LexFoniaTelefonia Mobile

Offerte Operator Attack: approvata vigilanza AGCOM su divieto utilizzo dati database MNP

Simone Nicolosi29 Maggio 2026
Telefonia Mobile Offerte Operator Attack

A seguito del procedimento e della consultazione pubblica dedicata, l’AGCOM ha approvato le modifiche al Regolamento MNP con cui introduce le modalità per vigilare sul corretto utilizzo del database MNP, previsto dalla normativa vigente, per evitare che questi dati vengano usati per formulare offerte Operator Attack.

L’Autorità per le Garanzie nelle Comunicazioni (AGCOM) lo ha reso noto con la delibera 26/26/CIR (ecco il documento completo), pubblicata oggi, 29 Maggio 2026, ma risalente in realtà al 29 Aprile 2026, recante “Aggiornamento del quadro regolamentare in materia di portabilità dei numeri mobili”.

Come già raccontato da MondoMobileWeb, con la delibera 12/25/CIR, pubblicata il 1° Aprile 2025, l’AGCOM aveva avviato un procedimento istruttorio con l’obiettivo di aggiornare il quadro regolamentare in materia di portabilità del numero mobile (MNP) di cui alla delibera 147/11/CIR, poi aggiornato con la delibera 86/21/CIR del 2021, che ha introdotto nuove procedure per effettuare la MNP e ha modificato anche i processi di sostituzione della SIM e di cambio intestatario.

Nello specifico, l’obiettivo dell’Autorità è quello di attuare quanto previsto dall’Articolo 98 – duodecies, Comma 1-bis, del Codice delle Comunicazioni Elettroniche, introdotto con il DDL Concorrenza entrato in vigore il 31 Dicembre 2023 e poi modificato il 18 Dicembre 2024 con la Legge 16 Dicembre 2024, n. 193, con l’introduzione di un secondo periodo che prevede un’attività di vigilanza da parte dell’AGCOM sull’attuazione della normativa.

L’aggiornamento normativo riguarda proprio questo secondo periodo, che vuole garantire che le informazioni contenute nel database per la portabilità dei numeri mobili non vengano utilizzate dagli operatori per formulare offerte commerciali differenziate sulla base dell’operatore di provenienza dell’utente, ossia le cosiddette offerte Operator Attack, in conformità al principio di non discriminazione sancito dalla normativa vigente, attraverso modalità di monitoraggio e vigilanza che l’AGCOM è chiamata a prevedere.

A causa della complessità delle questioni in esame, e anche in seguito ai contributi forniti dagli operatori mobili, con cui è emersa una divergenza di opinioni, il termine di conclusione del procedimento (inizialmente fissato in 120 giorni dalla pubblicazione della delibera 12/25/CIR, avvenuta il 1° Aprile 2025) è stato prorogato varie volte dall’AGCOM, in particolare con le delibere 32/25/CIR, 59/25/CIR e 17/26/CIR.

Nel frattempo, lo scorso 18 Febbraio 2026, l’Autorità ha pubblicato la delibera 3/26/CIR, con cui ha avviato una consultazione pubblica sulle proposte di modifica e aggiornamento al Regolamento MNPemerse proprio grazie all’istruttoria sulle modalità per attuare la vigilanza sul corretto utilizzo del database MNP prevista dalla nuova normativa.

Infatti, l’AGCOM ha ritenuto importante approfondire ulteriormente il funzionamento dei sistemi di tracciamento che alcuni operatori hanno dichiarato di avere già implementato al fine di verificarne l’efficacia e di individuare accorgimenti tecnici che, tenendo conto delle più recenti evoluzioni tecnologiche, siano utilizzati dagli operatori per contrastare un utilizzo improprio del database MNP e degli altri sistemi contenenti dati di instradamento.

Alla consultazione pubblica indetta dall’Autorità hanno partecipato l’associazione Altroconsumo e gli operatori Coop Italia (CoopVoce), Fastweb, Iliad Italia, Sky Italia, TIM, Vianova e WINDTRE. Inoltre, TIM, Iliad, WINDTRE e Fastweb sono state anche sentite in audizione.

