SIM swapping: 4 ore per diventare lei

Martedì, 14:07. La chiamata arriva all’assistenza clienti di un operatore italiano. Voce calma, leggermente seccata: «Ho perso il telefono a Fiumicino stamattina, mi serve una nuova SIM prima del mio volo delle 18.» Nome, data di nascita, indirizzo — recitati senza esitare. L’operatore, sotto pressione del suo tempo di gestione, convalida. Alle 14:22, il numero migra. Alle 16:40, il conto aziendale del bersaglio — un direttore finanziario che seguivo — era svuotato di 47.000 €. Il bersaglio dormiva sonni tranquilli: pensava che «succedesse solo ai personaggi famosi».

La trappola abituale

«Succede solo alle celebrità e ai crypto-bro.» È l’idea ricevuta numero uno sul SIM swapAttacco in cui un truffatore convince il proprio operatore a trasferire il numero su una SIM controllata da lui.Vedi il glossario, ed è falsa su due piani simultaneamente. Il profilo delle vittime, anzitutto: sì, i casi mediatizzati riguardano influencer crypto e qualche personalità, perché gli importi sono spettacolari e i processi fanno i titoli dei giornali. Ma i dossier che atterrano sulla mia scrivania non assomigliano a questo. Sono titolari di PMI, direttori finanziari, avvocati d’affari, notai, soci di studi professionali. Il punto comune non è mai la notorietà — è l’esistenza di almeno un account sensibile (banca, posta professionale, spazio di firma elettronica) protetto da un codice ricevuto via SMS.

La sofisticazione richiesta, poi. Si immagina un attaccante che pirata la rete dell’operatore, rompe della cifratura, sfrutta una falla. Niente di tutto questo. Il SIM swap non è un attacco tecnico: è dell’ingegneria socialeManipolazione umana per ottenere informazioni o azioni, aggirando le difese tecniche.Vedi il glossario. Servono un telefono, tre informazioni che sono pubbliche per il 90% della popolazione attiva, e la capacità di mentire con aplomb per quattro minuti. L’asticella all’ingresso è così bassa da spiegare l’industrializzazione del fenomeno: l’FBI ha censito tramite il suo centro IC3 oltre 2.000 denunce nel 2021 per un danno dichiarato superiore a 68 milioni di dollari, in aumento di diverse centinaia di punti percentuali rispetto ai tre anni precedenti cumulati.

La seconda trappola, più perniciosa, è la falsa parata. «Ho attivato la doppia autenticazione, sono tranquillo.» Solo che se questo secondo fattore è un codice SMS, lei non ha aggiunto una serratura: ha delegato la chiave di tutti i suoi account a un operatore di call center pagato a tempo di gestione, che non ha mai incontrato, e che può trasferire il suo numero a uno sconosciuto in meno di cinque minuti. Il NISTIstituto americano che pubblica gli standard di riferimento in cybersicurezza (CSF, SP 800-*).Vedi il glossario l’ha scritto nero su bianco fin dal 2017, classificando l’SMS come fattore «sconsigliato» (restricted) nella sua pubblicazione SP 800-63B. Nove anni dopo, è ancora il fattore predefinito della maggioranza delle banche italiane.

Il modello di minaccia reale: la meccanica, ora per ora

Capire la cronologia di un attacco cambia il modo in cui lo si combatte. Il SIM swap non è un evento istantaneo, è una cascata che si distribuisce su due-quattro ore, e ogni anello dipende dal precedente. Rompere un solo anello basta a far fallire l’intera catena.

Ciò che l’attaccante deve sapere prima di chiamare. Nome completo, data di nascita, indirizzo postale. Nella stragrande maggioranza dei casi, questi tre dati sono accessibili gratuitamente: LinkedIn dà il nome e il datore di lavoro, i compleanni si trovano su Facebook e Instagram, gli elenchi inversi e le liste aggregate forniscono l’indirizzo. Un’ora di ricerca OSINTIntelligence da fonti aperte (pubbliche): social network, registri, archivi.Vedi il glossario metodica basta per costituire il dossier di un bersaglio identificato. Per gli operatori che esigono un identificativo supplementare — numero cliente, ultime cifre di un mezzo di pagamento — l’attaccante pesca nelle basi di fughe rivendute per qualche euro, o ricostruisce l’informazione a partire da un falso SMS di phishing inviato il giorno prima («La sua fattura è disponibile, confermi il suo numero cliente»).

