Facciamo un cambio fornitore luce o gas. Il giorno dopo, o comunque entro poco tempo, ci chiama lo stesso fornitore e ci dice che il contratto appena fatto non può essere attivato, per una motivazione poco probabile, e ci forza nell’attivare una nuova offerta. Ovviamente, la persona che ci ha telefonato non appartiene realmente al fornitore con cui abbiamo sottoscritto la nuova fornitura pochi giorni prima. Semplicemente, è una persona che sta provando ad ingannarci. Allora, dobbiamo chiederci: chi porta “fuori” le informazioni riservate? Chi esfiltra i dati personali? E ancora, soprattutto: il finto operatore che ci chiama come fa a sapere che il giorno prima abbiamo fatto un cambio di fornitore? Oltretutto, come fa a sapere anche il nome di quello nuovo?
Rispondere a queste domande è difficile e per fare accertamenti sull’intera filiera dei dati personali nel settore energetico è necessario, innanzitutto, prendere consapevolezza degli attori coinvolti. Tra questi, ce ne sono due di cui si parla poco (pochissimo!) quando si parla di telemarketing selvaggio: Acquirente Unico Spa e i distributori di energia. In questa prima fase, ci concentriamo sul primo.
Indice degli argomenti
Acquirente Unico e Sistema Informativo Integrato
Acquirente Unico Spa è la società pubblica che detiene il Sistema Informativo Integrato (SII) ovvero il “cuore pulsante” dei flussi informativi nel settore energetico italiano e che si occupa anche dell’approvvigionamento elettrico per i clienti “Vulnerabili”. Il SII è stato istituito per legge nel 2010 per garantire trasparenza ed efficienza nel mercato. Acquirente Unico Spa, a sua volta, fa parte del GSE, il Gestore Servizi Energetici riconducibile al Ministero dell’Economia e delle Finanze.
Cos’è il SII e chi può accedere ai dati
Il SII è una piattaforma informatica centralizzata che gestisce i flussi di dati tra i vari attori del mercato energetico. Si basa sul Registro Centrale Ufficiale (RCU), una banca dati che contiene i punti di prelievo (POD/PDR) e i dati identificativi dei clienti finali. E già qui c’è una rilevanza sostanziale: il codice POD (Punto di Prelievo per l’energia elettrica, Point of Delivery, ndr) e PDR (Punto di riconsegna per il gas) sono dati particolarmente importanti, poiché identificano in modo univoco le utenze e sono essenziali per l’attivazione o il cambio di fornitura. Non a caso sono tra i dati più ricercati da chi contatta insistentemente gli utenti, spesso tentando di ottenerli per attivare, in modo quindi truffaldino, nuovi contratti di fornitura. Ma chi ha accesso al SII? Nel 2024, gli operatori accreditati al sistema erano 1.031, suddivisi tra 571 venditori del mercato libero, 155 imprese distributrici e 244 utenti del dispacciamento. L’accesso, ovviamente, è consentito esclusivamente per finalità legate alla gestione dei contratti e alle operazioni di mercato.
Dinamiche di switching e cambio tariffa
Il SII è fondamentale per gestire la mobilità dei clienti. Nel 2024 ha registrato tassi significativi: il 17,5% per i clienti in media tensione e il 21,7% per le imprese in bassa tensione. Che cos’è la “mobilità dei clienti”? Sono tutte le attività che i clienti fanno, spostandosi da un operatore all’altro, inseguendo offerte vantaggiose e nuove tariffe.
Esistono, però, differenze procedurali importanti a seconda dell’operazione richiesta:
● Cambio operatore (Switching): il processo è gestito centralmente dal SII (di Acquirente Unico Spa, lo ricordiamo) e decorre solitamente dal primo giorno del mese. In questo caso, il nuovo fornitore può accedere legittimamente ad alcune informazioni del cliente per completare il subentro.
● Cambio tariffa con lo stesso operatore: si tratta di una modifica interna. Sebbene il fornitore comunichi le variazioni tecniche al SII, non viene attivata alcuna procedura di switching e i dati non dovrebbero essere visibili ad altri operatori.
Furti di dati, indagini e reclami: la ricostruzione degli avvenimenti
Per avere una visione di insieme, dobbiamo allargare il punto di vista a quanto Acquirente Unico è, ovvero una società controllata dal GSE, il Gestore dei Servizi Energetici.
Per provare ad ipotizzare da dove, e a seguito di quale fatto, i dati siano usciti (e tuttora escano), dobbiamo considerare due macro ipotesi:
- Esfiltrazione di dati ed informazioni da parte di terzi a seguito di uno o più attacchi informatici e/o sfruttamento di vulnerabilità di sistemi e infrastrutture;
- Esfiltrazioni di dati ed informazioni da parte di addetti ai lavori e abilitati agli accessi che approfittano di assenti, deboli o addirittura errate regole di sicurezza o procedure, così come l’errata applicazione del principio di minimizzazione e riservatezza.
