CLI Spoofing: cos'è, filtro AGCOM 2025 e come difendersi

Il telefono squilla.

Sul display compare il numero della vostra banca — lo stesso salvato in rubrica, quello vero. Dall’altra parte una voce professionale vi avvisa di un movimento sospetto sul conto e vi chiede di confermare le credenziali per bloccarlo. Tutto torna: il numero è giusto, il tono è giusto, l’urgenza sembra giustificata. Eppure la banca non vi ha mai chiamato. Quel numero è stato falsificato, e voi state parlando con un truffatore.

Questa è la meccanica del CLI Spoofing (Calling Line Identification Spoofing): la manipolazione dell’identificativo del chiamante, che fa comparire sul vostro display un numero diverso da quello reale. È la tecnica che alimenta il vishing — il phishing telefonico — e che fino a poco tempo fa in Italia non incontrava quasi ostacoli. Dal 2025 il quadro è cambiato: l’AGCOM ha introdotto i primi filtri di rete che bloccano milioni di chiamate falsificate. In questa guida vediamo come funziona la tecnica, cosa blocca davvero il filtro AGCOM, cosa invece non blocca, e come difendervi.

Cos’è il CLI Spoofing
Come funziona: SS7 e VoIP
La svolta del 2025: il filtro anti-spoofing AGCOM
Cosa il filtro non blocca
Come difendersi dal vishing
Il rischio per le aziende
Domande frequenti

Cos’è il CLI Spoofing

Il CLI Spoofing è l’alterazione del CLI (Calling Line Identification), il dato che le reti telefoniche trasmettono per identificare chi chiama. Quando il CLI viene manipolato, il destinatario visualizza un numero che non corrisponde all’origine reale della chiamata: il numero della banca, di un ente pubblico, delle forze dell’ordine, o persino di un familiare.

Il punto di forza dell’inganno è psicologico prima che tecnico. Tutta la fiducia che riponiamo nel riconoscere “chi ci chiama” si fonda su quel numero a display, e per decenni quel dato è stato considerato attendibile. Falsificarlo significa rubare la credibilità di qualcun altro: la vittima non deve essere convinta a fidarsi, si fida già. È il motivo per cui le frodi basate sullo spoofing — finte banche, finti operatori, finti uffici immigrazione — colpiscono con efficacia anche persone attente, e con particolare durezza gli anziani.

Come funziona: SS7 e VoIP

Le strade tecniche per falsificare il numero chiamante sono principalmente due.

La prima sfrutta le debolezze del protocollo SS7 (Signaling System 7), lo standard del 1984 con cui le reti telefoniche si scambiano i dati di segnalazione, incluso l’identificativo del chiamante. SS7 è nato in un’epoca in cui le reti erano poche e si fidavano l’una dell’altra: non prevede meccanismi robusti di autenticazione, e chi ottiene accesso alla segnalazione può intercettare e modificare i messaggi in transito, compreso il numero che arriverà sul display del destinatario. Sono vulnerabilità note da anni e mai risolte alla radice, perché correggerle significherebbe rifondare l’infrastruttura telefonica mondiale.

La seconda strada, oggi la più battuta perché alla portata di chiunque, passa dai servizi VoIP. Alcuni provider permettono di personalizzare l’ID chiamante in uscita: una funzione legittima per usi leciti (un’azienda che vuole mostrare il centralino invece dei singoli interni), che diventa lo strumento perfetto per la frode. Il truffatore imposta come numero in uscita quello della banca o dell’ente da impersonare, la chiamata attraversa reti che non sempre verificano la coerenza del dato, e il numero falsificato arriva pulito sul telefono della vittima. Con una VPN e server proxy a monte, risalire all’origine reale diventa molto difficile.

La svolta del 2025: il filtro anti-spoofing AGCOM

Fino al 2025, in Italia, una chiamata dall’estero con numero italiano falsificato arrivava indisturbata. La delibera AGCOM n. 106/25/CONS ha cambiato le regole, introducendo il primo blocco strutturale a livello di rete, in due fasi.

Dal 19 agosto 2025 gli operatori bloccano le chiamate provenienti dall’estero che presentano un CLI di rete fissa italiana: poiché i numeri fissi italiani non possono legittimamente originare chiamate dall’estero, quel traffico è per definizione falsificato. Dal 19 novembre 2025 il blocco si è esteso ai numeri mobili italiani, con un controllo in più: la chiamata viene bloccata solo se l’utente titolare del numero non risulta realmente in roaming all’estero, per non penalizzare chi chiama legittimamente dall’estero col proprio cellulare.

I numeri danno la misura del fenomeno: nel solo mese di settembre 2025 il filtro sulla rete fissa ha bloccato circa 20 milioni di chiamate falsificate. A novembre l’Autorità ha integrato il quadro con la delibera 271/25/CONS, rafforzando le disposizioni attuative e la vigilanza sugli operatori.

Cosa il filtro non blocca

Sarebbe un errore considerare il problema risolto, e va detto con chiarezza: il filtro AGCOM blocca lo spoofing proveniente dall’estero con numerazione italiana contraffatta. Non copre, per ora, lo spoofing originato e terminato in Italia, che la stessa Autorità ha demandato a un tavolo tecnico dedicato. E non può nulla contro le tecniche che non passano dalla falsificazione del numero: il truffatore che chiama da un numero reale ma sconosciuto, i messaggi di smishing, o gli scenari ibridi in cui lo spoofing è solo il primo anello di una frode più articolata.

In altre parole: il filtro ha drasticamente ridotto il volume delle chiamate contraffatte dall’estero, ma la regola di condotta personale non cambia. Il numero a display è tornato un indizio più affidabile di prima, non una prova.

Come difendersi dal vishing

La difesa più solida resta comportamentale, e si fonda su un principio: l’identità di chi vi chiama non si verifica mai dentro la stessa chiamata. Se “la banca” vi contatta segnalando un problema, riagganciate e richiamate voi il numero ufficiale — quello sul retro della carta o sul sito — non quello da cui siete stati chiamati. Nessun istituto serio chiede credenziali, PIN o codici dispositivi al telefono: la sola richiesta è il segnale della frode, a prescindere dal numero che compare.

Diffidate dell’urgenza, che è lo strumento principe del truffatore: il conto da bloccare “subito”, il pacco fermo “solo per oggi”. E ricordate che lo spoofing funziona anche al contrario: il vostro numero può essere usato per truffare altri. Se ricevete richiami da sconosciuti che dicono di aver ricevuto una vostra chiamata mai fatta, è probabile che il vostro numero sia stato falsificato da terzi — fenomeno fastidioso ma che non implica alcuna compromissione del vostro telefono.

Il rischio per le aziende

Per le aziende il CLI Spoofing è un rischio doppio. Da un lato i dipendenti sono bersagli: una chiamata che mostra il numero interno del CEO o dell’IT può convincere un collaboratore a comunicare credenziali o autorizzare operazioni — è la variante telefonica del CEO fraud, e con il voice cloning la voce stessa può essere contraffatta oltre al numero. Dall’altro lato il numero aziendale può essere falsificato per truffare clienti e fornitori, con danni reputazionali diretti. Lo spoofing del chiamante si combina inoltre spesso con altri attacchi basati sul numero di telefono, come il SIM swap.

La contromisura organizzativa è definire procedure di verifica fuori banda per ogni richiesta sensibile arrivata per telefono: nessuna operazione dispositiva si autorizza sulla base di una chiamata, per quanto credibile. La contromisura formativa è preparare le persone a riconoscere la pressione e l’urgenza come segnali d’allarme.

Il vishing colpisce le persone prima dei sistemi, e la differenza la fa chi risponde al telefono. Cyberment affianca le imprese italiane con la formazione cyber security per i dipendenti, che prepara i team a riconoscere vishing, smishing e ingegneria sociale, e con il Vulnerability Assessment e il Penetration Test certificati ISO 27001 per verificare la solidità dell’infrastruttura su cui viaggiano le vostre comunicazioni.

Domande frequenti

Cos’è il CLI Spoofing?

È la falsificazione del numero chiamante (CLI, Calling Line Identification): chi riceve la chiamata visualizza un numero diverso da quello reale, ad esempio quello della propria banca o di un ente pubblico. È la tecnica alla base di gran parte delle frodi telefoniche (vishing).

Il numero che vedo sul display è affidabile?

Più di prima, ma non è una prova. Dal 2025 i filtri AGCOM bloccano le chiamate dall’estero con numeri italiani contraffatti, riducendo drasticamente il fenomeno, ma lo spoofing originato in Italia e altre tecniche di frode restano possibili. L’identità di chi chiama va sempre verificata richiamando il numero ufficiale.

Cosa prevede il filtro anti-spoofing AGCOM?

La delibera 106/25/CONS impone agli operatori di bloccare le chiamate provenienti dall’estero con numero italiano falsificato: dal 19 agosto 2025 per i numeri fissi, dal 19 novembre 2025 per i mobili (salvo utenti realmente in roaming). Nel solo settembre 2025 sono state bloccate circa 20 milioni di chiamate.

Perché ricevo richiami da persone che dicono di aver ricevuto una mia chiamata?

Probabilmente il vostro numero è stato falsificato da truffatori per chiamare altre persone. È un uso illecito del vostro identificativo, non una compromissione del vostro telefono: non significa che siate stati hackerati.

Come si difende un’azienda dal vishing?

Con procedure di verifica fuori banda (nessuna operazione sensibile autorizzata solo sulla base di una telefonata, per quanto credibile) e con la formazione del personale a riconoscere urgenza e pressione come segnali di frode. Il numero visualizzato non basta mai come prova d’identità.

Lo spoofing è reato in Italia?

L’uso del CLI Spoofing per commettere frodi integra reati come la truffa (art. 640 c.p.), la frode informatica (art. 640-ter c.p.) e la sostituzione di persona (art. 494 c.p.). Le delibere AGCOM hanno inoltre introdotto obblighi per gli operatori, rendendo perseguibili anche i soggetti che non verificano o alterano il CLI.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.