Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

telefonate indesiderate

Il numero breve dell’Agcom per le chiamate degli operatori: contrasto alle pratiche abusive

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

L’Agcom ha introdotto le numerazioni brevi a tre cifre come identificativo del chiamante per operatori, imprese e call center che agiscono nell’alveo della legalità. Ecco perché è importante riconoscere le chiamate provenienti da operatori che agiscono legalmente e qual è il salto qualitativo richiesto

Pubblicato il 5 mag 2026
Federica Giaquinta

Consigliere direttivo di Internet Society Italia

sms truffa; Le chiamate degli operatori diventano riconoscibili: il numero breve dell'Agcom contrasta le pratiche abusive
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La recente introduzione, da parte di Agcom, di numerazioni brevi a tre cifre utilizzabili come identificativo del chiamante per operatori, imprese e call center che agiscono nell’alveo della legalità rappresenta, finalmente, un passaggio giuridicamente significativo verso una nuova grammatica della fiducia nelle comunicazioni elettroniche.

L’identità del chiamante, infatti, non è più un dato meramente accessorio della comunicazione, ma diviene presidio di trasparenza, sicurezza, autodeterminazione informativa e protezione dell’utente finale.

Ecco come il numero breve dell’Agcom contrasta le pratiche abusive delle telefonate indesiderate.

Spoofing e chiamate abusive: i primi provvedimenti AGCOM, decisivi per il futuro

L’Agcom e il contrasto alle pratiche abusive

A riguardo, la delibera Agcom n. 21/26/CIR, approvata nell’ambito
dell’aggiornamento del Piano di numerazione e della disciplina attuativa già
ricondotta alla delibera n. 8/15/CIR, si inserisce in un contesto in cui la crisi di affidabilità della comunicazione telefonica ha assunto dimensioni non più
episodiche, ma sistemiche.

Infatti, è ormai risaputo che il telefono, da strumento primario di contatto diretto tra cittadino, impresa e pubblica amministrazione, è progressivamente divenuto uno spazio opaco, attraversato da chiamate moleste, pratiche commerciali aggressive, spoofing dell’identità chiamante, frodi contrattuali e sfruttamento asimmetrico dei dati personali.

Per tali ragioni si è reso necessario chiarire che il provvedimento mira a consentire agli utenti di riconoscere più agevolmente le chiamate provenienti da operatori che agiscono legalmente, ampliando definitivamente il novero delle numerazioni utilizzabili come identificativo del chiamante e istituendo anche un Tavolo tecnico per definire le modalità attuative e approfondire, tra l’altro, la futura disciplina delle numerazioni dedicate esclusivamente a teleselling e telemarketing.

In questa prospettiva, il numero breve non è quindi soltanto un codice, ma un segnale regolatorio, un marcatore di legittimità, un dispositivo di riconoscibilità pubblica che tenta di ricostruire, dentro l’architettura tecnica della rete, quella fiducia che il mercato ha consumato attraverso l’abuso della comunicazione commerciale.

La centralità del profilo privacy

Nel solco di questo approfondimento, si rende chiaro quanto il profilo privacy sia centrale perché ogni chiamata di telemarketing non è mai solo una chiamata, ma rappresenta il punto terminale di una filiera di trattamento dei dati personali, spesso composta da raccolta, cessione, profilazione, segmentazione, contatto, registrazione, conservazione e, talvolta, riutilizzo ulteriore delle informazioni dell’interessato.

Il problema, dunque, non si esaurisce nel fastidio della telefonata indesiderata, ma riguarda la tracciabilità giuridica dell’intera catena del

trattamento.

Il GDPR impone che il trattamento dei dati personali sia lecito, corretto e trasparente, che sia fondato su una base giuridica adeguata, che rispetti i
principi di minimizzazione, limitazione della finalità, esattezza, integrità e
riservatezza, nonché il principio di responsabilizzazione del titolare.

Da questo punto di vista, la numerazione breve può diventare una soluzione di sistema solo se viene concepita non come un’etichetta formale, ma come l’ultimo anello visibile di un’infrastruttura di accountability: dietro quel numero dovrebbero essere immediatamente ricostruibili il soggetto chiamante, il titolare del trattamento, l’eventuale responsabile esterno, la fonte del dato, la base giuridica del contatto, l’eventuale consenso prestato, la possibilità di opposizione, il rispetto del Registro pubblico delle opposizioni e le misure tecniche adottate per impedire usi abusivi o
sostituzioni fraudolente dell’identità.

