Nel giro di poche settimane, l’Autorità per le Garanzie nelle Comunicazioni (Agcom) ha approvato un provvedimento atteso da tempo, che punta a porre un freno deciso all’uso illecito delle numerazioni italiane da parte di operatori esteri. Il 19 maggio 2025, con la delibera n. 106/25/CONS, è stato formalizzato un regolamento che introduce nuove regole tecniche per impedire la diffusione di chiamate ingannevoli e truffaldine, sempre più frequenti sulle linee mobili e fisse italiane.
Stop alle truffe telefoniche: arriva la stretta di Agcom contro lo spoofing. Il cuore della questione è una tecnica ben nota a chi si occupa di sicurezza informatica e telecomunicazioni: lo spoofing, ovvero la falsificazione dell’identificativo del chiamante (CLI, Calling Line Identification). Un metodo che permette a call center, spesso collocati fuori dai confini nazionali, di far apparire sullo schermo dell’utente numeri italiani credibili, talvolta addirittura identici a quelli di banche, istituti pubblici, o operatori telefonici.
La tecnica dello spoofing: cos’è e come funziona
Lo spoofing è una forma di manipolazione dell’identità del mittente della telefonata. I criminali o gli operatori di telemarketing aggressivo riescono a camuffare la loro reale provenienza, facendo apparire sul display della vittima un numero apparentemente affidabile. Il tutto si realizza tramite tecnologie VoIP (Voice over IP), cioè chiamate instradate attraverso la rete internet piuttosto che via rete tradizionale. In molti casi, i numeri mostrati non corrispondono ad alcun utente reale. Se la persona chiamata prova a richiamare, riceverà spesso una risposta automatica dall’operatore che indica che il numero non è attivo.
Questo stratagemma rende estremamente difficile, per l’utente comune, distinguere una comunicazione autentica da un tentativo di frode, e rappresenta una minaccia concreta alla sicurezza delle comunicazioni. Per questo, Agcom ha deciso di intervenire con un piano dettagliato che coinvolge sia i provider italiani che quelli esteri.
Il nuovo filtro anti-spoofing: come sarà implementato
Secondo quanto riportato nella delibera, il regolamento mira ad aumentare la trasparenza e l’affidabilità delle comunicazioni elettroniche. L’obiettivo dichiarato è duplice: da un lato, tutelare l’utente da pratiche fraudolente e intrusive; dall’altro, favorire una maggiore chiarezza nella visualizzazione del numero chiamante.
Agcom ha predisposto un sistema tecnico a più livelli che prevede, innanzitutto, il blocco preventivo di tutte le chiamate che non rispettano determinati criteri di autenticazione. In particolare, gli operatori che gestiscono traffico in entrata in Italia saranno obbligati a filtrare le chiamate anomale o non conformi agli standard internazionali stabiliti dall’Unione Internazionale delle Telecomunicazioni (ITU).
Secondo tali standard, qualsiasi chiamata internazionale deve mostrare un numero completo che comincia con il simbolo “+”, seguito dal prefisso nazionale e da un numero telefonico valido. Per l’Italia, ad esempio, la corretta numerazione inizia con +39. In assenza di tali requisiti, la chiamata dovrà essere respinta.
Regole più severe per le chiamate VoIP
Il regolamento entra nel dettaglio anche per quanto riguarda le chiamate VoIP, spesso usate nei casi di spoofing. Queste, per essere considerate lecite, devono contenere correttamente alcuni campi fondamentali nei protocolli di segnalazione, in particolare i cosiddetti campi PAI (P-Asserted-Identity) e “From”.
Il campo PAI serve a identificare con certezza l’origine della chiamata all’interno di infrastrutture complesse, dove più operatori si passano il testimone nel percorso verso l’utente finale. Il campo “From”, invece, rappresenta ciò che l’utente vede sul display al momento della chiamata. Se queste informazioni risultano errate, assenti o incoerenti con i parametri previsti, l’operatore ha l’obbligo di scartare la comunicazione.
Le verifiche in tempo reale sui numeri mobili
Un altro meccanismo introdotto dalla delibera prevede che gli operatori esteri verifichino in tempo reale l’esistenza e la legittimità dei numeri mobili italiani da cui risultano partire le chiamate. Questo accade in particolare quando un numero apparentemente italiano risulta originare una chiamata dall’estero.
