Dovranno essere implementate entro il 15 novembre 2022 le nuove misure previste da Agcom volte a prevenire il fenomeno del SIM swap.
Cos’è il Sim Swap
Si tratta di un tipo di frode che ha come obiettivo l’acquisizione di un account prendendo di mira una debolezza nell’autenticazione a due fattori, in cui il secondo fattore è un SMS o una chiamata a un telefono cellulare. In questo modo, i malintenzionati potrebbero per esempio intercettare gli SMS inviati dalla banca della vittima e utilizzarli per operare sul suo conto bancario. Al fine di evitare l’insorgere di questo fenomeno, l’Agcom ha delineato specifiche procedure che gli operatori di telefonia mobile dovranno seguire.
Le procedure previste da Agcom
Il 29 aprile 2022, l’Autorità Garante per le Comunicazioni (AGCOM) ha pubblicato sul proprio sito l’esito del Tavolo Tecnico relativo all’implementazione della Delibera n. 86/21/CIR, emanata l’8 luglio 2021. Ecco le misure previste.
Innanzitutto, la richiesta di cambio della SIM, inclusi i casi di richiesta di trasferimento da un operatore ad un altro (altrimenti conosciuto come Mobile Number Portability, MNP), di furto o di smarrimento, o di altre fattispecie di modifica virtuale (eSIM), può essere effettuata esclusivamente dal titolare della SIM (Art.1 Comma 1). Per quanto riguarda le SIM aziendali, la loro sostituzione può essere effettuata da un referente delegato dell’impresa che dovrà presentare un’autorizzazione a condurre l’operazione (Art. 1 Comma 3). In tutti gli altri casi, il titolare della SIM dovrà mostrare una copia del documento d’identità attestante il Codice Fiscale, una copia della vecchia SIM e, nel caso di furto o smarrimento, una copia della relativa denuncia (Art. 2 Comma 2).
Una volta acquisiti i dati del cliente, il fornitore dovrà effettuare una validazione per controllare se la SIM è ancora attiva, inviando un SMS in cui si informa il cliente della richiesta di sostituzione e in cui gli si chiede conferma per effettuare le successive procedure (Art. 3 Comma 1). In assenza di consenso esplicito da parte del cliente, il processo di sostituzione può proseguire esclusivamente nei casi di sostituzione per SIM smarrita, rubata o guasta (Art. 3 Comma 2). In queste situazioni, l’operatore effettuerà almeno un tentativo di contatto per verificare se la SIM sia sempre operabile.
Qualora venga manifestata l’intenzione di interrompere il processo di sostituzione, è prevista una procedura semplificata in cui cliente può eseguire questa operazione attraverso le modalità scelte dai singoli operatori sulla base delle proprie policy aziendali (Art. 3 Comma 4).
Il Comitato tecnico sulla sicurezza delle comunicazioni elettroniche
Allo scopo di garantire il monitoraggio e l’aggiornamento delle procedure antifrode inter-operatore, è stato istituito il Comitato tecnico sulla sicurezza delle comunicazioni elettroniche, coordinato dalla Direzione dell’AGCOM (Art. 7 Comma 2). Questo organo tratta e condivide con gli operatori tutti gli aspetti e le problematiche attinenti alla sicurezza delle comunicazioni. I suoi scopi principali sono:
- monitorare l’efficienza e l’efficacia del processo di cooperazione antifrode, adeguandolo alle variazioni del contesto ed alle necessità di efficienza operativa degli operatori;
- garantire, tra i partecipanti al Comitato e l’Autorità, un efficace flusso di informazioni in merito ai fenomeni fraudolenti esistenti e sugli eventi che possono aumentare il livello di rischio;
- analizzare le esposizioni ai rischi dei nuovi servizi di comunicazione elettronica e individuare contromisure al fine di evitarne la diffusione massiva;
- permettere l’avvio e lo svolgimento di attività di vigilanza più rapide attraverso la trasmissione di segnalazioni su comportamenti scorretti ed eventualmente congiunte da parte di più operatori partecipanti al Comitato;
- sviluppare la consapevolezza sui possibili rischi di frode nel mercato delle comunicazioni elettroniche e nei confronti dell’utenza finale.[3]
Il vademecum per la protezione dei dati personali di Agcom, Abi e Polizia di Stato
