Con la consultazione indetta con delibera 457/24, Agcom mira a mettere in atto una serie di misure a tutela del consumatore, tra le quali spicca il tanto invocato blocco delle chiamate con il CLI (il numero di telefono) falsificato.
Dopo tanto dibattito sul proliferare del cosiddetto telemarketing “selvaggio” e fuori dalle regole, la quasi totalità degli osservatori concorda che la più importante misura per ricondurre a norma il settore e dare così ossigeno alle imprese nazionali del telemarketing, schiacciate da concorrenza sleale e piratesca di soggetti che operando fuori dalle regole riescono, probabilmente, a praticare costi al ribasso per chi li ingaggia, impercorribili per le imprese che rispettano le norme.
Cos’è il CLI spoofing
Squilla il telefono e il display mostra un numero fisso o mobile che non si conosce o – ancora peggio – che si conosce (es. quello della propria banca): il fatto di vedere il numero rassicura e induce a rispondere nella convinzione che, se qualcosa non va, comunque conoscere il numero del chiamante consente di identificarlo e rimediare. Con lo spoofing invece, il numero non è richiamabile perché è falso e non esiste e, se esiste, è di altra persona che non c’entra nulla con la chiamata. Questa pratica – ancora tecnicamente possibile anche se già da tempo vietata – assicura la quasi totale impunità in caso di frodi e violazioni privacy: l’utente non sa chi denunciare e rintracciare l’effettivo chiamante richiede costose indagini, ammesso che sia in assoluto possibile.
Come lo spoofing azzoppa il Registro delle Opposizioni e rende vane le sanzioni
È per via dello spoofing che il Registro delle Opposizioni non funziona: i soggetti che usano numeri falsi non lo controllano, non rispettano le norme sulla privacy, non rispettano il Codice del Consumo perché si rendono irrintracciabili alle Autorità che li dovrebbero sanzionare.
È per via dello spoofing che sono inutili le proposte normative che prevedono di aumentare le sanzioni a chi viola le tutele dei consumatori nel telemarketing o, addirittura, di istituire un registro dei consensi o di vietare del tutto il telemarketing: l’esistenza della possibilità tecnica di spoofing renderebbe inutili tutti questi divieti. Si tratta di soggetti che evidentemente chiamano dall’estero perché nessun operatore italiano consente al chiamante di alterare il numero da cui chiama.
Attualmente, se la chiamata arriva dall’estero, gestita da un altro operatore, l’operatore telefonico non ha alcun obbligo di verificarla e, a ben vedere, nessun potere di bloccarla. Il responsabile della chiamata, che può identificare chi ha chiamato, è l’operatore estero e verificarla richiederebbe una sorta di rogatoria internazionale, se poi la chiamata ha rimbalzato – come si vede nei film – tra molteplici operatori esteri, è praticamente impossibile individuare il chiamante.
CLI spoofing, emergenza sicurezza
Si tratta di una vera emergenza: da una parte c’è il tema della sicurezza, perché il numero falso è anche il perno di molte truffe: si simula il numero di una banca, di un parente, di un ente istituzionale per convincere il chiamato a dare password, credenziali, informazioni, a fare pagamenti, ecc.; c’è il tema della sicurezza dei consumatori, assediati da telemarketing fuori delle regole, tanto che vi sono stime per cui su 10 chiamate ricevute, 9 sono chiamate fraudolente con numero falso; c’è il tema della tutela dell’industria italiana del telemarketing, che genera 2 miliardi di PIL e occupa 120.000 persone e che viene messa a forte rischio da chi abusa della fiducia dei consumatori chiamandoli con numeri falsi.
La consultazione pubblica Agcom
Nel marzo 2024 – come scrissi su queste pagine – il Governo ha modificato il Codice delle Comunicazioni Elettroniche per dare all’Agcom il potere di imporre agli operatori soluzioni tecniche per bloccare le chiamate con numero falso. L’Autorità ha indetto la consultazione pubblica che ricordavo in apertura per comprendere quali siano le misure e regole da approvare per realizzare tale blocco tecnico.
Le soluzioni tecniche per bloccare il fenomeno
Se pensiamo, invece, a un mercato in cui le chiamate con numero falso non possono arrivare all’utente destinatario, perché bloccate dall’operatore telefonico, lo scenario sarebbe del tutto diverso: non solo funzionerebbe il Registro delle Opposizioni ma le chiamate di telemarketing non potrebbero che essere completamente rispettose delle regole: se qualcosa non va potremmo infatti subito segnalare il numero chiamante e capire chi è stato l’autore della chiamata irregolare.
In Francia, in USA, in Germania, in UK e in altri stati stanno da tempo lavorando a soluzioni tecniche di questo tipo, alcune anche già adottate.
Vediamo dunque quali sono le difficoltà tecniche per l’operatore telefonico nell’adottare una soluzione di blocco delle chiamate con numero falso.
Lo standard STIR/SHAKEN: vantaggi e limiti
La base dei sistemi più diffusi è uno standard chiamato STIR/SHAKEN, che viene proposto anche da fornitori nazionali come Italtel, la quale lo fornisce già ad operatori francesi e tedeschi.
Una rete telefonica che adotta il sistema STIR/SHAKEN, in sintesi, è in grado di verificare, prima che la chiamata arrivi all’utente, se le informazioni di chiamata comprendono una sorta di “firma digitale” della chiamata, nella quale l’operatore di provenienza cripta il numero del chiamante: se il numero del chiamante “certificato” dalla firma risulta diverso dal numero proposto come CLI, la chiamata è irregolare e viene bloccata.
Un tale sistema ha indubbi vantaggi, ma anche alcuni limiti e, comunque, richiede alcuni requisiti per funzionare veramente.
Anzitutto, esso funziona appieno se la gran parte degli operatori lo adotta: l’operatore dal quale proviene la chiamata deve infatti “firmare” secondo i dettami dello standard le chiamate ed occorre un organismo centralizzato che rilasci i certificati crittografici che l’operatore inserisce nelle chiamate in uscita: se l’operatore di destinazione verifica le chiamate ma l’operatore di provenienza non è in grado di “firmarle” il controllo non può avvenire.
Va detto che tutti o quasi gli operatori nazionali (in Italia ce ne sono oltre 100) sono tecnicamente in grado di firmare le chiamate, la situazione è più complessa all’estero, dove alcuni operatori adottano ancora hardware obsoleto che non supporta questo tipo di operazione. Date le sempre più stringenti normative di sicurezza è però inevitabile che, progressivamente, tutti gli operatori aggiornino i propri hardware di rete ed è lecito pensare che, ben presto, tutti gli operatori saranno in grado di adottare il sistema STIR/SHAKEN, direttamente o “as-a- service” acquisendo il servizio da altri operatori.
È comunque ragionevole dire che, se la chiamata è scambiata tra operatori nazionali, essa viene verificata e non può adottarsi un numero falso.
È anche ragionevole dire che, una volta che sia adottato lo STIR/SHAKEN dai principali operatori nazionali, una chiamata che viene dall’estero ma indica come CLI un numero geografico italiano, verrebbe subito riconosciuta come falsa e bloccata.
Più delicata la questione dei numeri mobili perché è sempre possibile che un CLI mobile italiano appartenga a un utente in roaming e, in tal caso, legittimamente una chiamata proveniente dall’estero potrebbe indicare come CLI un numero mobile italiano (con prefisso +39).
Procedure a integrazione del protocollo
Poiché non tutti gli operatori internazionali lo adottano, il protocollo STIR/SHAKEN, di per sé, sembra non essere sempre in grado di bloccare i numeri mobili falsi: una chiamata da numero mobile non certificata potrebbe essere autentica.
Il sistema può però facilmente essere integrato con procedure che prevedono la consultazione in tempo reale, prima di terminare (=portare a destinazione) la chiamata, di database condivisi tra gli operatori, i quali consentano di determinare: 1) se un numero mobile esiste e 2) se l’utente di quel numero mobile è collegato in roaming; tale database – per motivi di tutela concorrenziale e della riservatezza – dovrebbe essere gestito da un ente indipendente dagli operatori, alla stregua di quel che avviene per il Registro delle Opposizioni che è affidato alla FUB e non ad operatori privati; il database dovrebbe essere consultabile con un sistema c.d. “zero-knowledge”: ad ogni query risponde solo SI/NO e non fornisce altri dati e, soprattutto, non consente agli operatori di avere elenchi o numeriche dei numeri rilasciati dai concorrenti e di quali/quanti utenti siano in roaming in un dato momento.
Questo sistema è quello proposto nella consultazione sulle misure antispofing – in un documento congiunto promosso dall’associazione di categoria Assocall e sottoscritto anche da CODACONS, Assoutenti, OIC – Organismo Imprese e Consumatori, Associazione Europea Consumatori Indipendenti, Movimento Difesa del Cittadino e Konsumer Italia, basato sul protocollo antispoofing promosso sempre da Assocall insieme ad altri stakeholders quali Assocontact, Innovasemplice ed Italtel, nelle scorse settimane. L’adozione di questo sistema, così come integrato, a detta dei proponenti consentirebbe di superare le limitazioni del protocollo STIR/SHAKEN realizzando un sistema integrato ed efficace, in grado di tutelare l’utente molto meglio delle poco trasparenti app antispam, dando finalmente al Registro Opposizioni modo di funzionare come era stato pensato.
Rimarrebbero fuori dal sistema di tutela – in sostanza – solo le chiamate con “numero sconosciuto” e quelle con numero estero, se provenienti da operatori che non adottano STIR/SHAKEN, ma è ragionevole pensare che l’utente non sia molto propenso a rispondere a questi tipi di chiamate, a meno che non sappia che qualcuno lo deve contattare con questa modalità (es. un parente o collega all’estero, una persona che deve usare il numero sconosciuto per riservatezza, ecc.).
Verso una reale soluzione al problema dello spoofing
La consultazione AGCOM prevede altresì che, a valle dell’esito della consultazione, sul tema dello spoofing e dell’approvazione della versione risultante del relativo regolamento, sia costituito un tavolo tecnico, il quale avrà 3 mesi per individuare la soluzione tecnica, che gli operatori dovranno implementare.
Finalmente sembrano esserci tutti i presupposti per risolvere l’odioso problema dello spoofing e sarà importante seguire con attenzione l’attività di AGCOM al riguardo, al fine di normalizzare, finalmente, il problema del telemarketing selvaggio e illegale, consentendo così di operare nel settore solo a chi è rispettoso delle regole e tutele degli consumatori, ben espresse dal Codice di Condotta del Garante Privacy, ora finalmente aperto alle adesioni di committenti, call center e list provider.