SIM Swap è un esempio di tecnica di frode utilizzata per ottenere l’accesso all’account di un utente sfruttando una falla nella sicurezza dell’autenticazione a due fattori. Per mitigare questi rischi, l’AGCOM ha sviluppato una serie di protocolli che i fornitori di servizi mobili devono rispettare.
Per accedere all’account di un utente, questa tecnica di frode sfrutta una falla nei sistemi di autenticazione a due fattori, in cui il secondo fattore è una telefonata o un messaggio di testo. Gli aggressori potrebbero sfruttare questa vulnerabilità per compiere azioni non autorizzate sul conto bancario della vittima, come leggere e agire sui messaggi SMS forniti dalla banca. L’Agcom ha fornito ai gestori di telefonia mobile istruzioni dettagliate da seguire in questo caso.
SIM Swap, AGCOM dichiara le linee guida da seguire
In primo luogo, solo il titolare della SIM può richiedere una modifica dei dati della SIM, compreso il trasferimento da un operatore a un altro (noto come Mobile Number Portability, MNP), una modifica dovuta al furto o allo smarrimento della SIM, o una modifica dovuta a una SIM virtuale (eSIM) (Art.1 Comma 1). La sostituzione delle SIM aziendali può essere effettuata da un rappresentante aziendale autorizzato che fornisca la documentazione adeguata (Art. 1 Comma 3). In tutte le altre circostanze, il titolare della SIM deve fornire una copia del certificato di identificazione comprovante il Codice Fiscale, una copia della SIM precedente e una copia della denuncia di polizia che attesti lo smarrimento o il furto della SIM (Art. 2 Comma 2).
Dopo aver raccolto le informazioni del cliente, il fornitore di servizi deve convalidare la validità della SIM inviando un SMS che avvisa l’utente della richiesta di sostituzione e chiede conferma prima di procedere alla sostituzione (art. 3 comma 1). Solo in caso di smarrimento, furto o danneggiamento della SIM si può procedere alla sostituzione senza l’espressa autorizzazione del cliente (art. 3, comma 2). L’operatore cercherà quindi di stabilire un contatto con la SIM almeno una volta per assicurarsi che sia ancora funzionante.
Quando un cliente richiede la cessazione dei servizi di sostituzione, l’operatore può attuare l’approccio semplificato a sua discrezione (art. 3, comma 4). La Direzione dell’AGCOM ha costituito il Comitato Tecnico per la Sicurezza delle Comunicazioni Elettroniche con il compito di supervisionare la manutenzione e la revisione dei protocolli antifrode tra operatori (art. 7 comma 2).