28 agosto 2022: l’attacco informatico al GSE
Per quanto riguarda il punto 1, va detto che il GSE, a fine agosto 2022, è stato colpito da un attacco cyber condotto dal gruppo BlackCat. Nello specifico, l’attacco è stato effettuato con un ransomware che ha rallentato e bloccato alcuni servizi GSE per alcune settimane. Nella sostanza, tra le altre cose, l’attacco ha riguardato l’infrastruttura degli applicativi, i file server e i sistemi di posta elettronica, con un furto di 700 GB di dati. A seguito di ciò, GSE ha segnalato quanto accaduto ad ACN, l’Agenzia per la Cybersicurezza Nazionale, ma anche al DIS, l’AISI e l’AISE.
Alcune fonti sostengono che tra questi dati non vi fossero quelli relativi ai dati personali dei consumatori italiani, gestiti di preciso da Acquirente Unico, ma questa considerazione non può essere fatta con certezza. Ecco perché questo attacco va considerato e tenuto a mente.
Nonostante il SII sia nato per prevenire abusi e passaggi non autorizzati, infatti, il sistema – visto proprio il suo enorme valore – è oggetto di attenzioni illecite. Ed il punto è proprio questo: si può legittimamente presupporre, secondo diverse ricostruzioni, che i milioni di dati siano fuoriusciti dal perimetro del sistema gestito da Acquirente Unico? Sì, è lecito considerarlo e pensarlo, pur riconoscendo che servirebbero più informazioni e dettagli ufficiali, da parte di GSE e meglio ancora da Acquirente Unico, relativamente alla tipologia di dati esfiltrati.
18 luglio 2023: l’esposto verso Acquirente Unico
Nel corso di una conferenza stampa alla Camera dei Deputati, è stato presentato un esposto congiunto firmato da diverse associazioni dei consumatori e di categoria del settore energetico e dei call center (tra cui Consumerismo, Osservatorio Imprese e Consumatori – OIC, A.R.T.E., Assium, Assocall e Assocontact). Questo esposto è stato inviato al Garante della Privacy, ad ARERA e all’AgID (Agenzia per l’Italia Digitale). Le associazioni denunciavano come i test da loro effettuati avessero evidenziato presunte vulnerabilità nel SII (Sistema Informativo Integrato) gestito proprio da Acquirente Unico. Secondo l’esposto, le falle di questo enorme database contenente i contratti energetici degli italiani avrebbero favorito massicce fughe di dati, alimentando il fenomeno del telemarketing illegale e delle truffe telefoniche ai danni dei consumatori. Acquirente Unico, in quell’occasione, comunicò di essersi messa a disposizione delle Autorità per tutte le verifiche del caso.
19 luglio e 5 settembre 2023: le note di risposta di Acquirente Unico
Il giorno seguente, prontamente Acquirente Unico emette una nota di risposta nella quale, senza affrontare le questioni di sicurezza e privacy sollevate, si limita a dichiarare che sta attivamente collaborando con le Autorità preposte ad effettuare le verifiche necessarie.
Il 5 settembre 2023, Acquirente Unico emette un’altra nota, nella quale si riporta una dichiarazione dell’Amministratore Delegato Roberto Moles, dove si legge “I dati presenti nel Sistema Informativo Integrato sono dati di natura personale e pertanto necessitano di tutela specifica. Trattandosi di dati di estrema delicatezza, è imprescindibile la definizione del livello di aggregazione del dato, richiamando il principio di minimizzazione dello stesso in ragione della pertinenza al tipo di servizio offerto”. E ancora: “La norma prevede l’accesso ai dati di terzi mediante delega e qui si pone il problema di come assicurare al cittadino che la delega non venga utilizzata impropriamente, proprio per realizzare pienamente il processo di liberalizzazione tutelando l’utente dal rischio di cedere inconsapevolmente i propri dati o autorizzazioni”. In questa dichiarazione, non si può non evidenziare come lo stesso AD ponga l’attenzione, in modo autonomo, proprio sull’eventuale utilizzo improprio della delega, definendo ciò addirittura “problema”. Un’ulteriore forte affermazione, sembra ammettere una carenza di protezione dei dati degli utenti: “C’è un aspetto che Acquirente Unico ritiene indispensabile rafforzare: la tutela della privacy. Appare doveroso, come in più occasioni ha ribadito il Garante Privacy, un approccio prudenziale che metta al centro la tutela del cittadino”.
È lecito chiedersi, pertanto: fino a quel momento non è stato così? Non era già stata messa al centro la tutela del cittadino e dei suoi dati personali? In seguito, sono state effettivamente rafforzate le misure di sicurezza a tutela della privacy dei dati?
Ricordiamoci, infatti, che il trattamento descritto deve essere valutato alla luce dell’art. 5 GDPR, in particolare dei principi di minimizzazione e limitazione delle finalità, nonché delle misure di sicurezza ex art. 32 del GDPR.
