Il mercato nero dei dati: una macchina da miliardi

Il telefono squilla. Rispondi. Dall’altra parte una voce amichevole: “Buongiorno, la chiamo dal suo fornitore di energia…” E conosce il tuo nome. Il tuo indirizzo. Sa con chi hai il contratto della luce.

Ti sei mai chiesto come sia possibile? La risposta è inquietante: i tuoi dati personali sono diventati una merce. E qualcuno ci sta facendo soldi alle tue spese.

Il mercato nero dei dati: una macchina da miliardi

Ogni anno, milioni di italiani ricevono chiamate indesiderate da call center che sembrano sapere tutto di loro. Nome, cognome, indirizzo, codice fiscale, fornitore di energia, consumi, persino il codice POD della luce. Come fanno?

Il meccanismo è semplice e spietato. I tuoi dati vengono rubati, comprati e venduti in un mercato nero che muove cifre astronomiche. E i call center che ti contattano non sono altro che l’anello finale di una catena criminale.

Come finisci nel mirino: i 5 metodi principali

1. Data breach: quando i gestori di energia vengono hackerati

Negli ultimi anni, alcune delle più grandi aziende energetiche italiane sono state vittime di attacchi informatici con il furto di milioni di dati dei clienti.

• Enel Energia – Nel febbraio 2024, il Garante Privacy ha inflitto all’azienda una sanzione di oltre 79 milioni di euro per gravi carenze nella protezione delle banche dati, che hanno permesso a “procacciatori abusivi” di accedere ai sistemi e alimentare per anni un business illecito fatto di chiamate di disturbo e contratti senza reali vantaggi per i clienti.[reference:0]
• Dolomiti Energia e Sorgenia – Il 13 settembre 2025, le due società hanno subito un attacco hacker attraverso un fornitore terzo. Sono stati rubati dati personali e anagrafici di alcuni clienti, inclusi dettagli di fornitura e contratti. I clienti sono stati informati solo dopo quasi un mese.[reference:1]
• ACEA – Il 29 luglio 2025, il gruppo criminale WorldLeaks ha rivendicato un attacco ransomware contro ACEA, pubblicando circa 2,9 terabyte di dati aziendali sul dark web, inclusi documenti amministrativi, password e credenziali di accesso.[reference:2]

Una volta rubati, questi dati vengono rivenduti sul dark web a società di telemarketing e, spesso, a veri e propri criminali che li usano per truffe.

2. Database compravenduti: il business dei “dischi vendita”

Esiste un mercato illecito di liste di contatti, chiamate “dischi vendita”, dove i dati vengono acquistati e rivenduti. Spesso i responsabili sono dipendenti infedeli di aziende telefoniche o di gestori di utenze che vendono i database aziendali a terzi.

Secondo l’indagine della Guardia di Finanza che ha portato alla maxi-sanzione a Enel Energia, sono stati sequestrati database costruiti illegalmente da quattro società di call center (Mas Srls, Mas srl, Sesta impresa e Arnia), responsabili di telemarketing selvaggio.[reference:3]

3. Lo “switching”: il momento più vulnerabile

Il periodo in cui cambi fornitore di luce o gas è il momento di massima esposizione. In questa fase, i tuoi dati personali e tecnici (inclusi i codici POD e PDR) viaggiano tra il vecchio fornitore, il nuovo fornitore e il distributore locale. I truffatori sfruttano questo “passaggio di consegne” per inserirsi, contattarti spacciandosi per un operatore ufficiale e farti firmare un nuovo contratto non richiesto.

4. Consensi fasulli e errori di trascrizione

Spesso i call center agiscono su basi giuridiche apparentemente legittime, ma che nascondono violazioni. Il caso di E.ON Energia è emblematico: nel 2025 il Garante Privacy ha multato l’azienda per oltre 890mila euro perché i consensi rilasciati dai clienti erano stati trascritti in maniera errata da un dipendente, oppure i dati erano stati raccolti tramite form su Facebook senza che l’interessata avesse mai attivato un account social.[reference:4]

Il Garante ha accertato che E.ON non effettuava verifiche sulla legittima provenienza dei dati utilizzati per finalità commerciali, né sull’identità dei soggetti che rilasciavano i dati.[reference:5]

5. Web scraping e profilazione online

Alcune aziende di telemarketing utilizzano strumenti automatici per “scrapare” il web, estraendo dati pubblicamente disponibili da siti, forum, elenchi telefonici online e profili social. Con queste informazioni costruiscono profili dettagliati delle persone, che poi vengono utilizzati per chiamate mirate.

Come difendersi: la guida pratica

Fortunatamente, esistono strumenti efficaci per proteggere i tuoi dati e ridurre drasticamente il numero di chiamate indesiderate.

Altre regole d’oro

• Non fidarti mai delle chiamate inaspettate. Nessun operatore serio ti chiederà mai i tuoi codici POD, PDR o la copia della CIE al telefono.
• Verifica sempre l’identità del chiamante. Chiedi nome, cognome, azienda e un numero di richiamata. I truffatori di solito riattaccano.
• Controlla la tua bolletta regolarmente. Se noti un passaggio a un fornitore che non hai mai contattato, fai immediatamente un reclamo e disconosci il contratto.
• Segnala le chiamate moleste all’AGCM (Autorità Garante della Concorrenza e del Mercato) e al Garante Privacy.
• Attiva l’autenticazione a due fattori (2FA) sui servizi online che utilizzi, specialmente quelli legati a banche e utenze.

Come riconoscere un’azienda affidabile

In un mercato dove i dati vengono comprati e venduti, come puoi fidarti di chi ti contatta? Ecco i controlli da fare:

• La partita IVA deve essere verificabile sul sito dell’Agenzia delle Entrate o sul Registro Imprese.
• L’azienda deve avere una sede fisica e contatti reali (telefono, email, indirizzo).
• Deve essere presente sui social media con un profilo attivo e verificato.
• Deve avere un numero WhatsApp ufficiale e un sito web sicuro (HTTPS).
• Non deve mai chiamarti per primo chiedendoti dati personali o codici.