SPID e CIE per tutto, ma contratti energia ancora via telefono: cosa cambia dal 19 giugno

Per anni il contrasto al telemarketing aggressivo, svolto completamente al di fuori delle regole, si è concentrato quasi esclusivamente sulla telefonata: il numero che chiama, il Registro Pubblico delle Opposizioni, lo spoofing o falsificazione del CID (numero del chiamante), le sanzioni (probabilmente troppo blande…?) ai call center e ai fornitori. Tutti aspetti importanti, ma non sufficienti a spiegare perché il fenomeno sia diventato così radicato e difficile da abbattere una volta per tutte.

Il punto decisivo è un altro: finché una telefonata può generare un contratto, una registrazione vocale può diventare “prova” di consenso e un call center può trasformare una conversazione ambigua in una pratica commerciale, lo spam telefonico continuerà a imperversare, bypassando anche le lodevoli iniziative di blocco dei numeri falsificati promosse da AGCOM (Autorità per le Garanzie nelle Comunicazioni).

Da quando in qua i contratti si fanno per telefono?

In un’epoca in cui per accedere a qualunque servizio pubblico e privato è necessario confermare la propria identità, avvalendosi ad esempio di strumenti come SPID e CIE, perché un contratto continua a poter essere avviato per via telefonica? Com’è possibile che una telefonata truffaldina possa attivare la procedura di cambio gestore energetico (i.e. luce e gas)?

Con la diffusione del commercio telefonico e poi digitale, il legislatore ha ammesso che un contratto possa formarsi anche senza firma cartacea tradizionale, purché il consumatore riceva informazioni chiare, condizioni contrattuali e conferme su un supporto durevole.

Il Codice del consumo prevede infatti che, quando un contratto a distanza deve essere concluso per telefono, il professionista debba confermare l’offerta al consumatore, che resta vincolato solo dopo aver firmato l’offerta o dopo averla accettata per iscritto; il documento informatico può essere sottoscritto con firma elettronica secondo il Codice dell’Amministrazione Digitale (CAD).

Sulla carta, quindi, il semplice “sì” al telefono non dovrebbe bastare: nella pratica, però, il settore del teleselling ha per anni vissuto in una zona di confine: registrazioni vocali, conferme rapide, supporti durevoli poco chiari, OTP, link inviati via SMS, procedure guidate dall’operatore e consumatori spesso convinti di partecipare a una semplice “verifica” tecnica o amministrativa.

Nel settore energia questa ambiguità ha avuto effetti particolarmente gravi, perché il cambio di fornitore non riguarda un servizio accessorio, ma una fornitura essenziale collegata all’abitazione, ai dati personali, ai consumi e a codici identificativi come POD e PDR.

Il paradosso SPID/CIE: identità forte per tutto, ma non per i contratti energia

La contraddizione in essere in Italia è evidente. Per accedere ai servizi pubblici online, SPID e CIE sono ormai strumenti ordinari di identificazione digitale; le Pubbliche Amministrazioni devono integrarli come sistemi di identità digitale per l’accesso ai servizi online, superando le vecchie credenziali proprietarie.

Eppure, da anni, nel mercato energia è possibile arrivare molto vicino alla conclusione di un contratto attraverso una telefonata gestita da soggetti spesso terzi, subappaltati, poco riconoscibili e talvolta collocati in filiere commerciali opache.

È un cortocircuito bell’e buono: lo Stato chiede autenticazione forte per consultare una pratica amministrativa, accedere a un fascicolo digitale o usare un portale pubblico, ma un cambio di fornitura energetica può essere innescato da una conversazione telefonica in cui l’identità del chiamante è di solito meno verificabile di quella del chiamato.

Il punto non è imporre burocrazia inutile. Il punto è che la voce non è un fattore affidabile di autenticazione: un consenso può essere ottenuto sotto pressione, manipolato dal contesto, estratto da una conversazione ambigua o accompagnato da informazioni già note al chiamante, come nome, indirizzo, POD, PDR, gestore attuale e posizione del contatore.

In una situazione in cui, nel nostro Paese, a dispetto degli sforzi profusi dal Garante Privacy e dei controlli esercitati da AGCM (Autorità Garante della Concorrenza e del Mercato) continui a fiorire ed estendersi un mercimonio inqualificabile di dati personali – gestiti in molti casi senza alcuna base giuridica e senza consenso dei diretti interessati – è necessario finalmente prendere misure davvero efficaci.

