CLI spoofing

COS’È IL CLI SPOOFING?

E’ quella pratica di telemarketing e teleselling, aggressivo e illegale, basato sul ‘camuffamento’ dell’identità della linea chiamante (Call line Identity – CLI, appunto). Con questo sistema, sul display del destinatario della telefonata viene fatto apparire – anziché il vero numero del soggetto che effettua la chiamata a fini commerciali dall’estero - un numero telefonico di rete fisso o mobile non più attivo, inesistente e non registrato, L’utente finale viene quindi indotto a rispondere alla chiamata, perché tratto in inganno dalla ‘familiarità’ del numero ‘italiano’ rispetto a quello estero, viceversa considerato di solito sospetto e dunque non meritevole di risposta.

Molte volte accade che mediante lo spoofing telefonico viene perfezionato il vishing: i truffatori utilizzano la tecnologia VoIP per far apparire le loro chiamate come se provenissero da numeri di telefono legittimi, come quelli della banca o della polizia. Questo può indurre le vittime a fornire informazioni sensibili o a trasferire denaro. Tale tecnica viene utilizzata anche per camuffare il mittente degli SMS, tecnica maggiormente adoperata dai criminali nota come smishing.

Secondo quanto segnalato dalla Polizia Postale italiana, ci sono stati 553 casi di denunce per furto d’identità nel 2023 mediante vishing e 432 nei primi 8 mesi del 2024. La dimensione delle truffe online realizzate ricorrendo a tecniche di CLI spoofing è stimabile, nel 2023, in circa 140 milioni di euro di somme sottratte, con circa 3600 persone indagate e, purtroppo, un trend in costante aumento.

COSA SUCCEDE NEL RESTO D’EUROPA?

L’Italia ovviamente non è l’unico Paese europeo ad aver adottato un sistema di contrasto al CLI spoofing. Ecco una panoramica delle soluzioni impiegate da altri Stati Ue, riassunte anche nella tabella in calce:

Do-not-originate registry e Protected numbers registry: database di numeri che non possono essere utilizzati come identificativi della chiamata. Esempi di numerazioni bloccate in alcuni Paesi includono i numeri che non rispettano gli standard internazionali dell’ITU-T, i numeri premium, i numeri brevi, le numerazioni dei servizi bancari quando provenienti dall’estero e i numeri non assegnati. Questi meccanismi risultano implementati in Belgio, Repubblica Ceca, Germania, Irlanda, Polonia, Spagna e Regno Unito.

Blocco delle chiamate internazionali in entrata con CLI nazionale: questa pratica consiste nel bloccare o nascondere l’identificativo del chiamante per le chiamate provenienti dall'estero che utilizzano un numero nazionale. Il blocco per i numeri di rete fissa è più diffuso in quanto di più semplice implementazione, mentre per le chiamate mobili è prevista l’esistenza di un database condiviso tra gli operatori per la verifica dei numeri mobili in roaming. Questi meccanismi risultano proposti o implementati in Belgio, Repubblica Ceca, Irlanda, Malta, Spagna, Polonia, Svezia, Finlandia e Regno Unito.

Protocollo STIR/SHAKEN: autentica l'identità del chiamante all'inizio della chiamata e la verifica alla fine del percorso della chiamata, utilizzando un meccanismo basato su firme digitali. Può essere utilizzato solo per le chiamate in tecnologia VoIP. In Europa tale sistema è stato proposto solo in Francia ma non ancora implementato a causa delle difficoltà tecniche e dei costi elevati.

Registro o divieto per ID mittente alfanumerico negli SMS: Finlandia, Francia, Italia, Irlanda, Polonia, Spagna e Regno Unito regolano l’uso di nomi di mittenti nei messaggi SMS invece che numeri di telefono. In Italia è in vigore la delibera n. 12/23/CIR recante “Regolamento sull’utilizzo dei caratteri alfanumerici che identificano il soggetto mittente nei servizi di messaggistica aziendale (SMS ALIAS)” che vieta l’uso di Alias nella messaggistica senza la preventiva registrazione dell’Alias stesso nel relativo Registro gestito dall’Autorità. In questo caso vi sono tecniche diverse, quella adottata in Italia permette la fornitura di servizi SMS con ID mittente alfanumerico da parte di qualsiasi attività, mentre altre tecniche, quale quella adottata nel Regno Unito è mirata a salvaguardare solo alcuni identificativi (tipicamente quelli bancari).

IL NUOVO REGOLAMENTO RISOLVERÀ IL PROBLEMA?

Secondo molti osservatori, il sistema adottato da Agcom sarà efficace per arginare un alto numero di casi di CLI spoofing, ma non tutti, non potendo ‘filtrare’, ad esempio, le chiamate che viaggiano solo su internet, come quelle tramite WhatsApp, né quelle satellitari, che risultano ancora poco usate in Italia per fini truffaldini, ma che all’estero invece sono già una pericolosa consuetudine.

Ecco perché, Movimento Consumatori ha proposto al legislatore nazionale di adottare anche altri sistemi già impiegati in Ue, come ad esempio il protocollo di autenticazione STIR/SHAKEN adottato in Francia, che associa una firma digitale all’ID del chiamante, richiedendo agli operatori di bloccare le chiamate non autenticate o che non superano la verifica SHAKEN.