Hai mai ricevuto una chiamata da quello che sembrava il numero della tua banca e invece era una truffa? Non è una coincidenza sfortunata. È una tecnica precisa, si chiama CLI Spoofing, ed è rimasta a lungo in una zona grigia normativa. Fino ad ora.
Prima di tutto: cos'è il "numero che appare sul telefono"?
Quando ricevi una chiamata, sul display vedi un numero. Quel numero si chiama tecnicamente CLI (Calling Line Identification), ovvero "identificazione della linea chiamante". In italiano semplice: è il numero del mittente, come il nome sul campanello di casa.
Per decenni abbiamo dato per scontato che quel numero fosse reale. Se vedevi 02-XXXXXXXX, pensavi: qualcuno da Milano mi sta chiamando. Se vedevi il numero della tua banca, pensavi: è la mia banca. Questo è esattamente quello che i truffatori volevano che tu pensassi.
Cos'è il CLI Spoofing (spiegato senza tecnicismi)
Spoofing viene dall'inglese to spoof, che significa "ingannare" o "falsificare". Il CLI Spoofing è quindi la falsificazione del numero chiamante.
Immagina di poter spedire una lettera e scrivere sulla busta il nome e l'indirizzo di chiunque tu voglia — anche della tua banca, dell'INPS o del medico di famiglia. Il destinatario apre la busta convinto di sapere chi gliela ha mandata, ma il mittente reale è qualcun altro, dall'altra parte del mondo.
Il CLI Spoofing funziona esattamente così, ma con le telefonate.
Grazie alla tecnologia VoIP (le chiamate che viaggiano su internet, come quelle di WhatsApp o dei centralini aziendali moderni), chiunque abbia accesso a certi software può programmare manualmente il numero che appare sul tuo schermo, indipendentemente da dove si trovi fisicamente nel mondo.
Come avviene tecnicamente (in parole semplici)
Le chiamate VoIP funzionano con un protocollo che si chiama SIP — pensa a lui come al "postino" che consegna le telefonate su internet. Questo postino porta con sé un "cartellino" con scritto il numero del mittente. Il problema? Nessuno controllava che quel cartellino fosse autentico.
Un truffatore seduto a Bucarest, Lagos o Manila poteva aprire un software gratuito, scrivere +39 02 12345678 nel campo "numero mittente", e chiamare migliaia di italiani facendo apparire quel numero sul loro telefono. Costo dell'operazione: quasi zero. Risultato: l'utente vedeva un numero italiano, locale, familiare — e abbassava la guardia.
Esempi reali: come ti potrebbe colpire
Ecco le situazioni più comuni in cui il CLI Spoofing viene usato per truffare:
🏦 La "truffa della banca"
Ricevi una chiamata. Sul display appare il numero ufficiale del servizio clienti della tua banca — quello che hai anche salvato in rubrica. Una voce professionale ti dice che c'è stato un accesso sospetto al tuo conto e che devi "verificare le credenziali" o "autorizzare un blocco" fornendo il tuo codice PIN o un OTP ricevuto via SMS. La realtà: la tua banca non chiede mai PIN o OTP al telefono. Quel numero era falso.
📋 La "truffa dell'INPS o dell'Agenzia delle Entrate"
Chiamata da un numero romano che inizia per 06. Una voce ti informa di un "problema con la tua posizione fiscale" o di un "rimborso da riscuotere" — ma prima devi fornire il codice fiscale, i dati del conto o cliccare su un link. La realtà: enti pubblici come INPS o AdE comunicano quasi sempre per posta raccomandata, mai chiedendo dati sensibili al telefono.
🏥 La "truffa del medico o dell'ospedale"
Appare il numero del tuo medico di base o di una struttura sanitaria. Ti comunicano un "esame urgente" o un "problema con una ricetta", chiedendoti dati personali o persino un pagamento anticipato. La realtà: i numeri sanitari vengono falsificati proprio perché generano fiducia immediata.
💼 La truffa aziendale (CEO fraud)
In ambito lavorativo, un dipendente riceve una chiamata apparentemente dal numero del proprio direttore o CEO, con istruzioni urgenti di effettuare un bonifico o condividere credenziali aziendali.
Come riconoscere una chiamata sospetta (anche se il numero sembra giusto)
Il CLI Spoofing è difficile da smascherare guardando solo il numero. Ma ci sono segnali d'allarme chiari:
🚩 Ti chiedono dati che già dovrebbero avere
La tua banca conosce già il tuo IBAN, il tuo PIN no. Se ti chiedono PIN, password o OTP: riaggancia.
🚩 Creano urgenza artificiale
"Deve agire ora o il suo conto verrà bloccato." "Ha 10 minuti." L'urgenza è una tecnica psicologica di manipolazione, non una prassi di nessun ente serio.
🚩 Ti chiedono di non riagganciare
Un classico: "Non chiuda la chiamata o perderà la connessione sicura con noi." Nessuna banca o ente funziona così. Riaggancia.
🚩 Il numero non corrisponde al canale ufficiale
Dopo aver ricevuto la chiamata, riaggancia e richiama TU il numero ufficiale — quello sul sito dell'ente o sul retro della tua carta. Non usare il numero che ti ha chiamato.
🚩 Ti arriva un SMS di "conferma" mentre sei al telefono
I truffatori spesso operano in tandem: uno ti tiene al telefono, un altro sta tentando un accesso al tuo conto e ti fa arrivare un OTP che poi ti chiedono di leggere ad alta voce.
La legge: cosa ha stabilito il MIMIT e da quando
Il Ministero delle Imprese e del Made in Italy (MIMIT) ha aggiornato la Specificazione Tecnica ST 769 alla versione 4, una norma tecnica che regola come i numeri di telefono italiani possono essere usati. Cosa stabilisce, in parole semplici:
Un numero di telefono italiano non può più essere usato per fare chiamate da server e infrastrutture straniere non autorizzate.
Fino ad oggi, chiunque avesse accesso a certi strumenti VoIP poteva utilizzare un numero italiano pur operando dall'estero — il cosiddetto "nomadismo VoIP". La ST 769 v.4 lo vieta, imponendo agli operatori telefonici di:
Verificare l'origine delle chiamate — controllare che una chiamata con numero italiano provenga davvero da infrastrutture autorizzate
Bloccare le chiamate sospette — se una chiamata arriva dall'estero con un CLI italiano non verificabile, l'operatore deve bloccarla o non mostrare il numero
Implementare controlli tecnici attivi — non basta più "non fare nulla": gli operatori hanno l'obbligo di dotarsi di sistemi di verifica
Da quando è in vigore?
La ST 769 v.4 è stata pubblicata dal MIMIT ed è entrata progressivamente in vigore a partire da luglio 2025, con gli operatori tenuti ad adeguarsi entro i termini stabiliti dalla normativa. La vigilanza è affidata all'AGCOM (Autorità per le Garanzie nelle Comunicazioni), che può sanzionare gli operatori inadempienti.
Cosa puoi fare TU come utente
La legge aiuta, ma la prima linea di difesa sei sempre tu. Ecco cosa puoi fare concretamente:
✅ Regola d'oro: riaggancia e richiama
Se ricevi una chiamata sospetta — anche da un numero che sembra affidabile — riaggancia e richiama il numero ufficiale dell'ente, cercandolo sul sito ufficiale o sulla tua documentazione cartacea. Non richiamare il numero che ti ha contattato.
✅ Non fornire mai OTP al telefono
L'OTP (il codice temporaneo che ricevi via SMS) è come la chiave di casa tua. Nessuna banca, nessun ente, nessun operatore ti chiederà mai di leggerlo al telefono.
✅ Usa le app ufficiali
Per controllare il saldo, fare bonifici o verificare la tua posizione INPS, usa sempre le app ufficiali o i siti ufficiali — non link ricevuti via SMS o indicazioni date al telefono.
✅ Segnala le chiamate sospette
AGCOM: puoi segnalare numerazioni sospette sul sito agcom.it
Polizia Postale: per truffe già subite, sporgi denuncia su commissariatodips.it
La tua banca: se ti hanno contattato fingendo di essere la tua banca, avvisala immediatamente
✅ Attiva i filtri anti-spam del tuo operatore
Molti operatori offrono servizi di blocco chiamate sospette. Chiedi al tuo operatore se ha strumenti di questo tipo attivabili gratuitamente.
✅ App di identificazione chiamate
App come Truecaller o Hiya aggregano segnalazioni di utenti e possono avvisarti se un numero è già stato identificato come sospetto — anche se il CLI è stato falsificato, spesso il numero "di appoggio" reale è già nella loro banca dati.
In conclusione
Il CLI Spoofing è una truffa sofisticata ma riconoscibile, e la nuova normativa italiana è un passo concreto nella direzione giusta. Per la prima volta, gli operatori telefonici hanno l'obbligo — non solo la possibilità — di fermare queste chiamate prima che arrivino a te.
Ma nessuna legge può sostituire il buon senso. Se una chiamata ti mette fretta, ti chiede dati sensibili o ti sembra strana: riaggancia. Puoi sempre richiamare. Non puoi sempre recuperare quello che hai condiviso.