L’opposizione formale del cittadino è insufficiente: la filiera è opaca

L’esperienza concreta dimostra che l’opposizione formale del cittadino
non sempre è sufficiente quando la filiera del contatto resta opaca, quando i
consensi sono acquisiti in modo indeterminato, quando le banche dati circolano senza reale governo documentale o quando il call center che materialmente effettua la chiamata opera in una zona grigia rispetto al committente e questo, perché la vera soluzione non può consistere soltanto nel rendere riconoscibile chi chiama, ma nel rendere giuridicamente verificabile perché chiama, per conto di chi chiama, con quale dato chiama e sulla base di quale presupposto normativo chiama.

Ed è qui che la misura Agcom può assumere una portata evolutiva: essa può trasformare l’identificativo del chiamante in uno strumento di compliance by design, cioè in un elemento incorporato nell’architettura stessa del servizio, capace di rendere la legalità non un adempimento ex post, ma una qualità tecnica della comunicazione.
La sicurezza delle comunicazioni, infatti, non riguarda più soltanto la protezione della rete da intrusioni, intercettazioni o malfunzionamenti ma anche la protezione dell’identità comunicativa, ossia la possibilità per l’utente di sapere se l’interlocutore è davvero chi dichiara di essere.

Nel contesto contemporaneo, dominato da tecniche di spoofing, manipolazione del CLI, phishing vocale (vishing), smishing e frodi contrattuali telefoniche, l’identità del chiamante è diventata una superficie di attacco.
Chi falsifica un numero non sottrae soltanto un dato tecnico, ma sottrae certamente fiducia, induce affidamento, simula autorevolezza, sfrutta la vulnerabilità cognitiva dell’utente e altera il presupposto minimo di libertà del consenso.
La sicurezza, pertanto, deve essere letta in senso sostanziale e quindi come
garanzia dell’autenticità relazionale della comunicazione.

Un “certificato visibile” della chiamata lecita: l’Agcom contro le pratiche abusive

Le precedenti misure Agcom in materia di trasparenza e presentazione del numero chiamante, tra cui la delibera n. 106/25/CONS e la successiva n. 271/25/CONS, si collocano proprio in questo processo di progressiva responsabilizzazione degli operatori e di contrasto alle manipolazioni dell’identificativo del chiamante.

La numerazione breve, se correttamente attuata, potrebbe dunque diventare una sorta di “certificato visibile” della chiamata lecita, ma perché ciò avvenga occorre evitare il rischio opposto e cioè che il numero breve si trasformi in un nuovo simbolo di fiducia facilmente replicabile, abusabile o percepito dall’utente come garanzia assoluta.

La soluzione giuridicamente più matura non è attribuire al cittadino l’onere di difendersi riconoscendo il numero, ma costruire un sistema multilivello nel quale la riconoscibilità sia accompagnata da controlli preventivi, registri pubblici consultabili, interoperabilità tra operatori, tracciamento delle assegnazioni, revoca rapida delle numerazioni in caso di abuso, obblighi rafforzati di audit per i soggetti che svolgono attività massive di contatto e sanzioni effettive per chi utilizza identità comunicative ingannevoli.

In termini privacy, questo significa superare la logica puramente documentale dell’informativa e del consenso e approdare a una
logica infrastrutturale della protezione: l’utente non deve infatti essere sommerso da testi informativi astratti, ma deve poter riconoscere in modo semplice, immediato e verificabile la liceità della comunicazione.

La trasparenza, infatti, nel digitale maturo, non coincide più con la mera
disponibilità formale di informazioni, ma con la loro intelligibilità operativa e un sistema può dirsi trasparente quando rende comprensibili le responsabilità, verificabili le identità, contestabili gli abusi e reversibili gli effetti della manipolazione.

Il telemarketing è il sintomo di una
crisi della governance dei dati

Da qui discende una riflessione di più ampia levatura: il telemarketing aggressivo non è soltanto una degenerazione commerciale, ma il sintomo di una crisi della governance dei dati.

La chiamata indesiderata è l’esito finale di una filiera informativa che spesso ha perso il contatto con la volontà dell’interessato.
Ogni volta che un cittadino riceve una chiamata da un soggetto che non sa
identificare, per una proposta che non ricorda di avere autorizzato, utilizzando datiche non sa da dove provengano, si manifesta una frattura tra persona e circolazione delle informazioni che la riguardano.