Il tema dei dati personali nelle attivazioni telefoniche e l’insistenza dei call center

Com’è possibile che cittadini che non hanno mai fornito il consenso al trattamento dei dati personali a soggetti terzi (se non esclusivamente per la gestione di un contratto), regolarmente iscritti al Registro Pubblico delle Opposizioni, particolarmente attenti ai temi della privacy e al valore del dato, continuino a ricevere QUOTIDIANAMENTE chiamate spam da call center che parlano dell'”avvenuta apertura di pratiche con fornitori energetici” (mai contattati in precedenza), che conoscono tutti i dati delle utenze (intestatario, indirizzo, codici POD/PDR,…), che usano tattiche degne della più becera ingegneria sociale per spillare ulteriori informazioni e acquisire consensi in maniera truffaldina? Lo spieghiamo nell’articolo su come fanno i call center a conoscere tutti i dati di contatori e utenze luce e gas.

In un contesto del genere, chiedersi perché il legislatore non imponga SPID, CIE o una firma elettronica forte anche per i contratti energia a distanza non è una provocazione: è un diritto sacrosanto di ogni cittadino. Di chi si trova oggi si trova a doversi industriare per bloccare numerazioni che chiamano all’infinito, che si presentano con CID che cambiano solo le ultime 3 cifre da una telefonata all’altra. Di chi deve installare applicazioni antispam per rifiutare chiamate che arrivano da blocchi di numerazioni specifici. Di chi magari sta lavorando a un progetto importante o deve assistere la mamma malata in ospedale e si trova a dover gestire chiamate indesiderate insistenti?

Il comportamento spavaldo degli operatori di call center

Proprio ieri ho voluto rispondere a una chiamata proveniente da un operatore che faceva riferimento a un fantomatico contratto energetico ovviamente da me mai attivato.

Sto utilizzando diverse liste di blocco con pattern “ad hoc” ma questa chiamata (nuovo blocco di numerazioni) ha superato la mia linea di difesa. Ho quindi risposto perché avevo 5 minuti liberi, chiesto chi fosse il titolare del trattamento e ho esercitato i diritti previsti dal GDPR (informazione, accesso, cancellazione, opposizione,…).

Alla fine, visto che l’operatore non sapeva rispondere e citava sempre un noto fornitore di servizi energetici, ho informato che avrei segnalato l’accaduto ad AGCM. Risposta: “seeee, al Pentagono…” con successiva immediata chiusura della conversazione.

La spavalderia con cui questi soggetti contattano le vittime, perché alla fine siamo tutti potenziali vittime di raggiri, è evidente perché chi chiama sa che ad oggi le difese in possesso del cittadino sono limitatissime.

Tutto questo è normale in un Paese civile? Crediamo proprio di no.

La svolta normativa del 2025 e il limite delle mezze misure

ARERA (Autorità di Regolazione per Energia Reti e Ambiente) ha già provato a rafforzare le garanzie dal 1° gennaio 2025, introducendo regole più stringenti per i contratti energia conclusi fuori dai locali commerciali o a distanza.

In particolare, per i contratti via telefono è necessario che, ai fini della validità del consenso, il cliente confermi di aver ricevuto il documento scritto con tutte le condizioni contrattuali su carta o altro supporto durevole disponibile e accessibile. ARERA ha anche ribadito la responsabilità dei venditori per telemarketing e teleselling affidati a terzi, indipendentemente dalla tecnologia o dall’organizzazione usata per promuovere e concludere i contratti.

Ed è vero perché il Garante Privacy ha già alcune volte sanzionato i venditori per attività di vendita non conformi alle regole poste in essere da altre società (qui un esempio del 2025). È già qualcosa ma si tratta di sanzioni probabilmente ancora poco efficaci perché “stangato” un soggetto le attività di telemarketing selvaggio proseguono comunque senza sosta.

Il supporto durevole, inoltre, è una garanzia documentale, non necessariamente una garanzia di identità. Un PDF inviato via email, una pagina in area clienti o un SMS con un link possono dimostrare che qualcosa è stato trasmesso, ma non sempre dimostrano che il consumatore abbia compreso davvero l’operazione, che il contatto fosse legittimo e che il processo non sia stato guidato in modo manipolativo.

