L’AGCOM interviene su sostituzione SIM e portabilità per contrastare il SIM Swap

schede SIM

Attraverso la delibera n. 86/21/CIR, pubblicata nella giornata di ieri, 27 luglio 2021, l’AGCOM (Autorità per le Garanzie nelle Comunicazioni) interviene sui meccanismi di sostituzione delle SIM e di portabilità per contrastare in maniera decisa le truffe di telefonia mobile nome con l’appellativo di SIM Swap.

Il documento è datato 8 luglio 2021, fa seguito all’importante comunicazione che l’AGCOM aveva già fatto in quella data e va anche a modificare la precedente delibera n. 147/11/CIR.

Delibera n. 86/21/CIR, AGCOM: che cosa cambia in sintesi

Con la nuova delibera n. 86/21/CIR – “Modifiche e integrazioni della procedura di portabilità del numero mobile, di cui alla delibera n. 147/11/CIR, e connesse misure finalizzate ad aumentare la sicurezza nei casi di sostituzione della SIM (SIM swap)” –, l’AGCOM introduce «meccanismi di prevenzione e di contrasto a eventuali tentativi di truffa a danno degli utenti finali di telefonia mobile».

Come si legge sul sito ufficiale dell’Autorità, inoltre, «Le modifiche al processo di portabilità riguardano sia la previsione di meccanismi che puntano al rafforzamento dei controlli effettuati nel corso della procedura, che l’introduzione di notifiche che garantiscono l’aggiornamento sullo svolgimento di eventuali attività di sostituzione della SIM” (c.d. SIM Swap). In tal modo, l’utente sarà in grado di confermare o meno la prosecuzione dell’iter di sostituzione (o di portabilità) della scheda».

Aumento dei casi di SIM Swap: consultazione pubblica

Il provvedimento dell’AGCOM esplica la volontà di rispondere in maniera efficace all’aumento “preoccupante” delle segnalazioni di casi di sostituzione SIM per passaggio ad altro operatore o per presunto furto o deterioramento della SIM all’insaputa del titolare della SIM stessa.

La nuova delibera fa seguito ad una fase di consultazione pubblica inerente alla delibera n. 334/20/CIR dei cui esiti si dà conto nel documento allegato alla nuova delibera (consultabile a questo link).

Alla consultazione pubblica hanno preso parte 9 fornitori nazionali di servizi di comunicazione elettronica, nella fattispecie: Coop Italia Società Cooperativa (CoopVoce), Fastweb S.p.A., Iliad Italia S.p.A., Kaleyra S.p.A., Postepay S.p.A. (PosteMobile), Telecom Italia S.p.A. (TIM), Vodafone Italia S.p.A., Welcome Italia S.p.A., Wind Tre S.p.A.. Fra queste, hanno richiesto un’audizione individuale Iliad, WINDTRE e Kaleyra S.p.A.

Inoltre, hanno fornito risposte anche tre associazioni dei consumatori, vale a dire: Codacons, Federconsumatori e Osservatorio Imprese e Consumatori (OIC).

Sostituzione della SIM: che cosa cambia nella pratica

Per quanto riguarda le novità in materia di sostituzione della SIM, bisogna innanzitutto fare riferimento all’articolo 1, delibera n. 86/21/CIR, rubricato “Soggetto che può richiedere il cambio SIM“.

La disposizione, al comma 1, stabilisce che l’unico soggetto legittimato a richiedere il cambio della SIM, anche nei casi di «richiesta di Mobile Number Portability (MNP), di furto o smarrimento, o altre fattispecie di modifica virtuale (eSIM)», è il titolare della SIM.

Il comma 2 rafforza ulteriormente quanto disposto, prevedendo che «In caso di furto, smarrimento o malfunzionamento la richiesta della nuova SIM può essere effettuata solo presso il proprio operatore». Inoltre, la disponibilità in capo al titolare di una SIM funzionante diventa conditio sine qua non per poter richiedere la portabilità in uscita verso un altro operatore: non è più possibile passare direttamente ad altro operatore se non si dispone di una SIM funzionante. Pertanto, nei casi di furto, smarrimento o malfunzionamento, la sostituzione della SIM da parte dell’operatore attuale deve sempre precedere la portabilità (MNP).

