Telemarketing a norma nel 2026: guida per call center manager. ROC, RPO e le regole AGCOM.

Se gestisci un call center outbound in Italia, lo sai bene: lavorare a norma non è più un’opzione. Negli ultimi due anni il quadro normativo si è fatto molto più stringente, con tre pilastri che devi conoscere a fondo e applicare ogni giorno nella tua operatività:

• il Registro Pubblico delle Opposizioni (RPO),
• il Codice di Condotta per il telemarketing e il teleselling (aggiornato a marzo 2024),
• le nuove disposizioni AGCOM contro lo spoofing (operative da agosto e novembre 2025).

Questa guida nasce da un’esigenza concreta: non un elenco di leggi da leggere, ma un manuale operativo da tenere a portata di mano. Cosa fare prima di ogni campagna, come formare il team, cosa conservare, come proteggerti. Partiamo.

Perché la compliance oggi è anche un vantaggio competitivo

Prima di entrare nel tecnico, vale la pena dire una cosa spesso sottovalutata: chi lavora in regola oggi ha un vantaggio reale rispetto a chi non lo fa.

Il telemarketing aggressivo e illegale ha deteriorato la fiducia degli utenti a un punto tale che anche le chiamate legittime faticano a essere ascoltate. I filtri anti-spoofing di AGCOM, il Registro Pubblico delle Opposizioni, esteso ai cellulari, le sanzioni del Garante: tutto questo sta ridisegnando il mercato. Chi si adegua prima, e lo fa bene, emerge. Chi resiste o si muove solo quando è obbligato, rischia blocchi operativi, sanzioni e danni reputazionali difficili da recuperare.

1. Il Registro Pubblico delle Opposizioni: cosa cambia davvero nella tua operatività

Cos’è e chi deve usarlo

L’RPO è il registro nazionale dove i cittadini possono iscriversi per opporsi alle comunicazioni promozionali. Dal 27 luglio 2022 è esteso anche ai numeri di cellulare, non solo ai fissi e agli indirizzi postali. Questo cambia significativamente il volume delle liste da verificare.

Chiunque gestisca campagne outbound per promuovere prodotti o servizi, fare vendita diretta, ricerca di mercato o inviare comunicazioni commerciali è obbligato per legge a verificare le proprie liste contro il RPO prima di ogni campagna. Questo vale per aziende, agenzie, freelance e software provider, in pratica tutta la filiera.

Il processo di verifica: step by step

Step 1 — Registrati come operatore sul portale ufficiale RPO. Accedi tramite SPID, CNS o firma digitale. Puoi operare anche via PEC. La registrazione è gratuita e va fatta una sola volta.

Step 2 — Carica le tue liste per la verifica. Il formato richiesto è un file .zip contenente un file .txt con i numeri da verificare. Puoi caricarli tramite l’area riservata del portale o via PEC. Il Gestore del Registro (Fondazione Ugo Bordoni) ti restituirà due liste: i numeri autorizzati e quelli bloccati perché iscritti al RPO.

Step 3 — Rispetta la finestra di validità. I numeri telefonici approvati hanno una validità di 15 giorni. Passata questa finestra, non puoi più usarli per chiamate outbound: devi rifare la verifica.

Esempio pratico: hai una campagna con 50.000 contatti. Carichi la lista sul portale RPO. Il sistema ti restituisce 38.000 numeri utilizzabili e 12.000 bloccati. Puoi contattare solo i 38.000 autorizzati, e devi farlo entro i successivi 15 giorni. Se la campagna si prolunga, ricarica e riverifica.

Come organizzare il tuo team in modo sostenibile

Come puoi organizzare il tuo team:

• Nomina un referente interno RPO, anche part-time, responsabile di tutte le verifiche e della conservazione dei log.
• Inserisci nel tuo CRM un campo “validità lista RPO” per ogni campagna, con data di scadenza visibile.
• Imposta un promemoria automatico ogni 15 giorni per le campagne che si estendono nel tempo.
• Estendi gli obblighi ai tuoi fornitori e subappaltatori: se fanno chiamate per tuo conto, devono rispettare le stesse regole. Inseriscilo nei contratti.
• Conserva le prove di ogni verifica: data, lista utilizzata, ID operatore, risposta del sistema. Tienile per almeno 3 mesi (obbligo del Codice di Condotta 2024).

Consiglio operativo: il modo più efficiente per gestire il tutto è integrare l’ RPO direttamente nel tuo software per call center. Crm4 permette la verifica automatica RPO integrata nel flusso di lavoro: prima che un operatore possa effettuare una chiamata, il sistema controlla che il numero sia autorizzato e che la verifica sia ancora valida. Questo elimina il rischio di errore umano e velocizza le campagne.

2. Il Codice di Condotta 2024: gli obblighi operativi concreti

La struttura della filiera e le responsabilità

Il Codice di Condotta è un insieme di principi etici e di buone pratiche che le attività associate ad Assocontact si impegnano a rispettare nella gestione dei propri call center. Il Codice di Condotta approvato dal Garante della Privacy (con aggiornamenti di marzo 2024) definisce i ruoli e le responsabilità lungo tutta la filiera del telemarketing:

Ruolo	Chi è	Cosa risponde
Titolare del trattamento	Chi commissiona la campagna (committente)	Consensi validi, base giuridica, informative
Responsabile del trattamento	Chi esegue (call center, agenzie, teleseller)	Conformità operativa, conservazione dati
List provider	Chi fornisce le liste	Qualità e legalità dei consensi forniti
Interessato	La persona contattata	—

L’iscrizione al ROC

Il ROC (Registro degli Operatori della Comunicazione) è il registro gestito da AGCOM che raccoglie i soggetti operanti nel settore delle comunicazioni. Tra questi rientrano anche i call center che svolgono attività di telemarketing e teleselling, tenuti a registrare le numerazioni utilizzate per le campagne telefoniche. Istituito nel 1997, il ROC ha visto nel tempo ampliarsi la platea dei soggetti obbligati all’iscrizione attraverso successive delibere dell’Autorità. Per i call center che svolgono attività di telemarketing e teleselling.

L‘iscrizione al ROC (Registro degli Operatori della Comunicazione) rappresenta un obbligo previsto dalla normativa. Il registro consente di identificare gli operatori autorizzati e di associare le numerazioni utilizzate nelle campagne telefoniche ai soggetti che le impiegano. Verificare l’iscrizione al ROC è quindi uno dei primi controlli da effettuare, sia per le strutture interne sia nel caso di partner e fornitori esterni.

Il consenso: cosa è valido e cosa non lo è

Il consenso è il cuore di tutto. Senza un consenso valido, non puoi trattare i dati per scopi promozionali. Deve essere:

• Esplicito, libero, specifico e tracciabile
• Accompagnato da un’informativa chiara (anche sintetica, con link a quella estesa)
• Separato per ogni finalità: non puoi usare un’unica spunta per marketing, profilazione e cessione a terzi
• Revocabile in qualunque momento, anche a voce durante una chiamata

Non è valido un consenso:

• con caselle pre-selezionate;
• generico o non distinto per finalità;
• privo di tracciabilità (es. un file Excel senza timestamp né IP);
• fornito senza un’informativa chiara.

Come raccogliere consensi validi nei principali canali

Form online (landing page, sito, e-commerce) Caselle separate, non pre-selezionate, informativa linkata, conservazione del log con IP, timestamp e ID utente. Preferire il double opt-in (conferma via email o SMS).

Modulo cartaceo (fiere, eventi, negozio) Informativa completa o semplificata con QR code all’informativa estesa. Firma autografa leggibile. Modulo archiviato in modo sicuro e consultabile su richiesta.

IVR e sistemi automatizzati. Consenso espresso con pressione di un tasto (es. “Premi 1 per acconsentire”) o risposta vocale inequivocabile. Deve essere registrato e associato al numero chiamato con data, ora e audio.

Telefonata outbound con operatore. Solo se il numero non è iscritto al RPO. Il consenso può essere espresso a voce dopo l’informativa sintetica, tracciato informaticamente con log, nome operatore, ora e risposta.

Come scrivere uno script di apertura a norma

L’apertura della chiamata è il momento più critico: è lì che si stabilisce se la chiamata è legale o no. L’operatore (o il sistema automatico) deve sempre dichiarare:

1. Chi sta chiamando — il nome del call center o azienda incaricata
2. Per conto di chi — il committente/titolare del trattamento
3. La finalità della chiamata — promozionale o di vendita
4. Se il call center è fuori UE — es. Albania, Tunisia, ecc.
5. La mini-informativa privacy — sintetica ma completa

Esempio script operatore italiano:

“Buongiorno, sono Marco e la chiamo dal call center ABC Solutions, per conto di Energia Facile. La contatto per proporle una nuova offerta sulla fornitura di luce e gas. Prima di iniziare, le comunico che i suoi dati sono trattati da Energia Facile in qualità di titolare, sulla base del suo consenso. Ha ricevuto l’informativa? In caso contrario, posso indicarle dove trovarla.”

Esempio script sistema automatizzato (IVR/robocall):

“Buongiorno, questa è una comunicazione promozionale da parte di EcoCasa, in merito a nuove soluzioni per il risparmio energetico. Il suo numero è stato raccolto con consenso esplicito. Se desidera parlare con un operatore, prema 1. Se preferisce non essere più contattato, prema 2.”

Orari consentiti per le chiamate promozionali

Giorno	Orario consentito
Lunedì – Venerdì	9:00 – 21:00
Sabato	9:00 – 18:00
Domenica e festivi	Vietato

È consentita una tolleranza di 15 minuti sugli orari di chiusura.

Cosa conservare e per quanto tempo

La corretta conservazione della documentazione è un obbligo normativo e la tua principale protezione in caso di controllo.

Tipo di dato	Durata consigliata	Note
Consenso al trattamento dati	Fino a revoca + 5 anni	Conservare la prova anche dopo la revoca
Log delle chiamate promozionali	Almeno 3 mesi	Obbligatorio da Codice 2024
File di confronto RPO	Almeno 3 mesi	Traccia delle verifiche pre-campagna
Contratti conclusi via teleselling	10 anni	Come da Codice Civile e normativa fiscale

Cosa deve essere conservato come “prova di consenso”:

• Data e ora del consenso
• Mezzo utilizzato (web, telefono, app, cartaceo, IVR)
• IP e device, se online
• Registrazione audio, se da telefonata
• Firma digitale o autografa
• Contenuto dell’informativa accettata (versione in vigore al momento)
• ID operatore o sessione

Suggerimento pratico: conserva tutto in formato digitale, leggibile e cifrato, un CRM con backup cloud è la soluzione più sicura. Crea una policy interna di conservazione e cancellazione periodica per evitare accumuli di dati inutili (es. consensi vecchi di 10 anni mai utilizzati).

3. Normativa AGCOM anti-spoofing: cosa è cambiato e come adeguarti

Il problema che AGCOM ha voluto risolvere

Lo spoofing telefonico è la pratica con cui alcune chiamate uscenti vengono camuffate con prefissi italiani pur provenendo dall’estero. Lo scopo era aggirare i filtri degli utenti e aumentare il tasso di risposta, sfruttando il fatto che i numeri italiani sembrano più affidabili. Questa pratica, usata massicciamente da call center illegali e truffatori, ha reso i filtri anti-spam degli smartphone sempre più aggressivi anche verso le chiamate legittime.

La normativa AGCOM in due fasi

Fase 1 — 19 agosto 2025: gli operatori di rete italiani devono bloccare automaticamente tutte le chiamate provenienti dall’estero che mostrano falsamente numeri italiani di rete fissa.

Fase 2 — 19 novembre 2025: il blocco è esteso anche ai numeri mobili italiani falsificati, che erano la tipologia più usata dai call center illegali.

Cosa significa concretamente per il tuo call center

Se il tuo sistema VoIP usa infrastrutture o provider esteri, il rischio è concreto: le tue chiamate outbound possono essere bloccate a monte dagli operatori di rete, oppure mostrare prefissi esteri reali (es. +44, +46, +34), con un tasso di risposta che crolla.

Questo genera una doppia criticità:

1. Il traffico outbound viene declassato o bloccato perché il numero non è riconoscibile come italiano.
2. Gli utenti che vedono un prefisso straniero difficilmente rispondono.

Come metterti a norma: checklist operativa

Verifica l’infrastruttura VoIP che usi.

Chiedi al tuo provider se il traffico è interamente instradato su operatori italiani certificati. Se la risposta è vaga o negativa, è il momento di valutare alternative.

Controlla le numerazioni che stai usando.

Devono essere numerazioni reali, registrate al ROC, richiamabili dall’utente. Nessun numero “usa e getta” o non rintracciabile.

Adotta sistemi di tracciabilità delle interazioni.

In caso di contestazione, devi poter dimostrare che la chiamata è partita da una numerazione autorizzata, in un orario consentito, su un contatto con consenso valido non iscritto al RPO.

