Si chiama spoofing ed è quella tecnica che permette ai malintenzionati di effettuare chiamate o inviare messaggi facendosi passare per un’altra persona o entità tramite appunto lo spoofing del numero chiamante (il Cli). L’obiettivo può essere quello di ingannare la vittima a rivelare informazioni sensibili o a compiere determinate azioni, come ad esempio trasferire denaro.
Un fenomeno che sta assumendo proporzioni importanti. Secondo i dati della Federal Trade Commission statunitense, i consumatori americani hanno perso quasi 6 miliardi di dollari a causa di frodi veicolate tramite la tecnica dello spoofing mentre, stando ai dati della Communications Fraud Control Association, sono pari a 40 miliardi di dollari le perdite annuali delle aziende.
A questi dati si aggiunge anche la questione della “tenuta” di un settore, quello del telemarketing e quindi dei call center, che solo in Italia conta circa 80mila addetti e contribuisce al pil per quasi 3 miliardi, inficiato dalle chiamate fraudolente.
L’Agcom ha avviato, e concluso, una consultazione pubblica per introdurre nuove regole dirette a contrastare le frodi che prevedono la cooperazione tra i player, nell’ambito di un tavolo tecnico, per definire le misure tecniche di blocco.
Di quello che sta succedendo su questo fronte ne discutiamo con Silvia De Fina, Responsabile del Business Development per i Prodotti Italtel
De Fina, partiamo dall’inizio: a cosa è dovuto il proliferare di queste azioni fraudolente veicolate con la tecnica dello spoofing?
La transizione delle reti telefoniche verso reti basate sul protocollo IP, trasferendo “intelligenza” dal centro alla periferia della rete, e quindi agli stessi utenti, ha reso possibile da parte di questi ultimi, e con pochi sforzi, la manomissione del Cli e quindi dell’identità del chiamante. Il combinato con l’intelligenza artificiale, inoltre, strumento anch’esso alla portata di tutti, permette di “raffinare” queste azioni. Mi riferisco ad esempio al fenomeno delle voci false e personalizzate che assomigliano a quelle di persone conosciute dalle vittime, come parenti, amici, consulenti finanziari o persino autorità governative. Una situazione che non solo rende più difficile per le vittime proteggersi dal rischio di frode, ma va ad impattare pericolosamente sul funzionamento della PA e delle infrastrutture critiche. Per questo è necessario alzare l’asticella della sicurezza.
In che modo la tecnologia “viene in soccorso”?
L’industria delle telecomunicazioni, in collaborazione con gli enti normativi, ha sviluppato il protocollo Stir/Shaken. Si tratta di un insieme di standard che consentono alle reti telefoniche di verificare l’autenticità delle chiamate, utilizzando certificati digitali basati su chiavi private e pubbliche, al fine di assicurare che l’identità del chiamante possa essere correttamente verificata. Sono tre i possibili esiti del processo di verifica: la prima è la certificazione A ovvero quando si riconosce sia l’origine della chiamata sia l’identità del chiamante. In genere questo avviene quando la chiamata parte da un numero fisico personale e non da un centralino. La certificazione di tipo B è quando la quando la chiamata arriva da un centralino e quindi si può certificare la provenienza ma non l’identità del chiamante. Quella di tipo C non riesce a identificare né la provenienza né identità del chiamante. E qui servono ulteriori misure di sicurezza. Gli Stati Uniti sono stati i primi ad adottare questo protocollo per obbligo di legge, seguiti da Canada e Francia.
In Francia Italtel ha messo in campo la sua soluzione Stir/Shaken per alcuni operatori
In Francia Koesio e Canal Plus Telecom hanno adottato la nostra soluzione Stir/Shaken per contrastare le truffe telefoniche. La soluzione è pienamente conforme alla Legge Naegelen che richiede a operatori e fornitori di servizi di implementare soluzioni per proteggere i loro clienti da vari tipi di frodi telefoniche. La soluzione include anche una piattaforma di analitiche ottimizzata per l’obiettivo anti-spoofing, in grado di analizzare dati, individuare correlazioni, tendenze e gestire opportunamente i vari incident report, ovvero le segnalazioni di eventi sospetti. La piattaforma è inoltre predisposta per dialogare con il sistema di governance centralizzato.
In Italia, invece, come ci stiamo muovendo?
Sono due i fronti si cui si sta lavorando. Per contrastare la piaga dello spoofing, AssoCall-Confcommercio sta promuovendo protocolli di intesa tra associazioni di categoria, operatori telefonici e fornitori di soluzioni, autorità regolatorie e operatori telefonici per la diffusione del protocolloStir/Shaken. La novità sta nel fatto che si punta ad adottare questa soluzione con l’integrazione di funzionalità avanzate, come l’utilizzo di database condivisi, per migliorare ulteriormente il controllo sulle chiamate contraffatte. Il Protocollo per la “Prevenzione e il Contrasto contro le Chiamate Contraffatte dell’Identificativo Chiamante (Cli Spoofing)” ha trovato l’adesione di associazioni di tutela dei consumatori come Codacons, Assoutenti, Aeci e altre, insieme ad aziende come appunto Italtel.
L’altra direttrice su cui ci stiamo muovendo?
Nella delibera 457/24/Cons, varata lo scorso novembre, Agcom ha avviato una consultazione per raccogliere pareri e proposte da parte di tutti i portatori di interesse con l’obiettivo di convergere velocemente verso una soluzione tecnica che tutti gli operatori telefonici dovranno poi adottare presso le loro reti. In questo momento si stanno strutturando tavoli regolamentari e tecnici per far dialogare tutti gli attori della filiera, a partire dai gestori telefonici.
In prospettiva possiamo dire che si sta lavorando a un “modello italiano” per sconfiggere lo spoofing?
Certamente il valore aggiunto della “strategia” italiana sta nel fatto nel voler coinvolgere e sensibilizzare tutta la filiera nella gestione del fenomeno spoofing e nella sua soluzione. Inoltre, l’Italia essendo un “follower” rispetto a Paesi come Usa e Francia, che si sono mossi per primi, ha il vantaggio di poter potenziare le azioni di difesa.
In che senso?
Rafforzando il protocollo Stir/Shaken con ulteriori misure di sicurezza, soprattutto per le chiamate provenienti da numeri nazionali mobili ma che, per strani giri, passano da carrier internazionali. In questo caso certificare l’identità del numero chiamante non potrà essere sempre possibile, ed è pertanto necessario lavorare affinché si possano raccogliere informazioni aggiuntive, come l’effettivo stato di roaming all’estero di quella SIM. Se dalle informazioni raccolte risulta che quella SIM non si trova all’estero, la chiamata va bloccata. Si tratta di un’integrazione fondamentale per aumentare l’efficacia delle azioni di scurezza, integrazione che, tra l’altro, sta proponendo il regolatore britannico Ofcom. Però per gestire queste informazioni, che sono “sensibili” per gli operatori, serve uno strato di governance inter-operatore a partire dalla gestione dei sistemi di cifratura che potrà essere presumibilmente effettuata dall’Agcom stessa, o da un ente tecnico da essa designato. Va ricordato infine che molti operatori di interconnessione non sono ancora migrati al protocollo IP, rendendo così inattuabile l’applicazione dello Stir/Shaken e costituendo pertanto dei pericolosi punti di fragilità del sistema. Un motivo in più quindi, ci auguriamo, per poter accelerare il processo di ammodernamento delle infrastrutture di telecomunicazione, in corso nel nostro Paese.
