Come fanno i call center ad avere il mio numero? Consigli legali per tutelarti dalle truffe e dalle chiamate indesiderate

Nel panorama contemporaneo delle telecomunicazioni, il numero di cellulare ha trasceso la sua funzione originaria di mero identificativo di rete per divenire un’estensione critica dell’identità digitale e personale. Oggi, avere un numero di cellulare significa essere aggrediti costantemente dal”telemarketing selvaggio”. La richiesta di comprendere come “eliminare il proprio numero” e tutelarsi legalmente non è più una questione di semplice fastidio, ma una necessità di igiene digitale e sicurezza personale.

L’inefficacia percepita degli strumenti istituzionali, in primis il Registro Pubblico delle Opposizioni (RPO), ha generato un clima di sfiducia e vulnerabilità, alimentato da una complessità tecnica e normativa che spesso sfugge all’utente finale.

In queste righe abbiamo quindi deciso di analizzare l’anatomia economica e tecnica del telemarketing, le falle normative sfruttate dagli operatori illeciti, le recenti innovazioni tecnologiche introdotte dall’AGCOM nel novembre 2025 e le strategie legali, sia amministrative sia penali, a disposizione del cittadino.

L’obiettivo è trasformare la frustrazione dell’utente in competenza strategica, fornendo gli strumenti per navigare in un ecosistema dove i dati sono la valuta corrente e la privacy è un territorio da difendere attivamente.

L’analisi parte dalla premessa che il telemarketing non è un fenomeno monolitico, ma un’idra a più teste che opera su tre livelli distinti: il mercato legittimo (regolato ma aggressivo), la zona grigia (sfruttamento di consensi poco chiari) e il mercato nero (illegalità pura, spoofing e truffe). Comprendere questa distinzione è il primo passo per applicare la contromisura corretta, poiché ciò che ferma un operatore legittimo (il RPO) è totalmente trasparente per un truffatore che opera dal dark web.

Come fanno i call center ad avere i nostri numeri?

Per comprendere l’inefficacia delle misure di blocco, è indispensabile analizzare la catena di approvvigionamento dei dati. La domanda ricorrente “come hanno avuto il mio numero?” trova risposta in una complessa rete di acquisizione che spazia dal consenso estorto tramite dark patterns fino alla compravendita criminale di database trafugati.

La via maestra per l’acquisizione dei dati è, paradossalmente, legale e autorizzata dall’utente stesso. Le normative sulla privacy, incluso il GDPR, permettono il trattamento dei dati per finalità di marketing previo consenso. Tuttavia, la modalità di acquisizione di tale consenso è spesso progettata per massimizzare l’adesione inconsapevole.

Quando un utente sottoscrive un contratto per utenze domestiche (luce, gas), telefonia o servizi finanziari, si trova di fronte a multiple richieste di consenso. Mentre il primo consenso (trattamento dati per esecuzione del contratto) è obbligatorio, i successivi (marketing diretto e, soprattutto, cessione a terzi) sono facoltativi.

Cosa succede, allora? Spesso, durante la stipula rapida di contratti (anche verbali o via web), l’utente viene guidato ad accettare “tutto” per procedere velocemente. Acconsentendo alla cessione a terzi, l’utente autorizza l’azienda A (con cui ha il contratto) a vendere il proprio numero all’azienda B, C e D. Da quel momento, l’azienda B diventa titolare autonomo del dato e può chiamare legittimamente, anche se l’utente non ha mai avuto rapporti diretti con essa.

Ti potrebbe interessare La segnalazione di condotte illecite: come viene tutelata la mia privacy nel caso del Whistleblowing

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza

Programmi fedeltà e profilazione

Le tessere del supermercato e i programmi fedeltà rappresentano una delle fonti più ricche di dati profilati. Le policy privacy di queste carte esplicitano spesso che i dati di contatto, uniti alla profilazione delle abitudini di acquisto (analisi scontrini), possono essere trattati per finalità di marketing e conservati fino a revoca.

Come evidenziato nelle informative, in caso di disabilitazione della carta, i dati possono essere conservati per mesi, e i dati di contatto per l’invio di promozioni possono essere mantenuti a tempo indeterminato fino a esplicita revoca. I dati raccolti alla cassa di un supermercato, poi, possono finire nel database di una compagnia assicurativa partner, innescando una catena di chiamate apparentemente scollegate dall’origine del consenso.

