Perché i call center sanno tutto del tuo contatore luce e gas? La truffa continua

“La contattiamo dall’Ufficio distribuzione“. Negli ultimi mesi milioni di utenti italiani stanno ricevendo telefonate sempre più inquietanti da presunti operatori del settore energia. Spesso i call center che chiamano spesso conoscono già nome e cognome dell’intestatario, indirizzo preciso della fornitura, posizione del contatore, fornitore energetico, dettagli tecnici dell’utenza e in alcuni casi perfino i codici POD o PDR. È proprio questo livello di precisione a rendere il fenomeno profondamente diverso dal semplice spam telefonico.

Molti cittadini iscritti al Registro Pubblico delle Opposizioni (RPO), attentissimi ai consensi privacy e abituati a ignorare il telemarketing, raccontano di ricevere comunque chiamate estremamente dettagliate e credibili. Alcune sembrano veri tentativi di vishing: l’operatore non si presenta come venditore, ma come soggetto tecnico o istituzionale legato alla distribuzione dell’energia.

La domanda delle domande è la seguente: come fanno questi call center a conoscere così tanti dettagli sulle utenze italiane? Cosa c’è dietro?

Perché i dati energetici valgono così tanto

Nel mercato libero dell’energia ogni contratto rappresenta un potenziale guadagno: convincere un cliente a cambiare fornitore significa acquisire un flusso economico continuativo. Per questo motivo le informazioni sulle utenze domestiche sono considerate estremamente preziose.

I dati più ricercati dai call center includono nome dell’intestatario, numero di telefono, indirizzo dell’utenza, operatore attuale, tipologia di tariffa, data presunta di scadenza o rinnovo, codice POD per l’elettricità, codice PDR per il gas, storico dei cambi fornitore, fascia di consumo. Sono i dati che il cittadino può trovare nel Portale Consumi di ARERA, accedendo con SPID o CIE (qui, tra l’altro, è possibile verificare si vi sia un cambio operatore in corso…).

Con queste informazioni l’operatore malevolo può costruire una telefonata altamente credibile. Non si presenta come un venditore qualsiasi: sembra già “dentro” il contratto del cliente ed è proprio questo l’elemento psicologico che rende molte campagne estremamente efficaci.

Da dove arrivano realmente i dati degli utenti sfruttati per le chiamate spam?

La risposta breve è che non esiste un’unica fonte. Esiste invece una filiera opaca composta da data broker, reti commerciali, subappalti, vecchi consensi marketing, fughe di dati, intermediazioni illegittime e accessi impropri ai sistemi commerciali. Attorno al settore energia si è sviluppato negli anni un ecosistema parallelo che monetizza informazioni sulle utenze domestiche trasformandole in “lead commerciali” ad altissimo valore.

Le indagini del Garante per la protezione dei dati personali (esempio 1, esempio 2) e dell’Autorità Garante della Concorrenza e del Mercato (AGCM) (esempio di provvedimento) mostrano che il fenomeno non riguarda semplicemente il telemarketing aggressivo, ma un modello industriale basato sulla circolazione incontrollata di dati personali e contrattuali.

Database commerciali comprati e rivenduti

Una parte consistente dei dati circola attraverso società specializzate nella compravendita di lead commerciali. Alcuni database sono alimentati da comparatori online, concorsi a premi, moduli web, siti di preventivi, campagne social, app con informative ambigue, contratti sottoscritti anni prima.

Molti utenti rilasciano consensi marketing senza rendersi conto della reale estensione della profilazione: nel tempo quei dati possono essere ceduti, aggregati, arricchiti e rivenduti più volte.

Le indagini del Garante hanno evidenziato più volte “filiere” estremamente frammentate in cui fornitori energetici, agenzie, subagenzie e call center utilizzano informazioni provenienti da circuiti commerciali poco trasparenti.

