È stato recentemente pubblicato sul sito dell’Agcom un interessante documento che definisce le modalità e le tempistiche delle nuove procedure che gli operatori telefonici dovranno seguire nei casi di richiesta di cambio SIM e portabilità del numero mobile. Per non incorrere in sanzioni, gli Operatori avranno tempo sino al 15 novembre prossimo per adeguarsi a dette misure.
In esso si riporta l’esito dei lavori del tavolo tecnico convocato da AgCom per rendere effettive le misure di cui alla Delibera 86/21/Cir sulle procedure di portabilità e cambio SIM ideate per prevenire il rischio di SIM SWAP.
La truffa sim swap: di cosa si tratta?
La SIM Swap è una tipologia di truffa informatica, in costante crescita nel mondo, che consiste nell’ impossessarsi del numero di cellulare dell’ignaro possessore allo scopo di accedere ad una serie di servizi ed informazioni collegati alla SIM.
La necessità di sostituire la propria SIM card nasce da esigenze legittime e ricorrenti: per malfunzionamento, furto, ovvero semplice necessità di scegliere l’operatore telefonico più conveniente, mantenendo in tutti i casi il proprio numero. Questo espone tuttavia l’utente al rischio concreto che qualche malintenzionato, attraverso un documento falso o la compiacenza di chi lavora presso uno store, provi a clonare il numero di cellulare con tutte le conseguenze che ne derivano.
Al giorno d’oggi, infatti, l’accesso a molti servizi online richiede, oltre all’inserimento di nome utente e password, anche l’autenticazione attraverso un codice ricevuto sullo smartphone. È il caso, per esempio, dei servizi bancari on line. Il rischio quindi di rimanere vittime di questo tipo di truffa è oggi più che mai concreto ed anche l’utente più diligente può cadere nella trappola.
I segnali che ci devono allarmare
Il principale segnale che qualcosa non va nel nostro apparato mobile si manifesta con tre fenomeni:
- quando smette di funzionare;
- quando non si connette alla rete;
- quando non ci permette di effettuare chiamate o mandare sms.
In questi casi, dobbiamo pertanto subito provare a riavviare lo smartphone. Se dopo aver riavviato il telefono il problema non si risolve, occorre contattare il servizio clienti del proprio Operatore telefonico e chiedere spiegazioni. Se l’Operatore confermerà la sostituzione della SIM, occorrerà subito mettersi in contatto con la banca e controllare i propri movimenti. Anche la chiamata di un presunto operatore telefonico che ci informa che ci sono problemi di linea sullo smartphone potrebbe essere il segnale di un attacco alla SIM.
Le nuove misure Agcom
L’AgCom ha voluto rispondere ai crescenti casi di SIM swap: mediante la delibera 86/21/Cons ha rafforzato i controlli nei processi di sostituzione delle SIM e nelle richieste di portabilità. Per quanto riguarda il cambio – anche nei casi di furto, smarrimento o malfunzionamento per i quali è previsto il cambio fisico della SIM presso il fornitore di servizi mobili – la delibera prevede che la richiesta possa essere effettuata unicamente dal suo titolare. In caso di furto, smarrimento o malfunzionamento, la richiesta della nuova SIM può essere effettuata solo presso il proprio operatore e la richiesta di MNP può essere effettuata solo dopo averla sostituita, disponendo, quindi, di una SIM funzionante.
L’Operatore di telefonia mobile ha l’obbligo di identificare il soggetto, che richiede la sostituzione o la portabilità della SIM, con idoneo documento d’identità e codice fiscale, sia nel caso in cui la richiesta avvenga presso un punto vendita, sia in quello di richiesta telematica.
Un’importante misura introdotta dalla delibera è la validazione della richiesta. Essa, mediante sms o chiamata vocale registrata, è obbligatoria nei casi di sostituzione o portabilità della SIM. L’Operatore, prima di proseguire con le ulteriori operazioni necessarie ad evadere la richiesta, dovrà pertanto acquisire la conferma sull’operazione che sta andando a compiere. L’utente avrà quindi modo di confermare o meno la prosecuzione dell’iter di sostituzione o portabilità della SIM. La validazione della richiesta è obbligatoria anche nei casi di portabilità del numero (il suo passaggio da un Operatore, detto donating, a un altro, il c.d. recipient).
L’Agcom ha stabilito che, in questo caso, sarà l’Operatore che acquisisce la risorsa numerica a dover verificare i dati. L’Autorità ha inoltre previsto una serie di obblighi informativi a carico degli utenti nei casi di portabilità della SIM.
Nello specifico, l’Operatore recipient dovrà informare l’utente tramite SMS o chiamata non appena:
- viene registrata nei sistemi del recipient la richiesta di portabilità;
- viene ricevuta dal recipient la risposta positiva o negativa alla richiesta di portabilità;
- avviene il passaggio del numero;
- il credito residuo viene messo a disposizione dell’utente sulla nuova SIM.
