LA DELIBERA contro sim swap

Cambio SIM più sicuro, contro le frodi: le nuove regole Agcom

L’AGCOM ha avviato un procedimento e una consultazione pubblica al fine di aggiornare le procedure di portabilità del numero mobile e le misure di sicurezza per il contrasto al fenomeno degli attacchi di SIM swap: ecco tutto quello che c’è da sapere sulle nuove modalità di cambio SIM

01 Dic 2020
Paolo Tarsitano

Editor Cybersecurity360.it

In arrivo un nuovo e più sicuro procedimento per cambiare la SIM del proprio operatore di telefonia mobile. E così combattere le crescenti frodi di SIM swap, con cui i criminali informatici possono tra l’altro rubare soldi dal conto corrente.

Le nuove modalità sono nella Delibera n. 334/20/CIR I pubblicata oggi dall’Autorità per le Garanzie nelle Comunicazioni (AGCOM).

L’obiettivo è quello di aggiornare le procedure di portabilità del numero mobile, ma soprattutto adottare nuove misure tecniche che consentiranno di aumentare la sicurezza nei casi di sostituzione fraudolenta della SIM.

Com’è noto, i pericolosi attacchi SIM Swap sono mirati al furto di denaro mediante elusione delle procedure di sicurezza nei servizi di home banking o di dati riservati. I criminali, con la sim della vittima, intercettano gli SMS con la one time password.

Ed è un fenomeno in crescita come ci dice Paolo Dal Checco, esperto di informatica forense: “i casi aumentano ogni giorno, così come accade anche con altri reati, anche a causa del lockdown che ha digitalizzato ulteriormente le nostre vite”.

Perché servono nuove modalità di cambio SIM per il contrasto alle frodi

Contestualmente alla pubblicazione della delibera, l’AGCOM ha quindi avviato una fase di consultazione pubblica che servirà proprio a raccogliere le proposte utili ad introdurre meccanismi per prevenire e contrastare eventuali tentativi di truffa a danno degli utenti finali di telefonia mobile.

Ciò dovrebbe avvenire in primo luogo attraverso un rafforzamento dei controlli fatti nell’ambito della procedura di portabilità del numero per cambio operatore (MNP), ma anche grazie all’introduzione di tecniche e procedure di notifica al cliente sullo svolgimento delle attività di sostituzione della SIM per dargli la possibilità di confermare il suo consapevole assenso alla prosecuzione dell’iter di sostituzione (così come già avviene, ad esempio via e-mail o SMS, per l’attivazione di altri servizi digitali online).

La necessità di una verifica delle modalità di cambio SIM è stata dettata dal fatto che, al momento, le vigenti norme nazionali (Codice delle Comunicazioni Elettroniche, art. 55, comma 71) prevedono l’identificazione del soggetto che richiede una nuova SIM solo nel caso di sottoscrizione di nuovi contratti di servizi di telefonia mobili oppure di portabilità del numero per cambio operatore (MNP).

Non c’è, invece, alcun obbligo di identificazione dei clienti nel caso in cui vengano richieste prestazioni accessorie tra cui, appunto, la sostituzione di una SIM card che in genere viene gestita presso un dealer dell’operatore telefonico. Mancano anche controlli nell’MNP in caso di SIM dichiarata smarrita o rubata

Come ha rilevato la stessa AGCOM, tale anomalia normativa ha causato un aumento preoccupante di segnalazioni di casi di sostituzione SIM, per passaggio ad altro operatore o per presunto furto o deterioramento, all’insaputa dell’utente finale titolare della SIM e ciò nonostante siano già in corso attività per consentire di contrastare e prevenire un fenomeno fraudolento che coinvolgono direttamente, in particolare, gli istituti bancari.

Mediante la sostituzione fraudolenta della SIM, infatti, un eventuale malintenzionato potrebbe eludere le procedure di sicurezza nei servizi di home banking e rubare denaro alla vittima.

Inoltre, una procedura di SIM swap non autorizzata può consentire di entrare in possesso di ulteriori dati riservati, rispetto a quelli utili per effettuare un furto telematico presso gli istituti bancari, come per esempio il furto di dati personali sensibili utilizzati anche al fine di perpetrare ulteriori attività malevoli.