La risposta regolatoria, allora, deve spostarsi dalla repressione puntuale dell’abuso alla progettazione di ecosistemi affidabili.

Il Tavolo tecnico annunciato da Agcom può essere decisivo proprio se saprà
orientare l’attuazione verso una soluzione non meramente numerica, ma sistemica: numerazioni dedicate, autenticazione forte dell’identità chiamante, registri pubblici delle imprese abilitate, cooperazione con il Garante privacy, interoperabilità con il Registro pubblico delle opposizioni, obblighi di conservazione delle evidenze relative alla base giuridica del contatto, sistemi di segnalazione semplificati per l’utente, blacklisting tempestivo dei soggetti abusivi e responsabilità solidale più incisiva tra committente e call center.

Solo così il numero breve potrà divenire non un maquillage regolatorio, ma un presidio effettivo di legalità comunicativa.
L’obiettivo di fondo dovrebbe essere quello di costruire una catena di fiducia
verificabile:

  • l’impresa che chiama deve essere identificabile;
  • il canale deve essere autenticato
  • il dato deve essere tracciabile, il consenso deve essere dimostrabile
  • l’opposizione deve essere rispettata
  • l’abuso deve essere rapidamente neutralizzato.

Ordine in un mercato della voce che ha eroso la fiducia degli utenti

La delibera Agcom si può leggere come un primo tentativo di ricomporre questa frattura, introducendo un elemento di ordine in un mercato della voce che, negli ultimi anni, ha progressivamente eroso la fiducia degli utenti.

Ma la sfida vera sarà evitare che la riconoscibilità diventi una delega cognitiva al cittadino. Infatti non si può chiedere all’utente di trasformarsi in esperto di numerazione, privacy e cybersicurezza per difendersi da pratiche aggressive.

Il diritto deve farsi architettura protettiva, incorporata nei sistemi, nelle reti, nei contratti tra operatori, nei rapporti tra committenti e outsourcer, nei controlli preventivi e nei meccanismi di revoca.
La soluzione più avanzata, dunque, non è soltanto sapere chi chiama, ma impedire che chi non ha titolo possa chiamare fingendo di essere altro.

Infatti è questo il salto qualitativo richiesto dal tempo presente: passare dalla trasparenza dichiarata alla fiducia verificabile e in un ecosistema comunicativo sempre più vulnerabile la numerazione breve può diventare un tassello importante di una più ampia sovranità informativa dell’utente, purché sia accompagnata da una governance rigorosa, da controlli effettivi e da una visione regolatoria capace di comprendere che la sicurezza
delle comunicazioni non è più soltanto un problema di rete, ma una condizione essenziale della cittadinanza digitale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Federica Giaquinta
Consigliere direttivo di Internet Society Italia
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Router non aggiornati; TP-Link, proposta negli Usa: divieto di vendita dei router prodotti in Cina; Attacco hacker contro i router: ma lasciamo porte aperte ai cyber criminali filo-russi

  • L'indagine

    TP-Link, la proposta USA: divieto di vendita dei router prodotti in Cina

    03 Nov 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • Cybersecurity act 2 NIS 2 EDPB EDPS

  • Joint Opinion

    Modifiche a Cybersecurity Act 2 e NIS2: da EDPB-EDPS un richiamo ai principi del GDPR

    20 Mar 2026

    di Tania Orrù

    Condividi
  • Sarcoma Ransomware: una gang dedita alla doppia estorsione; Knownsec Leak, anatomia di un data breach di Stato; Attacco ransomware al gruppo Poltronesofà: nessuna rivendicazione, ecco cosa sappiamo

  • l'analisi tecnica

    Attacco ransomware a Poltronesofà: il rischio è l'esposizione di dati personali

    20 Nov 2025

    di Mirella Castigli

    Condividi
  • Cybersecurity, che cos'è e come le aziende possono aumentare il loro livello di sicurezza informatica

  • guida

    Dati, reputazione e fiducia: i pilastri della cybersecurity, ecco la guida pratica per mettere in sicurezza le aziende

    16 Set 2025

    di redazione affiliazioni Nextwork360 e Federico Parravicini

    Condividi
0
Lascia un commento, la tua opinione conta.x