L’autenticazione a due fattori è ormai considerata una delle difese più efficaci per proteggere i propri account digitali. Quando ben implementata, aggiunge un livello di sicurezza ulteriore rispetto alla semplice password. Tuttavia, quando questa protezione si affida agli SMS, i rischi diventano evidenti.
A differenza di altre soluzioni, come le app dedicate o le chiavi fisiche di sicurezza, i messaggi di testo attraversano una rete di intermediari prima di raggiungere il destinatario. È proprio in questo passaggio che possono verificarsi intercettazioni e accessi non autorizzati, senza che né l’utente né il servizio coinvolto se ne accorgano.
Una falla sistemica emersa da un’indagine riservata
Un’inchiesta di Bloomberg ha portato alla luce un caso emblematico. A giugno 2023, circa un milione di SMS contenenti codici 2FA sono stati veicolati da una piccola società svizzera, Fink Telecom Services, che in passato era già stata oggetto di attenzione per legami con operazioni di sorveglianza e intercettazioni.
I messaggi in questione provenivano da colossi del calibro di Google, Meta, Amazon, da banche europee e da app molto popolari come Tinder, Snapchat, WhatsApp e Signal. Il fatto che questi SMS siano transitati per un soggetto così controverso solleva interrogativi sull’intera catena di distribuzione.
L’azienda svizzera, secondo quanto riportato, avrebbe gi collaborato anni addietro con delle agenzie di spionaggio e società che si occupavano del monitoraggio degli smartphone. Ad oggi però nega categoricamente di avere accesso ai contenuti degli SMS e di essere coinvolta in attività illecite.
La frammentazione della filiera e la responsabilità dei fornitori
Una delle criticità più rilevanti è che molte aziende, pur non lavorando direttamente con Fink Telecom, si affidano a fornitori che poi subappaltano il servizio a soggetti terzi. Questo rende difficile tracciare con certezza chi gestisce effettivamente i dati sensibili.
Google, Meta, Binance e Signal hanno affermato di non avere rapporti diretti con Fink Telecom.