Le nuove modalità di cambio sim contro lo swap

Le nuove modalità, in sintesi sono queste:

  • sia nel caso in cui il cliente si rivolga al dealer del proprio operatore sia che richieda la MNP presso altro dealer, il dealer dovrà effettuare una copia di un documento d’identità del soggetto richiedente, di un documento attestante il Codice
    Fiscale, nonché della SIM o, eventualmente, della denuncia alle autorità competenti di
    smarrimento o furto della stessa.
  • Per richieste per via telematica, oltre all’identificazione, come previsto dalle norme vigenti, dovrà essere previsto l’invio
    anche della copia della medesima documentazione richiesta in caso in cui ci si rivolga al dealer. La procedura di inserimento dati dovrebbe garantire, comunque,  Allegato B alla delibera n. 334/20/CIR 4 l’impossibilità di finalizzare la stessa se non vengono caricati a sistema la scansione dei documenti citati;
  • in tutti i casi di sostituzione della SIM, il fornitore di servizi mobili invia sempre un messaggio SMS per informare il cliente che è stata richiesta la sostituzione della SIM e gli chiede conferma (a esempio mediante inserimento di una OTP) al fine di proseguire con le ulteriori procedure necessarie per esaudire la richiesta.
  • In assenza di conferma esplicita, cosa che si verifica nei casi di SIM smarrita, rubata o guasta, si introduce un principio di attesa di un adeguato tempo (per esempio 72 ore) nel corso del quale il cliente, per altra via (ad esempio tramite e-mail o fornitura di un altro numero cellulare all’operatore) potrà essere informato del cambio SIM e, nel caso di cambio all’insaputa dell’utente, bloccare il processo.
  • A tal fine ai numeri mobili “principali” sono associati altri numeri mobili ed e-mail, validati con opportuna procedura di test, a cui verranno inviate le informazioni relative al processo di sostituzione della SIM, eventualmente limitando l’invio della OTP al solo numero principale e fornendo informazioni del processo ai numeri ed e-mail associati. Eventuali variazioni dopo l’adesione al contratto dei numeri ed e-mail associati dovrà avvenire sempre adottando criteri di sicurezza basati su OTP.
  • Ciò premesso, quando il cliente riceve l’informazione che si sta procedendo con la sostituzione della SIM, deve sempre avere la possibilità di bloccare tale processo in modo semplice, anche solo inviando un SMS ad un numero prefissato, concordato tra tutti gli operatori mobili e l’Autorità, con codice “40”, ovvero chiamando il customer care e svolgendo la procedura in autonomia o parlando con un operatore, nonché accedendo ad un’area riservata sul sito web dell’operatore;

Nuove misure di sicurezza: il parere dell’esperto

Sempre secondo l’esperto di informatica forense Dal Checco, “queste misure sembrano ottime, in particolare l’obbligo di inviare un messaggio di conferma all’utenza sulla “vecchia” SIM prima di generarne una nuova. Così facendo, è possibile smascherare il truffatore che sta fingendo di essere il proprietario che ha perso la SIM e chiede la generazione di una nuova: il messaggio con richiesta di conferma via codice OTP da comunicare all’esercente (o al sito Internet su cui sta richiedendo la rigenerazione/portabilità della SIM) verrebbe infatti recapitato al vero proprietario, mettendolo in allarme, e il truffatore senza il codice OTP non avrebbe modo di portare a termine la sua attività fraudolenta”.

In particolare, continua Dal Checco, “sembrerebbero essere più efficaci le misure tecniche (appunto il codice OTP inviato alla “vecchia” SIM) di quelle procedurali, che in qualche modo possono essere eluse qualora ci fosse di connivenza con i truffatori da parte di esercenti disonesti o per le capacità dei truffatori stessi di accedere a ulteriori dati delle vittime (ad esempio, il codice fiscale si può sempre chiedere alla vittima, oltre ai suoi documenti, quindi non è una misura che impedisce la truffa, forse ne aumenta leggermente la complessità di esecuzione)”.

Vedremo, dunque, cosa uscirà fuori dalla consultazione pubblica delle nuove modalità di cambio SIM che, salvo sospensioni o proroghe decise dall’Autorità per le Garanzie nelle Comunicazioni con determinazione motivata, si concluderà il prossimo 29 marzo, cioè entro 120 giorni dalla data di pubblicazione della delibera sul sito web dell’AGCOM.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr