“Buon giorno sig.ra Laura Rossi la chiamo direttamente dall’ufficio gestione e controllo pratiche delle forniture che sono attive sul libero mercato italiano perché ci siamo accorti che la tariffa che sta pagando è fuori promozione…è lei che si occupa dell’utenza ella sua abitazione situata in via Roma nr 23…giusto?”

Siamo abbastanza certi che vi sarà capitato almeno una volta, nel corso dell’ultimo anno, di ricevere telefonate simili da parte di presunte associazioni a tutela dei consumatori o da commerciali di noti fornitori o, come questa appena citata, da commerciali che conoscono perfettamente i vostri dati personali.

Quello che vi abbiamo proposto è uno dei tanti esempi di come una serie di operatori scorretti del mercato riescono ad estorcere la vendita di contratti agli utenti finali che, fidandosi, passano inconsapevolmente ad un nuovo fornitore di energia. Una situazione che sta creando pesanti danni: da una parte alle aziende che operano lecitamente sotto il profilo dell’immagine, dall’altra agli utenti finali che si ritrovano sia penalizzati economicamente dal cambio operatore/tariffa non richiesto sia violati nella privacy.

Per questo motivo, Arte (associazione cui è iscritta Global Power Plus) ha promosso una class action in collaborazione con Assium, Assocall, Assocontact, Consumerismo, Osservatorio imprese e Consumatori-Oic per mettere fine allo stillicidio che danneggia imprese e consumatori presentando in conferenza stampa presso la Camera dei Deputati un documento formale, inviato contestualmente al Garante Privacy, all’Autorità di Regolazione per Energia Reti e Ambiente (Arera) e all’Agenzia italiana per il digitale.

Un invito corale di reseller e trader di energia, manager delle utilities, call-center certificati e degli stessi consumatori per dire basta alle “Telefonate Truffa”.

Come è ben noto, nonostante siano state comminate 256 multe per un totale di 123.369.569 milioni di euro da quando il GDPR è diventato operativo, si registrano ancora circa 4.000 segnalazioni al mese da parte dei cittadini. Inoltre, l’AGCM e l’ARERA hanno raggiunto un accordo attraverso un protocollo d’intesa sulla tutela dei consumatori (approvato con la delibera 16 ottobre 2014 505/2014/A), al fine di coordinare e segnalare i casi in cui emergono sospetti di pratiche commerciali scorrette nei settori dell’energia elettrica, del gas e dei servizi idrici.

Nel 2015, anche il Garante della privacy ha raggiunto un accordo (provvedimento 4702076) con ARERA per stabilire una collaborazione riguardante la protezione dei dati personali nel settore energetico.

Nonostante tutti gli sforzi compiuti per affrontarlo, il fenomeno continua a persistere e, anzi, sembra aumentare in modo preoccupante. Le associazioni, dopo molte indagini e analisi approfondite, hanno rilevato che questo fenomeno di telemarketing “illegale” è spesso causato da traffici illeciti di dati energetici, favoriti da sistemi di gestione poco sicuri. Acquisendo informazioni illecite sui consumatori, individui senza scrupoli possono contattare gli utenti senza lasciare tracce, grazie alla pratica del “Cli spoofing”, ovvero la tecnica illegale che consente ai call center di modificare il loro numero in modo che l’utente visualizzi un numero diverso da quello reale sul proprio dispositivo. Di conseguenza, l’utente si trova esposto a proposte fantasiose e fraudolente di cambio fornitore.

Le Associazioni mettono in evidenza, nello specifico, che il sistema SII (Sistema Informativo Integrato), gestito da Acquirente Unico S.p.a., soffre di una gestione dati delle utenze energetiche assolutamente inadeguata e aperta, quindi, a pratiche di cybercrimine. Le loro principali preoccupazioni sono:

– La sicurezza del sistema: non sembra essere conforme alle prescrizioni del Garante e di ARERA per garantire la sicurezza, riservatezza e salvaguardia delle informazioni nel tempo. Ad esempio, l’accesso avviene attraverso una semplice login/password, senza doppio fattore di autenticazione o autenticazione SPID/CIE obbligatoria, rendendo le credenziali facilmente condivisibili e non tracciabili.

– Mancanza di tracciabilità: non vi è modo di tracciare e riferire univocamente a un utente i dati estratti dal sistema, che vengono comunicati in file non protetti e non riconducibili in modo inequivocabile all’utente che li ha scaricati. Ciò rende difficile individuare chi effettivamente scarica un certo dataset e se vengano effettuati controlli per evitare scaricamenti massivi e troppo frequenti.

– Accesso alle anagrafiche: ogni operatore può estrarre facilmente informazioni complete relative ai clienti che stanno cambiando fornitore o richiedendo una voltura, inclusi dati sensibili come indirizzo e contatti telefonici, permettendo di contattare l’utente con offerte fraudolente o aggressive.

– Condivisione illecita dei dati: Si ritiene probabile e quasi certo che vi siano condivisioni illecite dei dati estratti dal SII verso soggetti che possono sfruttarli per molestare gli utenti in fase di cambio fornitore e ingannare i consumatori.

In sintesi, il testo delle Associazioni critica la scarsa sicurezza del sistema SII, sostenendo che ciò contribuisce all’emergere di un mercato fraudolento che utilizza dati di contatto di utenti che stanno facendo uno switch. Esistono, infatti, grandi possibilità che individui collusi, utilizzando solo nome utente e password, riescano a estrarre e diffondere le informazioni personali, comprese le informazioni sulle tariffe attuali e, naturalmente, i dati di contatto.

I risultati di questa analisi hanno reso essenziale per le Associazioni presentare una segnalazione dettagliata alle Autorità menzionate, ciascuna con le sue competenze specifiche, chiedendo di avviare indagini appropriate per verificare la reale sicurezza dei dati relativi alle utenze energetiche e adottare le misure necessarie, riservandosi espressamente il diritto di presentare un’esposizione formale o un reclamo, basato sui fatti esposti, all’organo di autorità giudiziaria competente.

Per approfondire: www.assoperatori.it