CLI spoofing e robocall: in arrivo le nuove contromisure tecniche dell’AGCOM per arginare questi fastidiosi fenomeni

Introduzione alla problematica

Negli ultimi anni, milioni di italiani sono stati disturbati da ‘robocall‘ e ‘chiamate spoofate‘, spesso più volte al giorno, anche nel weekend. Particolarmente colpiti e vulnerabili sono le persone più fragili, come anziani e persone in cerca di un’occupazione.

E’ proprio l’esistenza del fenomeno del CLI spoofing, di cui parleremo nel presente articolo, a vanificare l’iscrizione al Registro Pubblico delle Opposizioni (“RPO“) e a rendere inefficaci le sanzioni e i divieti legislativi.

Come vedremo, sembra però che le istituzioni inizino ad accorgersi del fatto che le proposte normative di inasprimento delle sanzioni e di introduzione di nuovi divieti, non potranno che rivelarsi del tutto inutili senza l’adozione diffusa di adeguate tecnologie di autenticazione e filtraggio.

Infatti il contrasto al fenomeno del c.d. CLI spoofing non può che passare da un approccio multilivello che tenga in considerazione l’importanza di consapevolizzare gli utenti sul fatto che chi utilizza tali sistemi per rendersi irrintracciabile non ha alcun interesse a controllare preventivamente il RPO, né tantomeno a rispettare il GDPR, il Codice Privacy o il Codice del Consumo.

Andiamo dunque ad analizzare questo fenomeno che sta seriamente minando la fiducia stessa degli utenti nel sistema delle chiamate e delle telecomunicazioni.

Che cosa sono questi fenomeni?

Il Cli spoofing

Il fenomeno del CLI spoofing sfrutta vulnerabilità intrinseche nei protocolli delle comunicazioni telefoniche per alterare il numero visualizzato sul display del destinatario.

CLI sta per ‘Caller Line Identification” o anche “Caller ID”, cioè proprio il numero di telefono che identifica il chiamante. Lo spoofing, invece, è un tipo di attacco informatico che impiega in vari modi la falsificazione dell’identità e la manipolazione e il camuffamento delle informazioni trasmesse in rete.

Pur essendo inizialmente utilizzato per applicazioni lecite (ad es. nei centralini aziendali o nelle comunicazioni dei corrieri con i destinatari), questa tecnica è ormai utilizzata principalmente come strumento di frode e di molestia.

Il chiamante falsifica il proprio numero nascondendosi dietro ad un numero fasullo (inesistente o addirittura appartenente a un terzo ignaro) per far sì di non essere richiamabile e mascherare la propria identità.

Di conseguenza, il destinatario della chiamata non può risalire al numero reale del chiamante, il quale rimane totalmente impunito in caso di truffe o di violazioni della privacy, rendendo pressoché impossibile qualsiasi azione di contrasto senza indagini lunghe, complesse e costose.

Gli effetti del CLI Spoofing sono molteplici:

• Senso di violazione della privacy, perdita di tempo, irritazione e diffidenza diffusa verso le chiamate ricevute da numeri che non abbiamo già salvato.

• Perdita della fiducia nel funzionamento dei servizi telefonici in quanto le chiamate non ci sembrano più essere affidabili e cominciamo ad ignorare anche numeri utili ed autentici, come quelli delle banche, dei medici e delle istituzioni.

• Crisi del settore del customer care telefonico, in quanto anche le aziende e enti che operano nella legalità e legittimità ne risentono, vedendo peggiorare la comunicazione e i contatti con clienti e cittadini.

Le robocall, il vishing e il war dialing

Le robocall costituiscono un sottoinsieme automatizzato di queste tipologie di chiamate: sistemi automatizzati chiamano a ripetizione numeri utilizzando il CLI spoofing per far sembrare che la chiamata provenga da una fonte nazionale ed affidabile.

