Dal 15 novembre sono entrate in vigore le nuove regole antifrode stabilite da Agcom, l’Autorità garante delle comunicazioni. Si applicano sia in caso di cambio SIM con lo stesso operatore che in caso di portabilità del numero, ovvero quando ci si avvale del servizio MNP (Mobile Number Portability) che consente di conservare il proprio numero di telefono cambiando compagnia. La delibera dell’Authority serve ad evitare furti d’identità e l’eventuale sostituzione della SIM da parte di terzi non autorizzati e malintenzionati.
Le nuove regole hanno generato qualche polemica per alcuni operatori alternativi, in quanto rischiano di rendere il cambio operatore molto più complicato a danno dei consumatori. Vediamo cosa cambia in sostanza dal punto della sicurezza.
D’ora in poi solo il titolare potrà effettuare il cambio
Se siamo intestatari della scheda potremo farlo soltanto noi in persona. Non è più ammessa infatti la delega per il cambio della SIM, tantomeno che la richiesta sia avanzata da qualcuno che si autodefinisca reale utilizzatore. D’ora in poi solo il titolare potrà effettuare il cambio, anche in caso di sostituzione SIM per furto, smarrimento o deterioramento, oppure in caso di passaggio a un’eSIM, una scheda virtuale.
Oggi, in media attivare una nuova SIM costa circa 9,4 euro una tantum. A quest’importo potrebbe aggiungersi un contributo di attivazione della nuova offerta in caso di portabilità del numero ad un altro operatore. Le aziende invece possono delegare ancora: la delega per il cambio della SIM è ancora ammessa infatti per le SIM aziendali, ma non per quelle intestate a un semplice cliente consumer.
No vecchia SIM? Allora niente portabilità
Se non siamo più in possesso della vecchia SIM, perché ci è stata rubata o l’abbiamo smarrita o pur avendola con noi risulta non funzionante, dobbiamo prima rivolgerci al nostro attuale operatore e chiederne un’altra nuova. Solo a quel punto potremo effettuare la portabilità del numero verso un nuovo provider. Non è più possibile dunque inoltrare richiesta di MNP senza disporre di una SIM funzionante. Questo meccanismo, pur allungando i tempi e, potenzialmente, comportando un costo aggiuntivo (dovuto all’attivazione di una nuova SIM) mette al riparo l’utente contro il rischio di sottrazione della propria SIM.
Per richiedere una nuova SIM servirà un documento
Le nuove regole potenziano il meccanismo di identificazione del titolare della SIM. Ora la compagnia telefonica sarà tenuta a identificare il soggetto che chiede di sostituire la scheda. Quest’ultimo dovrà presentare la copia di un documento, del codice fiscale o tessera sanitaria e della vecchia SIM (in caso di SIM persa o rubata, copia della relativa denuncia).
Verifica tramite conferma via SMS e blocco anti frode
La compagnia telefonica, in base alla delibera Agcom, dovrà ora effettuare una verifica per accertarsi dello stato di attività della SIM. Nel caso venga richiesto un cambio della SIM oppure richiesta la portabilità del numero, l’operatore dovrà inviare un messaggio SMS per accertarsi che la vecchia SIM sia funzionante. Il titolare della SIM dovrà dare l’ok alla procedura di cambio SIM (con eventuale portabilità) seguendo le indicazioni fornite.
La verifica tramite SMS è un passaggio obbligato (in alternativa è richiesta una conferma tramite una chiamata registrata). Si potrà procedere senza risposta di conferma al messaggio SMS solo nel caso in cui la SIM sia stata smarrita o rubata (previa acquisizione di copia leggibile della denuncia all’autorità competente) oppure sia guasta (previa acquisizione della scheda non funzionante).
Il meccanismo di conferma via SMS consente di bloccare immediatamente il cambio della SIM o la richiesta di portabilità se si tratta di una truffa. Il titolare della SIM può bloccare la procedura rispondendo no alla comunicazione ricevuta via SMS. In questo modo, quindi, si aggiunge un livello di protezione extra per prevenire i casi di “SIM Swap”, una tipologia di truffa in cui un malvivente punta ad entrare in possesso del numero della vittima.
Aggiornamenti sugli step
La compagnia telefonica durante il processo di portabilità di un numero dovrà ora attenersi a un meccanismo informativo del consumatore più scrupoloso. Il nuovo operatore dovrà infatti rendere conto al cliente sullo stato di avanzamento della procedura aggiornandolo per ogni step (accettazione della richiesta, passaggio del numero passaggio del credito). Le nuove regole si applicano anche alle SIM M2M e IoT, cioè le SIM degli oggetti connessi a internet. Per questo tipo di scheda l’utente dovrà fornire una numerazione alternativa a cui inviare le comunicazioni di validazione della procedura.
Attacco SIM Swapping: negli Usa 1.600 denunce nel 2021, con perdite stimate fino a 68 milioni di dollari
Le nuove regole introdotte dell’Autorità serviranno dunque ad arginare una delle minacce più recenti in ambito sicurezza informatica: il Sim Swapping, una pratica illecita che si lega allo scambio di una scheda SIM. Grazie al SIM swap un malintenzionato è in grado di accedere al numero di telefono della vittima.
Questo genere di truffa dunque va a creare una nuova corrispondenza univoca tra l’identità digitale dell’utente (in questo caso il suo numero di telefono) e la sua identità fisica (in questo caso la scheda SIM).
Il SIM swap ha a che fare con la sicurezza informatica dell’utente, sia in termini di informazioni sensibili che di beni veri e propri. Basta considerare il numero di servizi a cui generalmente si accede tramite smartphone: dalla posta elettronica ai conti correnti; dai servizi cloud ai social network o ai wallet di criptovalute.
Proprio l’esplosione delle diverse crypto sembra avere dato nuova linfa ai fenomeni di SIM swapping. Oggi il pericolo è tale da avere portato l’FBI statunitense a parlarne pubblicamente il quale ha ricevuto più di 1.600 denunce nel 2021, con perdite stimate fino a 68 milioni di dollari. L’FBI ha ricevuto un totale di 320 segnalazioni, con circa 12 milioni di dollari sottratti.
Pericolo per l’autenticazione a due fattori 2FA
L’incremento è dovuto in parte ad attori malintenzionati che trovano modi di aggirare i sistemi di autenticazione a più fattori (2FA) in quanto il numero di telefono è spesso utilizzato come uno dei fattori necessari in scenari di autenticazione.
L’autenticazione a due fattori è infatti basata sulla necessità di essere in possesso di due credenziali differenti per potersi autenticare a un determinato servizio. L’attacco SIM swapping quindi è più semplice da perpetrare, perché non richiede competenze particolari se non eventualmente quelle di social engineering ed è perciò nei fatti alla portata di chiunque. Ciò che rende questa tipologia di attacchi particolarmente preoccupante è inoltre che essa non prevede, come accade invece nella quasi totalità delle altre metodologie di attacco, nessuna necessità di interazione lato utente: in altre parole, non ci sono clic da effettuare a valle della ricezione di mail né software malevoli da scaricare.
Con le nuove regole AGCOM si cercherà, almeno, di mettere un freno a questa tipologie di attacco.