30 settembre 2023: la nuova nota di Acquirente Unico
In un articolo del 30 settembre 2023 si afferma che Acquirente Unico avrebbe rimosso i numeri di telefono e gli indirizzi email dai file consultabili massivamente dagli operatori e che, da lì in poi, questi dati sarebbero stati nella disponibilità esclusiva del proprio fornitore. Se così è stato, Acquirente Unico dovrebbe spiegare per quale motivo, fino ad allora, i dati di contatto come telefono e indirizzo e-mail, estremamente delicati, sono stati invece resi visibili e disponibili nonostante il trattamento non lo necessitasse. Dov’era, quindi, il principio di minimizzazione dei dati citato dall’Amministratore Delegato nella nota di Acquirente Unico del 5 settembre?
18 dicembre 2025: l’ammonimento del Garante Privacy ad Acquirente Unico
Molto più recentemente, il Garante della Privacy ha emesso un ammonimento formale verso Acquirente Unico a seguito del reclamo di un cittadino. L’utente, bersagliato da chiamate di telemarketing subito dopo un cambio di fornitore, aveva chiesto ufficialmente ad Acquirente Unico di sapere quali operatori avessero avuto accesso ai suoi dati personali, ma l’azienda ha ignorato la richiesta per mesi giustificandosi con una “svista” organizzativa. L’Autorità ha accertato la violazione del GDPR (artt. 12, 15-22), criticando Acquirente Unico non solo per il ritardo, ma anche per aver fornito spiegazioni successive scritte in un linguaggio eccessivamente tecnico, generico e poco trasparente. Tuttavia, poiché Acquirente Unico ha collaborato durante l’istruttoria e ha promesso di adottare nuove procedure software per gestire meglio le istanze, il Garante ha deciso di non infliggere sanzioni economiche, limitandosi al solo richiamo ufficiale.
La situazione attuale
Le criticità già evidenziate non sembrano aver trovato alcun margine di miglioramento. Quotidianamente, i cittadini che si approcciano al nuovo fornitore di gas o energia, o che stanno valutando un cambio di tariffa con il proprio operatore, sono tediati da telefonate non solo insistenti, aggressive e truffaldine.
Il tutto sembra avvenire entro una finestra temporale collocata o immediatamente prima della definizione del contratto, quando l’utente si trova ancora in una fase decisionale e di scelta, oppure nella fase immediatamente successiva all’attivazione telefonica di un contratto, quando si ricevono telefonate di operatori che si fingono appartenenti al nuovo operatore attivato poche ore prima. Come può, un finto operatore, conoscere questa delicata informazione? Si tratta davvero di una semplice coincidenza? È possibile che tali contatti si concentrino proprio in quel momento, senza che vi sia alcuna forma di intercettazione/esfiltrazione, diretta o indiretta, delle informazioni relative alle intenzioni dell’utente?
Se è vero quindi che esistono presidi normativi e regolatori, resta da capire quanto essi siano in grado di intercettare tempestivamente tali criticità e garantire una tutela effettiva degli utenti.
Soprattutto: alla luce della sopra descritta cronostoria, si può oggi affermare che tutte le procedure che riguardano il mercato energetico, con particolare riferimento al trattamento dei dati personali, rispettino tutte le misure di sicurezza, nonché i principi cardine del GDPR? Se la risposta è sì, com’è possibile che ogni giorno vengano effettuate migliaia di telefonate da parte di call center che sono chiaramente in possesso puntualmente di informazioni aggiornatissime?
È possibile, per il cittadino, ricostruire in modo chiaro la tracciabilità delle operazioni che lo riguardano? Esercitare il diritto di accesso e sapere chi ha avuto accesso ai suoi dati, quando e per quali finalità?
E ancora: quali strumenti concreti sono realmente disponibili per far valere i propri diritti in caso di anomalie?
In assenza di risposte chiare a questi interrogativi, siamo di fronte ad una tutela solo formale, non rispondente alle finalità della normativa vigente che prevede il diritto di controllo dell’interessato sui propri dati personali.
Telemarketing e fiducia nel sistema
In questo contesto, il fenomeno del telemarketing selvaggio non appare più come una semplice distorsione del sistema, ma come un elemento che si inserisce in dinamiche ben più ampie e complesse.
La reiterazione di queste pratiche non trasparenti non fa altro che compromettere la fiducia dei cittadini, la cui volontà viene veicolata, ostacolata e aggirata da azioni commerciali del tutto scorrette, facendo venir meno il principio di trasparenza che dovrebbe guidare tutte le operazioni commerciali.
Non è più rinviabile una riflessione sull’efficacia degli strumenti di controllo e sulla responsabilità dei soggetti coinvolti.
Forse è arrivato il momento in cui si rende necessario un cambio di passo, capace di ristabilire un equilibrio più equo tra le esigenze del mercato e i diritti fondamentali delle persone.
Alla luce di tali considerazioni, appare indispensabile un rafforzamento dei presidi di controllo, una maggiore chiarezza nella definizione delle responsabilità lungo l’intera filiera dei soggetti coinvolti e, soprattutto, un’applicazione concreta — e non meramente formale — delle norme a tutela della privacy, al fine di assicurare un sistema più trasparente, verificabile e realmente orientato alla tutela dei cittadini.
