Come funziona il filtro AGCOM contro lo spam telefonico?

Dopo l’avvio di una consultazione pubblica a metà novembre 2024, AGCOM sembra finalmente pronta per il giro di vite contro lo spam telefoniche. Secondo l’Autorità per le Garanzie nelle Comunicazioni, grazie ai ripetuti confronti che in questi mesi si sono susseguiti con gli operatori di telecomunicazioni, la soluzione che permetterà di bloccare le chiamate indesiderate e i call center selvaggi è condivisa ed efficace. Il primo obiettivo è quello di stroncare l’utilizzo di numerazioni telefoniche fasulle (cosiddetto CID spoofing, dove CID sta per Caller ID), una pratica odiosa (conosciuta anche come CLI spoofing) che non permette di sapere chi sta chiamando davvero né di esercitare un’azione antispam risolutiva (i numeri degli scocciatori cambiano in continuazione…).

Spiegando perché continuate a ricevere chiamate indesiderate, abbiamo tirato in ballo lo standard STIR/SHAKEN (Secure Telephony Identity Revisited / Signature-based Handling of Asserted information using toKENs), sviluppato per verificare l’identità dei chiamanti nelle reti VoIP. Gli USA sono pionieri nell’adozione di STIR/SHAKEN, con un’implementazione diffusa supportata da regolamentazioni federali e collaborazione tra operatori principali. La stessa Francia ha adottato STIR/SHAKEN con iniziative normative e implementazioni da parte di operatori e fornitori.

Tuttavia, come si evince esaminando le “Specifiche tecniche di blocco sullo spoofing attuative delle previsioni di cui all’articolo 8 della delibera n. 106/25/CONS“, AGCOM ha deciso di non scegliere la strada STIR/SHAKEN bensì ha preferito, con il supporto degli operatori italiani, orientarsi su un’altra soluzione.

Funzionamento del filtro AGCOM contro le chiamate indesiderate

I portavoce di AGCOM hanno spiegato che la maggior parte delle chiamate con numeri falsificati avviene attraverso interfacce di rete internazionali. Gli utenti finali sono ingannati dalla numerazione che compare sul display del telefono: risulta italiana quando in realtà le telefonate partono da infrastrutture situate all’estero.

Il camuffamento del numero non solo impedisce di riconoscere il chiamante ma permette a soggetti che operano nell’illegalità, fuori dai confini nazionali, di agire indisturbati e fuori dalle regole.

Lo schema approvato con la delibera n. 106/25/CONS, permette di bloccare le chiamate in arrivo facenti uso di tecniche di CID spoofing ai “confini nazionali”. Evitando quindi che possano essere instradate sulla rete e raggiungere gli utenti finali.

AGCOM distingue le misure di blocco in due categorie principali:

1. Blocchi che non richiedono query tra operatori

Applicati direttamente dai Carrier (leggasi operatori di telefonia) autorizzati in Italia, questi blocchi si basano su criteri tecnici osservabili nella segnalazione del numero chiamante. Sono vietate, ad esempio:

• Chiamate con CLI (Calling Line IDentifier o numero del chiamante) che non rispettano lo standard E.164 (assenza del segno “+”, numeri incompleti o con caratteri non numerici).
• Chiamate con prefissi italiani come +39 o 0039 ma senza cifra significativa successiva.
• Chiamate con CLI geografico nazionale ricevute da rete estera, escluse alcune eccezioni (come numeri di segreteria o roaming number).

L’obiettivo è evitare che numeri “apparentemente nazionali” siano utilizzati da entità estere per simulare una chiamata locale e ingannare gli utenti finali.

2. Blocchi che richiedono query tra operatori

Questa seconda categoria di blocchi riguarda le chiamate entranti con CLI mobile nazionale (decade 3, es. +393…). In questi casi, il Carrier deve interrogare l’operatore mobile cui corrispondente il CLI, utilizzando API RESTful standardizzate, per verificare:

• Se il numero è attualmente attivo.
• Se l’utente mobile è registrato in Italia in 2G/3G.
• Se l’utente è in roaming all’estero (caso lecito) o se vi siano sospetti di spoofing.

La risposta può essere “BLOCCO” o “NON BLOCCO”, e deve arrivare entro 2 secondi per non ritardare eccessivamente l’instradamento della chiamata. L’intera infrastruttura è basata su connessioni sicure (VPN IPsec e HTTPS con mutua autenticazione tramite certificati digitali).

