che definisce il piano di numerazione internazionale per le telecomunicazioni pubbliche. In sintesi tale raccomandazione stabilisce il formato dei numeri di telefono internazionali, garantendo che le chiamate possano essere correttamente instradate tra diversi paesi e reti. ↑

“Negli ultimi anni il numero di segnalazioni pervenute all’Autorità riguardanti il fenomeno di alterazione illegittima dell’identificativo del chiamante (CLI spoofing) è in aumento, con riferimento sia alle chiamate, sia alla messaggistica (SMS/MMS) anche attraverso l’utilizzo di alias. In tale ambito l’Autorità è intervenuta con attività sia di vigilanza che di regolamentazione, nonché partecipando alle attività della Conferenza europea delle amministrazioni delle Poste e delle Telecomunicazioni (CEPT), volte all’adozione di una apposita raccomandazione. L’Autorità, anche in collaborazione con le autorità di regolamentazione di altri Paesi europei, ha verificato, in primo luogo, se le chiamate oggetto di segnalazioni avessero origine in Italia (da parte di una persona fisica o giuridica) o all’estero. Su un campione di circa 400 segnalazioni pervenute all’Autorità (cui corrisponde ovviamente un numero di chiamate assai superiore) è risultato che la maggior parte ha provenienza estera e, solo in misura residuale, italiana. Ad esito di tale attività sono stati individuati comportamenti illegittimi anche da parte di soggetti autorizzati a fornire reti e servizi in Italia, per i quali sono stati avviati i relativi procedimenti sanzionatori.” ↑

“In considerazione dell’aumento del numero di segnalazioni pervenute all’Autorità aventi ad oggetto l’alterazione illegittima dell’identificativo del chiamante (CLI spoofing), con riferimento sia alle chiamate, sia alla messaggistica (SMS/MMS) anche attraverso l’utilizzo di Alias, l’Autorità è intervenuta con attività sia di vigilanza che di regolamentazione. In tale ambito, AGCOM ha partecipato alle attività della Conferenza europea delle amministrazioni delle Poste e delle Telecomunicazioni (CEPT), volte all’adozione di una apposita raccomandazione e collaborato con le autorità di regolamentazione di altri Paesi europei, verificando, in primo luogo, se le chiamate oggetto di segnalazioni avessero origine in Italia (da parte di una persona fisica o giuridica), o all’estero. Dalle verifiche esperite, è risultato che la maggioranza delle chiamate e dei messaggi con identificazione dell’originante alterato (CLI spoofing) provengono dall’estero. Di conseguenza, l’Autorità ha dato indicazioni agli operatori di bloccare tutte le chiamate che provengono dall’estero e che non utilizzano il formato stabilito dalla Raccomandazione ITU-T E.164 avviando, altresì, uno studio, anche in collaborazione con altre Autorità europee, sulle ulteriori iniziative da adottare per contrastare in maniera significativa le chiamate aventi l’identificativo dell’originante indebitamente alterato. Alcuni operatori hanno già implementato il blocco delle chiamate nel corso del 2023 e i dati forniti con riferimento ai primi tre mesi di attuazione della misura, ne confermano l’efficacia con una diminuzione di oltre il 25% del volume delle chiamate in questione.” ↑

https://www.agcom.it/provvedimenti/delibera-457-24-cons ↑

Telephone Consumer Protection Act, 47 U.S.C. § 227. https://www.fcc.gov/sites/default/files/tcpa-rules.pdf ↑

https://www.fcc.gov/consumers/guides/stop-unwanted-robocalls-and-texts ↑

https://docs.fcc.gov/public/attachments/FCC-20-187A1.pdf, Call Blocking by Default, 2020. ↩ ↑

FCC, STIR/SHAKEN Implementation Report, 2022: https://www.fcc.gov/document/triennial-report-efficacy-stirshaken ↑

https://www.fcc.gov/TRACEDAct ↑

Personal Information Protection Law, PRC, 2021, art. 13, 44, 66. ↑

MIIT Regulatory Documents, www.miit.gov.cn ↑

https://digichina.stanford.edu/work/telephone-user-real-identity-information-registration-regulations/ ↑

MIIT Notice No. 164 [2020] – Telecom Call Regulation Measures. ↩ https://appinchina.co/government-documents/notice-of-ministry-of-industry-and-information-technology-on-carrying-out-special-rectification-actions-in-depth-against-the-infringement-upon-users-rights-and-interests-by-apps/ ↑

Vedi factsheet_fraud_survey.final_.pdf ↑

Regolamento (UE) 2016/679 (GDPR), art. 6, par. 1. ↩ ↑

GDPR, art. 83. ↩ ↑

Telecommunications Unsolicited Telecommunications Rules, CRTC, 2016. ↩ ↑

Spam Act 2003 e Do Not Call Register, ACMA, 2024 Report. ↩ ↑

TRAI, Telecom Commercial Communications Customer Preference Regulations, 2021. ↑

APPI e linee guida MIC sul filtraggio delle chiamate automatiche, 2022. ↩ ↑

https://www.gov.br/anatel/pt-br/consumidor/telemarketing/nao-me-perturbe ↑

Anatel Resolution No. 717/2021, RENOB, 2021. ↩ ↑

Privacy and Electronic Communications Regulations 2003; Ofcom, Call Authentication & Trust Framework, 2023. ↩ ↑

https://dmasa.org/page/register-opt-out-service ↑

POPIA, 2013; ICASA, Guidelines for Call‑Blocking, 2022. ↩ ↑

IFT Mexico, Registro Nacional de No Llamar, 2021. ↩ ↑

https://law.go.kr/lsInfoP.do?lsiSeq=176679&lsId=000030&chrClsCd=010202&urlMode=engLsInfoR&viewCls=engLsInfoR ↑

Korea Ministry of Science and ICT, Network Utilization Act Guidelines, 2022. ↩ ↑

Federal Law No. 149‑FZ del 2006 “On Information”, https://wipolex-res.wipo.int/edocs/lexdocs/laws/en/ru/ru126en.pdfRoskomnadzor Resolution No. 34, 2021. ↩ ↑

FCC, STIR/SHAKEN Call Authentication Framework, Public Notice, 2021. ↑

MIIT AI Telephony Report, 2021. ↩ ↑

In via implementazione blocco chiamate da estero con CLI non a standard E164 e con CLI nazionale o mobile ( se il numero è in Italia e non in roaming nel Paese di origine della chiamata). ↑

ARCEP (Francia), https://en.arcep.fr/news/press-releases/view/n/numbering-plan-130624.html ↑

@RIPRODUZIONE RISERVATA