Chiamate indesiderate difficili da bloccare: il numero di telefono non è quello reale

State ricevendo in continuazione chiamate da numeri di cellulare che pubblicizzano questo o quel servizio? Le chiamate indesiderate vi assillano a qualunque ora del giorno e alla risposta si sente sempre una voce preregistrata? Sappiate che non siete i soli: succede anche a noi, così come a buona parte degli italiani.

Abbiamo visto com’è possibile bloccare le chiamate indesiderate sia su mobile che sulle numerazioni fisse ma da tempo gli scocciatori hanno cominciato a usare tattiche fraudolente: chiamano con numeri di utenze mobili sempre diversi. Anche inserendoli nello spam e segnalandoli come tali, le chiamate indesiderate continuano ad arrivare.

Se si risponde una voce registrata dice: “la segreteria di (…) ti dà il benvenuto“. Oppure, ancora, si fa presente che le tariffe di luce, gas, telefonia di casa o dell’ufficio subiranno un aumento. Talvolta si fa riferimento a un fantomatico “centro di verifica delle tariffe“. O, parlando dei servizi energetici, si cita un’imminente cessazione del mercato a maggior tutela per la fornitura di energia elettrica che in realtà, viste le varie proroghe susseguitesi, rimarrà in essere almeno fino al 10 gennaio 2024 per le utenze domestiche (fino al 1° aprile 2023 per le microimprese).
Le società che vengono citate nei messaggi si dicono sempre estranee a questo tipo di comportamenti: le chiamate vengono effettuate da soggetti specializzati che “pescano nel mucchio” e cercano di siglare nuovi contratti per acquisire una provvigione.

Altri messaggi automatici propongono offerte truffaldine legate al trading (la più famosa è quella che cita Amazon, società del tutto estranea a queste prassi, in corso di verifica da parte della Consob) e al mercato delle criptovalute.

Tutte tattiche, molto spesso palesemente scorrette, per cercare di acquisire nuovi clienti, indurli con l’inganno a richiedere la stipula di contratti o spingerli ad effettuare operazioni pericolose.

Chiamate indesiderate con messaggi preregistrati: il Registro delle Opposizioni dovrebbe impedirle ma la realtà è ben diversa

Il Registro delle Opposizioni, nella sua versione più recente e aggiornata, permette ai consumatori di opporsi alla ricezione non solo delle chiamate indesiderate tramite operatore ma anche di quelle effettuate con l’uso di sistemi automatizzati, modalità di contatto che in precedenza era sfuggita alla disciplina vigente.

La precedente normativa, superata con l’approvazione del Registro delle Opposizioni 2.0, non prendeva in considerazione le cosiddette robocall che quindi, in punto di diritto, non erano espressamente vietate.

Nonostante le maglie siano state rese più fitte, però, il Registro delle Opposizioni non sembra aver modificato gli equilibri e una buona parte di operatori di telemarketing continuano a contattare gli utenti pur non avendone alcun titolo.
Sulla base del funzionamento del nuovo Registro delle Opposizioni, basterebbe iscrivere sia le proprie numerazioni fisse che mobili per revocare tutti i consensi privacy eventualmente erogati in precedenza.
Cliccando su Rinnova iscrizione è possibile, anche dopo settimane, mesi o anni dalla prima iscrizione al Registro delle Opposizioni revocare i consensi privacy eventualmente forniti nel frattempo agli operatori di telemarketing.

Il problema è che decine di soggetti stanno continuando a subissare gli utenti di chiamate sulle loro numerazioni fisse e mobili in spregio del Registro delle Opposizioni e della volontà espressa. L’utilizzo di numerazioni telefoniche fasulle ne è la chiara riprova.

Numeri telefonici inesistenti: perché i call center utilizzano la tecnica CID spoofing

Un aspetto meritevole di grande attenzione riguarda l’identificativo del chiamante o caller ID (CID).

Quando arrivano chiamate indesiderate, in moltissimi casi il numero telefonico che compare sullo schermo dello smartphone o sul display del telefono (numerazione fissa) non è quello reale ma è modificato in modo artificioso.
Ne avevamo parlato nel 2019 descrivendo nel dettaglio la pratica del CLI o CID spoofing.

Con la diffusione della tecnologia VoIP crearsi un proprio centralino (PBX) che effettua una serie di chiamate usando ad esempio il numero di telefono della Casa Bianca o di un qualunque altro soggetto sulla faccia della Terra è diventata cosa piuttosto semplice: nell’articolo citato in precedenza abbiamo visto qualche spunto basato su Asterisk PBX.