Fughe di dati e accessi impropri

Uno degli aspetti più critici riguarda gli accessi indebiti ai sistemi commerciali. Nel corso degli anni diverse istruttorie hanno evidenziato casi in cui dipendenti infedeli, operatori di agenzie, subappaltatori e intermediari commerciali hanno estratto informazioni dalle piattaforme usate per gestire le forniture. In alcuni casi le banche dati venivano addirittura duplicate e cedute a terzi: il Garante Privacy ha parlato esplicitamente di “banche dati utilizzate per attività illecite“.

Questo spiega perché alcuni call center riescano a conoscere dettagli estremamente specifici, inclusi storico del contratto, cambi recenti di tariffa, mercato tutelato o libero, dati di switching.

Switching e filiera energetica

Nel mercato dell’energia esistono molte figure intermedie: agenzie; broker; procacciatori; outsourcer; società di teleselling; subappaltatori esteri. Ogni passaggio comporta una possibile esposizione del dato.

AGCM ha contestato più volte pratiche in cui operatori commerciali disponevano di liste di clienti provenienti dal mercato tutelato o da altri circuiti commerciali interni. In alcuni casi il problema non nasce nemmeno da una violazione informatica, ma da controlli insufficienti lungo la catena commerciale.

Contratti precedenti e “consensi eterni”

Molti utenti dimenticano di aver richiesto un preventivo online, aderito a una promozione, firmato un modulo in negozio, partecipato a un concorso, cliccato su Accetto anni prima. In teoria il GDPR impone limiti chiari su conservazione e utilizzo dei dati; in pratica, però, alcune società continuano a utilizzare archivi molto vecchi od ottenuti tramite filiere poco documentate.

Il Garante Privacy ha più volte contestato trattamenti effettuati senza una valida base giuridica o senza un consenso realmente dimostrabile (provvedimento del 2026).

Data enrichment e profilazione commerciale

Un fenomeno poco noto è quello del data enrichment: un numero di telefono viene incrociato con altre banche dati per arricchire il profilo del consumatore.

Ad esempio, un comparatore conosce il numero; un database immobiliare contiene l’indirizzo; un vecchio contratto contiene il POD; una campagna marketing contiene il nome. Aggregando queste informazioni si costruisce una scheda cliente estremamente dettagliata.

Anche quando i dataset sembrano “anonimi”, la possibilità di identificare un individuo resta molto elevata. Tant’è vero che la letteratura accademica europea evidenzia come dati apparentemente pseudonimizzati possano comunque essere usati per identificare e profilare persone specifiche.

La filiera reale dei dati energia

Abbiamo detto che nel settore energetico esistono moltissimi soggetti che, a vario titolo, vedono i dati delle utenze italiane: moltissimi operatori minori lavorano in subappalto.

Gli approfondimenti svolti dal Garante hanno mostrato più volte che liste clienti, dati di switching, database di utenze e archivi commerciali circolavano fra soggetti che formalmente non avrebbero dovuto averli.

È quindi importante sottolineare che spesso non si tratta di dati sottratti da hacker esterni, violazioni sofisticate o cybercriminali classici. Molto più spesso si tratta di esportazioni illecite; abuso di accessi legittimi; CRM condivisi; subappalti incontrollati; agenti commerciali che rivendono liste; reti parallele di teleselling. I dati, insomma, “escono” dalla filiera commerciale stessa.

Il dato più preoccupante: sembrano conoscere informazioni “vive”

Quando una chiamata spam arriva subito dopo un cambio fornitore, conosce dettagli recenti, sa chi è il distributore locale e cita elementi non pubblici, allora spesso il dato proviene da sistemi aggiornati. Ed è questo il vero sospetto che emerge leggendo molte istruttorie: esiste un flusso continuo di dati commerciali che trapela dalla filiera energetica.

Come accennato in precedenza, di frequente si tratta di accessi impropri, usi non autorizzato dei sistemi CRM, esportazioni illecite e reti commerciali parallele. Alla fine, il teleselling aggressivo che tanti italiani lamentano è probabilmente soltanto l’ultimo anello di una filiera molto più ampia.

