Sono note in gergo come “SIM Swap Fraud” e rappresentano una realtà non esattamente nuova ma in preoccupante aumento: si tratta di frodi poste in essere attraverso lo scambio o la clonazione delle schede SIM e anche in Italia hanno già mietuto le prime vittime. Basti pensare al caso dell’imprenditore che, ad Alassio, sul mar Ligure, lo scorso ottobre, si era visto sottrarre 20 mila euro dal conto corrente dalla sera alla mattina, proprio a causa di questo tipo di truffa.
Alessandro Rossetti, della Business Unit Digital Trust di Soft Strategy, si è espresso in questi termini:
«Il fenomeno “SIM swap fraud” è iniziato negli Stati Uniti e già dal 2015 si è avuta notizia dei primi casi in Italia. Un tipo di reato che si sta verificando sempre più spesso anche nel nostro Paese. Ricordo in particolare una frode informatica ai danni di una banca on line ai cui clienti, residenti in varie parti d’Italia, erano stati sottratti 300 mila euro».
Il concreto funzionamento di questo tipo di truffa è presto detto: una volta individuata la vittima, il malintenzionato procede all’acquisizione dei suoi dati e delle credenziali di accesso al servizio di home banking tramite la clonazione della scheda telefonica. In poco tempo l’utente riscontra il blackout della propria linea a seguito dell’annullamento della funzionalità. Dall’altra parte il malintenzionato, una volta sostituita la SIM card della vittima, è in grado di avere accesso al conto e utilizzarlo per tutte le funzioni consentite, questo anche perché «il numero di telefono è quasi sempre utilizzato come secondo fattore nel processo di autenticazione in due fasi – aggiunge Francesco Faenzi, direttore della Business Unit della Digital Trust di Soft Strategy – specialmente ora che le banche stanno abbandonando il vecchio sistema delle chiavette dispositive».
Alessandro Rossetti, nel raccomandare di prestare sempre particolare attenzione a ciò che decidiamo di diffondere online e di installare sui nostri smartphone, ha proseguito:
«La raccolta illecita di dati personali e password può essere fatta in molti modi, a partire dal cosiddetto “web scraping” dei social network. Si raccoglie una grandissima quantità di dati personali pubblici tramite la diffusione di software malevolo negli store dei vari produttori di telefoni o tramite reti Wi-Fi libere preparate ad hoc. L’operatore telefonico deve certamente avere un protocollo rigoroso sulla consegna di copie delle schede già rilasciate ai propri clienti. La richiesta di un documento d’identità, però, non basta. Soprattutto se si può disporre di un rivenditore telefonico che sia complice dei truffatori».
A concludere l’intervento è stato nuovamente Francesco Faenzi che, a corredo della raccomandazione agli utenti a occuparsi con maggiore cura della sicurezza delle proprie password, magari conservandole mediante l’utilizzo di appositi password manager o dispositivi di sicurezza a due fattori come le chiavi di sicurezza hardware, ha espresso la convinzione che la conferma dell’identità dovrebbe passare attraverso sistemi più incisivi come l’utilizzo dei dati biometrici o di token fisici.