Il fenomeno del SIM swapping, o più semplicemente di sostituzione della SIM card, si verifica quando la SIM collegata ad un determinato numero di cellulare viene clonata, mantenendo lo stesso numero di telefono. Ciò fa sì che il responsabile della clonazione ottenga l’accesso al numero di cellulare clonato e di conseguenza a tutte le informazioni personali che ne derivano, prima di tutte l’accesso all’home banking della vittima, che permetterebbe di effettuare transazioni, accedere agli account online della vittima e via dicendo.
Il fenomeno del SIM SWAPPING – esploso in Italia in modo particolare nel 2018 e oggi è particolmente allarmante in ambito di truffe bancarie – è il risultato dell’assenza di una vera e propria disciplina in tema di sostituzione delle sim card.
Non esiste infatti alcuna fonte normativa che imponga al gestore una verifica circa l’identità del titolare della numerazione mobile o di chi ne richiede la sostituzione : chiunque si rechi presso un negozio di telefonia, lamentando il furto del dispositivo mobile, il guasto o lo smarrimento della propria SIM card, può farlo senza dover mostrare documenti d’identità. A questo punto il cliente riceverà una nuova SIM, con la quale potrà sostituirsi al vero proprietario del numero di telefono. Il problema non è così evidente a chi se ne ritrova vittima, poiché uno dei pochi segnali di riconoscimento dell’avvenuta truffa di SIM swapping è la disfunzione di segnale di rete, che comunque potrebbe non allarmare tempestivamente la vittima in questione.
Uno dei problemi più significativi che derivano dal fenomeno del SIM swapping è quello che riguarda le OTP, ossia le One Time Password o Password Usa e Getta, i codici alfanumerici di verifica generati in automatico dal sistema ed inviati all’utente via SMS o Applicazione, prima di effettuare l’accesso ad un servizio online.
È un sistema utilizzato soprattutto dai portali bancari online ma anche per accedere a determinate applicazioni tra le quali quelle per accedere all’home banking o ad e-commerce come Amazon o Trenitalia.
Si tratta di una password valida soltanto per un’unica sessione di accesso o più spesso, per una sola ed unica transazione.
Altro sistema che si è rivelato vulnerabile a chi usa il SIM swapping a scopo di lucro è il 2FA, ossia il Two-Factor Authentication, metodo largamente utilizzato dai servizi online, che attrevero una chiamata telefonica oppure un SMS verifica l’identità dell’utente prima di autorizzare il log-in. Tali sistemi, OTP e 2FA sono volti a dare una garanzia maggiore rispetto ad una tradizionale password che invece è statica e quindi più vulnerabile ad attacchi dall’esterno.
Se l’operazione di SIM swapping avviene con successo, l’hacker sarà in grado di intercettare il codice inviato tramite SMS alla vittima, così da accedere all’account online ed avere quindi la possibilità di modificare le password, interdicendo l’accesso al reale titolare dei servizi ed effettuando qualsiasi tipo di operazione in sua vece.
Se hai subito una truffa, se sei vittima di sim swapping, contattaci o chiedi assistenza online:
Il problema del vuoto normativo
Ciò che preoccupa, però, è il vuoto normativo in materia di clonazione di SIM card.
Secondo il Codice delle Comunicazioni Elettroniche, l’operatore è tenuto a verificare l’identità del cliente solo sede di sottoscrizione di un nuovo contratto di servizi di telefonia, nulla prevedendo in tema di sostituzione di una SIM smarrita o danneggiata: ciò significa che se una persona che richiede una nuova SIM non corrisponde al reale titolare della SIM, non occorrerà alcun consenso o invio di comunicazioni al vecchio e vero titolare della SIM card, ignaro di tutto.
In tema di portabilità della numerazione mobile (ossia la possibilità di cambiare operatore telefonico ma mantenendo lo stesso numero), la Delibera AGCOM 147/CIR del 30 novembre 2011, allegato 1 (“Regolamento riguardante la portabilità dei numeri per i servizi di comunicazioni mobili e personali” ) all’art. 5 comma 4, prevede non solo la necessaria sottoscrizione del soggetto che richiede la portabilità della numerazione ma altresì l’identificazione dello stesso attraverso l’indicazione del “tipo e numero del documento di riconoscimento presentato dal cliente”. Se tanto basterebbe alla successiva individuazione dell’autore della frode, non appare sufficiente a scongiurarne la verificazione giacché il regolamento non prevede che vi sia identità tra il titolare della numerazione e colui che ne domanda la portabilità.
Come visto le operazioni bancarie costituiscono il maggior frangente di rischio in tema di sim swap ed è opportuno sottolineare come la Corte di Cassazione abbia individuato un’ipotesi di responsabilità semi- oggettiva dell’istituto bancario in caso di sim swap, in quanto secondo l’orientamento emergente della Suprema Corte “in base al rinvio all’art. 2050 cod. civ., operato dall’art. 15 del codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (nella specie le Poste Italiane s.p.a. quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore”. (cass. Civ., 10638/2016). Le recenti ordinanze di legittimità n. 9158/2018 e n. 9721/2020, nel confermare detto orientamento hanno precisato in aggiunta come la banca sia “ tenuta a fornire la prova della riconducibilità dell’operazione al cliente”.
A nostro avviso, considerato il ruolo sempre più dominante delle utenze mobili nella gestione degli aspetti più sensibili della nostra quotidianità, gli operatori telefonici, al pari degli istituti di credito, non possono considerarsi scevri dal qualsivoglia responsabilità civilistica in materia di tutela dei dati personali. “
Invero, la normativa sulla privacy, di matrice comunitaria e “ratificata” dal nostro Paese con Decreto Legislativo del 10 agosto 2018, numero 101, all’art. 24 GDPR stabilisce che “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo” Detta disciplina, di carattere generale, non può che trovare applicazione anche per gli operatori telefonici che devono al più presto uniformarvisi di modo da fornire una reale tutela ai propri clienti.
Il procedimento di consultazione pubblica AGCOM
In questo contesto, l’AGCOM (L’Autorità per le garanzie nelle comunicazioni) con la delibera n. 334/20/CIR, ha avviato un procedimento e una consultazione pubblica (procedimento finalizzato all’adozione di una delibera volta a disciplinare ed arginare fenomeni critici emergenti) “sulla integrazione delle procedure di portabilità del numero mobile, di cui alla delibera n. 147/11/CIR, e su le connesse misure finalizzate ad aumentare la sicurezza nei casi di sostituzione della SIM (SIM swap)”. L’autorità propone di introdurre particolari meccanismi per prevenire e contrastare eventuali tentativi di truffa a danno degli utenti finali di telefonia mobile, volti ad informare e a coinvolgere l’utilizzatore della sim del tentativo di clonazione della stessa e richiedendone l’espressa autorizzazione a mezzo SMS ed e-mail. Auspichiamo pertanto che l’intervento dell’autorità si traduca al più presto in un provvedimento che individui con chiarezza doveri e responsabilità degli operatori in tema di protezione dei dati personali garantendo la dovuta tutela ai consumatori.
Realizzato con i fondi Ministero sviluppo economico. Riparto 2020