Per questo la soluzione più robusta dovrebbe essere diversa: nessun contratto energia a distanza dovrebbe diventare efficace senza un passaggio autonomo, tracciabile e autenticato, separato dalla telefonata.

La nuova stretta del 2026: il legislatore prova a colpire il modello economico

La novità più rilevante è arrivata con il Decreto Legge 20 febbraio 2026, n. 21, coordinato con la legge di conversione 10 aprile 2026, n. 49. Il testo pubblicato in Gazzetta Ufficiale introduce nell’articolo 51 del Codice del consumo nuovi commi dedicati proprio alle sollecitazioni commerciali telefoniche per energia elettrica e gas.

La norma vieta, decorsi 60 giorni dall’entrata in vigore della disposizione, le sollecitazioni commerciali per telefono, anche tramite messaggi, finalizzate alla proposta o alla conclusione di contratti di fornitura di energia elettrica e gas, salvo richiesta diretta del consumatore tramite interfacce informatiche del professionista o contatto verso propri clienti che abbiano espresso specifico consenso a ricevere proposte commerciali. L’onere di dimostrare la validità del contatto ricade sul professionista (ovvero su chi chiama e sul suo mandatario).

È un cambio di impostazione fondamentale: non più “ti posso chiamare salvo opposizione“, ma “non ti posso chiamare salvo richiesta o consenso specifico“.

Ancora più importante è la conseguenza civilistica. I contatti telefonici devono provenire da un numero che identifichi univocamente il professionista e i contratti stipulati a seguito di contatti effettuati in violazione delle nuove regole sono nulli. La norma prevede inoltre la possibilità di segnalare al Garante Privacy e ad AGCM le chiamate irregolari, con poteri di sospensione delle linee nei casi accertati.

Questa è la direzione corretta, perché colpisce finalmente l’incentivo economico. Se il contratto nato da una chiamata irregolare è nullo, il call center aggressivo non produce più valore: produce rischio.

Cosa è vietato dal 19 giugno 2026 per le chiamate dei call center

Come spiegato al paragrafo precedente, quindi, le nuove regole entrano pienamente in vigore dal 19 giugno 2026, cioè 60 giorni dopo l’entrata in vigore della disposizione.

Dal prossimo 19 giugno il cambio di prospettiva è netto: nel settore luce e gas (ma anche nell’ambito della telefonia e degli altri prodotti e servizi) non sarà più sufficiente dire che l’utente “non si è opposto” alla chiamata. La logica si ribalta: il contatto commerciale telefonico è vietato, salvo casi specifici e documentabili.

Viceversa, si sarà dinanzi a una violazione amministrativa e i contratti stipulati in violazione delle nuove regole risulteranno nulli.

Nuova regola	Cosa significa
Stop alle chiamate “a freddo” su luce e gas	I call center non possono più proporre contratti energia senza richiesta o consenso valido.
Divieto per SMS e messaggi	Non si può aggirare il blocco usando messaggi commerciali al posto della telefonata.
Contatto solo su richiesta dell’utente	La chiamata è ammessa se il consumatore ha chiesto informazioni tramite sito, app o area clienti.
Clienti già acquisiti: serve consenso specifico	Essere già clienti non autorizza automaticamente nuove telefonate promozionali.
Prova a carico del venditore	Deve essere l’operatore a dimostrare di avere titolo per chiamare.
Numero chiamante identificabile	La numerazione deve permettere di risalire chiaramente al professionista.
Contratti irregolari nulli	Un contratto nato da una chiamata vietata può essere contestato perché nullo.
Segnalazioni alle Autorità	Le chiamate vietate possono essere segnalate a Garante Privacy e AGCOM.
Sospensione delle linee	AGCOM può intervenire sulle numerazioni usate in modo illecito.

Perché serve comunque l’autenticazione forte

La stretta sulle chiamate non richieste è necessaria, ma non basta. Il passo successivo dovrebbe essere l’obbligo di autenticazione forte per qualunque contratto energia concluso a distanza.

La telefonata può restare uno strumento informativo: un operatore può spiegare un’offerta, fissare un appuntamento, rispondere a una richiesta del cliente. Ma la conclusione del contratto dovrebbe avvenire solo in un ambiente separato, verificabile e non controllato dall’operatore.

La soluzione più lineare sarebbe imporre uno di questi passaggi: accesso con SPID o CIE all’area del fornitore, firma elettronica avanzata o qualificata, conferma tramite piattaforma certificata, oppure procedura di accettazione digitale con identificazione forte e registrazione completa degli eventi tecnici.