La validazione non è necessaria nei casi di furto o smarrimento della SIM. In tal caso l’operazione di sostituzione può proseguire solo dopo aver acquisito copia leggibile della denuncia all’autorità competente. Anche nel caso di sostituzione della SIM per malfunzionamento la validazione non è prevista, ma il rischio di truffa viene annullato dall’obbligo di consegnare la vecchia SIM. Per il cambio, l’utilizzo delle deleghe è consentito solo se si tratta di SIM aziendali e limitatamente ai casi indicati nel documento recentemente pubblicato. Le regole esposte si applicheranno anche alle e-SIM (le SIM elettroniche che sono all’interno dello smartphone sotto forma di chip).
Intervento necessario per ostacolare truffe e raggiri
Da tempo, ormai, si rendeva necessario un intervento per far fronte a quello che la stessa Agcom definisce un aumento preoccupante di segnalazioni di casi di sostituzione SIM, per passaggio ad altro operatore o per presunto furto o deterioramento, all’insaputa del suo titolare. La strada indicata, onde prevenire e contrastare i tentativi di truffa a danno degli utenti di telefonia mobile, è stata quella del rafforzamento dei controlli da effettuare nella procedura di passaggio da un Operatore all’altro del numero di telefono mobile (Mobile Number Portability, MNP). Ciò mediante l’implementazione di tecniche e procedure che possano garantire tempestive notifiche al cliente quando è costretto a sostituire la SIM, consentendogli di utilizzare uno strumento di conferma, ab initio, per esprimere il suo assenso alla prosecuzione dell’iter di sostituzione.
I controlli si sono resi necessari soprattutto per i casi, in crescita esponenziale, in cui la richiesta di sostituzione della SIM viene avanzata dall’utente e soddisfatta dal Gestore per via telematica: è evidente che, in occasioni del genere, la porta per i potenziali truffatori è spalancata. Altra situazione favorevole ai malintenzionati si presentava quando la sostituzione veniva effettuata nei punti vendita degli Operatori.
Nel corso e successivamente a tali attività, i dati degli utenti rimanevano nella disponibilità dei titolari (e/o dei collaboratori) degli esercizi, non essendo prevista “un’adeguata segregazione informatica dei dati personali dei clienti, Agcom” e non essendo previste, anche perché molto difficili da reperire, modalità efficaci per favorire il controllo da parte degli Operatori.
Il risultato ultimo di questa situazione poco normata, o del tutto priva di regole, era quello di permettere, senza particolari difficoltà, la sostituzione della SIM di un utente da parte di un soggetto terzo non autorizzato, che poteva entrare in possesso anche di ulteriori dati riservati, rispetto a quelli utili per effettuare un furto per via telematica presso gli istituti bancari, spendibili per ulteriori attività dolose.
L’Autorità, con lo stesso provvedimento, ha messo in campo anche un nuovo strumento, che assorbirà le competenze e le attività del Comitato Tecnico Antifrode. Il Comitato tecnico sulla sicurezza delle comunicazioni elettroniche, col coordinamento della competente Direzione della stessa Agcom, “tratta e condivide con gli Operatori le questioni concernenti la sicurezza delle comunicazioni al fine di prevenire comportamenti dolosi a danno degli utenti finali”. Al Comitato tecnico possono partecipare un rappresentante per il Nucleo Speciale per la Radiodiffusione e l’Editoria della Guardia di Finanza e uno per la Sezione di Polizia Postale e delle Comunicazioni
Conclusioni
Le misure adottate dall’Autorità, che hanno determinato modifiche alla procedura di portabilità del numero mobile prevista dalla delibera n. 147/11/CIR, nonché nuove previsioni finalizzate ad aumentare la sicurezza nei casi di sostituzione della SIM, sono arrivate a conclusione di consultazione pubblica.
Ad essa hanno offerto il loro contributo nove fornitori di servizi di comunicazione elettronica (Coop Italia, Fastweb, Iliad, Kaleyra, Postepay, Telecom, Vodafone, Welcome, Wind Tre) e tre associazioni dei consumatori (Codacons, Federconsumatori e Osservatorio Imprese e Consumatori OIC). Audizioni individuali sono state effettuate, su loro richiesta, con Iliad, Wind Tre e Kaleyra. Un percorso, come si vede, caratterizzato da un consistente lavoro preparatorio e da notevole partecipazione.
Tutto ciò è indicativo della delicatezza della questione affrontata dall’Agcom, che, come abbiamo potuto vedere, parte dal mondo delle comunicazioni elettroniche ma può avere ripercussioni serie su molti altri aspetti della vita delle persone. I dati, ormai, hanno valore inestimabile.
Non è un caso che dappertutto, nel mondo, e in Europa in primis, il problema della loro sicurezza, e quindi della tutela della privacy, sia un tema al centro di iniziative di ogni genere, non solo normative. L’Agcom avrà senz’altro dato, quando le nuove regole entreranno in vigore da qui a qualche mese, un contributo importante, ma non decisivo. Altri attori dovranno agire, e agire in fretta. Come si sa per recenti esperienze, in certi campi le regole stentano a tenere il passo con le nuove tecnologie, e spesso corrono il rischio della obsolescenza appena adottate. Nel frattempo, chi vuole approfittare si insinua prontamente nei varchi che, certo inconsapevolmente, vengono lasciati aperti.