Adesso, con la delibera 26/26/CIR pubblicata nelle ultime ore, a seguito della conclusione del procedimento e della consultazione pubblica, i cui esiti sono contenuti nell’Allegato A (ecco il documento completo), l’Autorità ha approvato l’aggiornamento del Regolamento MNP, specificando le modalità di monitoraggio e vigilanza finalizzate a garantire un utilizzo del database per la portabilità dei numeri mobili in ottemperanza a quanto previsto dalla Legge.

Ai fini del monitoraggio, AGCOM ha reso disponibile sul suo sito l’apposito modello che gli operatori dovranno utilizzare per inviare i dati all’Autorità.

Inoltre, è stato istituito un Tavolo tecnico di confronto con gli operatori sui sistemi di tracciamento al fine di verificarne l’efficacia e di individuare accorgimenti tecnici per contrastare un utilizzo improprio del database MNP e degli altri sistemi contenenti dati di instradamento.

L’interpretazione dell’Autorità del divieto di usare il database MNP per le offerte Operator Attack

Nel corso del procedimento, l’AGCOM ha confermato il proprio orientamento interpretativo circa la portata dell’Articolo 98-duodecies, comma 1-bis, del Codice delle comunicazioni elettroniche, ritenendo che dal dato letterale non si può ricavare un divieto assoluto alla formulazione di offerte Operator Attack, ossia differenti in base all’operatore mobile di provenienza.

Secondo l’Autorità, il fulcro dell’intervento legislativo è invece la tutela della concorrenza e la prevenzione di pratiche distorsive basate sull’uso improprio di informazioni commerciali privilegiate.

AGCOM ricorda che questo principio era già indirettamente desumibile dall’Articolo 71, comma 2 del Codice (che limita l’uso dei dati di interconnessione esclusivamente ai fini tecnici per i quali vengono forniti) e dall’Articolo 10, comma 7 del Regolamento MNP (delibera 147/11/CIR), che impone all’operatore donating la massima riservatezza sui clienti in uscita.

A fronte delle posizioni divergenti sull’interpretazione della norma espresse dagli operatori che hanno risposto alla consultazione, l’Autorità ha precisato che il divieto colpisce l’uso delle informazioni di instradamento che associano la numerazione mobile all’operatore, sia quelle presenti nel database MNP sia quelle analoghe registrate per esigenze operative di rete, indipendentemente dal sistema in cui sono contenute.

Allo stesso modo, in base alla nuova norma non possono essere utilizzate per fini commerciali i cosiddetti Call Data Record (cartellini di traffico) relativi sia al traffico entrante (usati per identificare l’operatore a cui fatturare la terminazione) sia al traffico uscente (usati per l’instradamento delle chiamate o SMS), i quali costituiscono informazioni acquisite per esigenze propriamente operative.

Inoltre, è vietato anche l’uso di dati acquisiti indirettamente o elaborati in modo approssimativo per stimare o determinare l’operatore di provenienza tramite sistemi di intelligenza artificiale o big data. L’AGCOM ha respinto le lamentele di un operatore secondo cui tale limitazione sarebbe sproporzionata.

Nel corso della consultazione, alcuni operatori hanno sostenuto la tesi che il trattamento per finalità commerciali dei dati di instradamento fosse lecito se supportato dal consenso esplicito del cliente ai sensi del GDPR.

Tuttavia, l’AGCOM ha respinto questa ipotesi, precisando che la normativa ha carattere assoluto e non prevede eccezioni. Di conseguenza, il consenso del cliente non può valere come “sanatoria” per una finalità espressamente vietata dalla legge, e un simile riutilizzo si configurerebbe come una violazione del principio di limitazione della finalità.

L’Autorità specifica comunque che gli operatori mantengono la facoltà di utilizzare per finalità commerciali altre informazioni lecite sui clienti o ex clienti (come propensione alla spesa, abitudini di utilizzo dei servizi, metodo di pagamento, anzianità contrattuale), purché non connesse alle esigenze operative della rete o derivate dallo scambio di informazioni con gli altri operatori.

Come funzionerà il monitoraggio trimestrale sulle comunicazioni commerciali

In merito alle modalità di vigilanza, la maggioranza degli operatori che ha partecipato alla consultazione ha concordato con la proposta dell’Autorità di prevedere un monitoraggio basato sull’acquisizione periodica dei dati di comunicazione commerciale.

