A luglio 2021 AGCOM, Autorità per le Garanzie nelle Comunicazioni, aveva approvato la delibera 86/21/CIR contenente “modifiche e integrazioni della procedura di portabilità del numero mobile e connesse misure finalizzate ad aumentare la sicurezza nei casi di sostituzione della SIM“. Ebbene, le novità allora presentate entrano adesso pienamente in vigore.
Quasi tutti noi hanno richiesto un cambio SIM, ad esempio in sede di portabilità del numero (in attesa che decolli il concetto di eSIM), in caso di smarrimento, furto o semplicemente per modificarne il formato e renderlo compatibile con le specifiche Micro-SIM e Nano-SIM accettate dagli smartphone più moderni.
Peccato però che alcune “falle” del sistema siano state fino ad oggi abbondantemente sfruttate dai criminali informatici per porre in essere le cosiddette truffe SIM swap.
Si chiama SIM swap una modalità di aggressione che permette ai malintenzionati di impossessarsi di una numerazione mobile altrui ponendo in essere un’operazione di portabilità. All’atto pratico il numero di telefono della vittima viene associato con una SIM che non è quella dell’utente ma è sotto il pieno controllo dell’aggressore. E visto che i nostri smartphone sono sempre più utilizzati per le attività di autenticazione a due fattori, i criminali informatici – una volta in possesso della numerazione telefonica altrui – possono utilizzarla per accedere a conti correnti o ad altri servizi online (ovviamente bisognerà anche che essi siano a conoscenza di username e password corretti, sottratti in altro modo).
Le truffe basate sul meccanismo SIM swap sono veramente efficaci e sono in continua crescita: ecco perché abbiamo sempre detto che gli SMS, le chiamate telefoniche e comunque tutti i sistemi basati sulla conferma del numero di telefono sono potenzialmente inaffidabili e talvolta pericolosi. Attenzione comunque ai meccanismi di autenticazione a due fattori ritenuti più sicuri: il caso EvilProxy deve essere d’insegnamento.
Secondo le nuove regole, per le SIM utilizzate per servizi M2M o IoT (si pensi alle schede utilizzate per i dispositivi che devono connettersi a Internet, ad esempio sistemi d’allarme e per la videosorveglianza), il fornitore di servizi mobili deve acquisire dall’utente la numerazione alternativa a cui inviare le comunicazioni di validazione e riportarla nel contratto.
Le SIM per servizi interpersonali, per le quali non è prevista la fornitura di una numerazione alternativa in modo obbligatorio, non vanno utilizzate per servizi M2M e IoT: l’operatore di telecomunicazioni deve farlo presente.
Cambio SIM: quali sono le novità dopo la decisione di AGCOM
AGCOM ha descritto una nuova procedura per la sostituzione delle SIM che si svolge in più passaggi. Questa è entrata in vigore dal 14 novembre 2022, come tutte le altre misure che menzioniamo in questo articolo.
Innanzitutto, chi può richiedere il cambio SIM?
Il cambio SIM, compresi i casi di richiesta di portabilità del numero (Mobile Number Portability, MNP), può essere effettuato esclusivamente dal titolare della SIM o della eSIM. Non basta più, quindi, dimostrare di essere in possesso della SIM ed esibire il codice ICCID della stessa.
In caso di furto, smarrimento o malfunzionamento la richiesta della nuova SIM può essere effettuata solo presso l’operatore di telecomunicazioni scelto dall’utente. Un eventuale intervento di portabilità, può essere effettuato solo dopo aver sostituito la SIM e ottenuto una SIM funzionante.
L’utilizzo di deleghe per il cambio della SIM non è consentito, fatta eccezione per le utenze aziendali e in casi specifici declinati in questo documento ufficiale.
Il fornitore dei servizi di telefonia mobile è in ogni caso tenuto alla corretta identificazione del soggetto che richiede il cambio SIM, sia nel caso in cui l’operazione sia avanzata presso un negozio fisico che online. Nel caso delle eSIM, l’identificazione deve essere effettuata prima del caricamento del profilo da remoto o dell’attivazione in rete.
Il fornitore è inoltre tenuto ad acquisire in copia un documento d’identità del soggetto richiedente e di un documento attestante il suo codice fiscale, della vecchia SIM o della denuncia in caso di furto o smarrimento.
Richiesta di sostituzione della SIM: il cliente va sempre informato
Quando un utente richiede la sostituzione della SIM e dopo la ricezione di una richiesta di portabilità della numerazione, il fornitore di servizi mobili deve sempre effettuare una validazione della richiesta per verificare, tra l’altro, che la SIM sia attiva (si chiama fase di pre-validazione).
A tal fine viene spedito un SMS per informare il cliente che è stata richiesta la sostituzione della sua SIM. Il messaggio chiede conferma al fine di proseguire con le ulteriori procedure necessarie per esaudire la richiesta. In alternativa la volontà del cliente può essere acquisita con una telefonata avendo cura di registrare la chiamata.
Oltre a quanto riassunto in precedenza, infatti, il cliente deve essere informato non appena perviene una richiesta di portabilità del numero, sull’esito positivo o negativo in merito alla stessa, sulla data di passaggio della numerazione, sul riconoscimento del credito residuo.
Cinque minuti per annullare un cambio SIM
Parlando di portabilità del numero, l’utente ha modo di rispondere all’operatore, anche via SMS, per confermare l’effettiva volontà di dare corso all’operazione.
In caso di SIM persa, rubata o danneggiata, l’operatore – come abbiamo detto – deve acquisire la denuncia oppure l’attestazione di malfunzionamento della scheda. Viene però comunque predisposto l’invio di un SMS per accertarsi che il soggetto richiedente il rilascio di una nuova SIM non abbia dichiarato il falso.
Il testo dell’SMS informa il cliente titolare dell’utenza circa la richiesta di cambio SIM: per annullarla e manifestare il suo dissenso deve rispondere entro 5 minuti.
Unico “neo” in tutto questo? Qualche altro malintenzionato potrebbe creare SMS che all’apparenza provengono dagli operatori di telefonia mobile e avviare campagne phishing utilizzando tecniche di ingegneria sociale. SMS spoofing e smishing sono infatti altre due piaghe complesse da risolvere che potrebbero mettere in difficoltà gli utenti meno attenti.
Attenzione, quindi, perché facendo leva sul fattore “tempo”, un malintenzionato potrebbe indurre l’utente a negare il cambio SIM con un messaggio fasullo creato ad arte, inducendolo a cliccare su link pericolosi o spronandolo a confermare i suoi dati per poi compiere furti d’identità o lanciare attacchi mirati.
AGCOM conclude che i vari operatori di telecomunicazioni devono inoltre predisporre una “procedura semplice e di immediato utilizzo” che l’utente può sfruttare per interrompere un eventuale processo indesiderato di sostituzione della SIM. La procedura è attivabile laddove l’utente non abbia espresso un consenso esplicito. Il blocco della sostituzione della SIM può essere richiesto rispondendo via SMS a un servizio dell’operatore che inizia con codice 40
, chiamando il servizio di assistenza clienti o accedendo a un’area riservata sul sito Web del fornitore.
Da ultimo, il codice ICCID non è più obbligatorio per il cambio SIM: sono i singoli operatori a decidere se continuare a richiederlo o meno.