In arrivo un nuovo e più sicuro procedimento per cambiare la SIM del proprio operatore di telefonia mobile. E così combattere le crescenti frodi di SIM swap, con cui i criminali informatici possono tra l’altro rubare soldi dal conto corrente.
Le nuove modalità sono nella Delibera n. 334/20/CIR I pubblicata oggi dall’Autorità per le Garanzie nelle Comunicazioni (AGCOM).
L’obiettivo è quello di aggiornare le procedure di portabilità del numero mobile, ma soprattutto adottare nuove misure tecniche che consentiranno di aumentare la sicurezza nei casi di sostituzione fraudolenta della SIM.
Com’è noto, i pericolosi attacchi SIM Swap sono mirati al furto di denaro mediante elusione delle procedure di sicurezza nei servizi di home banking o di dati riservati. I criminali, con la sim della vittima, intercettano gli SMS con la one time password.
Ed è un fenomeno in crescita come ci dice Paolo Dal Checco, esperto di informatica forense: “i casi aumentano ogni giorno, così come accade anche con altri reati, anche a causa del lockdown che ha digitalizzato ulteriormente le nostre vite”.
Indice degli argomenti
Perché servono nuove modalità di cambio SIM per il contrasto alle frodi
Contestualmente alla pubblicazione della delibera, l’AGCOM ha quindi avviato una fase di consultazione pubblica che servirà proprio a raccogliere le proposte utili ad introdurre meccanismi per prevenire e contrastare eventuali tentativi di truffa a danno degli utenti finali di telefonia mobile.
Ciò dovrebbe avvenire in primo luogo attraverso un rafforzamento dei controlli fatti nell’ambito della procedura di portabilità del numero per cambio operatore (MNP), ma anche grazie all’introduzione di tecniche e procedure di notifica al cliente sullo svolgimento delle attività di sostituzione della SIM per dargli la possibilità di confermare il suo consapevole assenso alla prosecuzione dell’iter di sostituzione (così come già avviene, ad esempio via e-mail o SMS, per l’attivazione di altri servizi digitali online).
La necessità di una verifica delle modalità di cambio SIM è stata dettata dal fatto che, al momento, le vigenti norme nazionali (Codice delle Comunicazioni Elettroniche, art. 55, comma 71) prevedono l’identificazione del soggetto che richiede una nuova SIM solo nel caso di sottoscrizione di nuovi contratti di servizi di telefonia mobili oppure di portabilità del numero per cambio operatore (MNP).
Non c’è, invece, alcun obbligo di identificazione dei clienti nel caso in cui vengano richieste prestazioni accessorie tra cui, appunto, la sostituzione di una SIM card che in genere viene gestita presso un dealer dell’operatore telefonico. Mancano anche controlli nell’MNP in caso di SIM dichiarata smarrita o rubata
Come ha rilevato la stessa AGCOM, tale anomalia normativa ha causato un aumento preoccupante di segnalazioni di casi di sostituzione SIM, per passaggio ad altro operatore o per presunto furto o deterioramento, all’insaputa dell’utente finale titolare della SIM e ciò nonostante siano già in corso attività per consentire di contrastare e prevenire un fenomeno fraudolento che coinvolgono direttamente, in particolare, gli istituti bancari.
Mediante la sostituzione fraudolenta della SIM, infatti, un eventuale malintenzionato potrebbe eludere le procedure di sicurezza nei servizi di home banking e rubare denaro alla vittima.
Inoltre, una procedura di SIM swap non autorizzata può consentire di entrare in possesso di ulteriori dati riservati, rispetto a quelli utili per effettuare un furto telematico presso gli istituti bancari, come per esempio il furto di dati personali sensibili utilizzati anche al fine di perpetrare ulteriori attività malevoli.
Le nuove modalità di cambio sim contro lo swap
Le nuove modalità, in sintesi sono queste:
- sia nel caso in cui il cliente si rivolga al dealer del proprio operatore sia che richieda la MNP presso altro dealer, il dealer dovrà effettuare una copia di un documento d’identità del soggetto richiedente, di un documento attestante il Codice
Fiscale, nonché della SIM o, eventualmente, della denuncia alle autorità competenti di
smarrimento o furto della stessa. - Per richieste per via telematica, oltre all’identificazione, come previsto dalle norme vigenti, dovrà essere previsto l’invio
anche della copia della medesima documentazione richiesta in caso in cui ci si rivolga al dealer. La procedura di inserimento dati dovrebbe garantire, comunque, Allegato B alla delibera n. 334/20/CIR 4 l’impossibilità di finalizzare la stessa se non vengono caricati a sistema la scansione dei documenti citati; - in tutti i casi di sostituzione della SIM, il fornitore di servizi mobili invia sempre un messaggio SMS per informare il cliente che è stata richiesta la sostituzione della SIM e gli chiede conferma (a esempio mediante inserimento di una OTP) al fine di proseguire con le ulteriori procedure necessarie per esaudire la richiesta.
- In assenza di conferma esplicita, cosa che si verifica nei casi di SIM smarrita, rubata o guasta, si introduce un principio di attesa di un adeguato tempo (per esempio 72 ore) nel corso del quale il cliente, per altra via (ad esempio tramite e-mail o fornitura di un altro numero cellulare all’operatore) potrà essere informato del cambio SIM e, nel caso di cambio all’insaputa dell’utente, bloccare il processo.
- A tal fine ai numeri mobili “principali” sono associati altri numeri mobili ed e-mail, validati con opportuna procedura di test, a cui verranno inviate le informazioni relative al processo di sostituzione della SIM, eventualmente limitando l’invio della OTP al solo numero principale e fornendo informazioni del processo ai numeri ed e-mail associati. Eventuali variazioni dopo l’adesione al contratto dei numeri ed e-mail associati dovrà avvenire sempre adottando criteri di sicurezza basati su OTP.
- Ciò premesso, quando il cliente riceve l’informazione che si sta procedendo con la sostituzione della SIM, deve sempre avere la possibilità di bloccare tale processo in modo semplice, anche solo inviando un SMS ad un numero prefissato, concordato tra tutti gli operatori mobili e l’Autorità, con codice “40”, ovvero chiamando il customer care e svolgendo la procedura in autonomia o parlando con un operatore, nonché accedendo ad un’area riservata sul sito web dell’operatore;
Nuove misure di sicurezza: il parere dell’esperto
Sempre secondo l’esperto di informatica forense Dal Checco, “queste misure sembrano ottime, in particolare l’obbligo di inviare un messaggio di conferma all’utenza sulla “vecchia” SIM prima di generarne una nuova. Così facendo, è possibile smascherare il truffatore che sta fingendo di essere il proprietario che ha perso la SIM e chiede la generazione di una nuova: il messaggio con richiesta di conferma via codice OTP da comunicare all’esercente (o al sito Internet su cui sta richiedendo la rigenerazione/portabilità della SIM) verrebbe infatti recapitato al vero proprietario, mettendolo in allarme, e il truffatore senza il codice OTP non avrebbe modo di portare a termine la sua attività fraudolenta”.
In particolare, continua Dal Checco, “sembrerebbero essere più efficaci le misure tecniche (appunto il codice OTP inviato alla “vecchia” SIM) di quelle procedurali, che in qualche modo possono essere eluse qualora ci fosse di connivenza con i truffatori da parte di esercenti disonesti o per le capacità dei truffatori stessi di accedere a ulteriori dati delle vittime (ad esempio, il codice fiscale si può sempre chiedere alla vittima, oltre ai suoi documenti, quindi non è una misura che impedisce la truffa, forse ne aumenta leggermente la complessità di esecuzione)”.
Vedremo, dunque, cosa uscirà fuori dalla consultazione pubblica delle nuove modalità di cambio SIM che, salvo sospensioni o proroghe decise dall’Autorità per le Garanzie nelle Comunicazioni con determinazione motivata, si concluderà il prossimo 29 marzo, cioè entro 120 giorni dalla data di pubblicazione della delibera sul sito web dell’AGCOM.