A supporto dell’azione dell’Agcom, l’Associazione bancaria italiana (ABI) e la Polizia di Stato hanno promosso un Vademecum con dei consigli utili per la protezione dei dati personali, al fine di ridurre i fattori di vulnerabilità e i comportamenti potenzialmente rischiosi. Il progetto è stato realizzato dall’ABI in collaborazione con prestigiosi interlocutori quali l’Osservatorio per la sicurezza fisica (OSSIF, il Centro di Ricerca dell’ABI sulla Sicurezza Anticrimine), il CERTFin (l’iniziativa cooperativa pubblico-privata diretta dall’ABI e da Banca d’Italia finalizzata a innalzare la capacità di gestione dei rischi cibernetici degli operatori bancari e finanziari), la Polizia Postale e le Associazioni dei Consumatori. Oltre a fornire indicazioni su come agire in sicurezza, il Vademecum offre anche delle informazioni rispetto a cosa fare quando si è vittima di frode. I 12 accorgimenti per proteggere la propria identità riguardano:
- in caso di smarrimento o furto di documenti personali, rivolgersi alle autorità di polizia preposte. In caso di furto o smarrimento di carte di credito e/o di debito, dopo averne ordinato il blocco chiamando il numero messo a disposizione, comunicare la denuncia anche alla propria banca;
- prestare attenzione se si smaltisce documentazione cartacea contenente informazioni personali, rendendo illeggibili i dati sensibili;
- proteggere con cura le credenziali di accesso ai conti online, i codici delle carte di credito e di debito e gli altri codici di sicurezza. Custodire anche le credenziali per la firma digitale;
- rivestire con custodie schermate le carte di pagamento con tecnologia contactless per ridurre al minimo la possibilità di essere vittime di truffe che prevedano la lettura del chip;
- cambiare con frequenza le credenziali di accesso per entrare nei conti;
- fare attenzione ai messaggi in modo da differenziare quelli autentici da quelli fraudolenti;
- non cliccare mai su link presenti in messaggi ambigui;
- se si fa uso di un computer pubblico per accedere al conto online, chiudere la sessione tramite logout;
- diffidare da presunti operatori che chiamano per ottenere informazioni personali, bancarie o di credito;
- se il cellulare non risulta più in grado di effettuare e ricevere chiamate, contattare subito l’operatore telefonico;
- non condividere tramite canali social dati personali e finanziari;
- dotarsi di un programma antivirus e aggiornarlo costantemente.
Il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto d’Identità
Al di là dei consigli del Vademecum, uno degli strumenti di prevenzione introdotti per scongiurare il furto di identità è il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto d’Identità (SCIPAFI). Si tratta di un banca dati in cui confluiscono le informazioni contenute nei database delle pubbliche amministrazioni (ad oggi del Ministero dell’Interno, dell’Agenzia delle Entrate, del Ministero dei Trasporti, dell’INPS e dell’INAIL), al quale le banche e altri soggetti accedono per verificare l’autenticità della documentazione della clientela prima di attivare un servizio finanziario.
I numeri del fenomeno e l’alert dell’FBI
Le suddette misure di prevenzione sono state implementate alla luce del recente aumento del fenomeno del SIM swap. Esemplificativo è il monito del Federal Bureau of Investigation (FBI), il quale ha ricevuto più di 1.600 denunce nel 2021, con perdite stimate fino a 68 milioni di dollari. Nei tre anni precedenti, l’FBI ha ricevuto un totale di 320 segnalazioni, con circa 12 milioni di dollari sottratti. L’incremento è dovuto in parte ad attori malintenzionati che trovano modi di aggirare i sistemi di autenticazione a più fattori; in aggiunta secondo Eric Cole, Fondatore e Amministratore Delegato di Secure Anchor Consulting, società di sicurezza informatica, l’aumento di tali crimini è collegato al boom delle criptovalute del 2021.
L’avvertimento dell’FBI ai piccoli investitori arriva nel momento in cui le forze dell’ordine federali hanno deciso di rafforzare i loro sforzi per tracciare le valute digitali che finanziano molte reti criminali. A febbraio 2022, il Dipartimento di Giustizia ha istituito un‘unità crittografica dell’FBI che, insieme al National Cryptocurrency Enforcement Team (NCET), avrà il compito di lavorare sui casi che coinvolgono l’uso criminale delle risorse digitali, con un focus sulle infrastrutture di scambi di valuta virtuale e altre piattaforme che stanno favorendo l’uso improprio di criptovalute e tecnologie correlate.