Il Mercato dei Data Broker e i “List Provider”

Tra l’utente e il call center opera una figura intermediaria fondamentale: il List Provider o Data Broker. Queste aziende aggregano enormi volumi di dati da fonti eterogenee: elenchi pubblici, social media, concorsi a premi online, app gratuite. I Data Broker strutturano questi dati in “liste profilate” (es. “Uomini, 40-50 anni, residenti al Nord, interessati alla finanza”) e le vendono ai call center.

In Italia, questo mercato è teoricamente regolato, ma la tracciabilità del consenso originale (chi ha dato il permesso e quando) si perde spesso nei vari passaggi di mano. Un consenso rilasciato nel 2023 per un concorso a premi può essere “rinfrescato” e utilizzato nel 2025 per vendere contratti telefonici.

Il Mercato “Nero”: Dark Web e Violazioni

Esiste, infine, un canale di approvvigionamento completamente illegale che alimenta il telemarketing “selvaggio” e truffaldino. In questo ambito, il consenso è irrilevante.

Per esempio, i Data Breach (Fughe di Dati) sono incidenti di sicurezza informatica presso grandi gestori (enti pubblici, ospedali, piattaforme social) che riversano sul Dark Web milioni di record contenenti numeri di cellulare, nomi e indirizzi. Inchieste recenti hanno evidenziato la vendita di pacchetti contenenti fino a 30 milioni di numeri italiani sul dark web. Questi database vengono acquistati da organizzazioni criminali o call center “abusivi” (spesso situati extra-UE) per pochi centesimi a contatto, pagati in criptovalute.

I Wardialing, invece, sono software automatizzati che generano numeri telefonici casuali e li chiamano in sequenza. Se l’utente risponde, il numero viene marcato come “attivo” e inserito in liste ad alto valore per future campagne.

LEGGI pure Dark Web: cos’è, come accedere e cosa si rischia

Il Registro Pubblico delle Opposizioni (RPO): Analisi di un Fallimento Parziale

Il Registro Pubblico delle Opposizioni è lo strumento cardine della strategia difensiva statale. Tuttavia, l’esperienza degli utenti nel biennio 2024-2025 ne ha messo in luce le criticità strutturali. Per capire perché “non funziona”, bisogna analizzarne i limiti tecnici e giuridici.

Il RPO, riformato nel 2022, permette di iscrivere numeri fissi e mobili per opporsi al telemarketing. L’iscrizione annulla tutti i consensi pregressi rilasciati per finalità di marketing, agendo come una “tabula rasa”. Nonostante l’iscrizione, molti utenti continuano a ricevere chiamate. Questo fenomeno non è dovuto (solo) a un malfunzionamento tecnico del registro, ma a precise eccezioni normative e comportamenti illeciti.

L’iscrizione non ha effetto immediato. Gli operatori di telemarketing sono tenuti a consultare il RPO e aggiornare le proprie liste, ma hanno a disposizione un periodo tecnico fino a 15 giorni (o mensile per alcune tipologie). In questo lasso di tempo, le chiamate possono continuare legittimamente.

Quali sono i limiti del Registro Pubblico delle Opposizioni

Il RPO non blocca le chiamate provenienti da aziende con cui l’utente ha un contratto in essere o cessato da meno di 30 giorni.⁹ Se un utente è cliente di un operatore telefonico, questo può continuare a chiamarlo per proporre upgrade o nuovi servizi, a meno che non si revochi il consenso specificamente presso quell’operatore. Il RPO agisce solo sulle chiamate “a freddo” da terzi, non sulle relazioni commerciali esistenti.

3.2.3. Il Consenso “Successivo” (Sovrascrittura)

Se un utente iscritto al RPO firma un nuovo contratto o accetta una nuova informativa privacy (es. per una tessera punti) che include il consenso al marketing, questo nuovo consenso sovrascrive l’opposizione del RPO per quel specifico soggetto e i suoi partner.¹⁰ È un meccanismo a “porte girevoli”: l’iscrizione chiude la porta, ma ogni nuova firma la riapre parzialmente.

3.2.4. L’Inefficacia contro gli Operatori Abusivi

Questa è la criticità maggiore. Il RPO è vincolante solo per gli operatori che rispettano la legge. I call center abusivi, che operano spesso dall’estero con dati acquistati al mercato nero, non consultano il RPO. Per loro, il rischio di sanzioni è nullo poiché sono difficilmente rintracciabili. Di conseguenza, l’utente iscritto smette di ricevere le chiamate “lecite” (es. promozioni bancarie ufficiali) ma continua a ricevere quelle “aggressive” e truffaldine, percependo il registro come inutile.

Per saperne di più, leggi Registro Pubblico delle Opposizioni per bloccare le chiamate indesiderate: come funziona

Evoluzione Normativa e il Nuovo Codice di Condotta (2024-2025)

In risposta all’insufficienza del solo RPO, il Garante per la Privacy e le associazioni di categoria hanno introdotto un nuovo quadro normativo, operativo pienamente dal 2025: il Codice di Condotta per il Telemarketing, che prevede l’estensione della responsabilità.

In passato, le grandi aziende committenti potevano scaricare la colpa sui call center esterni subappaltatori (“non sapevamo usassero pratiche illegali”). Il nuovo Codice (art. 1 e seguenti) stabilisce che il Committente (l’azienda il cui prodotto viene venduto) agisce come Titolare del Trattamento ed è responsabile dell’intera filiera.

Se un call center abusivo in Albania vende un contratto di energia per conto di una grande azienda italiana usando metodi illegali, l’azienda italiana risponde legalmente della violazione.

Per disincentivare l’uso di call center pirata, il Codice introduce meccanismi contrattuali specifici:

1. i contratti tra committenti e agenzie devono prevedere che non venga corrisposta alcuna provvigione per contratti conclusi a seguito di contatti promozionali illeciti (senza consenso o su numeri iscritti al RPO);
2. sono previste penali contrattuali per le agenzie che violano le regole. Questo approccio mira a rendere economicamente svantaggioso il telemarketing illegale, tagliando i fondi alla fonte.

È stato inoltre istituito un Organismo di Monitoraggio indipendente accreditato presso il Garante. Questo ente ha il potere di verificare l’adesione al Codice, gestire i reclami e sanzionare gli aderenti, offrendo un livello di controllo intermedio più rapido rispetto alle istruttorie ordinarie del Garante.

Ti potrebbe interessare pure Telemarketing e codice di condotta AGCOM: stop alle telefonate illecite

La Minaccia Tecnologica: CLI Spoofing e le Barriere AGCOM

Uno dei motivi principali della frustrazione degli utenti è l’impossibilità di bloccare efficacemente i numeri chiamanti, a causa di una tecnica nota come CLI Spoofing.

Il Calling Line Identification (CLI) Spoofing è la falsificazione dell’identificativo del chiamante. I call center illegali, utilizzando tecnologie VoIP (Voice over IP), possono modificare arbitrariamente il numero che appare sul display della vittima.

In pratica, invece di mostrare un numero internazionale o “sconosciuto” (che verrebbe ignorato), il sistema genera un numero di cellulare italiano casuale (es. +39 347…). Di conseguenza l’utente risponde credendo sia una chiamata legittima. Se prova a bloccare il numero, è inutile, perché la chiamata successiva avrà un ID diverso. Inoltre, se l’utente prova a richiamare quel numero, risponderà un ignaro cittadino (il cui numero è stato clonato/usato come maschera), creando ulteriori conflitti.

Il Filtro Anti-Spoofing AGCOM

Per contrastare questo fenomeno, l’AGCOM ha implementato un sistema di blocco alla frontiera delle reti telefoniche, entrato in vigore per le numerazioni mobili il 19 novembre 2025 (Delibera 106/25/CONS). Il sistema obbliga gli operatori di transito internazionale a verificare l’origine delle chiamate. Se una chiamata proviene da una rete estera, ma presenta un identificativo (CLI) mobile italiano (+39 3xx), il sistema interroga il database dei roaming.

Se il numero italiano mostrato non risulta essere effettivamente all’estero in roaming, la chiamata viene classificata come spoofing e abbattuta preventivamente, impedendo che il telefono dell’utente squilli.

I primi dati sull’efficacia del filtro sono significativi. Nel periodo 19-30 novembre 2025, sono state bloccate circa 49,3 milioni di chiamate illecite, con una media giornaliera di 4,1 milioni di blocchi. Le chiamate spoofate con numero italiano sono crollate drasticamente (da 26,8 a 7,4 milioni al giorno).

Ma, come in un gioco del gatto e del topo, gli operatori illegali si sono adattati. Le statistiche mostrano un aumento parallelo delle chiamate con numerazioni estere reali (prefissi come +44, +355, ecc.), passate da 6,6 a 23,8 milioni al giorno. Sebbene fastidiose, queste sono più facili da riconoscere e bloccare per l’utente rispetto ai falsi numeri italiani.

Approfondisci con Truffe telefoniche: cos’è lo Spoofing e a cosa stare attenti

Come difenderti dalle chiamate indesiderate dei call center

In attesa che le misure normative e di rete raggiungano la piena efficacia, l’utente deve adottare strumenti di “difesa attiva” direttamente sul proprio dispositivo. Sia Android, sia iOS offrono ormai strumenti nativi potenti per la gestione delle chiamate indesiderate.

L’app “Telefono” di Google (preinstallata su Pixel e molti Android, scaricabile su altri) integra uno dei filtri antispam più avanzati, basato sull’intelligenza artificiale e sui database globali di Google. Abilitando questa funzione, il telefono riconosce i numeri segnalati come SPAM e può bloccarli silenziosamente.

Apple offre un approccio più “binario” ma estremamente efficace. Permette infatti di silenziare i numeri conosciuti: questa funzione invia direttamente alla segreteria tutte le chiamate provenienti da numeri non presenti in Rubrica, tra i contatti recenti o nei suggerimenti di Siri. Di buono c’è che elimina il 100% dello SPAM da numeri casuali. Purtroppo, però, rischia di bloccare chiamate legittime importanti (es. corrieri, ospedali, nuovi clienti per i professionisti). Pertanto, va usata con consapevolezza.

LEGGI pure Filtro AGCOM anti-spam: perché continuo a ricevere chiamate dagli operatori di telemarketing?

Applicazioni di Terze Parti

Esistono numerose ppopi app dedicate (Truecaller, Hiya, Should I Answer) che utilizzano liste nere comunitarie (crowdsourcing). Quando un utente riceve una chiamata molesta, la segnala. Se il numero riceve molte segnalazioni, viene bloccato per tutti gli utenti dell’app.

C’è, però, un punto da evidenziare e riguarda la privacy. È fondamentale leggere le policy di queste app. Molte versioni gratuite “pagano” il servizio accedendo alla rubrica dell’utente e caricando i contatti sui propri server per arricchire il database global. L’utente protegge sé stesso, ma espone i dati dei propri contatti.

Se scegli di usare queste app, opta per quelle che operano con database offline o che garantiscono il non-caricamento della rubrica personale.

Tutela legale amministrativa: il reclamo al Garante

Se le difese tecniche vengono superate, l’utente ha diritto di agire legalmente. La via amministrativa, attraverso il Garante per la Protezione dei Dati Personali, è la più indicata per le violazioni commerciali e il telemarketing non conforme. Il Garante ha semplificato notevolmente le procedure di segnalazione, abbandonando i vecchi moduli cartacei a favore di un portale telematico dedicato.

Il Garante non interviene per “spegnere” le chiamate verso il singolo utente in tempo reale. Le segnalazioni vengono aggregate per identificare fenomeni massivi. Quando un’azienda accumula un numero critico di segnalazioni, scatta l’istruttoria che può portare a sanzioni amministrative milionarie (come avvenuto in passato per i principali operatori nazionali) e ordini di cessazione del comportamento illecito.

Ti potrebbe interessare Telecamere di videosorveglianza: quando violano la privacy?

Come denunciare un operatore per molestie

Quando il telemarketing supera la soglia del fastidio commerciale e diventa persecutorio, si entra nel campo del diritto penale. L’articolo di riferimento è il 660 del Codice Penale (“Molestia o disturbo alle persone“).

La giurisprudenza della Corte di Cassazione ha delineato confini precisi per l’applicabilità di questo articolo al telemarketing. Non basta ricevere pubblicità indesiderata. Devono sussistere due elementi chiave:

1. la petulanza, cioè un modo di agire pressante, indiscreto e invadente, che interferisce sgradevolmente nella sfera privata altrui;
2. il biasimevole Motivo: nel caso del marketing, il motivo è il profitto, ma diventa biasimevole quando perseguito con modalità che ignorano il dissenso esplicito della vittima.

Si consiglia di procedere con querela penale nei casi di:

• reiterazione ossessiva – decine di chiamate al giorno, anche mute, che rendono il telefono inutilizzabile;
• aggressività – operatori che insultano, minacciano o richiamano immediatamente dopo essere stati invitati a non farlo;
• orari Inappropriati – chiamate sistematiche in orari notturni o festivi.

Le indagini penali contro call center abusivi (spesso con numeri spoofati e sedi estere) sono estremamente complesse e spesso si concludono con l’archiviazione per “autori ignoti”. Tuttavia, la querela è necessaria per attivare poteri investigativi più profondi (tabulati telefonici) che il singolo cittadino non può richiedere.

LEGGI ANCHE Eliminazione cookie di terze parti: la privacy è al sicuro?

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza