Introduzione
Negli ultimi mesi, in Italia si è registrato un sensibile incremento del fenomeno delle chiamate con identificativo falsificato (Caller ID spoofing), con impatti significativi su cittadini, imprese e infrastrutture critiche.
Queste chiamate sfruttano principalmente vulnerabilità architetturali nelle reti VoIP oppure nei protocolli di segnalazione (SIP, SS7), consentendo la manipolazione del numero visualizzato (CLI spoofing) e l’inoltro massivo di chiamate truffaldine, spesso automatizzate (robocalling).
Per contrastare il fenomeno, l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) ha avviato consultazioni pubbliche e definito proposte tecniche per il blocco preventivo delle chiamate con identificativo anomalo, in collaborazione con operatori di settore e associazioni dei consumatori.
A supporto dell’iniziativa, AssoCall, Asseprim e AssoContact hanno siglato con le associazioni dei consumatori un protocollo d’intesa per la Prevenzione e il Contrasto contro le Chiamate Contraffatte dell’Identificativo Chiamante.
L’AGCOM svolge inoltre attività di vigilanza attiva, emettendo ordinanze e sanzioni nei confronti degli operatori telefonici che generano attività di spoofing, imponendo l’adozione di misure correttive.
Il rischio si aggrava ulteriormente con l’introduzione di tecnologie di sintesi vocale basate su intelligenza artificiale. Le moderne soluzioni di voice cloning, alimentate da modelli di deep learning, permettono di replicare fedelmente la voce di una persona a partire da pochi secondi di registrazione audio.
Ciò consente la realizzazione di chiamate fraudolente in cui il destinatario, oltre a visualizzare un numero apparentemente attendibile, ascolta una voce credibile e familiare.
L’intreccio tra spoofing del numero e contraffazione vocale abilita forme avanzate di truffa, come lo spear phishing o il CEO fraud, rendendo necessaria un’azione urgente per garantire l’autenticità sia dell’identificativo numerico sia dell’identità vocale.
Sono stati rilevati casi di truffe telefoniche basate su caller ID spoofing e voice cloning, terminati con l’arresto, in particolare di un gruppo che simulava chiamate dai numeri reali dei Commissariati di Polizia e degli Istituti di Credito, e di un gruppo che impersonava il Ministro delle Difesa Guido Crosetto.
Segue un’analisi delle cause tecniche alla base del fenomeno e delle soluzioni adottate e/o da adottare, sia a livello di rete che tramite un coordinamento nazionale ed internazionale.
Contesto
Di recente una segnalazione inviata all’ACN ha messo in luce come la disponibilità di contatti personali delle alte cariche dello Stato su piattaforme di lead generation possa alimentare le tecniche di spoofing e truffa telefonica, tema approfondito anche da inchieste giornalistiche, con l’obiettivo di sensibilizzare il pubblico e le istituzioni sulla necessità di rafforzare la sicurezza digitale e la protezione dei dati personali.
Agenzia per la Cybersicurezza Nazionale
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha ricevuto una segnalazione riguardo la presenza online dei contatti personali tipo numeri di telefono, delle più alte cariche dello Stato su portali di lead generation.
Il Garante Privacy ha aperto un’istruttoria sul caso, inviando una richiesta di informazioni alla società statunitense Lusha Systems Inc, che gestisce una piattaforma online dove erano disponibili questi dati. L’istruttoria mira a chiarire la provenienza, modalità di raccolta e diffusione dei dati personali, inclusi quelli di rappresentanti di spicco delle istituzioni italiane.
La Polizia Postale ha avviato indagini per capire la fonte dei dati e verificare eventuali violazioni o attacchi informatici.
L’ACN ha successivamente smentito che la segnalazione fosse stata ignorata o che fosse stata una “bufala”, precisando che i dati esposti online derivano da aggregatori che raccolgono informazioni da fonti pubbliche e commerciali, non da violazioni dirette.
La vicenda ha sollevato critiche politiche e mediatiche sull’efficacia e la gestione della cybersicurezza in Italia, con richieste di cambiamenti nella leadership dell’ACN e maggiore attenzione alla protezione dei dati delle istituzioni.
Lead generation e raccolta dati
I sistemi di lead generation hanno l’obiettivo di raccogliere il maggior numero di contatti personali di organizzazioni private e istituzioni pubbliche, e pertanto presentano criticità significative sotto il profilo della sicurezza e della protezione dei dati personali.
Da un lato, queste soluzioni consentono una selezione mirata dei contatti, incrementando l’efficacia delle campagne di marketing rispetto ai metodi tradizionali. Offrono strumenti avanzati per il tracciamento e la misurazione dei risultati, permettendo di ottimizzare gli investimenti pubblicitari e aumentare il ritorno economico.
Dall’altro lato, emergono rischi legati a pratiche scorrette o fraudolente. Alcune applicazioni, spesso camuffate da software legittimi o installate tramite sideloading (ovvero al di fuori degli store ufficiali), possono eseguire attività malevole. Tra queste, l’estrazione non autorizzata di dati dalla rubrica dello smartphone, incluse informazioni su contatti, messaggi, cronologia chiamate e altri dati personali.
I dati così sottratti possono confluire in archivi illegali, utilizzati per attività di profilazione non autorizzata, spam o truffe, o finire pubblicamente esposti a seguito di tentativi di estorsione tramite ransomware. Le conseguenze per la privacy e la sicurezza degli utenti sono spesso gravi e difficilmente reversibili.
Sono noti casi di servizi di lead generation e app simili che, in un’ottica di cooperazione o raccolta dati, finiscono per sottrarre o esporre dati personali degli utenti, spesso senza un consenso pienamente trasparente.
Diverse applicazioni per smartphone, anche apparentemente innocue come le app torcia o quelle per identificare chiamate e bloccare lo spam, raccolgono dati personali dagli utenti, spesso in modo invasivo. Queste app possono richiedere permessi eccessivi, oltre all’accesso alla rubrica, anche agli SMS, alla posizione, alla fotocamera e ad altri dati sensibili. In particolare, le app per l’identificazione delle chiamate caricano l’intera rubrica dell’utente sui propri server, creando vasti database di contatti. Di conseguenza, i numeri di telefono di persone che non hanno mai installato l’app possono finire ugualmente in questi archivi, semplicemente perché presenti nella rubrica di qualcun altro. Tali dati possono poi essere rivenduti a società di marketing o utilizzati per finalità malevole, con gravi implicazioni per la privacy.
Servizi di lead generation B2B sono stati coinvolti in data leak contenenti milioni di contatti business, con dati rubati e messi in vendita online. Questi aggregatori raccolgono dati da fonti pubbliche e da terze parti commerciali; tuttavia, spesso lo fanno senza il consenso esplicito degli interessati né una chiara base giuridica per il trattamento, in violazione del Regolamento (UE) 2016/679 (GDPR), che impone trasparenza, finalità specifiche e liceità nella raccolta e nell’uso dei dati personali.
Arresti in Italia
Nei primi mesi del 2025 ci sono stati arresti e denunce legati a truffe telefoniche realizzate tramite tecniche di caller ID spoofing. Ad esempio, a Jesi quattro persone sono state denunciate per una truffa in cui fingevano di essere operatori bancari e agenti di polizia, utilizzando lo spoofing per mostrare sul display il numero del Commissariato locale e convincere la vittima a effettuare bonifici per quasi 3.000 euro.
A Milano ci sono due indagati stranieri coinvolti in una truffa che ha usato la clonazione della voce e lo spoofing per spacciarsi per il ministro Guido Crosetto, truffando imprenditori con richieste di riscatti fittizi.
Tecniche di attacco
La tecnica più diffusa per effettuare chiamate false utilizza SIP Trunking e PBX.
Il SIP Trunking è una tecnologia che consente di effettuare e ricevere chiamate VoIP attraverso Internet utilizzando il protocollo SIP (Session Initiation Protocol). Sostituisce le linee telefoniche tradizionali (ISDN, analogiche) e consente di trasportare voce, video e messaggi. Richiede una connessione con un provider (es. Twilio, Wind, TIM, etc.).
Il PBX è il sistema che gestisce le chiamate, quindi ha una interfaccia verso SIP Trunks (uscita) e una verso telefoni SIP (interni), consente quindi il routing interno, e l’Interactive Voice Response (IVR), cioè il sistema capace di recitare informazioni ad un chiamante interagendo tramite tastiera telefonica.
Il PBX si registra al provider SIP usando le credenziali fornite, definisce come instradare le chiamate in ingresso e uscita tramite il trunk (dialplan), e in base alla compatibilità con il provider può scrivere arbitrariamente alcuni campi (SIP Headers Manipulation: From, Contact, P-Asserted-Identity).
