Le truffe dei call center legate a luce e gas hanno raggiunto un livello di sofisticazione che lascia davvero perplessi. Non si parla più di telefonate generiche, di quelle in cui qualcuno prova a vendere qualcosa sperando di azzeccare il momento giusto. Qui siamo di fronte a operatori che, quando chiamano, già conoscono nome e cognome dell’intestatario, indirizzo preciso della fornitura, fornitore attuale e persino i codici POD o PDR. Ed è proprio questa precisione a trasformare una semplice seccatura in qualcosa di molto più insidioso.
Milioni di utenti italiani, anche quelli iscritti al Registro Pubblico delle Opposizioni, attentissimi alla privacy e abituati a ignorare il telemarketing, continuano a ricevere chiamate estremamente dettagliate e credibili. Alcune sembrano veri tentativi di vishing: l’operatore non si presenta come venditore, ma come soggetto tecnico o istituzionale legato alla distribuzione dell’energia. Il classico “la contattiamo dall’Ufficio distribuzione” è diventato ormai un copione rodato.
Perché i dati energetici valgono così tanto e da dove arrivano
Nel mercato libero dell’energia ogni contratto rappresenta un guadagno continuativo. Convincere qualcuno a cambiare fornitore significa acquisire un flusso economico stabile, e per questo le informazioni sulle utenze domestiche sono diventate merce pregiatissima. I dati più ricercati dai call center includono nome dell’intestatario, numero di telefono, indirizzo, operatore attuale, tipologia di tariffa, data presunta di scadenza, codice POD per l’elettricità, codice PDR per il gas, storico dei cambi fornitore e fascia di consumo. Tutte informazioni che il cittadino può verificare sul Portale Consumi di ARERA, accedendo con SPID o CIE.
Con questi elementi l’operatore malevolo costruisce una telefonata altamente credibile. Non sembra un venditore qualsiasi: sembra già “dentro” il contratto del cliente. Ed è proprio questo l’elemento psicologico che rende molte campagne estremamente efficaci.
Ma da dove arrivano tutti questi dati? Non esiste un’unica fonte. Esiste piuttosto una filiera opaca fatta di data broker, reti commerciali, subappalti, vecchi consensi marketing, fughe di dati e accessi impropri ai sistemi commerciali. Attorno al settore energia si è sviluppato negli anni un ecosistema parallelo che monetizza informazioni sulle utenze domestiche trasformandole in “lead commerciali” ad altissimo valore. Le indagini del Garante per la protezione dei dati personali e dell’AGCM mostrano che il fenomeno non riguarda semplicemente il telemarketing aggressivo, ma un vero modello industriale basato sulla circolazione incontrollata di dati personali e contrattuali.
Una parte consistente dei dati circola attraverso società specializzate nella compravendita di lead. Alcuni database vengono alimentati da comparatori online, concorsi a premi, moduli web, siti di preventivi, campagne social e app con informative ambigue. Molti utenti rilasciano consensi marketing senza rendersi conto della reale estensione della profilazione: nel tempo quei dati possono essere ceduti, aggregati, arricchiti e rivenduti più volte. C’è poi il fenomeno del data enrichment: un numero di telefono viene incrociato con altre banche dati per arricchire il profilo del consumatore. Un comparatore conosce il numero, un database immobiliare contiene l’indirizzo, un vecchio contratto contiene il POD, una campagna marketing contiene il nome. Aggregando tutto si costruisce una scheda cliente estremamente dettagliata.
Uno degli aspetti più critici riguarda gli accessi indebiti ai sistemi commerciali. Diverse istruttorie hanno evidenziato casi in cui dipendenti infedeli, operatori di agenzie e intermediari commerciali hanno estratto informazioni dalle piattaforme usate per gestire le forniture. In alcuni casi le banche dati venivano duplicate e cedute a terzi. Non si tratta quasi mai di hacker esterni o violazioni sofisticate: molto più spesso si tratta di esportazioni illecite, abuso di accessi legittimi, CRM condivisi senza controllo, subappalti incontrollati e agenti commerciali che rivendono liste.
A rendere tutto ancora più credibile c’è lo spoofing telefonico: la manipolazione del numero chiamante. L’utente vede numeri apparentemente italiani, prefissi locali o numeri simili a quelli di imprese note. Le nuove misure AGCOM colpiscono soprattutto le chiamate internazionali mascherate, ma molteplici call center operano ormai realmente in Italia oppure comprano numerazioni VoIP italiane legittime, rendendo il blocco molto più difficile.
Come difendersi: il GDPR come arma offensiva contro le truffe dei call center
Chi si trova a rispondere a queste telefonate non dovrebbe mai pronunciare “sì”, “confermo”, “accetto” o altri termini simili. Molti teleseller cercano frasi riutilizzabili per costruire una parvenza di consenso. Ogni conferma migliora il valore del lead, aggiorna il CRM e aumenta il punteggio commerciale. Anche risposte apparentemente innocue come “il contratto è intestato a mia moglie” sono oro per questi sistemi.
La strategia più efficace è usare il GDPR in modo offensivo: chiedere denominazione completa del chiamante, partita IVA, titolare del trattamento, DPO, origine del dato, base giuridica del trattamento e lista dei responsabili. Il regolamento obbliga a rispondere, ma quasi nessuno lo farà. Molti operatori chiuderanno la chiamata immediatamente, perché capiscono che l’utente non è un “lead monetizzabile”. Domande come “da quale banca dati provengono i dati?”, “chi vi ha fornito il POD?” oppure “sto registrando la chiamata: confermate di trattare dati energetici associati alla mia utenza?” mandano fuori script chi finge di avere un ruolo tecnico e aumentano il rischio percepito, spesso interrompendo subito la conversazione.