L’utilizzo di deleghe al cambio della SIM rimane possibile solo per le SIM aziendali, ma limitatamente ai casi che saranno declinati nell’ambito del Tavolo tecnico sulla MNP. Anche in questo caso, comunque, i fornitori di servizi sono tenuti a gestire il cambio con gli stessi sistemi di sicurezza previsti dalla delibera.

Il soggetto che richiede la sostituzione della SIM deve essere identificato

L’articolo 2 della delibera n. 86/21/CIR dell’AGCOM (“Identificazione del soggetto richiedente il cambio della SIM“), stabilisce che il fornitore di servizi di telefonia mobile, nel caso di cambio SIM – sia nel caso in cui la richiesta sia fatta presso il dealer sia in caso di richiesta per via telematica – «è tenuto ad identificare il soggetto che richiede la sostituzione della SIM attuando le relative vigenti norme. Nel caso delle eSIM, l’identificazione è effettuata prima del caricamento del profilo da remoto o della sua attivazione in rete».

Ai fini dell’identificazione, il fornitore di servizi acquisisce copia fotostatica chiara e leggibile:

  • del documento d’identità del soggetto richiedente e di un documento attestante il Codice Fiscale;
  • della vecchia SIM;
  • nel caso di furto o di smarrimento della SIM, della relativa denuncia.

Articolo 3: “Validazione nei casi di sostituzione SIM e modifiche all’art. 6 della delibera n. 147/11/CIR”

Da non sottovalutare, in tema di contrasto del SIM Swap, è l’importanza dell’articolo 3 della delibera, che introduce la “Validazione nei casi di sostituzione SIM”: nei casi di sostituzione della SIM, che per portabilità, il fornitore di servizi effettua sempre una validazione della richiesta per verificare che la SIM sia attiva. I metodi di verifica previsti sono: messaggio SMS, chiamata registrata al cliente.

L’assenza di conferma del titolare della SIM blocca il processo di sostituzione, che può proseguire solo nei casi previsti:

  • sostituzione per SIM smarrita o rubata, qualora sia stata acquisita ed effettuata copia leggibile della denuncia all’Autorità competente;
  • sostituzione per SIM guasta, qualora sia stata acquisita la vecchia SIM.

Validazione obbligatoria anche per la portabilità

Se in precedenza la delibera n. 147/11/CIR disponeva il carattere facoltativo della validazione, adesso questa diventa obbligatoria anche in caso di richiesta di portabilità: l’operatore verso cui si sta portando il proprio numero telefonico (recipient) è obbligato, prima dell’invio della richiesta di MNP, ad inviare un SMS al numero oggetto di portabilità per verificare che la SIM sia attiva e che i dati inseriti siano corretti; il cliente deve fornire conferma via SMS (o chiamata registrata) della correttezza dei dati.

Ecco il testo modificato dell’art. 6, comma 1, delibera n. 147/11/CIR:

(Validazione parziale effettuata da parte del recipient)
1. L’operatore recipient effettua una validazione parziale preventivamente all’invio della richiesta di portabilità, verificando, tra l’altro, che la SIM sia effettivamente attiva. Per conseguire tale finalità, il recipient invia un SMS al MSISDN principale oggetto di portabilità chiedendo al cliente destinatario di confermare, sempre tramite SMS, la correttezza delle informazioni indispensabili per l’espletamento della portabilità, quali l’identificativo del donating e del recipient nonché del numero principale ed eventuali numeri addizionali da portare. Solo nel caso in cui il cliente confermi via SMS, il recipient, nell’ordine inviato al donating, può indicare che è stata effettuata la validazione parziale e conseguentemente omettere i dati relativi al numero seriale della carta SIM del donating. In alternativa l’operatore recipient ai fini della validazione parziale preventivamente all’invio della richiesta di portabilità, può acquisire la volontà del cliente chiamandolo e registrando la chiamata. I fornitori di servizi mobili, in funzione del canale di distribuzione utilizzato, adottano le migliori prassi per garantire la sicurezza. L’operatore recipient inoltra la richiesta nel più breve tempo possibile, mantiene traccia dello scambio degli SMS e della chiamata registrata ed è responsabile nell’eventualità di portabilità del numero non richiesta. 