L’AGCOM ha invece respinto la proposta isolata di un operatore che chiedeva di limitare il controllo a una dichiarazione annuale spontanea da verificare solo in sede ispettiva.

Per vigilare sul rispetto delle regole, l’Autorità ha quindi previsto un sistema di reportistica trimestrale, che non si sostituirà ai report MNP già esistenti.

Infatti, con questo nuovo modello di report gli operatori dovranno trasmettere all’AGCOM i dati relativi al traffico giornaliero di chiamate e SMS commerciali inviati verso i clienti di altri gestori dotati di una significativa customer base (valutata tramite l’Osservatorio trimestrale dell’Autorità).

Al fine di scongiurare comportamenti elusivi e opportunistici, i report dovranno includere i flussi di comunicazione effettuati da soggetti terzi o partner commerciali per conto dell’operatore, basandosi sui CLI (Calling Line Identifier) utilizzati per scopi promozionali.

In sede di prima applicazione, l’obbligo di invio trimestrale riguarderà esclusivamente gli operatori che dichiarano di proporre offerte Operator Attack, differenziate in base al fornitore di provenienza.

Tuttavia, l’AGCOM ha precisato che l’obbligo di fornire questi dati riguarderà anche gli operatori virtuali (MVNO), compresi i second brand dei principali operatori infrastrutturati, che propongono offerte Operator Attack. In generale, quindi, i report trimestrali sulle comunicazioni commerciali dovranno essere inviati da qualsiasi operatore mobile che propone offerte differenziate in base all’operatore di provenienza.

L’Autorità si riserva comunque il potere di richiedere dati puntuali, per confronti incrociati, anche ad operatori che non formulano offerte Operator Attack, qualora siano destinatari di volumi anomali di comunicazioni.

Grazie a questi report, l’Autorità analizzerà i flussi di comunicazioni commerciali e li confronterà con le reali quote di mercato.

Nel caso in cui venga riscontrata un’anomalia statistica, ossia un picco ingiustificato di SMS o chiamate promozionali dirette verso un singolo operatore concorrente, questo scostamento sarà considerato un indizio “sufficientemente grave” di utilizzo illecito dei dati del database MNP.

A quel punto, l’AGCOM avvierà un’attività di vigilanza e l’operatore mobile dovrà dimostrare la regolare formazione delle sue liste di contatto, dando evidenza delle soluzioni tecniche di tracciamento sugli accessi del personale ai sistemi aziendali.

Le modifiche previste al regolamento MNP e il tavolo tecnico sui sistemi di tracciamento

A livello formale, le novità previste dall’AGCOM comportano modifiche dirette al testo del Regolamento MNP di cui alla delibera 147/11/CIR: vengono inseriti i commi 19 e 20 all’Articolo 2 (Disposizioni generali) per esplicitare il divieto d’uso commerciale delle informazioni di instradamento, e i commi 2 e 3 all’Articolo 17 (Comunicazione dei dati all’Autorità) per normare l’invio della reportistica trimestrale e le conseguenze delle anomalie statistiche.

L’Autorità ha ritenuto invece opportuno rinviare a un separato e futuro procedimento di revisione l’allineamento complessivo del testo del Regolamento MNP alle modifiche derivanti dalla delibera 86/21/CIR (in materia di sicurezza e SIM Swap) e alle semplificazioni legate all’uso di nuove tecnologie di identificazione (SPID, CIE, CNS).

Infine, l’AGCOM ha inoltre previsto l’istituzione di un apposito Tavolo tecnico sui sistemi di tracciamento.

Il Tavolo, di natura esclusivamente tecnica, avrà l’obiettivo di approfondire il funzionamento dei sistemi già implementati dagli operatori e valutare l’efficacia e la sostenibilità economica di soluzioni tecnologiche avanzate, come i sistemi di blockchain, per registrare in modo inalterabile e cronologico le attività eseguite sui database tecnici, contrastando ex-ante l’utilizzo improprio dei dati e impedire scambi di informazioni non autorizzati tra le divisioni tecniche e i reparti commerciali degli operatori telefonici.