Fino a qualche anno fa la tecnica del CLI spoofing o CID spoofing era prevalentemente utilizzata da criminali che si spacciavano come dipendenti di banche per carpire dati riservati degli utenti. Oggi è abbondantemente utilizzata anche dagli spammer telefonici.

Ecco perché vi stanno chiamando con un numero di cellulare sempre diverso e se provate a ricontattarlo venite informati sul fatto che è inesistente.

Perché tanti call center usando la tecnica CID spoofing? Perché gli utenti hanno le mani legate: le applicazioni precedentemente usate con successo per bloccare le numerazioni indesiderate non funzionano più a dovere. Se il numero cambia in continuazione, non è più possibile bloccare il call center chiamante in modo definitivo.

Già a luglio 2019 AGCOM (Autorità per le Garanzie nelle Comunicazioni) aveva pubblicato una delibera per chiedere agli operatori di vigilare sul CID spoofing.
Da allora, però, le chiamate con ID falsificato non solo sono proseguite ma il fenomeno pare letteralmente esploso.

Le soluzioni ci sono, anche se le chiamate hanno origine da sistemi VoIP, ma nel nostro Paese non sembrano essere ancora applicate.
Nel documento tecnico elaborato da i³ Forum vengono ad esempio illustrati diversi approcci.

La Federal Communications Commission (FCC) statunitense ha infatti deciso per una precisa regolamentazione in materia di robocall coinvolgendo direttamente gli operatori e la presentazione a firma di Filippo Cauci riassume le strategie applicabili.

STIR/SHAKEN viene considerato come uno degli schemi più efficaci che i provider di telecomunicazioni dovrebbero utilizzare.
STIR (Secure Telephony Identity Revisited) funziona aggiungendo un certificato digitale alle informazioni SIP usate per iniziare e instradare le chiamate nei sistemi VoIP. La prima connessione pubblica sul sistema, tipicamente il provider di servizi VoIP, esamina l’ID del chiamante e lo confronta con una lista nota di ID messi a disposizione dei clienti. L’operatore allega quindi un certificato crittografato all’intestazione SIP con l’identità del fornitore di servizi. Il soggetto che riceve la chiamata, prima di smistarla a destinazione, può controllare l’autenticità della chiamata usando la chiave pubblica del fornitore.

Per i sistemi non VoIP (i.e. rete RTG) le informazioni di instradamento delle chiamate sono trasportate usando i protocolli SS7. Il sistema SHAKEN (Signature-based Handling of Asserted information using toKENs) indica come trattare le chiamate che hanno informazioni STIR errate o mancanti.

Un Registro delle Opposizioni 2.0 serve a poco se chi chiama può ancora usare la tecnica del CID spoofing senza essere soggetto a verifiche e sanzioni. E l’utilizzo del CID spoofing è una vera e propria “dichiarazione di guerra” da parte di chi se ne serve.

Il Garante Privacy ha inoltre stabilito che il diniego dell’utente a non ricevere ulteriori chiamate promozionali deve essere immediatamente annotato dall’operatore di call center chiamate. “L’opposizione espressa nel corso della telefonata non deve essere confermata con email o altre modalità, come invece viene spesso richiesto di fare da parte degli operatori, ed è valida anche per le campagne promozionali future“, spiega l’Autorità.
Il problema è che nel caso di robocall è di fatto impossibile esprimere il diniego e l’utilizzo di numerazioni fasulle, come già evidenziato, esprime un palese disinteresse per i diritti dei soggetti destinatari delle telefonate.

Il 20 maggio 2022 AGCOM ha aperto un tavolo tecnico sul CID spoofing con l’obiettivo di definire un Codice di condotta che si ispiri ai principi generali e alle norme in materia di protezione dei dati dei clienti finali, al rispetto delle norme sui contratti e delle carte dei servizi dei clienti finali, al rispetto delle norme da parte dei call center sull’iscrizione al ROC, sulla richiamabilità da parte dell’utente e, appunto, sul divieto di modificare il CLI della linea da cui origina la chiamata.
Ad oggi, tuttavia, non abbiamo rilevato novità: probabile che nei prossimi mesi venga pubblicato un resoconto delle attività svolte e condiviso un cronoprogramma sui passi che verranno messi in campo.

Nel frattempo, come suggerisce Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali, è possibile segnalare all’Autorità le chiamate indesiderate in modo che possano essere svolte le verifiche del caso e valutate eventuali sanzioni nei confronti dei soggetti che operano violando la normativa.