Spoofing telefonico: il trucco che rende tutto credibile

Molti call center utilizzano tecniche di CLI spoofing, cioè la manipolazione del numero chiamante. L’utente vede numeri apparentemente italiani, prefissi locali o numeri simili a quelli di imprese note: questo aumenta drasticamente il tasso di risposta.

AGCM ha evidenziato molteplici casi in cui identità ingannevoli e numerazioni camuffate sono utilizzate per convincere gli utenti a cambiare contratto.

Le nuove misure AGCOM contro il CLI spoofing colpiscono soprattutto le chiamate internazionali mascherate e il traffico VoIP estero camuffato da italiano. Tuttavia, molteplici call center oggi operano realmente in Italia, usano trunk SIP italiano (connessioni utilizzate per instradare le chiamate VoIP attraverso la rete telefonica degli operatori italiani) oppure comprano numerazioni italiane VoIP legittime. Queste “contromisure” rendono il blocco delle chiamate molto più difficile.

Il Registro delle Opposizioni funziona nei confronti di tutti quegli operatori che interrogano liste lecite, fanno campagne formalmente regolari, dovrebbero filtrare i numeri iscritti. Ma molte realtà abusive ignorano completamente il RPO, usano numerazioni telefoniche false, operano dall’estero, lavorano su database illegittimi e utilizzano liste “riciclate”. Il Garante ha esplicitamente parlato di call center abusivi in possesso di liste anagrafiche di dubbia provenienza per proporre contratti di energia e telefonia.

Molti utenti bloccano semplicemente i numeri spam: è quasi inutile. È molto più efficace identificare i pattern usati dai call center aggressivi per “metterli al tappeto” e respingere le chiamate.

Non confermare mai i dati e usare il GDPR in modo offensivo

Se doveste trovarvi a rispondere a una chiamata dai call center “furbetti” non dite mai, per nessun motivo, “sì“, “confermo“, “accetto“, “va bene” o altri termini simili. Molti teleseller cercano frasi riutilizzabili: se un soggetto possiede nome e cognome, indirizzo, POD/PDR, ha già quasi tutto ciò che serve per predisporre una pratica commerciale.

Una registrazione, anche debole, offre una parvenza di consenso, materiale difensivo, copertura commerciale, riduzione del rischio contestazione.

Inoltre, non confermate mai i dati: il chiamate potrebbe conoscere intestatario e indirizzo dell’utente ma vuole verificare altre informazioni. Ogni conferma migliora il valore del lead, aggiorna il CRM, aumenta il punteggio commerciale. Anche risposte apparentemente innocue del tipo “il contratto è intestato a mia moglie” sono oro per questi sistemi.

Chiedete denominazione completa del chiamante, P.IVA, titolare trattamento, DPO, origine del dato, base giuridica del trattamento, lista dei responsabili: il GDPR obbliga a rispondere ma quasi nessuno lo farà. Molti operatori spariranno immediatamente, chiuderanno la chiamata, inseriranno il numero in black list: capiscono che l’utente non è un “lead monetizzabile” e lo eviteranno come la peste.

I call center se capiscono che registri, fai domande sulla base delle prescrizioni del GDPR, chiedi titolare trattamento, origine dei dati, non confermi nulla, chiedi PEC, chiedi informativa completa, diventi un contatto economicamente inutile. Molti CRM interni classificano gli utenti come convertibili; neutrali; problematici; litigiosi; da evitare.

