Truffa Sim swap: come difendersi
Quando la scheda telefonica diventa la chiave per impadronirsi del conto corrente e svuotarlo: le nuove regole Agcom sulla sostituzione delle Sim migliorano la sicurezza.
Se di recente ti sei recato in un qualsiasi punto vendita per fare il cambio dell’operatore telefonico, e hai chiesto il rilascio di una nuova scheda Sim, sicuramente ti sei imbattuto nelle con le nuove regole sulla portabilità del numero: adesso ci sono delle cautele in più per prevenire le truffe compiute mediante il furto di identità. Gli operatori chiedono la verifica dei documenti del cliente, che deve presentarsi personalmente per fare la sostituzione della scheda e nell’occasione deve anche restituire la vecchia Sim, a meno che non l’abbia smarrita o gli sia stata rubata.
Questi accorgimenti sono stati introdotti dall’Agcom, l’Autorità per le garanzie nelle comunicazioni, al fine di tutelare meglio i consumatori dalle frodi che si realizzano sui conti correnti bancari online. Vediamo quindi cos’è la truffa Sim swap e come difendersi, perché è molto pericolosa. Swap in inglese vuol dire scambio: nel nostro caso delle schede telefoniche, e per farlo ce ne vogliono due. La particolarità sta nel fatto che una di esse viene duplicata abusivamente, all’insaputa del titolare. A quel punto chi la possiede riesce ad operare sul conto corrente del titolare, e può facilmente svuotarlo, in barba al meccanismo di autenticazione a due fattori che dovrebbe prevenire queste insidie.
Indice
Autenticazione a due fattori: come funziona
Una volta c’erano le “chiavette” con il token: il cliente ne veniva dotato al momento dell’apertura del conto corrente in modalità home banking, per svolgere le operazioni a distanza, dal suo pc o smartphone, senza necessità di recarsi allo sportello. Con questo sistema il correntista, quando voleva effettuare un movimento, doveva premere il pulsantino sulla chiavetta e inserire online il numero di codice che gli appariva sul display. Questo codice non era fisso, come la password principale, ma variava di volta in volta: era una seconda password monouso, valida in una sola occasione, la cosiddetta
Qualche anno fa sembrava una rivoluzione, ma in realtà era un po’ poco per garantire un’effettiva sicurezza delle operazioni sul conto corrente, e infatti le banche lo hanno abbandonato, costrette anche dall’arrivo di una direttiva europea, la “PDS2” molto più rigorosa sui pagamenti elettronici [1]. Gli operatori si sono subito adeguati al nuovo regime, anche perché gli conveniva farlo: la legge prevede la responsabilità dell’istituto di credito, in caso di disposizioni sul conto non autorizzate dal cliente, salvi i casi di dolo o colpa grave del cliente stesso (ed è la banca a dover fornire la prova di questa circostanza).
Autenticazione a due fattori con messaggio sulla Sim
Così adesso gli istituti di credito preferiscono
La one time password “usa e getta”, valida pochi minuti, arriva sulla Sim del correntista con un messaggio sms generato in automatico dal sistema della banca nel momento in cui si cerca di compiere un movimento (ad esempio, un bonifico o un pagamento con carta), e serve per assicurarsi che colui che sta compiendo la transazione sia veramente il titolare del conto e delle carte di credito o di debito collegate (o autonome, se munite di Iban, come la PostePay evolution), anziché un truffatore.
Truffa della Sim swap: cosa succede
Si sa che ogni cellulare può essere facilmente smarrito o rubato: e allora sorgono dei rischi, specialmente nel momento più vulnerabile, cioè nel periodo, più o meno breve, che intercorre tra la perdita dello smartphone – con la scheda inserita e attiva – e la successiva denuncia all’operatore per avere subito il blocco di quella Sim e poi ottenere, alla prima occasione utile, la sua sostituzione con una nuova. Intanto, però, possono passare minuti, ore o giorni interi prima che il titolare si accorga della sottrazione o dello smarrimento del suo dispositivo mobile, e nel frattempo il conto può essere svuotato, se l’hacker è venuto altrimenti a conoscenza delle credenziali di accesso (cosa non difficile da fare, come vedremo fra poco).
Ma non c’è solo il dispositivo telefonico da controllare: la stessa scheda Sim può essere fraudolentemente duplicata o clonata senza che il legittimo proprietario se ne accorga, perché l’originale rimane sempre in suo possesso. E allora sono guai. Infatti la truffa Sim swap opera su un duplice fronte: prima carpire le chiavi base di accesso al sistema di home banking mediante un qualsiasi tipo di attacco informatico, e poi entrare in possesso della scheda Sim su cui arrivano i messaggi della banca contenenti la password temporanea che autorizza ogni operazione sul conto corrente. Infatti col sistema a due fattori le credenziali senza la Otp non bastano, e la Otp senza le credenziali principali non serve a nulla: per aprire la doppia serratura occorrono entrambe le chiavi.
Truffa Sim swap: quando diventa possibile
Abbiamo visto che in base alla direttiva europea vigente tutti i conti correnti online richiedono un’autenticazione a due fattori e le banche si sono adeguate prontamente a questo meccanismo: perciò il truffatore che vuole compiere operazioni non autorizzate, fino a svuotare completamente il conto prelevando tutto il saldo attivo depositato in un dato momento, deve impossessarsi innanzitutto delle credenziali di accesso.
Questa frode non è difficile da compiere: i tentativi di phishing sono diffusissimi. Basta rispondere incautamente ad un messaggio pervenuto via sms, o con una e-mail o su WhatsApp, che sembra apparentemente provenire dal nostro operatore bancario (gli hacker sono abili a camuffare i loghi, compreso quello di Poste Italiane che infatti viene spesso presa di mira), cliccando sul link che viene proposto con una plausibile scusa (del tipo: «stiamo aggiornando i dati in archivio, ti chiediamo conferma»: così si finisce sul sito truffaldino (la cui pagina assomiglia molto a quella della nostra banca vera) e, se si inseriscono lì i propri dati di autenticazione, il truffatore li acquisisce grazie alla collaborazione fornita dall’utente ignaro.
A questo punto il malintenzionato, per riuscire ad operare sul conto al posto del vero titolare, ha bisogno di apprendere la one time password e qui entra in gioco la scheda Sim: quando la banca invia il messaggio automatico sul cellulare con il codice necessario a confermare l’operazione che si sta disponendo (di solito un pagamento con carta, o un bonifico), il truffatore – che ha ordinato quel movimento e vuole la conferma- se è in possesso della Sim swap, cioè del duplicato della scheda del titolare del conto, lo legge, lo inserisce subito nel sistema di home banking e così autorizza la transazione fraudolenta in proprio favore. Tutto ciò avviene a completa insaputa del vero correntista.
Cambio Sim: come funziona con le nuove regole
Ecco perché per agevolare questo meccanismo fraudolento, che può svuotare un conto corrente in pochi attimi, i truffatori ricorrono al falso cambio della scheda Sim: per farlo, fino a poco tempo fa, era sufficiente recarsi in un qualsiasi centro autorizzato, esibire il documento di riconoscimento dell’intestatario (bastava una fotocopia, molto facile da acquisire) e ottenere il rilascio immediato di una nuova scheda Sim in sostituzione della precedente, ma sempre con il vecchio numero, grazie alla “portabilità” che consente, in qualsiasi momento e a propria scelta di cambiare operatore telefonico.
Adesso le nuove regole sulla sostituzione delle schede Sim
- l’intestatario deve presentarsi personalmente al negozio del gestore per chiedere il cambio operatore con la portabilità e dunque la nuova scheda (non sono più ammesse le deleghe);
- la verifica dell’identità del richiedente avviene inviando, via sms, un apposito codice di riconoscimento sul numero telefonico di cui si chiede il cambio operatore.
In questo modo la portabilità diventa consentita solo in favore di chi viene identificato dal gestore e ha con sé la vecchia scheda Sim, attiva e funzionante, da restituire (anche se è guasta, bisogna obbligatoriamente consegnarla per avere il cambio). Rimangono fuori da questo meccanismo soltanto i cambi Sim dovuti a smarrimento o furto: in tali casi è ovviamente impossibile esibire la vecchia Sim ed anche ricevere su di essa il messaggio di conferma. In tali eventualità il gestore deve comunque inviare il messaggio al numero telefonico corrispondente: se l’utente non risponde, si presume che la scheda sia stata veramente persa o rubata, altrimenti il titolare viene avvisato del cambio in atto e può bloccarlo.