T+0 — La chiamata o la visita in negozio. Il canale classico è l’assistenza clienti telefonica. Il pretesto è sempre lo stesso: telefono perso o rubato, schermo rotto, viaggio imminente. Il tono è incalzante ma cortese, mai aggressivo — l’aggressività innesca le procedure di verifica rafforzata. Variante sempre più frequente: il negozio fisico, dove l’attaccante presenta un falso documento d’identità. Il venditore in negozio ha ancora meno garde-fou del call center.

T+15 min — La migrazione (il port-out). Se l’operatore è convinto, innesca o una riemissione di SIM interna, o un port-out — il trasferimento del numero verso un altro operatore, procedura legalmente regolamentata per favorire la concorrenza, e quindi rapida per concezione. Il suo telefono perde la rete. La nuova SIM, nelle mani dell’attaccante, comincia a ricevere le sue chiamate e i suoi SMS. Lei, crede a un guasto dell’antenna.

T+30 min — La presa dell’email. L’attaccante lancia un «password dimenticata» sulla sua posta principale. Il codice di reimpostazione arriva via SMS… sulla sua SIM. Definisce una nuova password. La sua casella email, che è la chiave maestra di tutta la sua vita digitale, gli appartiene.

T+45 min — La cascata. Dalla sua email, concatena le reimpostazioni sulla banca, il gestore di password, i social network professionali, gli spazi di firma elettronica. Le banche che confermano i bonifici via SMS? Intercetta ogni codice. La MFAAutenticazione a più fattori: combinare due prove d'identità indipendenti per accedere.Vedi il glossario via SMS, presunta proteggere, diventa l’acceleratore della compromissione.

T+2h a T+4h — L’estrazione. Bonifici, svuotamento di portafogli crypto se del caso, esfiltrazione di documenti riservati dall’email e dal cloud, e — per i bersagli ad alto valore — rivendita dell’accesso a un attore specializzato che sfrutterà il resto. A questo stadio, la vittima media non ha ancora capito di essere attaccata.

Due segnali deboli permettono di accorciare questa finestra, a condizione di averli integrati in anticipo. Il primo: una perdita di rete che dura più di quindici minuti mentre le altre linee intorno a lei funzionano. Un vero guasto dell’antenna colpisce tutti nella zona; un SIM swap taglia solo la sua linea. Se il suo coniuge prende e lei no, lo tratti come un incidente fino a prova contraria. Il secondo: un’email o una notifica «la sua password è stata modificata» che lei non ha innescato. È spesso l’unico artefatto visibile lato vittima, e arriva su una casella secondaria o un’app ancora connessa. Chiunque aspetti di «vedere se torna» offre all’attaccante la totalità della finestra di estrazione.

Una sfumatura tecnica che conta sulle reti recenti: l’SMS classico non è l’unico canale vulnerabile. L’RCSRegistro pubblico italiano delle società, accessibile tramite la Camera di commercio.Vedi il glossario, che sostituisce progressivamente l’SMS su Android, resta legato alla stessa linea e migra quindi con il numero durante un port-out. E al di là del SIM swap propriamente detto, la rete di segnalamento SS7 che instrada gli SMS a livello mondiale presenta falle note fin dagli anni 2000: un attore che dispone di un accesso operatore può intercettare SMS senza toccare la sua SIM. In altri termini, anche un port-out PIN perfettamente configurato non mette in sicurezza il canale SMS stesso — ragione in più per toglierlo dai suoi account critici piuttosto che cercare di blindarlo.

Perché gli operatori sono l’anello debole

Lo studio di Princeton pubblicato nel 2020 ha testato in condizioni reali le procedure di autenticazione di cinque grandi operatori statunitensi. Il risultato è schiacciante: con tecniche di ingegneria sociale elementari, i ricercatori hanno ottenuto una migrazione di SIM nella maggioranza dei tentativi, alcuni operatori cedendo nella quasi totalità dei casi. Gli operatori europei non sono stati oggetto di uno studio pubblico equivalente, ma i riscontri sul campo in Italia non sono migliori: i call center esternalizzati, con centinaia di operatori valutati sul loro tempo di gestione, creano una pressione strutturale inversa alla verifica rigorosa.

Il vero punto debole non è mai la procedura scritta — è generalmente corretta sulla carta. È l’essere umano in fondo alla linea, di fronte a qualcuno che simula l’angoscia perché «deve raggiungere i suoi figli con urgenza» o «rischia di perdere un volo». Nessuno script resiste alla pressione emotiva ben recitata, soprattutto quando l’operatore sa che una chiamata troppo lunga penalizza i suoi indicatori.

Si aggiunge il fattore insider, sottostimato eppure documentato in una parte significativa dei dossier giudiziari: un dipendente dell’operatore corrotto o costretto realizza la migrazione direttamente dai sistemi interni. Lì, nessuna verifica lato cliente ha la minima presa — l’insider ha già tutti i permessi. È la via privilegiata per i bersagli ad altissimo valore, dove l’attaccante ha un budget per comprare una complicità puntuale. Nessuna misura che lei prende sul suo account neutralizza questo vettore. È precisamente per questo che la difesa non può poggiare sulla messa in sicurezza dell’operatore.

Negli Stati Uniti, la situazione è stata sufficientemente grave perché la FCC adottasse nel 2023 regole vincolanti che impongono un’autenticazione rafforzata prima di ogni cambio di SIM o port-out. AT&T, Verizon e T-Mobile erano stati citati in decine di procedimenti, e T-Mobile ha subito diverse fughe massicce che esponevano precisamente i dati necessari a un SIM swap. In Europa, il quadro resta più lasco, in parte perché la portabilità del numero — un diritto del consumatore — è concepita per essere rapida, il che gioca meccanicamente contro la sicurezza.

L’approccio giusto: rendere il suo numero inutile

Ecco la commutazione mentale che cambia tutto: non cerchi anzitutto di mettere in sicurezza il suo operatore — faccia in modo che compromettere il suo numero non serva a niente. È controintuitivo, perché l’istinto spinge a blindare l’anello debole. Ma l’anello debole, qui, non le appartiene: è nelle mani di operatori e insider sui quali lei non ha alcun controllo. L’unica variabile che lei controlla davvero è ciò che succede dopo la migrazione.

Se la sua posta principale, la sua banca e il suo gestore di password non usano né l’SMS come secondo fattore, né l’SMS come canale di recupero, allora un SIM swap riuscito dà all’attaccante… il suo numero di telefono. Utile per dell’usurpazione, fastidioso, ma non catastrofico: non apre più alcuna porta. La cascata descritta sopra si arresta di colpo all’anello T+30. È tutta qui la posta in gioco.

Tappa 1 — Migrare fuori dall’SMS, per ordine di criticità. Email principale per prima: è la radice. Poi la banca, il gestore di password, il cloud, i social professionali. L’obiettivo: TOTPCodice a 6 cifre generato ogni 30 secondi da un'app (Google Authenticator, Authy, ecc.).Vedi il glossario conservato localmente (Aegis su Android, Ente Auth multipiattaforma) per gli account correnti, e FIDO2Standard di autenticazione forte tramite chiave crittografica hardware, resistente al phishing.Vedi il glossario hardware (YubiKey, Nitrokey) per gli account più critici. Il FIDO2 ha un vantaggio strutturale: resiste nativamente al phishing, perché la chiave verifica crittograficamente il dominio. Un attaccante che ha il suo numero e la sua password non può comunque fare niente senza la chiave fisica.

Tappa 2 — Mettere un port-out PIN presso il suo operatore. I principali operatori italiani (TIM, Vodafone, WindTre, Iliad) propongono tutti un codice di sicurezza o una password sull’account, presunto essere richiesto per ogni manipolazione sensibile, compresi i cambi di SIM e i port-out. È mal documentato, spesso sepolto nelle impostazioni dell’account, ma esiste. Non è una protezione sufficiente — un PIN si aggira tramite il negozio fisico, la procedura d’emergenza «PIN dimenticato», o un insider — ma è un attrito supplementare che elimina l’attaccante opportunista. Scelga un codice non indovinabile (mai la sua data di nascita né le ultime cifre del suo numero), lo conservi nel suo gestore di password, e non lo consideri mai come la sua linea di difesa principale.

Tappa 3 — Ridurre l’esposizione del suo numero. Ogni luogo dove il suo numero appare è un punto di pivot per l’OSINT: firme email, profilo LinkedIn, annunci sui siti di compravendita, moduli di car pooling. Per i profili ad alto rischio, la misura radicale è un numero dedicato, non pubblico, conosciuto solo dai suoi servizi critici — una eSIM secondaria basta. L’attacco prende di mira il numero che conosce; se i suoi account sensibili sono legati a un numero che ignora, la superficie crolla.

Una parola sull’eSIM, spesso presentata come la soluzione miracolosa: non lo è. L’eSIMSIM integrata e riprogrammabile, compatibile con più profili operatore.Vedi il glossario elimina la clonazione fisica di una scheda e aggiunge un leggero attrito al trasferimento verso un nuovo terminale. Ma il vettore principale — l’ingegneria sociale presso l’assistenza clienti per innescare un port-out — funziona esattamente allo stesso modo su una linea eSIM. È un miglioramento marginale, non una parata.

Tappa 4 — Scrivere il piano di risposta, prima di averne bisogno. La difesa non si ferma alla prevenzione: un SIM swap riuscito si gestisce, e l’ordine delle azioni determina l’ampiezza dei danni. Il piano sta su una pagina, e deve essere consultabile da un dispositivo diverso dal telefono potenzialmente compromesso. Quando lei perde la rete e sospetta l’attacco, la concatenazione è la seguente. Primo, chiamare l’operatore da un’altra linea (fisso, telefono di un parente, linea professionale) per esigere il blocco immediato del numero e l’annullamento del port-out. Poi, cambiare le password degli account critici da un dispositivo sano, cominciando dalla posta principale — la radice. Poi verificare l’attività recente sulla banca e l’email per rilevare ciò che è stato fatto durante la finestra. Notificare esplicitamente la banca della compromissione del numero associato al conto, il che ne impegna la responsabilità sulle operazioni fraudolente. Sporgere denuncia, utile per l’assicurazione e per ogni controversia bancaria ulteriore. Infine, non riutilizzare il numero compromesso per della MFA finché la migrazione verso TOTP o FIDO2 non è fatta. Un punto di vigilanza: finché l’operatore non ha confermato che lei ha ripreso il controllo della linea, consideri che ogni azione condotta dal telefono o tramite il numero può essere osservata dall’attaccante.

Questo piano sembra ovvio letto a freddo. Non lo è più alle 3 del mattino, in panico, senza rete, cercando il numero del proprio operatore su un dispositivo terzo. È precisamente per questo che si scrive in anticipo e si ripone là dove sarà ritrovato senza il telefono — un documento cifrato nel gestore di password accessibile su un altro dispositivo, o una scheda cartacea in un luogo conosciuto.

Cosa comporta concretamente

Errori che si vedono di continuo

• Tenere l’SMS sulla posta principale. È la combinazione fatale: la sua email è la radice di tutte le reimpostazioni, proteggerla con SMS equivale a chiudere una cassaforte con un lucchetto da bicicletta.
• Credere che un port-out PIN basti. Complica la vita all’attaccante opportunista, non protegge né dal negozio fisico, né dalla procedura «PIN dimenticato», né dall’insider. È uno strato, non un baluardo.
• Confondere l’eSIM con una protezione. Impedisce la clonazione fisica ma lascia intatto il vettore di ingegneria sociale, che è il vero problema.
• Non avere un piano d’incidente accessibile senza il telefono. Quando lei perde la rete alle 3 del mattino, non vuole cercare il numero del suo operatore. Il piano deve essere scritto e consultabile da un altro dispositivo.
• Lasciare il proprio numero in giro ovunque. Firma email, LinkedIn, annunci: ogni occorrenza è un punto di partenza per l’OSINT che alimenta l’attacco.
• Migrare senza convalidare. Disattivare l’SMS prima di aver confermato che il TOTP o la chiave FIDO2 funzionano, e ritrovarsi chiuso fuori.

Checklist azionabile

• N1 Identificare tutti gli account critici che usano l'SMS come MFA o come canale di recupero
• N1 Eliminare l'SMS dall'email principale: attivare TOTP locale poi disattivare l'SMS di riserva
• N1 Mettere un port-out PIN / password di account presso il proprio operatore mobile
• N2 Migrare la banca e il gestore di password verso TOTP locale (Aegis, Ente Auth)
• N2 Togliere il proprio numero di telefono dai profili pubblici (LinkedIn, firma email, annunci)
• N2 Documentare un piano d'incidente SIM swap: chi chiamare, in quale ordine bloccare, accessibile senza il telefono
• N3 Distribuire due chiavi FIDO2 sull'email principale e sul password manager (una primaria, una backup separata)
• N3 Aprire un numero dedicato non pubblico (eSIM secondaria) riservato agli account critici
• N3 Per un'organizzazione: verificare il tasso di account sensibili ancora in SMS e mirare allo 0% sugli accessi critici

Per approfondire

Il riferimento da citare internamente per giustificare una migrazione è il NIST SP 800-63B, che sconsiglia l’SMS come fattore di autenticazione dal 2017 — un punto d’appoggio normativo solido. Lo studio di Princeton (2020) documenta sperimentalmente il fallimento delle procedure operatore, e l’allerta IC3 dell’FBI (2022) quantifica l’esplosione del fenomeno. Sul fronte operativo, la serie SIM swap di Krebs on Security segue i dossier reali e gli arresti da anni. Tutte queste fonti figurano nel frontmatter di questo articolo.

Per il seguito logico, veda MFA: perché la sua app Google Authenticator la tradisce sulla gerarchia reale dei fattori, e OSINT difensivo per ridurre l’impronta pubblica che alimenta questi attacchi.