I SIP Trunk possono essere di 4 tipi:
| Tipo | Autenticazione | IP Statico | CLI Personalizzabile | Uso tipico |
|---|---|---|---|---|
| Authenticated | user/pass | No | Limitato | VoIP retail, PMI |
| Peer | IP | Si | Parziale | Enterprise, SIP direct |
| Trust | IP | Si | Completo | Carrier, contact center |
| SBC-Mediated | Variabile | Si | Completo | Operatori, multi-tenant |
Lo spoofing del Calling Line Identification (CLI) può avvenire solo nei SIP trunk che consentono la manipolazione arbitraria dell’header From o P-Asserted-Identity; quindi, è tecnicamente possibile sui SIP Trunk di tipo Trust e SBC-Mediated (se non applica restrizioni esplicite).
Lo spoofing è tipico durante le interconnessioni carrier-to-carrier, e tale pratica non è illegale di per sé e può avere usi legittimi, come per aziende che mostrano un numero unico per il servizio clienti o per proteggere la privacy dei loro operatori. Tuttavia, quando usata in modo fraudolento, induce in errore i destinatari e complica la tracciabilità delle chiamate.
Esistono anche altri metodi tecnologici e di manipolazione delle reti telefoniche, spesso combinati per rendere le truffe più efficaci e difficili da rilevare, tra cui:
1. Abuso di SIM Box e Gateway VoIP: dispositivi SIM Box o gateway VoIP vengono utilizzati per instradare chiamate internazionali o fraudolente attraverso reti mobili o internet, aggirando i normali controlli degli operatori e mascherando l’origine reale della chiamata.
2. Uso di IMSI Catcher, GSM Interceptor e SDR (Software Defined Radio): strumenti di intercettazione e spoofing su rete mobile GSM consentono di manipolare le comunicazioni cellulari, intercettare traffico o falsificare l’identità del chiamante a livello radio, aumentando la sofisticazione delle chiamate false.
3. Attacchi SS7 manipulation, call injection, protocol fuzzing: sfruttando vulnerabilità nel protocollo SS7, che gestisce la segnalazione nelle reti telefoniche globali, gli attaccanti possono iniettare chiamate false, intercettare comunicazioni o manipolare dati di routing, rendendo possibile lo spoofing e altri attacchi avanzati.
Soluzioni
Non esiste una soluzione definitiva per il problema dello spoofing dell’ID chiamante (CLI), ma l’approccio più efficace è un sistema multilivello che combina tecnologie, normative e collaborazione tra operatori e autorità.
STIR/SHAKEN
Tra le tecnologie adottate o in sperimentazione per la gestione di questa minaccia vi è il protocollo STIR/SHAKEN, adottato principalmente negli Stati Uniti, dove dal 1° luglio 2021 è obbligatorio per tutti gli operatori telefonici grazie al “Telephone Robocall Abuse Criminal Enforcement and Deterrence Act” (TRACED Act), in Europa è già implementato dalla Francia, che autentica l’identità del chiamante per ridurre le chiamate fraudolente.
STIR/SHAKEN migliora l’affidabilità dell’identificazione del chiamante, aggiungendo una firma digitale crittografata che certifica l’autenticità del numero mostrato sul display, riducendo così le chiamate con ID falsificato; tuttavia, non blocca automaticamente tutte le chiamate spam o robocall in quanto verifica esclusivamente l’autenticità del numero, ma non il contenuto o l’intento della chiamata.
L’implementazione di questa tecnologia di protezione richiede aggiornamenti infrastrutturali importanti e coordinamento tra operatori, ciò nonostante, avrebbe impatti anche su alcune chiamate legittime, come quelle originate da sistemi legacy o gateway internazionali.
Negli Stati Uniti, dopo l’adozione obbligatoria, si è osservata una riduzione consistente delle chiamate spoofate e delle robocall, anche se il problema non è stato completamente eliminato, soprattutto a causa di chiamate provenienti da operatori o reti non conformi o internazionali.
STIR/SHAKEN è composto da due componenti:
• STIR (Secure Telephone Identity Revisited): uno standard per l’utilizzo di certificati digitali per autenticare l’identità della parte chiamante e il diritto di utilizzare un numero di telefono.
• SHAKEN (Gestione basata sulla firma delle informazioni asserite utilizzando toKENs): linee guida per l’implementazione di questi protocolli attraverso le reti.
Quando viene effettuata una chiamata, il provider di origine valuta e assegna un livello di attestazione, completo (A), parziale (B) e Gateway (C), in base al rapporto con il chiamante. Queste informazioni di attestazione sono incluse nell’intestazione SIP. Aiuta la rete ricevente a valutare l’affidabilità dell’ID chiamante.
• Un’attestazione completa significa che l’identità del chiamante è nota e ha il diritto di utilizzare un determinato numero di telefono come ID chiamante per una chiamata telefonica in uscita.
• Un’attestazione parziale significa che l’identità del chiamante è nota ma il fornitore di servizi non sa se il chiamante ha il diritto di utilizzare un numero.
Quando una chiamata entra nella rete telefonica, l’attestato potrebbe non essere conservato. Il mantenimento di questo attestato esula infatti dal controllo di ogni provider a causa della natura delle reti legacy, dunque, in scenari di routing le chiamate ricevono un livello di attestazione parziale (B).
Ad oggi in termini globali le principali implementazioni di sistemi anti-spoofing riguardano Stati Uniti d’America, Canada e Francia.
Antifrode
Il Regno Unito ha adottato sistemi avanzati di analisi del traffico telefonico, dove l’Ofcom e gli operatori collaborano per monitorare e analizzare i pattern di chiamata, identificando anomalie e bloccando traffici sospetti senza affidarsi esclusivamente a protocolli di autenticazione. Questo approccio si basa su intelligenza artificiale e machine learning per riconoscere comportamenti fraudolenti.
In Italia, la vigilanza e il monitoraggio del traffico telefonico nazionale, inclusa l’analisi di fenomeni come il CLI spoofing, sono affidati all’AGCOM (Autorità per le Garanzie nelle Comunicazioni), che esercita funzioni di regolamentazione e controllo sul settore delle comunicazioni elettroniche. Tuttavia, a causa della natura tecnica del fenomeno, l’identificazione delle fonti delle chiamate con CLI manipolato risulta spesso complessa. Per questo motivo, le attività di indagine e verifica da parte dell’Autorità si basano anche su segnalazioni provenienti dagli utenti finali vittime dell’uso indebito della propria numerazione.
AGCOM ha condotto indagini mirate per verificare l’origine di chiamate oggetto di spoofing rivolte a utenti italiani, come evidenziato nella delibera 23/24/CIR, che ha portato a sanzioni nei confronti di operatori che non rispettavano le regole di interconnessione e autenticazione dei numeri chiamanti. Queste attività dimostrano un controllo attivo sul traffico voce nazionale, anche in collaborazione con operatori e autorità estere.
Inoltre, AGCOM gestisce e pubblica regolarmente report e osservatori sulla qualità delle reti fissa e mobile italiane, monitorando indicatori chiave di prestazione (KPI) come la percentuale di chiamate andate a buon fine, la qualità del servizio voce e la correttezza degli addebiti. Attraverso campagne di misurazione sul campo (drive test) e analisi statistiche, l’Autorità valuta la qualità e la trasparenza del servizio offerto agli utenti finali.
Di seguito sono riportati due esempi in cui AGCOM delibera:
“Dalle attività di vigilanza mirate a verificare l’origine di alcune chiamate oggetto di spoofing telefonico, rivolte ad utenti finali italiani, è emerso che una delle società coinvolte nel fenomeno descritto è risultata essere la WIS Telecom S.r.l. (nel seguito anche WIS) che è soggetto autorizzato in territorio nazionale esclusivamente quale operatore di transito (carrier). I dati acquisiti hanno evidenziato che, in alcuni casi, chiamate con CLI “sospetto”, veicolate dalla società WIS verso la rete degli operatori interconnessi (TIM, Vodafone, Wind e Iliad), provenivano da una società denominata Wermounth Trading Ltd residente a Cipro che è risultata, invece, soggetto non autorizzato. La società WIS Telecom S.r.l., benché operatore autorizzato in Italia quale società di transito, non ha rispettato la normativa, primaria e secondaria nazionale, permettendo – in assenza di regolare contratto di interconnessione – ad una società estera non autorizzata di utilizzare numeri mobili e personali, già assegnati ad altri operatori autorizzati in Italia, senza compiere le dovute verifiche in ordine ai requisiti giuridici e alla corretta qualifica del proprio partner commerciale. Ciò ha generato chiamate con CLI modificato in violazione del Piano nazionale di numerazione.”
Fonte: https://www.agcom.it/provvedimenti/delibera-31-23-cir
“Dalle attività di vigilanza mirate a verificare l’origine di alcune chiamate oggetto di spoofing telefonico, rivolte ad utenti finali italiani, è emerso che una delle società coinvolte nel fenomeno descritto è risultata essere la WIS Telecom S.r.l. (nel seguito anche WIS) che è soggetto autorizzato in territorio nazionale e che opera come operatore di transito (carrier). I dati acquisiti hanno evidenziato che, in alcuni casi, chiamate con CLI “sospetto”, veicolate dalla società WIS verso la rete degli operatori italiani, provenivano da una società denominata Voip Albano sh.p.k. residente in Tirana (Albania) che è risultata, invece, soggetto non autorizzato. La società WIS Telecom S.r.l., benché operatore autorizzato in Italia, non ha rispettato la normativa, primaria e secondaria nazionale, permettendo – in assenza di regolare contratto di interconnessione – ad una società estera non autorizzata di utilizzare numeri mobili e personali nazionali, già assegnati ad altri operatori autorizzati in Italia, senza compiere le dovute verifiche in ordine ai requisiti giuridici e alla corretta qualifica del proprio partner commerciale. Ciò ha generato chiamate con CLI modificato in violazione del Piano nazionale di numerazione.”
Fonte: https://www.agcom.it/provvedimenti/delibera-23-24-cir
Riconoscimento vocale
La Cina utilizza sistemi avanzati di voice-print recognition (riconoscimento delle impronte vocali) per identificare e certificare l’origine delle chiamate, impedendo così lo spoofing. Questi sistemi analizzano caratteristiche biometriche uniche della voce del chiamante, come oltre 100 parametri vocali distintivi, confrontandoli con database di voci registrate per verificare l’identità in modo rapido e continuo durante la chiamata.
La tecnologia è basata su riconoscimento vocale speaker-independent, cioè capace di riconoscere la voce indipendentemente da chi parla, e può adattarsi a variazioni naturali della voce (es. tono, raffreddore). Alcuni sistemi non richiedono frasi specifiche, ma analizzano il timbro vocale unico come una “impronta digitale” sonora, rendendo difficile l’inganno tramite registrazioni o deepfake.
Strategie nazionali ed internazionali
L’Italia, tramite AGCOM, ha avviato un percorso pragmatico e innovativo (Delibera 457/24/CONS) per arginare il CLI spoofing. La strategia prevede:
• Blocco “alla frontiera” delle chiamate con numerazione non conforme agli standard internazionali (ITU-T E.164).
• Blocco delle chiamate che, pur avendo prefissi italiani (fissi o mobili), provengono dall’estero senza che il titolare sia in roaming.
Questa misura dovrebbe bloccare circa il 95% delle chiamate spoofate con numeri nazionali. Rimane un 5% di chiamate spoofate con numeri esteri che non è tecnicamente possibile bloccare a livello nazionale.
Diverse nazioni adottano strategie differenti per contrastare il fenomeno, ma non esiste ancora una soluzione globale unificata:
• Stati Uniti: adottano il protocollo STIR/SHAKEN, che autentica digitalmente l’identità del chiamante, combinato con normative severe e registri “Do Not Call” per bloccare chiamate indesiderate e fraudolente.
• Francia: ha implementato STIR/SHAKEN, integrandolo con piattaforme di analisi dati per monitorare e gestire segnalazioni di spoofing, in conformità con la legge Naegelen che obbliga operatori e fornitori a proteggere i clienti dalle frodi telefoniche.
• Regno Unito: ha scelto di non adottare STIR/SHAKEN, preferendo un sistema di analisi avanzata del traffico telefonico coordinato dall’Ofcom, che identifica e blocca automaticamente numeri sospetti basandosi su pattern di chiamata e comportamenti anomali.
• Australia: l’ACMA impone agli operatori di monitorare e segnalare chiamate sospette tramite sistemi di analisi del traffico telefonico, simile all’approccio britannico.
• Germania e Giappone: adottano la condivisione tra operatori di blacklist di numeri noti per attività fraudolente, per bloccare chiamate provenienti da numeri segnalati.
• Singapore: utilizza whitelist di numeri verificati per aziende legittime, facilitando agli utenti il riconoscimento delle chiamate autentiche.
• Cina: il MIIT (Ministero dell’Industria e dell’Information Technology) gestisce whitelist per numeri pubblici e bancari, usa riconoscimento vocale per classificare contenuti e filtri di rete.
• Unione Europea: gestione frammentata tra Stati membri.