Aggiorna i tuoi contratti con i fornitori VoIP.

Includi clausole che garantiscano la conformità ai filtri anti-spoofing AGCOM. La responsabilità ricade anche su chi usa il servizio, non solo su chi lo eroga.

Crm4 utilizza traffico VoIP interamente instradato in Italia, con fornitori italiani certificati, senza dipendenze da provider esteri. Questo lo rende strutturalmente conforme ai filtri anti-spoofing AGCOM, sia per i fissi che per i cellulari, senza che tu debba fare nulla di straordinario.

4. Le tecnologie automatizzate: regole specifiche che molti ignorano

IVR, robocall e voice bot sono strumenti potenti, ma soggetti a regole particolarmente rigide. Molti call center le applicano in modo parziale, esponendosi a rischi seri.

Sono considerate “automatizzate” tutte le telefonate effettuate senza l’intervento di un operatore umano, anche solo nella fase iniziale (es. un messaggio preregistrato che invita a premere un tasto per parlare con un operatore).

Quando sono legittime:

• Solo con consenso preventivo, esplicito e tracciabile
• Solo se il numero non è iscritto al RPO
• Se l’utente ha esplicitamente richiesto la chiamata (es. tramite form di callback)

Cosa è vietato:

• Usare voice bot o IVR per fare profilazione senza consenso
• Avviare una robocall sperando che l’utente accetti di parlare con un operatore, il consenso deve esistere prima, non essere ottenuto durante
• Usare numerazioni non ricontattabili o non registrate al ROC

Obblighi tecnici minimi:

• Tracciabilità completa del consenso e dell’interazione (data, ora, numero, audio se disponibile)
• Numerazioni richiamabili, comunicate preventivamente al committente
• Sistemi che impediscano la clonazione del numero (anti-spoofing)

5. La checklist del call center manager compliance-ready

Usa questa lista come strumento di autodiagnosi o come base per un audit interno.

Prima di ogni campagna

• Lista contatti verificata sul portale RPO (entro i 15 giorni precedenti l’inizio)
• Consensi dei contatti validi, tracciabili e distinti per finalità
• Prove di consenso conservate correttamente (log, audio, timestamp)
• Numerazioni usate registrate al ROC e richiamabili
• Infrastruttura VoIP conforme ai filtri anti-spoofing AGCOM
• Committente e list provider identificati e contrattualizzati

Per ogni operatore e script

• Script di apertura aggiornato con tutte le informazioni obbligatorie
• Operatori formati sulla mini-informativa e sulla gestione della revoca del consenso
• Orari di chiamata rispettati (lun-ven 9-21, sab 9-18, niente domenica/festivi)
• Procedura chiara per gestire la revoca del consenso a voce durante la chiamata

Per la conservazione

• Log delle chiamate conservati per almeno 3 mesi
• File di confronto RPO archiviati per almeno 3 mesi
• Consensi conservati fino a revoca + 5 anni
• Policy interna di conservazione e cancellazione aggiornata

Controlli periodici

• Verifica RPO rinnovata ogni 15 giorni per campagne continuative
• Audit interno semestrale sui consensi e sulle liste in uso
• Contratti con fornitori e subappaltatori aggiornati con clausole di conformità

Conclusione: lavorare bene oggi è lavorare meglio domani

La compliance non è un costo: è un investimento in continuità operativa, reputazione e qualità delle campagne. Chi verifica le liste, raccoglie consensi validi, usa infrastrutture tecnicamente corrette e forma il proprio team — non deve temere controlli, sanzioni o blocchi improvvisi.

Il quadro normativo italiano sul telemarketing è diventato più complesso, ma anche più chiaro: ci sono regole precise, strumenti ufficiali (il portale RPO, il ROC, le linee guida AGCOM) e soluzioni tecnologiche che permettono di integrarle nel flusso di lavoro senza appesantire l’operatività.

CRM4 è stato progettato per supportare esattamente questo: integrazione nativa con il RPO, VoIP 100% italiano e conforme ai filtri anti-spoofing, conservazione dei log, gestione dei consensi. Funzioni come il Risponditore Automatico e la Verifica Integrata RPO, ad esempio, sono state introdotte proprio per permettere a chiunque di lavorare a norma. Se vuoi capire come può funzionare nella pratica per il tuo call center, prenota una demo gratuita.