Interruzione della sostituzione o portabilità indesiderata

Nell’ambito della prevenzione e del contrasto del SIM Swap, il comma 4 dell’art. 3 della nuova delibera dell’AGCOM stabilisce che i fornitori di servizi «prevedono una procedura semplice e di immediato utilizzo per l’utente al fine interrompere il processo indesiderato di sostituzione della SIM, attivabile dal cliente laddove non vi sia stato un lecito consenso esplicito in fase di validazione parziale».

Più precisamente, gli operatori interrompono il processo di sostituzione della SIM indesiderato quando il cliente risponde negativamente al messaggio ricevuto ovvero richiede l’interruzione del processo inviando un SMS ad un numero prestabilito uguale per tutti i fornitori di servizi mobili con codice “40”, o chiamando il customer care, o accedendo ad un’area riservata sul sito web. Nel caso della portabilità, il messaggio di blocco determina una sospensione della procedura e, effettuate le verifiche, l’annullamento della MNP esclusivamente qualora non sia stato il cliente ad effettuare la richiesta di MNP.

I clienti dovranno essere resi edotti delle modalità di interruzione disponibili tramite SMS o e-mail e le stesse informazioni dovranno essere facilmente reperibili sul sito dell’operatore.

Obblighi informativi verso gli utenti nel corso della portabilità

L’articolo 5 della delibera disciplina gli obblighi di informazione del fornitore di servizi nei confronti del cliente durante il processo di MNP. Essi si aggiungono a quanto previsto dall’art. 3 e vanno adempiuti nelle modalità ritenute più idonee – SMS, chiamata anche automatica preregistrata; in caso di insuccesso della chiamata, SMS con conferma di ricezione – in modo puntuale e completo quando:

  • viene registrata nei sistemi del recipient la richiesta di portabilità;
  • viene ricevuta da parte del recipient la risposta positiva o negativa alla richiesta di portabilità;
  • avviene il passaggio del numero;
  • viene accreditato il credito residuo sulla nuova SIM.

SIM M2M e IoT

In merito alle SIM M2M o IoT, viene stabilito che il fornitore di servizi deve acquisire dall’utente la numerazione alternativa, da riportare nel contratto, a cui inviare le comunicazioni di validazione. Il fornitore di servizi è tenuto ad informare il cliente che le SIM per servizi interpersonali, rispetto alle quali non va fornita la numerazione alternativa, non vanno utilizzare per servizi M2M e IoT.

Attuazione delle modifiche disposte

Infine, viene stabilito che le modifiche adottate con la delibera dovranno essere attuate entro 12 mesi dalla pubblicazione della stessa. L’AGCOM si riserva di convocare un Tavolo tecnico sulla MNP per agevolare il mercato nell’implementazione dei processi previsti.

Inoltre, è istituito un «Comitato tecnico sulla sicurezza delle comunicazioni elettroniche coordinato dalla competente Direzione dell’Autorità che tratta e condivide con gli operatori tutti gli aspetti e le problematiche attinenti alla sicurezza delle comunicazioni al fine di prevenire comportamenti dolosi a danno degli utenti finali». A questo Comitato tecnico – nel quale confluiscono le attività del Comitato Tecnico Antifrode di cui alla delibera n. 418/07/CONS –possono partecipare, con un rappresentante, anche il Nucleo Speciale per la Radiodiffusione e l’Editoria della Guardia di Finanza e la Sezione di Polizia Postale e delle Comunicazioni che collaborano con l’Autorità.

Il testo completo della delibera è disponibile al link in fonte.

Potrebbe interessarti anche: migliori offerte telefoniche

Fonte: Agcom.it
Condividi: