di Maurizio Pellegrini, Responsabile Area Nuove Tecnologie
Il fenomeno del CLI spoofing (Calling Line Identification), ovvero la falsificazione del numero telefonico, rappresenta una delle principali sfide nel contrasto al telemarketing illegale e alle truffe telefoniche.
La pratica del CLI spoofing è stata favorita dalla diffusione del VoIP (Voice over IP), che ha reso più semplice la manipolazione dell’identificativo della linea chiamante. In passato, questa tecnica veniva utilizzata soprattutto per ridurre i costi delle chiamate internazionali, aggirando le tariffe di terminazione applicate dagli operatori telefonici.
La sovrascrittura del numero chiamante non è illegale di per sé e può avere usi legittimi, come nel caso delle aziende che mostrano un numero unico per il servizio clienti, degli ospedali che utilizzano un numero centralizzato per le chiamate in uscita o delle organizzazioni che proteggono la privacy degli operatori durante le comunicazioni con i clienti.
Quando usato in maniera illegale, consentendo ai malintenzionati di far apparire un numero di telefono diverso da quello effettivo, induce i destinatari a rispondere con maggiore probabilità e rende difficoltoso risalire all’effettivo soggetto che ha originato la chiamata.
In molti casi i numeri utilizzati sono quelli di cellulare, generalmente numerazioni non attive, mentre altre volte sono scelti in modo da sembrare locali o di enti affidabili, incrementando così l’efficacia delle chiamate di telemarketing illegali e delle frodi. Generalmente le chiamate provengono dall’estero, rendendo particolarmente complessa l’attività ispettiva delle Autorità nazionali preposte.
Per affrontare il problema diversi Paesi hanno sviluppato e implementato soluzioni tecniche specifiche.
Negli Stati Uniti e in Canada, il protocollo STIR/SHAKEN (Secure Telephone Identity Revisited/Signature-based Handling of Asserted Information Using toKENs) è stato introdotto per certificare l’autenticità dell’ID chiamante sulla rete IP (Internet Protocol). Questo sistema si basa sull’uso di certificati digitali che permettono di verificare se un numero di telefono è stato falsificato durante il percorso della chiamata. Grazie a questa tecnologia gli operatori telefonici possono segnalare le chiamate sospette o addirittura bloccarle prima che raggiungano i destinatari.
Recentemente, anche la Francia ha adottato il protocollo STIR/SHAKEN, segnalando la crescente necessità di strumenti di autenticazione nel panorama europeo.
Nel frattempo anche altri Paesi hanno sperimentato soluzioni alternative. Nel Regno Unito, per esempio, gli operatori telefonici collaborano con l’Ofcom (l’autorità regolatoria indipendente per gli operatori di comunicazione UK) per implementare sistemi di analisi avanzata del traffico telefonico, che consentono di identificare anomalie negli schemi di chiamata e bloccare automaticamente i numeri fraudolenti. A seguito di una consultazione pubblica sul tema, infatti, l’Ofcom recependo i commenti degli operatori telefonici ha deciso di non adottare lo STIR/SHAKEN. Tra le motivazioni principali il fatto che non tutte le chiamate provenienti dall’estero possono essere completamente verificate visto che gli operatori stranieri non sono obbligati a seguire le regole di verifica dell’Ofcom, la complessità e i costi della soluzione, nonché la disponibilità di misure alternative ritenute più efficaci e di più rapida implementazione.
Un approccio simile al Regno Unito è stato adottato in Australia, dove l’ACMA (Australian Communications and Media Authority) ha imposto agli operatori di monitorare il traffico telefonico e segnalare le chiamate sospette attraverso meccanismi di analisi.
Un’altra strategia adottata da diversi Paesi, tra cui Germania e Giappone, consiste nella condivisione tra gli operatori dei numeri noti per essere utilizzati in attività fraudolente. Questa soluzione consente di bloccare le chiamate provenienti da numeri segnalati, riducendo significativamente il rischio per gli utenti. Anche se il ripetuto cambio del numero chiamante da parte del soggetto malintenzionato rischia di minare l’efficacia di questo approccio.
In alcuni casi, come a Singapore, sono state introdotte whitelist di numeri verificati per le aziende che effettuano chiamate legittime, rendendo più facile per i consumatori distinguere le chiamate autentiche da quelle potenzialmente pericolose.
Tra le misure più innovative e promettenti rientra l’utilizzo dell’intelligenza artificiale per contrastare il CLI spoofing, tramite l’analisi dei pattern di chiamate per rilevare comportamenti sospetti o l’analisi di alcuni parametri della chiamata (come per esempio la geolocalizzazione, la durata e i modelli di interazione).
L’Italia sta attualmente valutando l’adozione di misure simili attraverso una consultazione pubblica svolta dall’Autorità Garante per le garanzie nelle comunicazioni (AGCOM) con la delibera n. 457/24/CONS. In particolare, tra le misure individuate dall’Autorità viene proposto il blocco delle chiamate provenienti dall’estero. Tra queste quelle che non rispettano le Raccomandazioni ITU in materia di numerazione, quelle con un numero geografico nazionale (a meno di casi giustificati) e le chiamate con un numero mobile nazionale come CLI dopo aver controllato e verificato che l’utente finale non sia in roaming all’estero (a meno di casi giustificati).
Gli operatori, inoltre, sono chiamati ad analizzare in un apposito tavolo tecnico la fattibilità delle misure di blocco delle chiamate da numeri fissi e mobili non in uso agli utenti finali e la verifica del CLI delle chiamate VoIP terminate su rete commutata.
In conclusione, nonostante i progressi tecnologici, la lotta contro il CLI spoofing presenta ancora alcune sfide. Uno dei principali ostacoli è rappresentato dalla compatibilità delle soluzioni esistenti con le reti telefoniche tradizionali, poiché molte delle tecnologie di autenticazione funzionano principalmente sulle reti IP e VoIP. Inoltre, l’implementazione di queste soluzioni comporta costi significativi per gli operatori telefonici, che devono aggiornare le proprie infrastrutture e garantire la conformità ai nuovi standard di sicurezza.
Allo stesso tempo l’adozione di queste tecnologie offre numerosi vantaggi. L’autenticazione dell’ID chiamante permette di ridurre drasticamente il numero di chiamate indesiderate e fraudolente, migliorando la fiducia degli utenti nei confronti delle comunicazioni telefoniche. Inoltre, la collaborazione tra i gestori telefonici – tramite per esempio la condivisione delle informazioni necessarie a contrastare il CLI spoofing – e tra le autorità di regolamentazione a livello internazionale sta contribuendo a creare un ecosistema più sicuro, in cui le chiamate commerciali legittime possono essere facilmente distinte da quelle ingannevoli.
Nel complesso, il problema del CLI spoofing richiede un approccio multilivello, che combini soluzioni tecnologiche avanzate con normative efficaci e un maggiore coinvolgimento degli utenti nella segnalazione delle chiamate sospette. Il futuro delle telecomunicazioni dipenderà dalla capacità di innovare e adattarsi a minacce in continua evoluzione, garantendo un equilibrio tra sicurezza e libertà di comunicazione.