Come requisito aggiuntivo, gli operatori sono chiamati a fornire una reportistica dettagliata delle query e dei blocchi. È inoltre previsto un meccanismo per evitare sovraccarichi: in caso di picchi eccessivi, l’operatore mobile può rispondere con codici di errore 429 o 509 (limite raggiunto), interpretati come “NON BLOCCO”.

Perché AGCOM non ha adottato STIR/SHAKEN?

Il sistema STIR/SHAKEN è una tecnologia standardizzata negli USA, sviluppata per autenticare e validare l’identità del chiamante utilizzando firme digitali su chiamate VoIP basate sul protocollo SIP. AGCOM ha evidentemente optato per una soluzione diversa sulla base di diversi motivi.

In primis, c’è il problema dell’incompatibilità infrastrutturale. STIR/SHAKEN si basa su architetture IP end-to-end (VoIP SIP), un ecosistema omogeneo tra tutti gli operatori coinvolti nella chiamata e autorità di certificazione centralizzate per la firma dei token.

In Italia, tuttavia, il sistema telefonico è ancora ampiamente misto (VoIP e TDM/ISUP), con molte chiamate che transitano su circuiti tradizionali. Questo rende impraticabile l’adozione generalizzata di STIR/SHAKEN, almeno a breve termine.

La diffusione di STIR/SHAKEN nel nostro Paese richiederebbe inoltre un’infrastruttura centralizzata per la gestione dei certificati, la definizione di una Public Key Infrastructure (PKI) nazionale nonché l’adozione obbligatoria da parte di tutti gli operatori, compresi quelli esteri.

AGCOM ha preferito un approccio pragmatico e graduale, basato su controlli tecnici già oggi attuabili e integrabili con le attuali architetture degli operatori italiani.

D’altra parte, la maggior parte delle chiamate fraudolente arriva dall’estero, da Paesi in cui non vi sono garanzie sull’adozione di STIR/SHAKEN. Per questo AGCOM ha ritenuto più efficace intervenire alla frontiera, ossia tramite i Carrier autorizzati in Italia, che fungono da punto di controllo e filtro.

Anche il Regno Unito ha detto “no” a STIR/SHAKEN

Un Paese come il Regno Unito, sebbene ci siano state iniziative e sperimentazioni, ha a sua volta deciso di non adottare formalmente STIR/SHAKEN a causa di problematiche di interoperabilità e costi, preferendo soluzioni alternative di analisi e blocco delle chiamate indesiderate.

La soluzione alternativa adottata Oltremanica consiste nell’utilizzo di sistemi di analisi avanzata del traffico telefonico che identificano anomalie negli schemi di chiamata per segnalare e bloccare automaticamente le numerazioni camuffate. L’approccio si basa su algoritmi di pattern recognition e intelligenza artificiale per rilevare comportamenti sospetti, piuttosto che sull’autenticazione dell’ID chiamante, come invece fa STIR/SHAKEN.

Le motivazioni che hanno portato Ofcom (Autorità regolatoria UK) a preferire questa soluzione includono:

• Difficoltà nel verificare completamente le chiamate provenienti dall’estero, poiché gli operatori stranieri non sono obbligati a seguire le regole di verifica STIR/SHAKEN.
• Complessità tecnica e costi elevati per l’implementazione di STIR/SHAKEN.
• Disponibilità di misure alternative ritenute più efficaci e di più rapida implementazione per ridurre le chiamate fraudolente.

Chi effettua chiamate spam dall’estero, potrebbe eludere le nuove misure decise da AGCOM?

Gli spammer possono usare CLI stranieri validi (non +39) per aggirare il blocco: nessuna misura automatica è infatti prevista per CLI internazionali validi (es. +44, +1…), se non violano le raccomandazioni ITU. Il sistema AGCOM non può bloccare tutte le chiamate internazionali, pena il rischio di colpire anche traffico lecito.

Uno spammer potrebbe inoltre utilizzare CLI validi e coerenti con le regole ITU-T E.164 e non bloccabili automaticamente, ad esempio numeri mobili validi associati a clienti reali italiani, ma non sufficientemente monitorati dai loro operatori.

In quest’ultimo caso, il sistema di blocco AGCOM può funzionare se il Carrier è autorizzato in Italia, con l’operatore mobile che risponde in tempo reale e con logica antifrode ben impostata.

Come si legge nella delibera AGCOM, la piena implementazione dello “scudo” contro le chiamate indesiderate avverrà in più fasi. La prima diverrà operativa entro 3 mesi, quindi entro fine agosto 2025.

Credit immagine in apertura: iStock.com – fizkes