Egidio
Dossier · 2026

Come un numero può mentire

Una chiamata che mostra il numero della vostra banca non è necessariamente la vostra banca. Lo spoofing — l'usurpazione del numero mostrato — è una tecnica antica, ancora usata massicciamente, che i protocolli recenti iniziano solo ora a contrastare.

Un meccanismo distinto dal deepfake vocale

Questo dossier riguarda l'usurpazione del numero mostrato, non la clonazione della voce tramite intelligenza artificiale — un argomento distinto, trattato nel dossier IA generativa e deepfake vocale. Lo spoofing del numero consiste nel falsificare l'identificativo del chiamante che compare sullo schermo del destinatario, sfruttando i protocolli storici della telefonia, concepiti in un'epoca in cui questa verifica non era un tema di sicurezza.

Il «neighbor spoofing»

La tecnica più comune documentata dal regolatore statunitense (FCC) consiste nel mostrare un numero con il vostro stesso prefisso locale, per apparire familiare e aumentare le probabilità che rispondiate — anche se chi chiama non ha strettamente alcun legame con la vostra zona. La stessa logica si applica all'usurpazione diretta del numero di un'azienda o di un'amministrazione che già conoscete. Negli Stati Uniti, la legge prevede multe fino a 10.000 dollari per infrazione per questo tipo di spoofing malevolo.

Fonte: Federal Communications Commission (FCC), «Caller ID Spoofing».

La risposta tecnica: STIR/SHAKEN

Di fronte a questo problema, un protocollo di autenticazione delle chiamate — STIR/SHAKEN — è stato implementato per permettere agli operatori di verificare che un numero chiamante sia effettivamente legittimo prima di trasmetterlo. La sua adozione avanza, ma resta disomogenea:

44%
Quota degli operatori telefonici registrati che hanno implementato pienamente STIR/SHAKEN negli Stati Uniti, a settembre 2025.
FCC, dati al 28/09/2025.
17,5%
Quota del traffico firmato e verificato tra piccoli operatori nel 2025 — contro un tasso nettamente più alto tra i grandi operatori, il che crea una catena di verifica disomogenea.
TNS, 2026 Robocall Investigation Report.

In altre parole: la verifica tecnica esiste, ma finché non è generalizzata presso tutti gli operatori di una catena di chiamata, un numero usurpato può ancora arrivare fino al destinatario finale senza essere segnalato come sospetto.

Spoofing

Falsificazione dell'identificativo mostrato durante una chiamata o un SMS, per spacciarsi per un numero di fiducia.

Neighbor spoofing

Variante dello spoofing che usa un numero con il vostro stesso prefisso locale per apparire familiare.

STIR/SHAKEN

Protocollo tecnico che permette agli operatori telefonici di verificare e firmare l'autenticità di un numero chiamante lungo tutta la catena di chiamata.

🔒 Finché la verifica tecnica resta incompleta lato rete, la protezione lato dispositivo mantiene tutto il suo senso: riconoscere uno schema di chiamata sospetto anche quando il numero mostrato sembra familiare. Vedi come funziona Medusa.

Domande frequenti

Lo spoofing del numero è la stessa cosa del deepfake vocale?

No. Lo spoofing falsifica il numero che compare sullo schermo — la tecnica esiste da tempo. Il deepfake vocale clona una voce grazie all'IA. I due possono combinarsi, ma sono due meccanismi distinti.

Cos'è il "neighbor spoofing"?

Una tecnica che mostra un numero con il vostro stesso prefisso locale, per apparire familiare e aumentare le probabilità che rispondiate — anche se chi chiama non ha alcun legame con la vostra zona.

STIR/SHAKEN protegge completamente dallo spoofing?

Non ancora del tutto. Questo protocollo di autenticazione delle chiamate è ampiamente diffuso tra i grandi operatori statunitensi, ma la sua adozione resta parziale tra i piccoli operatori, il che lascia falle nella catena.

Per approfondire