L'Autorità Garante per la Protezione dei Dati Personali ha avviato una nuova serie di procedimenti amministrativi contro tre società di marketing che utilizzavano illecitamente la funzione Cerca Nome Con Numero Telefonico per raccogliere informazioni sensibili senza il consenso degli interessati. Il provvedimento, annunciato il 28 aprile 2026, fa seguito a oltre 450 segnalazioni ricevute negli ultimi sei mesi riguardanti l'uso improprio di database digitali per scopi pubblicitari aggressivi. Pasquale Stanzione, Presidente del Garante, ha confermato in una nota ufficiale che le verifiche tecniche hanno rivelato l'esistenza di software automatizzati capaci di estrarre identità personali partendo da numerazioni casuali generate da algoritmi.
Le indagini condotte dal Nucleo Speciale Privacy della Guardia di Finanza hanno accertato che i dati venivano rivenduti a call center operanti fuori dall'Unione Europea, violando i principi cardine del Regolamento Generale sulla Protezione dei Dati (GDPR). Secondo il rapporto tecnico presentato al Ministero delle Imprese e del Made in Italy, le piattaforme coinvolte avrebbero processato oltre 12 milioni di utenze telefoniche italiane nel solo primo trimestre dell'anno in corso. La pratica mirava a profilare gli utenti per offrire servizi energetici e assicurativi attraverso contatti telefonici non sollecitati che spesso eludevano le restrizioni del Registro Pubblico delle Opposizioni.
Limiti Legali del Servizio Cerca Nome Con Numero Telefonico
La normativa italiana vigente stabilisce criteri rigidi per l'accessibilità dei dati identificativi legati a una numerazione telefonica fissa o mobile. Il decreto legislativo 196 del 2003, aggiornato dalle successive disposizioni europee, prevede che l'abbinamento tra un numero e un'identità sia lecito solo se l'utente ha espresso un consenso esplicito per l'inserimento negli elenchi pubblici. Molte delle applicazioni moderne che promettono la funzione Cerca Nome Con Numero Telefonico operano invece tramite il sistema del crowdsourcing, attingendo alle rubriche personali caricate dagli utenti stessi sui server aziendali.
Antonello Soro, ex Garante della Privacy, ha spiegato durante un recente seminario presso l'Università La Sapienza che queste applicazioni creano un paradosso giuridico in cui il consenso di un singolo utente espone i dati di centinaia di contatti inconsapevoli. I server analizzati durante le ultime ispezioni contenevano registrazioni che risalivano a diverse ondate di acquisizione dati, rendendo difficile la cancellazione definitiva richiesta dalla legge. Le società coinvolte hanno ora 30 giorni di tempo per presentare memorie difensive prima che le multe pecuniarie, che potrebbero raggiungere il 4% del fatturato annuo globale, diventino definitive.
Impatto delle Tecnologie di Identificazione Inversa sul Mercato Digitale
Il mercato globale delle soluzioni di identificazione del chiamante ha raggiunto un valore stimato di 2,4 miliardi di euro nel 2025, secondo i dati pubblicati da International Data Corporation (IDC). Questa crescita è stata alimentata dalla necessità dei consumatori di difendersi dallo spam telefonico e dalle truffe telematiche che utilizzano la tecnica dello spoofing. Tuttavia, la stessa tecnologia che protegge l'utente dal marketing indesiderato può essere trasformata in uno strumento di sorveglianza commerciale se i protocolli di sicurezza non sono adeguatamente monitorati dalle autorità nazionali.
Assotelecomunicazioni-Asstel, l'associazione che rappresenta la filiera delle telecomunicazioni in Italia, ha evidenziato in un documento programmatico la necessità di standard tecnici uniformi per l'interoperabilità dei database. Massimo Sarmi, Presidente di Asstel, ha dichiarato che la protezione dell'integrità delle reti mobili dipende dalla capacità di distinguere tra servizi di pubblica utilità e pratiche predatorie di acquisizione dati. L'associazione propone l'adozione di sistemi di crittografia asimmetrica per impedire che le interrogazioni massive dei database possano rivelare l'identità degli abbonati a soggetti non autorizzati.
Rischi per la Sicurezza Cibernetica e Casi di Identità Sottratta
L'Agenzia per la Cybersicurezza Nazionale (ACN) ha inserito il monitoraggio dei servizi di ricerca inversa tra le priorità del piano di resilienza digitale per il biennio 2026-2027. Secondo il rapporto Clusit 2025, il furto di identità tramite ingegneria sociale è aumentato del 18% nell'ultimo anno, spesso facilitato dalla conoscenza preventiva del nome della vittima. Gli attaccanti utilizzano le informazioni ottenute illegalmente per rendere più credibili i messaggi di phishing inviati tramite piattaforme di messaggistica istantanea come WhatsApp o Telegram.
Un caso studio citato dall'agenzia riguarda una campagna di frodi bancarie che ha colpito oltre 5.000 correntisti nel Nord Italia lo scorso dicembre. I truffatori, conoscendo il nome associato al numero di telefono, si fingevano operatori della sicurezza degli istituti di credito per ottenere i codici di accesso ai conti correnti. Bruno Frattasi, Direttore Generale dell'ACN, ha sottolineato che la disponibilità pubblica di dati che dovrebbero restare privati costituisce una vulnerabilità sistemica che le organizzazioni criminali sfruttano con precisione chirurgica.
Critiche alle Attuali Misure di Contrasto e Limiti Tecnici
Nonostante l'inasprimento delle sanzioni, diverse associazioni di consumatori sostengono che le misure intraprese dal Garante non siano sufficienti a fermare il fenomeno alla radice. Il Movimento Consumatori ha depositato un esposto alla Commissione Europea sostenendo che l'Italia non stia applicando correttamente la direttiva e-Privacy per quanto riguarda il controllo dei metadata. Alessandro Mostaccio, Segretario Generale dell'associazione, ha affermato che le multe, per quanto elevate, vengono spesso considerate dalle grandi aziende come semplici costi di esercizio all'interno di modelli di business altamente redditizi.
Esiste inoltre una complicazione tecnica legata alla giurisdizione internazionale delle applicazioni che offrono servizi di identificazione. Molte di queste società hanno sede legale in paesi extracomunitari come Singapore o gli Stati Uniti, dove le leggi sulla protezione dei dati sono meno stringenti rispetto al quadro normativo europeo. Questa frammentazione legale rende complesso l'esercizio del diritto all'oblio per i cittadini italiani che scoprono i propri nomi inseriti in database globali senza aver mai fornito alcuna autorizzazione preventiva.
Il Ruolo del Registro Pubblico delle Opposizioni nel Nuovo Scenario
Il Ministero delle Imprese e del Made in Italy ha recentemente aggiornato il portale del Registro Pubblico delle Opposizioni per includere strumenti di segnalazione più veloci contro le chiamate effettuate tramite sistemi automatizzati. I dati ufficiali indicano che oltre 28 milioni di utenze sono attualmente iscritte al registro, ma l'efficacia del sistema rimane parziale a causa dell'uso di numerazioni temporanee da parte dei call center illegali. Il ministero sta valutando l'introduzione di un sistema di "whitelist" che consentirebbe solo a operatori certificati di accedere alle informazioni di contatto per finalità commerciali.
Le verifiche effettuate dal Ministero hanno dimostrato che il 60% delle chiamate moleste proviene da aziende che non consultano regolarmente il registro prima di avviare le campagne di vendita. Il Sottosegretario con delega alle telecomunicazioni ha ribadito che la trasparenza nella gestione dei dati telefonici è un requisito essenziale per la fiducia nell'economia digitale nazionale. Sono allo studio nuove integrazioni tecnologiche che permetterebbero agli operatori di rete di bloccare alla fonte le chiamate che presentano firme digitali non conformi agli standard di sicurezza europei.
Prospettive Future e Nuove Regolamentazioni in Arrivo
La Commissione Europea sta ultimando la revisione del regolamento sull'Intelligenza Artificiale che includerà restrizioni specifiche sul web scraping di dati personali per la creazione di profili identificativi. Le nuove linee guida, previste per la fine del 2026, imporranno ai fornitori di servizi digitali di implementare misure di "privacy by design" che impediscano l'estrazione massiva di nomi e numeri. Gli esperti dell'European Data Protection Board stanno lavorando a un protocollo unico per la gestione delle richieste di accesso ai dati che coinvolgerà tutti gli Stati membri.
Nei prossimi mesi il Parlamento Italiano dovrà discutere l'approvazione di un emendamento al Codice delle Comunicazioni Elettroniche per rafforzare i poteri ispettivi dell'Autorità per le Garanzie nelle Comunicazioni (AGCOM). Questo intervento legislativo mira a colmare i vuoti normativi che permettono attualmente l'esistenza di zone grigie nel trattamento dei dati raccolti tramite applicazioni mobili. La sorveglianza si sposterà progressivamente verso il monitoraggio in tempo reale del traffico dati per intercettare i flussi di informazioni verso server non censiti dalle autorità competenti.