Per evitare blocchi errati, sarà necessario controllare se il numero è assegnato e se risulta realmente in uso da parte di un utente italiano in roaming all’estero. Se il numero non è attivo su nessuna rete mobile, oppure risulta essere assegnato ma non in uso, la chiamata dovrà essere bloccata immediatamente.
Il ruolo delle API per la comunicazione tra operatori
Per consentire queste verifiche in tempi brevissimi, gli operatori italiani dovranno predisporre un’interfaccia API (Application Programming Interface) sicura, attraverso la quale gli operatori stranieri potranno inviare richieste di verifica e ottenere risposte istantanee.
Il tempo massimo concesso per ricevere la risposta è di due secondi: oltre questo limite, la chiamata potrà comunque essere considerata sospetta e bloccata. Questo sistema permetterà di creare un canale continuo e dinamico di scambio dati tra gli operatori nazionali e internazionali, senza gravare eccessivamente sull’infrastruttura di rete.
Inoltre, ogni richiesta e risposta dovrà essere archiviata per almeno sei mesi, così da offrire una tracciabilità utile a eventuali indagini da parte delle autorità o richieste di verifica da parte degli utenti.
Prevenzione delle frodi e responsabilità condivise
L’impostazione del nuovo regolamento si fonda su un principio di responsabilità condivisa: ogni soggetto coinvolto nella catena della comunicazione, dal mittente al destinatario, dovrà fare la propria parte per garantire sicurezza e trasparenza.
Gli operatori internazionali saranno chiamati a bloccare le chiamate in ingresso verso l’Italia che risultino anomale, mentre quelli italiani dovranno offrire strumenti tecnici rapidi e affidabili per verificare l’identità dei numeri mobili. In caso di mancata osservanza delle disposizioni, sono previste sanzioni amministrative.
La regolamentazione prevede anche il monitoraggio periodico dell’efficacia delle misure adottate. Gli operatori saranno tenuti a inviare report semestrali all’Agcom, indicando il numero di chiamate bloccate, i criteri utilizzati per individuarle, e le eventuali difficoltà tecniche incontrate.
Una battaglia contro un fenomeno globale
Lo spoofing è un fenomeno che riguarda tutti i Paesi industrializzati. Negli Stati Uniti, la Federal Communications Commission (FCC) ha da tempo avviato campagne contro le robocall e lo spoofing. In Europa, vari organismi nazionali stanno implementando soluzioni simili a quella italiana.
Ma l’Italia, con la delibera Agcom 106/25/CONS, diventa uno dei primi Paesi europei a imporre un sistema così articolato e vincolante, con obblighi tecnici puntuali per gli operatori e un’infrastruttura centralizzata per il controllo e il filtraggio delle chiamate.
Le reazioni del settore
Le prime reazioni da parte delle associazioni dei consumatori sono positive. “Si tratta di un passo avanti importante nella tutela degli utenti dalle continue vessazioni telefoniche”, afferma l’Unione Nazionale Consumatori. Anche alcuni operatori telefonici italiani hanno accolto favorevolmente la misura, pur evidenziando la necessità di tempi tecnici per adeguarsi alle nuove specifiche.
Più caute le realtà legate al telemarketing: se da un lato si riconosce l’esigenza di combattere le frodi, dall’altro si teme che le nuove misure possano ostacolare anche campagne legittime, soprattutto se gestite da sedi operative all’estero. Agcom ha chiarito che saranno attivi dei tavoli tecnici permanenti per valutare eventuali problemi applicativi.
Una svolta attesa
Con questa nuova delibera, l’Italia si dota di uno strumento normativo e tecnologico per affrontare una delle principali minacce alla sicurezza digitale dei cittadini. Lo spoofing, nella sua forma più subdola, colpisce la fiducia stessa nei mezzi di comunicazione.
Il sistema ideato da Agcom rappresenta una svolta: obbliga gli operatori a collaborare in tempo reale, introduce criteri di trasparenza e tracciabilità, e dà agli utenti una protezione concreta. Sarà ora fondamentale che i controlli siano effettivi, e che il sistema sia costantemente aggiornato in base all’evoluzione delle tecnologie di comunicazione.