Le novità introdotte dall’AGCOM con la delibera 26/26/CIR

Dunque, con la delibera 26/26/CIR pubblicata oggi, 29 Maggio 2026, l’AGCOM ha approvato le modifiche al regolamento MNP per attuare quanto previsto dalle recenti normative e introdurre una modalità di vigilanza sull’utilizzo del database MNP.

Nello specifico, con l’Articolo 1 della delibera, vengono introdotte modifiche all’Allegato 1 della delibera 147/11/CIR: in particolare, all’Articolo 2 “Disposizioni generali”, dopo il comma 18, vengono inseriti i seguenti commi:

“19. I dati relativi ai clienti ed ex clienti sono trattati dagli operatori mobili con la massima riservatezza. Le informazioni relative all’associazione tra i numeri mobili e le rispettive reti che li gestiscono, dette anche informazioni di instradamento, acquisibili dagli operatori mobili anche tramite elaborazioni dai propri sistemi, non possono essere utilizzate ai fini commerciali.

20. Le informazioni di instradamento in possesso dell’operatore mobile o altre informazioni dalle quali si potrebbe individuare o stimare l’operatore di appartenenza di un numero mobile, non possono essere utilizzate a fini commerciali per svolgere attività promozionale anche tramite l’invio di SMS”.

Invece, all’Articolo 17 “Comunicazioni dei dati all’Autorità”, dopo il comma 1, sono inseriti i seguenti commi 2 e 3:

“2. Per consentire all’Autorità di svolgere il monitoraggio di cui all’articolo 98‑duodecies, comma 1‑bis, del Codice, gli operatori mobili trasmettono con cadenza trimestrale, i dati e le informazioni previsti dal modello pubblicato sul sito web dell’Autorità, secondo le modalità ivi indicate. Le informazioni richieste riguardano principalmente i dati di traffico di chiamate o SMS originate dall’operatore mobile e  dirette verso i clienti di altri operatori mobili. L’Autorità si riserva la possibilità di richiedere tali informazioni esclusivamente agli operatori mobili che dichiarano di proporre offerte che risultano differenti in ragione dell’operatore di provenienza.

3. Le anomalie statistiche riscontrate nell’analisi delle informazioni di cui al comma 2, possono essere considerate dall’Autorità come un indizio grave di uso delle informazioni di instradamento da parte dell’operatore mobile ai fini commerciali. In questi casi, l’Autorità comunica l’esito del monitoraggio all’operatore interessato dall’anomalia il quale dovrà fornire elementi idonei ad escludere l’utilizzo dei dati e delle informazioni di instradamento”.

Con l’Articolo 2 della delibera 26/26/CIR l’Autorità ha dunque istituito un tavolo tecnico, da avviarsi entro 30 giorni dalla pubblicazione della delibera, nell’ambito del quale verrà approfondito il funzionamento dei sistemi di tracciamento dell’accesso ai dati tecnici.

Infine, con l’Articolo 3 della delibera, l’Autorità ha stabilito che, in sede di prima applicazione, il trimestre di rilevazione delle informazioni inizierà a decorrere trascorsi 60 giorni dalla data di pubblicazione del modello sul sito istituzionale dell’AGCOM.

A regime, le rilevazioni seguiranno il calendario solare e dovranno essere inviate all’Autorità entro il giorno 10 del mese successivo al trimestre di rilevazione.

Simone Nicolosi29 Maggio 2026

Ti potrebbe interessare

TIM WiFi Casa Fibra

TIM, claim promo online TIM WiFi Casa segnalati da Enel: nessuna violazione per il Giurì

29 Maggio 2026
Iliad spot Giga Prime

Iliad Giga Prime, TIM contesta il claim del prezzo “Per sempre”: legittimo per il Giurì

28 Maggio 2026
Reti 5G frequenze

AGCOM avvia una consultazione pubblica sulla banda 3800-4200 MHz per reti wireless locali

28 Maggio 2026
Megan Gale Iliad

Iliad, ok dal Giurì allo spot con Megan Gale: respinte le accuse di Fastweb + Vodafone

26 Maggio 2026
Pulsante per tornare all'inizio