Le domande che mettono più in difficoltà i call center

Domanda da fare	Perché li mette in difficoltà
Da quale banca dati provengono i miei dati?	Costringe l’operatore a spiegare l’origine del contatto e non solo a seguire lo script.
Chi è il titolare del trattamento dei miei dati?	Introduce una responsabilità GDPR precisa e verificabile.
Qual è la base giuridica con cui mi state chiamando nonostante l’iscrizione al Registro Pubblico delle Opposizioni?	Obbliga a giustificare il trattamento del numero telefonico.
Chi vi ha fornito il mio POD o PDR?	Il POD/PDR non dovrebbe circolare liberamente associato a nome e numero.
Quale distributore locale rappresentate esattamente?	Smaschera chi usa formule vaghe come “ufficio distribuzione”.
Mi indicate ragione sociale completa, partita IVA e sede legale?	Molti operatori conoscono solo il nome commerciale o evitano di identificarsi.
Da quale società avete ricevuto il mandato commerciale?	Aiuta a distinguere call center, agenzia, broker e mandante reale.
State leggendo dati del distributore o un CRM commerciale?	Manda fuori script chi finge di avere un ruolo tecnico.
Mi dite le ultime tre cifre del POD che state visualizzando?	Serve a capire se hanno davvero il dato o se stanno bluffando.
Mi inviate via PEC l’informativa privacy e l’origine dei miei dati?	Trasforma la chiamata da opportunità commerciale a rischio documentale.
Sto registrando la chiamata: confermate di trattare dati energetici associati alla mia utenza?	Aumenta il rischio percepito e spesso interrompe subito lo script.
Qual è l’ID della campagna commerciale e il nome del responsabile del trattamento?	Richiede informazioni che molti call center aggressivi non sono in grado di fornire.

Nel caso dei call center, lo script è il “copione operativo” che l’operatore segue durante la telefonata. Non è semplicemente un testo da leggere: spesso è una procedura molto dettagliata costruita per guidare la conversazione, superare le obiezioni e portare il cliente verso una conferma finale.

È assurdo che non ci sia un sistema veloce per denunciare

Per denunciare seriamente oggi spesso bisogna raccogliere numero, salvare timestamp, registrare audio, identificare il soggetto, capire chi sia il titolare, compilare moduli, usare PEC, allegare prove, distinguere tra Garante Privacy, AGCOM, AGCM, operatore telefonico e forze dell’ordine. AGCM prova a fare chiarezza su Difenditicosì.

In Italia servirebbe un’infrastruttura che attivi una correlazione automatica sulle chiamate; il tracciamento carrier-to-carrier; l’identificazione reale dell’origine SIP; fingerprinting delle campagne; clustering delle numerazioni; condivisione dati tra AGCOM, AGCM e Garante. Oggi invece tutto è molto frammentato.

Nel teleselling energia molte segnalazioni si collocano in una “zona grigia” tanto da essere spesso etichettate come “pratiche commerciali scorrette” quando in realtà somigliano molto a operazioni di ingegneria sociale ben organizzate.

Perché il contratto telefonico è diventato l’anello debole del settore energia

Per anni il sistema ha considerato sufficiente una semplice conferma telefonica per avviare contratti energetici, cambi di fornitore e operazioni economicamente rilevanti. In pratica, una voce registrata è stata progressivamente equiparata a una forma di consenso contrattuale, nonostante il telefono sia diventato uno degli strumenti più esposti a manipolazioni, spoofing, ingegneria sociale e vishing.

Possibile che il legislatore non scorga la colossale contraddizione? Mentre per accedere a servizi bancari, firmare documenti digitali o autorizzare operazioni online vengono richiesti SPID/CIE, autenticazione forte, OTP e verifiche multilivello, nel settore energia basta un “sì” pronunciato durante una telefonata spesso confusa, insistente o volutamente ambigua per dare il via a un cambio di fornitore luce e gas.

Se il chiamante in malafede conosce già nome, indirizzo, fornitore e perfino dettagli del contatore, la percezione di autenticità aumenta enormemente. In questo contesto ottenere una conferma vocale diventa molto più semplice.

Per questo motivo cresce il numero di esperti e associazioni che ritengono ormai superato il modello del contratto concluso vocalmente. In un settore dove circolano enormi quantità di dati personali e tecnici, affidare la validità di una fornitura energetica a una semplice telefonata appare sempre meno compatibile con l’attuale scenario digitale e con il livello di sofisticazione raggiunto dalle tecniche di manipolazione telefonica.