procedure agcom

Portabilità del numero cellulare, nuove regole anti truffa ruba soldi

Una recente delibera di AGCOM fornisce dettagli sulla nuova procedura di portabilità e cambio SIM in vigore dal 15 novembre, alla quale clienti e operatori telefonici dovranno adeguarsi per non incorrere in sanzioni. Le maglie si stringono per contrastare il fenomeno fraudolento del SIM swap

04 Mag 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Dal 15 novembre ci sono nuove procedure per il cambio operatore, appena decise da Agcom (Autorità Garante Comunicazioni).

Il fine è quello di allontanare sempre di più il rischio di SIM Swapping, pratica in costante crescita.

Con il sim swapping si trasferisce la proprietà della SIM presa di mira e il suo numero, verso una nuova SIM fisica.

Come funziona la truffa SIM SWAP?

Si fa così di fatto perdere il controllo sul numero di telefono con tutti i problemi (gravi) che ne conseguono per la sicurezza della vittima: basti pensare ai metodi di autenticazione 2FA che sfruttano il numero di telefono mobile per andare a buon fine.

Nuove procedure di portabilità e sostituzione SIM

AGCOM, l’Autorità per le Garanzie nelle Comunicazioni, ha recentemente pubblicato il documento di esito del Tavolo Tecnico relativo alle modalità di implementazione della precedente delibera 86/21/CIR, pubblicata il 27 luglio 2021, sulle procedure di portabilità e cambio SIM, introducendo novità interessanti per la protezione dell’identità dei clienti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Le novità introdotte funzioneranno in prima battuta come deterrente contro attacchi mirati di SIM swap, considerati i nuovi passaggi normativi ai quali gli operatori dovranno adeguarsi, ma anche dal punto di vista pratico, di fatto, rendono sicuramente molto più ostico (per non dire impraticabile) un attacco di questo tipo, atto a coinvolgere una pratica di cambio SIM illecita da parte di terzi non identificati, all’insaputa della vittima.

Come cambiano i processi di richiesta cambio SIM e portabilità

  1. La delibera AGCOM identifica il soggetto che ha facoltà di effettuare tale richiesta, unicamente nella figura del titolare della SIM, inclusi per i casi di furto, smarrimento o malfunzionamento della SIM che prevedono il cambio SIM solo fisicamente presso il fornitore di servizi mobili.
  2. Obbligatorio identificare il cliente con idoneo documento d’identità e codice fiscale,  per i casi di cambio SIM e portabilità sia presso il fornitore fisicamente che in via telematica.
  3. A questo punto il fornitore di servizi deve obbligatoriamente effettuare il nuovo passaggio della validazione.
    • Nei casi di sostituzione/portabilità SIM la validazione avviene obbligatoriamente mediante SMS o chiamata vocale registrata, con la richiesta di una conferma sull’operazione che si sta andando a compiere.
    • Nei casi di furto/smarrimento il messaggio SMS o la chiamata per la validazione non saranno necessari, ma l’operazione deve essere accompagnata da regolare denuncia alle forze dell’ordine.
    • Anche nel caso di sostituzione per SIM non funzionante, non verrà richiesta la validazione, però si dovrà fornire fisicamente la vecchia SIM.
    • In tutti i casi il fornitore di servizi dovrà possedere una snella interruzione della procedura avviata, facile da mettere in atto, qualora disconosca l’operazione, non voglia o non possa validarla. I meccanismi di interruzione devono essere ben noti ai clienti e facilmente reperibili sui siti Internet istituzionali.
  4. Obbligo informativo da parte del fornitore del servizio mobile, nei confronti del cliente in fase di portabilità, su tutte le fasi del processo: tramite SMS o chiamata non appena viene avviata la procedura nei sistemi dell’operatore ricevente; all’arrivo della risposta da parte dell’operatore ricevente, sia positiva che negativa; quando avviene il passaggio del numero e quando viene accreditato il credito residuo dal vecchio al nuovo operatore.

Come risultato dell’ultimo Tavolo Tecnico di AGCOM si sono stabiliti anche i termini di attuazione delle procedure descritte. Gli operatori devono adeguare pertanto, tutte le loro infrastrutture, alla nuova procedura entro e non oltre il 15 novembre 2022, compreso il positivo esito di una adeguata campagna di informazione ai rispettivi clienti.

Il pericolo di SIM swap

La pratica di SIM swapping è estremamente diffusa nello scenario del crimine informatico. Si tratta di un attacco mirato, ben organizzato con una premeditazione delle azioni correlate al cambio della SIM: credenziali per vari accessi rubate, informazioni personali sensibili compromesse da data breach, approfondita conoscenza della vittima presa di mira.

E’ un attacco che coinvolge spesso pratiche di social engineering per cercare di acquisire quante più informazioni possibili sulla vittima. Talvolta vengono reperiti documenti d’identità falsi sulla vittima, a supporto delle azioni che verranno intraprese illecitamente, come una richiesta di pratica di cambio SIM, con una motivazione anche banale come la perdita o il malfunzionamento della vecchia SIM. A questo punto, ottenuta la proprietà illecita di un numero di telefono, si potrà avere accesso alle verifiche di autenticazione per app, siti web e conti correnti bancari mediante home banking.

Nella maggior parte dei casi questo attacco riesce a concretizzarsi con un risultato di successo, proprio grazie ai controlli pratici quasi inesistenti sull’identità dell’ordinante l’operazione. La nuova delibera AGCOM interviene proprio su questi punti, cercando di limitare sempre di più la debolezza dell’anello “fattore umano” della catena procedurale.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 2