Invece dietro tali chiamate si nascondono contatti fraudolenti finalizzati a truffare o carpire informazioni personali monetizzabili, come le ormai tristemente arcinote truffe del curriculum ricevuto o del trading di Amazon.

Anche tramite la tecnologia VoIP (Voice over Internet Protocol), che funziona come i normali numeri di telefono fissi o mobili, ma si avvale esclusivamente di internet e non dipende necessariamente da una specifica posizione fisica, possono essere raggiunti risultati molto simili a quelli del CLI spoofing.

Sempre tramite VoIP e CLI spoofing possono essere intraprese campagne di war dialing consistenti nella composizione automatizzata e rapidissima di interi elenchi di numeri, anche composti casualmente, per verificare e validare tramite telefonate mute se tali numeri sono attivi e in uso.

Il war dialing è dunque un’operazione di ricognizione preliminare al lancio di attacchi informatici di vishing (vocal phishing) che a loro volta possono inserirsi in schemi d’attacco tramite social engineering più articolati, come singoli pezzi di un puzzle ben più complesso.

Il contesto normativo

Nonostante la preoccupante situazione appena abbozzata, non dobbiamo cadere nel facile misticismo di ritenere che anche in Italia ed in Europa la situazione sia un far west senza regole.

Nei confini domestici le regole ci sono e sono rispettate dalla stragrande maggioranza degli operatori. Andiamo dunque a vedere quali sono le regole principali e quando sono state emesse.

Le prime delibere AGCOM

Gli operatori telefonici (fissi o mobili) italiani sono infatti già da tempo sottoposti ad un divieto di modifica del CLI dal Piano di Numerazione Nazionale (“PNN”) introdotto dall’AGCOM con la Delibera 8/15/CIR (e le sue s.m.i.).

Anche i call center italiani a partire dalla Delibera 156/18/CIR sono obbligati dall’AGCOM a garantire l’integrità della presentazione e dell’identificazione della linea chiamante (CLI) e ad assicurarsi che i numeri utilizzati per effettuare le chiamate siano richiamabili dall’utente

Inizia dunque ad essere evidente sin da ora come non possano essere gli operatori e call center italiani la fonte diretta delle chiamate con numero falso (‘spoofato‘).

La maggior parte di chiamate con numeri falsificati arriva infatti dall’estero (ad es. India, Thailandia, Brasile), venendo solamente ricevute passivamente dai nostri operatori telefonici i quali, in forza delle regole e dei protocolli internazionali TeleCo, sono obbligati a consegnarcele senza poter verificare se il numero del chiamante sia autentico o meno.

La Raccomandazione 23(03) dell’ECC

La portata sovranazionale della questione può apprezzarsi nella Raccomandazione 3 del 28.11.2023 del Comitato per le comunicazioni elettroniche (ECC) della Conferenza delle Amministrazioni Europee delle Poste e Telecomunicazioni (CEPT).

Per i numeri mobili nazionali E.164 tale documento raccomanda di bloccare preferibilmente le chiamate vocali internazionali in arrivo, o almeno di sopprimere la CLI delle chiamate vocali internazionali in arrivo dall’estero con un numero mobile nazionale E.164 come CLI, dopo aver verificato, pur rispettando le pertinenti disposizioni sulla privacy, che l’utente non sia in roaming all’estero, fatti comunque salvi casi giustificati.

Le ultime novità riguardanti l’AGCOM fino ad oggi

Parallelamente, l’AGCOM nel 2022 aveva già permesso l’implementazione, su base volontaria, del blocco delle chiamate avete un CLI Italiano in formato non conforme allo standard internazionale E.164, a cui hanno nel frattempo dato effettivo seguito numerosi operatori.

Sebbene fosse stato un primo passo necessario, da solo non poteva essere ritenuto bastevole, andando a contrastare solo una prima e più macroscopica una parte del fenomeno.

Perciò il Governo con il D.lgs. 48/2024 ha modificato l’art. 98-decies del Codice delle Comunicazioni Elettroniche (D.lgs. 259/2003) per dare all’AGCOM il potere di “imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usano numerazione nazionale per identificarne l’origine, ovvero che non rispettano le specifiche Raccomandazioni dell’ITU-T”.

Tenendo conto della delicatezza del problema, l’AGCOM ha dunque tempestivamente avviato (con Delibera 457/24/CONS) una consultazione pubblica per individuare come contrastare ‘ai confini nazionali‘ frodi, truffe e telemarketing selvaggio perpetrati tramite CLI Spoofing, adottando un metodo di coinvolgimento degli stakeholders apprezzabile, efficace e all’avanguardia.

Dopo la consultazione pubblica, durata 30 giorni, è stato indetto un tavolo tecnico con gli operatori telefonici i cui lavori, della durata di circa 3 mesi, stanno volgendo al termine in questo periodo. Saranno poi necessari almeno altri 6 mesi per l’implementazione delle misure tecniche concordate, di cui vedremo dunque i primi frutti ad autunno 2025.

[qui un altro interessante caso in cui AGCOM ha indetto una consultazione pubblica e poi il tavolo tecnico]

Nel frattempo è però interessante andare ad analizzare le prime indiscrezioni sui risultati del tavolo tecnico, i cui dettagli non sono ancora stati resi pubblici per motivi di sicurezza.

Le proposte del tavolo tecnico AGCOM

Il protocollo Stir/Shaken

Una delle possibili soluzioni soppesate dal tavolo tecnico AGCOM è quella del protocollo STIR/SHAKEN. Tale protocollo ha la funzione di garantire l’autenticità dell’identità del chiamante mediante firme digitali.

STIR (Secure Telephone Identity Revisited) per le reti VoIP e SHAKEN (Signature-based Handling of Asserted information using toKENs) per le comunicazioni basate sul più tradizionale protocollo SS7.

All’inizio della chiamata, il provider del chiamante genera una token firmato con chiave privata, poi il provider del destinatario controlla la firma con la chiave pubblica al termine dell’instradamento, verificando se il CLI corrisponda o meno e, dunque, se sia stato ‘spoofato‘ oppure no.

Tuttavia, l’efficacia di tale protocollo dipende dalla sua uniforme adozione da parte della stragrande maggioranza degli operatori globali: senza una diffusione capillare, le chiamate spoofate da paesi in cui tale sistema non è implementato restano indisturbate.

Gli esempi di USA e Canada, dove lo Stir/Shaken è in vigore dal 2021, mostrano che le robocall aggressive rimangono numerose, così come in Francia, dove tale sistema copre e verifica solo le reti completamente IP, ancora minoritarie.

La complessità tecnica e il costo elevato di gestione dei certificati digitali, nonché gli oneri iniziali ed operativi di interconnessione, rendono lo Stir/Shaken una soluzione onerosa e non risolutiva per gli operatori.

Infatti il tavolo tecnico dell’AGCOM, pur riconoscendolo come uno standard duttile e avanzato di verifica end-to-end, sembra aver ritenuto che l’efficacia complessiva della Stir/Shaken sia compromessa dai suoi limiti strutturali e dalla necessità di un capillare coordinamento internazionale, allo stato attuale difficilmente attuabile.

La soluzione italiana

La proposta verso cui, stando alle ultime notizie, sembra essersi indirizzato il tavolo tecnico AGCOM è quella dell’adozione di un sistema nazionale di filtro ‘alla frontiera‘ basato sulla conformità o meno delle chiamate alle Raccomandazioni dell’Unione Internazionale delle Telecomunicazioni (“ITU“) e in particolare alle raccomandazioni ITU-T E.157 ed E.164.

Anziché firmare digitalmente ogni chiamata (come farebbe lo Stir/Shaken), gli operatori, ricevuta una chiamata proveniente dall’estero e prima di instradarla verso il numero italiano di destinazione, si dovrebbero interconnettere ad un database condiviso e centralizzato dei numeri attivi per verificare in tempo reale lo stato Attivo/Inesistente del numero chiamante e, se attivo, se esso è in roaming all’estero oppure no.

Chiaramente, se il numero chiamante non risulta attivo, la chiamata viene subito bloccata a tale step. Se il numero chiamante è valido ed attivo, ma non risulta in roaming dall’estero, allora la chiamata entra in conflitto ed essendo un comportamento anomalo viene respinta.

Parimenti, si dovrebbe riuscire a bloccare anche le chiamate che sebbene abbiano un numero geografico/fisso nazionale E.164 provengono dall’estero, salve giustificate eccezioni da definirsi adeguatamente nel tavolo tra AGCOM, operatori telefonici e call center. Dunque, solo le telefonate internazionali da numero conforme allo standard ITU-T E.157 dovrebbero rimanere consentite.

Per garantire imparzialità e riservatezza, il database – similmente a quanto accade per il RPO – sarà gestito da un ente terzo indipendente e opererà sul modello “zero-knowledge”: ogni interrogazione produrrà dunque come risposta solamente un semplice “sì/no”, senza rivelare elenchi o statistiche sui numeri in roaming degli altri operatori.

Le prima valutazioni su quanto emerso dai lavori del tavolo tecnico

Rispetto allo Stir/Shaken, questa soluzione sembra non richiedere la firma crittografica di ogni chiamata né uno sforzo di coordinamento globale.

Inoltre, il meccanismo zero-knowledge sembrerebbe tutelare la concorrenza tra operatori, evitando la condivisione di informazioni personali e favorendo un’implementazione efficace, sulla scorta del consolidato know-how e del modello di funzionamento del RPO.

Le specifiche e i dettagli tecnici della soluzione progettata nell’ambito del tavolo tecnico restano per ora ancora riservate, ma AGCOM  pubblicherà a breve gli esiti dei lavori sul proprio sito.

Nel frattempo sembra possibile affermare che il nuovo sistema permetterà di segnalare chiamate originate in Italia direttamente alle Autorità (AGCOM e/o Polizia Postale), le quali saranno dotate degli strumenti, tecnici e giuridici, necessari per controllarne rapidamente l’autenticità e bloccarle in caso di abuso, poiché l’identificazione dei soggetti nazionali potrà essere facilmente verificata.

Al contempo verranno anche responsabilizzati maggiormente gli operatori telefonici, in modo che, in caso di abusi, l’operatore telefonico di frontiera che non rispetti questi protocolli e faccia passare telefonate ‘spoofate’, sia chiamato a rispondere della propria condotta.

Questa architettura non tutelerà solo utenti e cittadini, ma offrirà nuovo respiro alle imprese di telemarketing, call center e costumer care che operano in conformità e legalità e finora rischiavano di rimanere schiacciate dalla concorrenza sleale e piratesca.

Non dimentichiamoci infatti che il macro-settore dei Contact Center, rappresenta una risorsa per il Paese e per lo sviluppo economico delle aree più svantaggiate come il Mezzogiorno, dove sono concentrate circa la metà delle unità locali e degli addetti del settore.

Anche il RPO riconquisterà efficacia e legittimità, confermandosi strumento solido per restituire la fiducia del mercato a chi opera nella legalità.

Concludendo…

Pur consapevoli delle sfide tecniche e normative, l’approccio collaborativo tra istituzioni, operatori e stakeholders mostrato dall’AGCOM è da salutare con favore, potendo trasformare una criticità quale quella del CLI spoofing in un’opportunità di innovazione e miglioramento, giuridico ma anche sociale.

Per non perdere altri approfondimenti, novità e best practice su privacy, cybersecurity e diritto delle nuove tecnologie, iscriviti alla nostra newsletter mensile qui.