Non quindi un semplice link cliccato durante la chiamata, ma un processo autonomo, con riepilogo chiaro dell’offerta, tempi di lettura, condizioni economiche evidenziate e prova dell’identità del contraente.

In questo modo il call center perderebbe la possibilità di trasformare l’urgenza, la confusione o la pressione psicologica in consenso contrattuale.

Nel caso delle migrazioni da un fornitore all’altro (il cosiddetto switching) dovrebbe essere l’utente ad autenticare l’uscita dal vecchio gestore, ad esempio proprio usando SPID o CIE, magari sotto controllo e supervisione di un ente specializzato come potrebbe essere ARERA. In ogni caso, la pratica di uscita non dovrebbe essere durante la telefonata né un passaggio controllabile dal nuovo operatore.

Identificare chi chiama non basta: bisogna certificare chi vende

AGCOM è intervenuta anche sul fronte dello spoofing, cioè sulla modifica illegittima del numero chiamante. La delibera 106/25/CONS prevede il blocco delle chiamate provenienti dall’estero che mostrano in modo illegittimo un identificativo italiano, con due passaggi operativi: prima i numeri fissi italiani esposti da traffico estero, poi i mobili italiani, salvo casi di roaming reale.

Ma resta un problema: molte chiamate moleste non arrivano più necessariamente dall’estero con numero falsificato. Possono usare numerazioni italiane VoIP, trunk SIP nazionali, call center effettivamente collocati in Italia o catene commerciali che acquistano numeri geografici locali. In questi casi non basta bloccare lo spoofing internazionale: serve certificare l’identità commerciale del chiamante.

Il cittadino non dovrebbe vedere solo un numero. Dovrebbe vedere chi chiama, per conto di chi, con quale autorizzazione, per quale campagna e con quale base giuridica. Una vera “targa digitale” della chiamata commerciale.

Il problema dei dati: senza tracciabilità della filiera non si ferma nulla

Nel 2025, il Garante ha sanzionato alcuni fornitori luce e gas per trattamento illecito di dati personali a fini di telemarketing, rilevando criticità nella gestione dei consensi, nelle verifiche sulla legittima provenienza dei dati e nella supervisione della filiera.

Da qui si capisce come la norma sul contratto telefonico non possa essere l’unico rimedio: se i call center continuano a disporre di dati circostanziati – nome, indirizzo, POD, PDR, contatore, cambio fornitore, distributore locale – il rischio di vishing e manipolazione resta altissimo.

La riforma dovrebbe quindi imporre una tracciabilità integrale della filiera commerciale. Ogni lead dovrebbe avere una storia verificabile: chi lo ha raccolto, quando, con quale informativa, con quale consenso, a chi è stato ceduto, per quale finalità e con quale prova tecnica. Senza questa catena di custodia del dato, qualsiasi consenso resta sospetto.

Segnalare è possibile, ma l’iter resta troppo frammentato

Uno dei grandi limiti nel contrasto al telemarketing illecito è la complessità pratica delle segnalazioni.

In teoria, il cittadino ha diversi strumenti: può rivolgersi al Garante Privacy per le chiamate indesiderate e i trattamenti illeciti dei dati personali, oppure all’AGCM quando la telefonata integra una pratica commerciale scorretta, ingannevole o aggressiva. Il Garante mette a disposizione un servizio telematico dedicato alle comunicazioni indesiderate, mentre l’AGCM consente di segnalare online pratiche scorrette e possibili violazioni nei contratti a distanza.

Il problema, però, è che per l’utente comune non è sempre chiaro quale Autorità coinvolgere, quali prove allegare e come qualificare correttamente il comportamento subito.

Una stessa telefonata può contenere profili privacy, perché il call center usa dati personali di origine ignota; profili commerciali, perché propone un contratto con informazioni ingannevoli; profili tecnici, se usa numerazioni camuffate o non identificabili.

Il cittadino si trova così costretto a raccogliere numero chiamante, data, ora, eventuale registrazione, nome dichiarato dell’operatore, società indicata, contenuto della proposta, dati personali conosciuti dal chiamante e possibile collegamento con un contratto non richiesto.

Questa frammentazione rende la tutela poco immediata: il Garante può intervenire sul trattamento illecito dei dati e sulle telefonate indesiderate, mentre l’AGCM può accertare pratiche commerciali scorrette e pubblicità ingannevoli; ma per chi subisce la chiamata il fenomeno è unico, concreto e spesso urgente.

Proprio per questo servirebbe un sistema più semplice e centralizzato: una piattaforma unica in cui segnalare la chiamata una sola volta, allegare le prove disponibili e lasciare poi alle Autorità competenti il compito di smistare il caso, correlare le numerazioni, individuare i pattern ricorrenti e risalire alla filiera commerciale. Finché denunciare resta più complesso che effettuare migliaia di chiamate automatizzate, il sistema continuerà a essere strutturalmente sbilanciato a favore di chi abusa del telefono come canale commerciale.

Segnalazione o reclamo: la tutela esiste, ma non è immediata

Nel caso delle telefonate indesiderate, il Garante mette a disposizione un servizio telematico dedicato: si chiama segnalazione ed è uno strumento semplice, pensato per comunicare all’Autorità la ricezione di chiamate promozionali non volute e alimentare l’attività di controllo. Tuttavia, non equivale necessariamente all’apertura di un procedimento individuale sul singolo caso: lo stesso Garante precisa che, dato l’elevato numero di istanze, le segnalazioni possono non essere tutte trattate singolarmente.

Il reclamo è diverso. È un atto più formale, con cui l’interessato lamenta una violazione della disciplina sulla protezione dei dati personali e chiede una verifica dell’Autorità. Ma proprio per questo richiede un iter più impegnativo: presentazione via PEC, raccomandata o consegna a mano, sottoscrizione con firma digitale, firma autenticata o firma autografa, e in quest’ultimo caso allegazione di un documento di identità valido. A ciò si aggiunge la necessità di raccogliere prove, descrivere i fatti, indicare il titolare del trattamento se conosciuto e documentare il pregiudizio subito.

Il risultato è un evidente squilibrio operativo. Per un call center aggressivo bastano pochi secondi per generare migliaia di contatti; per il cittadino, invece, trasformare una telefonata sospetta in un reclamo strutturato richiede tempo, competenze, documentazione e spesso anche una PEC. È proprio questa asimmetria a rendere auspicabile una piattaforma unica, capace di ricevere una segnalazione semplice e, quando emergono elementi gravi o ricorrenti, trasformarla automaticamente in un’istruttoria più articolata senza scaricare tutto l’onere sul singolo utente.

Conclusioni: il telemarketing energia si fermerà solo togliendo valore alla telefonata

Il telemarketing aggressivo nel settore energia non è più soltanto un fastidio quotidiano. È diventato un problema che intreccia uso opaco dei dati personali, filiere commerciali difficili da ricostruire, numerazioni telefoniche continuamente sostituite, tecniche di ingegneria sociale e procedure contrattuali ancora troppo esposte alla manipolazione.

Per anni il cittadino è stato messo nella posizione di doversi difendere da solo: iscriversi al Registro Pubblico delle Opposizioni, bloccare i numeri, installare app antispam, registrare le chiamate, raccogliere prove, distinguere tra Garante Privacy, AGCOM e AGCM, presentare segnalazioni o reclami. Ma questo approccio è sbilanciato alla radice. Chi effettua chiamate massive può raggiungere migliaia di persone in poche ore; chi subisce l’abuso deve invece affrontare un percorso complesso, frammentato e spesso poco immediato.

La stretta normativa del 2026 va nella direzione giusta perché prova finalmente a colpire il modello economico del teleselling aggressivo: non più chiamate “a freddo” salvo opposizione, ma divieto di sollecitazioni commerciali telefoniche per luce e gas salvo richiesta diretta o consenso specifico. Ancora più importante è la previsione della nullità dei contratti conclusi in violazione delle nuove regole.

Tuttavia, non basta. Il divieto delle chiamate non richieste deve essere accompagnato da una riforma più profonda del modo in cui si concludono i contratti a distanza. In un Paese in cui SPID e CIE sono ormai necessari per accedere a servizi pubblici, fascicoli digitali, pratiche amministrative e aree riservate, appare sempre meno accettabile che un contratto luce o gas possa essere avviato sulla base di una conversazione telefonica, magari condotta da un soggetto terzo, poco identificabile, che conosce già dati personali e tecnici dell’utente. È un meccanismo che va definitivamente spezzato.