Stop ai Call Center Fantasma dall’Estero

Pubblicato il di

Stop ai Call Center Fantasma dall’Estero

Come il VoIP ha alimentato lo spoofing dei numeri mobili italiani e come AGCOM ha risposto con le delibere 106/25/CONS e 271/25/CONS

Milioni di italiani hanno ricevuto telefonate da numeri di cellulare apparentemente italiani — magari un 328, un 347, un 391 — da operatori che proponevano contratti luce e gas o polizze. Peccato che dall’altra parte ci fosse un call center fisicamente in Albania, Romania o Moldavia, che tramite una semplice manipolazione del segnale VoIP faceva apparire un numero italiano completamente inventato. Questa pratica si chiama CLI Spoofing. Fino al 19 novembre 2025, era sostanzialmente priva di conseguenze.

1. Come funzionava tecnicamente lo spoofing via VoIP

Il CLI (Calling Line Identity) — il numero del chiamante che appare sul display — nel mondo VoIP non è un dato fisico e verificato. È un’informazione testuale inserita nell’intestazione del protocollo SIP, nei campi P-Asserted-Identity (PAI) e From. Chiunque abbia accesso a un softswitch o a un PBX VoIP può impostare liberamente questi campi, inserendo qualsiasi numero come mittente.

Il percorso tipico di una chiamata spoofata proveniente dall’estero:

  1. Il call center all’estero configura il PBX (Asterisk, FreeSWITCH) impostando come CLI un numero mobile italiano esistente o inventato (es. +39 347 XXXXXXX)
  2. La chiamata parte via trunk SIP verso un carrier internazionale, che la accetta senza verificare l’autenticità del CLI dichiarato
  3. Il carrier internazionale instrada la chiamata verso la rete italiana attraverso i punti di interconnessione (ITX)
  4. All’interconnessione, il segnale SIP viene convertito in segnalazione ISUP per le reti TDM tradizionali, dove il CLI finisce nel campo CgPN (Calling Party Number)
  5. L’operatore italiano riceve la chiamata con un numero mobile italiano nel campo chiamante e la consegna all’utente: sul display compare un numero 3XX italiano

Il punto critico: fino al 19 novembre 2025, nessuno lungo questa catena verificava se il numero mobile dichiarato fosse realmente assegnato a un utente italiano, se quell’utente fosse in roaming all’estero, o se il numero fosse semplicemente inventato.

2. Il quadro normativo: da delibera 457/24/CONS a 271/25/CONS

DataProvvedimentoContenuto
Maggio 2024Delibera 457/24/CONSAvvio procedimento e tavolo tecnico sul CLI spoofing
19 maggio 2025Delibera 106/25/CONSApprovazione del Regolamento anti-spoofing (CLI fisso + mobile)
19 agosto 2025Fase 1 operativaBlocco chiamate estero con CLI fisso italiano falsificato
19 novembre 2025Fase 2 operativaBlocco chiamate estero con CLI mobile italiano falsificato
19 novembre 2025Delibera 271/25/CONSDisposizioni attuative integrative: roaming, M2M, operatori non conformi
2026 (previsto)Emendamento Legge Bilancio 2026Prefisso unico nazionale obbligatorio per telemarketing

La delibera 106/25/CONS ha introdotto le misure di blocco individuando nei Carrier Internazionali — gli operatori italiani che gestiscono le interfacce di confine con le reti estere — i soggetti tenuti ad attuare il blocco. La delibera 271/25/CONS, pubblicata il 19 novembre 2025, integra la precedente con disposizioni attuative per casistiche specifiche: servizi mobili satellitari, M2M, e operatori mobili esteri che non hanno implementato le API di verifica roaming.

3. Come funziona il filtro anti-spoofing

Il flusso di verifica prevede che il Carrier Internazionale, alla ricezione di una chiamata proveniente dall’estero con CLI nella decade 3X (prefisso mobile italiano), interroghi l’operatore mobile titolare tramite API. Le informazioni restituite sono unicamente BLOCCO o NON BLOCCO.

In dettaglio:

  • Il Carrier interroga il database nazionale di portabilità (MNP): il numero esiste ed è assegnato? Se no → BLOCCO
  • Se il numero esiste, interroga l’operatore mobile via API: l’utente è attualmente in roaming all’estero?
  • L’operatore risponde NON BLOCCO solo se l’utente risulta registrato in roaming su rete estera
  • Il Carrier blocca o instrada in base alla risposta

Il traffico VoLTE legittimo di un utente in roaming arriva in Italia tramite connessione IP dedicata in modalità S8 Home Routing, non attraverso i carrier internazionali pubblici. Questo canale è considerato “managed” e non spoofabile, quindi le chiamate di roaming legittime non sono impattate.

4. Risultati e limiti del sistema

Le regole sono operative dal 19 agosto per le numerazioni fisse e dal 19 novembre per quelle mobili e hanno prodotto risultati tangibili: milioni di chiamate fraudolente sono state intercettate e bloccate ogni giorno, consentendo per la prima volta di quantificare in modo oggettivo la dimensione del fenomeno.

  • Il traffico illegale si è in parte adattato, spostandosi su numerazioni estere reali, che non possono essere bloccate dal filtro anti-spoofing.
  • Le chiamate con CLI italiano falsificato originate dall’Italia stessa non rientrano nel perimetro della delibera
  • Basta un varco lasciato aperto da un operatore per vanificare parte della protezione: se un carrier internazionale non implementasse il blocco, i truffatori veicolerebbero il traffico attraverso di esso.

5. Il prossimo passo: il prefisso unico nazionale

Un emendamento di Fratelli d’Italia alla Legge di Bilancio 2026 introduce un prefisso numerico unico nazionale obbligatorio per tutte le chiamate di telemarketing, senza deroghe ed eccezioni. La struttura del numero sarà stabilita da AGCOM, dovrà essere riconoscibile a colpo d’occhio e richiamabile dall’utente. Sarà vietato effettuare chiamate commerciali senza il prefisso o da operatori non iscritti al ROC o al RPO.

Il vantaggio tecnico decisivo: i numeri brevi italiani hanno la caratteristica di essere assegnati e gestiti a livello nazionale, quindi non replicabili dall’estero. Un call center illegale in Albania non potrà mai ottenere un prefisso assegnato da AGCOM.

Conclusioni

Lo spoofing dei numeri mobili italiani è stato possibile per anni grazie a una caratteristica intrinseca del VoIP: la separazione tra il numero dichiarato come chiamante e la vera origine della chiamata. Le delibere 106/25/CONS e 271/25/CONS hanno colmato questa lacuna, imponendo un sistema di verifica in tempo reale che rende molto più difficile far apparire una chiamata dall’estero come proveniente da un numero mobile italiano. Il percorso è ancora lungo, ma i pilastri normativi e tecnici sono stati posti.

Spoofing : una piaga che ha afflitto i call center in regola con le normatice

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *