Ovvero: perché il Registro delle Opposizioni è un fallimento strutturale e cosa bisognerebbe fare davvero
1. Premessa: un problema di architettura, non di regolamentazione
Ogni giorno, in Italia, milioni di cittadini ricevono telefonate non richieste. Alcune sono fastidiose. Alcune sono fraudolente. Alcune colpiscono persone anziane, sole, disorientate, e le derubano di risparmi, di dati, di fiducia. Il fenomeno è noto, documentato, denunciato da anni. Eppure persiste.
La spiegazione corrente attribuisce il problema a una regolamentazione insufficiente, a sanzioni troppo basse, a un Garante per la protezione dei dati personali privo di risorse adeguate. Questa spiegazione è parzialmente vera, ma coglie solo la superficie del problema. La radice è più profonda: l'intero impianto normativo e istituzionale che dovrebbe tutelare il cittadino è stato costruito con un errore di progettazione fondamentale. Si è scelto di affrontare un problema tecnico con strumenti esclusivamente giuridici e amministrativi, nella convinzione che una norma ben scritta equivalga a una protezione effettiva.
Non equivale. Una norma si può violare. Un'architettura tecnica correttamente progettata non si può aggirare senza lasciare traccia.
Questo saggio argomenta che la soluzione al problema delle telefonate moleste e delle truffe telefoniche esiste, è tecnicamente matura, è concettualmente semplice, e che la ragione per cui non è stata adottata non è tecnica ma politica: richiede volontà istituzionale, coordinamento tra enti che non si parlano, e la disponibilità a riconoscere che vent'anni di approccio amministrativo-sanzionatorio hanno prodotto risultati prossimi allo zero.
L'idea che qui si propone viene offerta pubblicamente e senza riserve a chiunque voglia realizzarla. L'unico obiettivo è che le truffe cessino.
2. Il quadro normativo vigente: un edificio senza fondamenta
2.1 Il GDPR e i suoi limiti applicativi
Il Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679, applicabile dal 25 maggio 2018) ha rappresentato un salto qualitativo nella normativa europea sulla privacy. I suoi principi fondamentali, consenso esplicito, minimizzazione dei dati, limitazione della finalità, diritto all'oblio, sono concettualmente solidi e ben formulati.
Il problema non è la norma. Il problema è che la norma opera interamente sul piano giuridico-documentale: prescrive obblighi, definisce diritti, stabilisce sanzioni. Ma non costruisce alcuna infrastruttura tecnica che renda fisicamente impossibile l'accesso non autorizzato ai dati. Il GDPR, all'articolo 30, impone ai titolari del trattamento la tenuta di un registro delle attività: un documento interno, non verificabile in tempo reale da terzi, non consultabile dal cittadino interessato, non collegato ad alcun sistema di autenticazione o controllo degli accessi.
In pratica: un'azienda può dichiarare di trattare dati in conformità al GDPR e, simultaneamente, acquistare liste telefoniche da broker opachi, affidare le chiamate a call center delocalizzati al di fuori dell'Unione Europea, e operare nell'impunità fino a quando un'ispezione, rara e laboriosa, non riveli l'irregolarità. La violazione è accertabile solo ex post, spesso dopo mesi o anni, e le sanzioni, anche quando elevate sulla carta, vengono quasi sempre ridotte in sede di ricorso.
2.2 Il Registro delle Opposizioni: un errore di paradigma
Il Registro Pubblico delle Opposizioni, istituito con DPR 178/2010 e significativamente ampliato con DPR 149/2022, è la risposta istituzionale principale al problema delle telefonate commerciali indesiderate. La sua logica è quella dell'opt-out: il cittadino che non desidera essere contattato deve iscriversi al registro, e i soggetti che effettuano chiamate commerciali sono tenuti a consultarlo prima di comporre un numero.
Questo paradigma presenta tre difetti strutturali che nessuna revisione regolamentare può correggere, perché sono inscritti nella logica stessa del sistema.
Il primo difetto è l'inversione dell'onere. Il cittadino, che è la parte debole del rapporto, è quello chiamato ad attivarsi. Deve conoscere l'esistenza del registro, devo accedere al portale (https://www.registrodelleopposizioni.it), deve seguire una procedura di iscrizione che richiede una certa dimestichezza digitale. Per un anziano di ottant'anni che vive solo, questa procedura è inaccessibile nella pratica. Il sistema tutela chi è già in grado di tutelarsi da solo.
Il secondo difetto è l'assenza di autenticazione del chiamante. Il registro non sa chi chiama. Non esiste alcun meccanismo tecnico che verifichi, nel momento in cui una chiamata viene instraduta, se il soggetto chiamante ha consultato il registro, se è autorizzato a contattare quel numero, se la sua identità giuridica è certificata. Un truffatore che chiama da un numero VoIP straniero, o da un numero clonato, è tecnicamente invisibile all'intero sistema. Il registro non lo vede, e il cittadino non ha strumenti per identificarlo.
Il terzo difetto è la mancanza di tracciabilità in tempo reale. Anche quando una violazione avviene, il cittadino non ha modo di segnalarla in modo che produca effetti immediati. Può presentare un esposto al Garante, che lo lavorerà nei mesi successivi, ammesso che disponga delle risorse per farlo. Nel frattempo, le chiamate continuano.
2.3 Il Garante per la protezione dei dati personali: un'autorità strutturalmente inadeguata
Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita con la legge 675/1996 e confermata nel ruolo di autorità di controllo dal GDPR. Dispone di poteri sanzionatori significativi: può irrogare sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo del trasgressore.
Questi poteri sono stati esercitati in modo sporadico e con esiti pratici limitati. Le ragioni sono molteplici.
La prima è strutturale: il Garante è un organo di controllo reattivo, non proattivo. Interviene quando viene informato di una violazione, non prima. La sua azione presuppone una denuncia, un'istruttoria, un contraddittorio, un provvedimento impugnabile davanti al TAR. I tempi medi di questo procedimento si misurano in anni.
La seconda è tecnica: il Garante non ha mai promosso, né sostenuto concretamente, lo sviluppo di un'infrastruttura tecnica preventiva. Ha pubblicato linee guida, ha emesso provvedimenti generali, ha partecipato ai lavori del Comitato Europeo per la Protezione dei Dati (EDPB). Non ha mai proposto al legislatore un modello basato sull'autenticazione tecnica degli accessi ai dati, che sarebbe l'unico strumento in grado di prevenire le violazioni invece di sanzionarle.
La terza è istituzionale: il problema delle telefonate moleste si trova all'intersezione tra la competenza del Garante (protezione dei dati), quella dell'AGCOM (telecomunicazioni) e quella del Ministero dell'Interno (anagrafe e identificazione). Questi tre enti non dispongono di alcuna infrastruttura condivisa, non si coordinano in tempo reale, e operano con culture organizzative e tecniche profondamente diverse. Il risultato è un vuoto di governance che i truffatori attraversano quotidianamente senza incontrare ostacoli.
3. Il modello alternativo: autenticazione tecnica degli accessi
3.1 Il principio fondamentale
Il principio su cui si fonda la proposta che segue è semplice e mutuato dall'informatica dei sistemi: nessun soggetto può accedere a una risorsa senza prima autenticarsi verso un sistema che registra l'identità del richiedente, la natura della risorsa richiesta, la finalità dell'accesso e la durata dell'autorizzazione.
Questo principio è alla base di ogni sistema informatico sicuro da decenni. I protocolli che lo implementano sono maturi, standardizzati, ampiamente adottati:
LDAP (Lightweight Directory Access Protocol, RFC 4511) è un protocollo di directory che gestisce autenticazione e autorizzazione su risorse condivise in reti aziendali. Ogni accesso a una risorsa del directory richiede l'autenticazione del richiedente, e ogni accesso viene registrato in un log consultabile dall'amministratore.
OAuth 2.0 (RFC 6749) e OpenID Connect sono protocolli moderni che governano l'autorizzazione delegata nelle API web. Quando un'applicazione chiede accesso ai tuoi contatti Google, o alla tua agenda, usa OAuth 2.0: il proprietario dei dati concede esplicitamente un'autorizzazione temporanea, revocabile in qualsiasi momento, per una finalità specifica.
RBAC (Role-Based Access Control) e ABAC (Attribute-Based Access Control) sono modelli di controllo degli accessi che regolano, a livello infrastrutturale, chi può fare cosa su quali dati e in quali condizioni.
La proposta consiste nell'applicare questi principi, già maturi e rodati nell'informatica aziendale, alla gestione dei dati personali dei cittadini nel contesto delle comunicazioni commerciali e non.
3.2 L'architettura del sistema
Il sistema si articola in quattro componenti interdipendenti.
Componente 1: l'anagrafe delle entità autorizzate. Ogni soggetto (azienda, call center, ente pubblico, associazione) che intenda contattare un cittadino o trattare i suoi dati ai fini di comunicazione diretta deve essere registrato in un'anagrafe digitale centrale, gestita da un'autorità pubblica. La registrazione produce un'identità digitale certificata, verificabile, revocabile. Non è sufficiente l'iscrizione al Registro delle Imprese: occorre una certificazione specifica per l'attività di contatto diretto, con requisiti minimi verificabili (sede legale reale, responsabile identificato, conformità al GDPR documentata tecnicamente).
Componente 2: il protocollo di richiesta di autorizzazione. Prima di poter contattare un numero telefonico o accedere a un dato personale, il soggetto richiedente deve inviare una richiesta al sistema centrale, specificando: la propria identità certificata, il numero o il dato che intende utilizzare, la finalità dichiarata, la durata dell'autorizzazione richiesta, la base giuridica invocata. Il sistema verifica che il richiedente sia registrato e in regola, e trasmette la richiesta al cittadino interessato (o al suo delegato) per l'approvazione. L'approvazione può essere gestita tramite un'interfaccia semplice su smartphone, oppure delegata a un familiare o a un ente di tutela per i soggetti che non sono in grado di gestirla autonomamente.
Componente 3: il registro degli accessi consultabile. Ogni autorizzazione concessa, ogni accesso effettuato, ogni chiamata instraduta attraverso il sistema viene registrata in un log che il cittadino può consultare in qualsiasi momento. Il cittadino può vedere chi ha richiesto di contattarlo, quando, per quale finalità, e può revocare l'autorizzazione con un'azione singola. La revoca ha effetto immediato.
Componente 4: il filtro infrastrutturale a livello di rete. Gli operatori telefonici, già oggi in grado di gestire la numerazione e il routing delle chiamate, implementano un filtro che verifica, prima di instradare una chiamata, se il chiamante è registrato nel sistema e dispone di un'autorizzazione valida per il numero chiamato. Le chiamate provenienti da soggetti non autenticati vengono bloccate o marcate come non verificate, con un segnale acustico distintivo che avvisa il destinatario.
3.3 La gestione della delega per soggetti vulnerabili
Uno dei punti di forza del sistema rispetto al modello attuale è la gestione esplicita della vulnerabilità. Un anziano che non dispone di competenze digitali può delegare formalmente un familiare, un tutore legale, o un ente accreditato (per esempio, una cooperativa sociale o un'associazione di tutela dei consumatori) a gestire le sue autorizzazioni. La delega è registrata nel sistema, è revocabile, e il delegato risponde giuridicamente delle scelte compiute.
Questo meccanismo è concettualmente identico alla rappresentanza legale già prevista dall'ordinamento: ciò che cambia è che viene informatizzato e reso operativo in tempo reale invece di restare sul piano della dichiarazione formale.
3.4 Confronto con esperienze esistenti
Alcune esperienze internazionali si avvicinano parzialmente a questo modello.
Il progetto Solid di Tim Berners-Lee propone un Personal Data Store (PDS) in cui ogni persona controlla i propri dati in un "pod" personale, e le applicazioni richiedono accesso esplicito tramite protocolli standard. L'architettura è concettualmente analoga, ma Solid è rimasto nell'ambito del web e non ha trovato applicazione nelle telecomunicazioni.
Il movimento MyData, di origine finlandese e ora internazionale, promuove una governance dei dati personali basata sul consenso informatico certificato. Ha elaborato linee guida che collimano con i principi qui descritti, ma è rimasto a livello di advocacy senza tradursi in infrastruttura pubblica.
Il Regolamento eIDAS 2.0 (Regolamento UE 2024/1183) introduce il portafoglio digitale di identità europeo (European Digital Identity Wallet), che dovrebbe consentire al cittadino di controllare quali attributi identitari condivide con quali soggetti e per quanto tempo. La sua applicazione esplicita alle comunicazioni commerciali e telefoniche non è prevista nel testo attuale, ma l'infrastruttura tecnica su cui si fonda è esattamente quella che servirebbe.
La differenza tra queste esperienze e la proposta qui avanzata è che nessuna di esse include il filtro infrastrutturale a livello di rete telefonica, che è il componente che rende il sistema tecnicamente impermeabile: senza autenticazione, la chiamata non parte.
4. Le obiezioni prevedibili e le risposte
"Il sistema sarebbe troppo costoso da implementare"
Il costo di implementazione di un'infrastruttura di questo tipo è certamente significativo. Ma va confrontato con il costo attuale del problema, che la successiva appendice quantifica in modo conservativo nell'ordine di miliardi di euro annui di produttività perduta, senza contare i danni diretti delle truffe telefoniche. La Banca d'Italia e le forze di polizia documentano periodicamente danni da frodi telefoniche che si misurano in centinaia di milioni di euro l'anno, con una concentrazione sulle fasce più vulnerabili della popolazione.
"Limiterebbe la libertà delle imprese"
Nessun sistema democratico riconosce la libertà di accedere ai dati altrui senza consenso come un diritto fondamentale. Il GDPR già prevede questo principio sul piano normativo. La proposta si limita a renderlo effettivo sul piano tecnico.
"Sarebbe aggirabile con tecniche di spoofing"
Il problema dello spoofing dei numeri telefonici è reale. La risposta è che il sistema di autenticazione opera a livello di identità giuridica certificata, non di numero telefonico: un soggetto non registrato non ottiene l'autorizzazione indipendentemente dal numero da cui chiama. Lo spoofing consente di falsificare un numero, non un'identità digitale certificata con firma crittografica.
"Il Garante non ha competenza sulle reti telefoniche"
Esatto. Questo è precisamente il problema. La soluzione richiede una legge delega che attribuisca a un'autorità unica (o a un coordinamento stabile tra Garante e AGCOM) la competenza sull'intero ciclo: identità del chiamante, trattamento dei dati, instradamento della chiamata. La frammentazione istituzionale attuale è una scelta politica, non un vincolo tecnico.
5. Una nota finale sulla responsabilità istituzionale
Chi scrive ha sostenuto pubblicamente questo approccio per anni, a partire dall'osservazione che i principi dell'informatica di sistema, applicati da decenni con successo alla gestione degli accessi nelle reti aziendali, non sono mai stati seriamente considerati come modello per la protezione dei dati personali dei cittadini.
La ragione non è tecnica. Le tecnologie esistono, sono mature, sono economicamente accessibili. La ragione è istituzionale e culturale: le autorità preposte alla tutela dei cittadini hanno scelto sistematicamente l'approccio della regolamentazione reattiva, che produce provvedimenti, comunicati stampa e convegni, senza produrre protezione effettiva.
Nel frattempo, ogni giorno, una persona anziana risponde al telefono e perde i risparmi di una vita.
Questa proposta viene offerta senza riserve a chiunque, istituzione, impresa, consorzio tecnico, abbia la volontà e la capacità di realizzarla. L'unica condizione è che funzioni.
Appendice: stima del danno economico nazionale da telefonate indesiderate
Premessa metodologica
La stima che segue è costruita secondo un criterio conservativo, con assunzioni al ribasso in ogni passaggio. L'obiettivo non è la precisione assoluta ma la plausibilità dell'ordine di grandezza. Le fonti principali sono i dati ISTAT sulla popolazione occupata e sulla struttura demografica, i dati dell'Autorità per le Garanzie nelle Comunicazioni (AGCOM) sul volume delle chiamate commerciali, e la letteratura sul costo dell'interruzione cognitiva nel lavoro della conoscenza.
A. Il volume delle interruzioni
Stima conservativa delle telefonate indesiderate per utente attivo. Sulla base delle segnalazioni raccolte da associazioni di consumatori (Codacons, Altroconsumo) e dei dati AGCOM sui volumi di chiamate outbound dei call center, si stima che un utente adulto italiano riceva in media tra una e tre telefonate commerciali o moleste al giorno. Ai fini di questa stima si adotta il limite inferiore: una telefonata al giorno per utente.
Proiezione annua per utente: 1 chiamata/giorno × 365 giorni = 365 telefonate l'anno per persona.
Se si adotta una stima leggermente più realistica di 1,5 chiamate al giorno (facilmente verificabile dalla propria esperienza personale): 1,5 × 365 = 547 telefonate l'anno per persona.
Ai fini del calcolo del danno economico ci si limita alla soglia minima di 365.
B. La popolazione di riferimento
La stima del danno economico riguarda specificamente la perdita di produttività nel lavoro. Si considera quindi la popolazione occupata.
Secondo i dati ISTAT (2024), gli occupati in Italia sono circa 23,8 milioni di persone.
Non tutti gli occupati svolgono lavoro cognitivo che subisce un danno apprezzabile da un'interruzione telefonica: un operaio alla catena di montaggio, un autista, un agricoltore non subiscono lo stesso tipo di interruzione di un impiegato, un professionista, un manager. Si stima che il lavoro della conoscenza (knowledge work) rappresenti circa il 50% dell'occupazione totale, in linea con le stime OCSE per i paesi avanzati.
Popolazione di riferimento per il danno da interruzione cognitiva: 23,8 milioni × 50% = 11,9 milioni di lavoratori della conoscenza.
C. Il costo unitario dell'interruzione
La letteratura scientifica sul costo cognitivo delle interruzioni nel lavoro è consistente. Gli studi più citati sono quelli condotti da Gloria Mark presso l'Università della California, Irvine, i cui risultati principali sono stati pubblicati su Human Factors e nei proceedings delle conferenze ACM CHI.
I risultati convergono su un dato: dopo un'interruzione, il tempo medio necessario per riprendere il filo del lavoro interrotto (cosiddetto resumption lag o tempo di riattivazione cognitiva) è compreso tra 15 e 23 minuti. Si adotta il valore inferiore: 15 minuti per interruzione.
Questo dato include:
- il tempo della chiamata stessa (mediamente 1-3 minuti, anche se si risponde solo per rifiutare),
- il tempo di riattivazione cognitiva per tornare al livello di concentrazione precedente,
- l'effetto di frammentazione del flusso di lavoro (task-switching cost).
D. Il costo economico unitario
Il PIL pro capite per occupato in Italia (ISTAT/OCSE, 2023) è di circa 62.000 euro annui. Per i lavoratori della conoscenza, categoria mediamente più qualificata, si può stimare un valore aggiunto per ora lavorata più elevato; si usa tuttavia il valore medio generale per mantenere la stima conservativa.
Ore lavorative annue per occupato (media italiana): circa 1.700 ore/anno.
Costo orario medio: 62.000 / 1.700 = 36,5 euro/ora.
Costo per singola interruzione (15 minuti): 36,5 × 0,25 = 9,1 euro per interruzione.
E. Il danno aggregato annuo
Danno per lavoratore della conoscenza: 365 interruzioni/anno × 9,1 euro/interruzione = 3.321,5 euro per persona per anno.
Danno aggregato nazionale (11,9 milioni di lavoratori della conoscenza): 11.900.000 × 3.321,5 = circa 39,5 miliardi di euro l'anno.
F. Nota sulle componenti escluse dal calcolo
Questa stima considera esclusivamente la perdita di produttività del lavoro della conoscenza. Non include:
Il danno alle fasce non lavorative. Gli anziani, i pensionati, i disoccupati non rientrano nel calcolo della produttività persa, ma subiscono un danno di altra natura: stress, ansia, rischio di essere vittima di truffe. Le frodi telefoniche ai danni di anziani causano danni diretti stimati dall'UNODC e dalle forze di polizia italiane in alcune centinaia di milioni di euro l'anno solo per i casi denunciati, che rappresentano una frazione del totale.
Il danno alle imprese. Le interruzioni colpiscono non solo i singoli lavoratori ma i processi organizzativi: riunioni interrotte, errori introdotti da riprese del lavoro affrettate, rallentamento dei flussi decisionali. Questi costi indiretti non sono stati inclusi.
Il danno sanitario. La ricerca epidemiologica ha documentato correlazioni tra esposizione cronica a interruzioni non controllate e aumento dei livelli di cortisolo, deterioramento della qualità del sonno, aumento dei markers di stress cronico. La quantificazione economica di questi effetti esula dall'ambito di questa analisi.
G. Riepilogo
| Parametro | Valore adottato | Note |
|---|---|---|
| Chiamate indesiderate/anno per utente | 365 | Stima al ribasso (1/giorno) |
| Lavoratori della conoscenza coinvolti | 11,9 milioni | 50% degli occupati ISTAT |
| Costo per interruzione | 9,1 euro | 15 min × 36,5 €/h |
| Danno per lavoratore/anno | 3.321 euro | |
| Danno aggregato nazionale | ~39,5 miliardi €/anno | Stima conservativa |
Trentanove virgola cinque miliardi di euro l'anno. Con una stima di 1,5 chiamate al giorno, cifra più aderente all'esperienza comune, il danno supera i 59 miliardi di euro annui.
Per confronto, la legge di bilancio 2024 ha stanziato circa 3 miliardi di euro per il Fondo Sanitario Nazionale integrativo e circa 1,3 miliardi per interventi sul cuneo fiscale. Il danno da telefonate indesiderate supera, nella stima conservativa, l'intera spesa per gli investimenti pubblici in ricerca e sviluppo prevista dal PNRR.
L'argomento che il costo di implementazione di un sistema di autenticazione degli accessi sarebbe eccessivo attende ancora una risposta convincente.