Il SIM swapping è diventato digitale: scopri come funziona l’eSIM swapping, perché è in aumento e cosa puoi fare subito per proteggere i tuoi account.
Un tempo rubare il numero di telefono di qualcuno richiedeva di ingannare un operatore, nel peggiore dei casi con un documento falso. Quei tempi però sono ormai finiti e con la diffusione della tecnologia SIM incorporata su tutti i dispositivi di punta, i criminali stanno aggiornando le loro tecniche. Il nuovo obiettivo è il profilo SIM digitale che risiede silenziosamente all’interno del tuo telefono: ovvero le eSIM.
Cos’è e cosa fa il SIM Swapping
Il SIM swapping non riguarda il furto del tuo smartphone. L’obiettivo è dirottare il tuo numero di telefono. Una volta che un truffatore ne prende il controllo, può intercettare i codici di autenticazione a due fattori inviati via SMS e usarli per accedere ad account email, app bancarie e portafogli di criptovalute. I danni possono essere rapidi e devastanti: conti correnti svuotati o bloccati nel giro di poco tempo, spesso prima ancora che la vittima si accorga di quanto sta accadendo.
L’Agenzia dell’Unione Europea per la Cybersicurezza, ENISA, ha messo esplicitamente in guardia i cittadini europei contro le frodi da SIM swapping, riconoscendolo come un vettore serio e in crescita per il furto d’identità e i crimini finanziari.
Come funziona l’eSIM Swapping
L’attacco classico richiedeva spesso la presenza fisica in negozio o una telefonata ingannevole al call center, fingevano di essere te e chiedevano una nuova SIM. Con una eSIM non c’è nessuna scheda fisica da sostituire. Il profilo è digitale, e lo è anche l’attacco.
I truffatori hanno imparato a prendere di mira il processo di provisioning remoto che gli operatori usano per emettere i profili eSIM. La sequenza tipica funziona così: prima raccolgono dati personali attraverso email di phishing, violazioni di dati o profili sui social media. Poi contattano il servizio clienti dell’operatore o utilizzano un portale online, impersonando la vittima e chiedendo che il profilo eSIM venga trasferito su un nuovo dispositivo. Se la procedura di verifica è debole, o se un operatore del supporto viene ingannato, il criminale ottiene il pieno controllo del numero, e la eSIM legittima del proprietario viene disattivata all’istante.
Questa forma di attacco sfrutta le stesse debolezze nella verifica dell’identità che rendevano possibile il SIM swapping tradizionale, solo che ora può essere eseguita interamente online, senza mai mettere piede in un negozio.
Perché le eSIM sono più sicure?
Sarebbe sbagliato leggere tutto questo come un motivo per evitare la tecnologia eSIM. Le SIM incorporate offrono in realtà diversi vantaggi strutturali rispetto alle schede tradizionali. Non possono essere rimosse fisicamente dal dispositivo e inserite in un altro telefono. Sono crittografate a livello hardware. E quando un dispositivo viene segnalato come smarrito, l’operatore può disattivare il profilo da remoto in pochi secondi.
La vulnerabilità non sta nella tecnologia in sé ma nel livello umano che la circonda: le procedure di verifica dell’identità degli operatori, i processi del servizio clienti e i dati personali che gli utenti lasciano esposti online sono il vero terreno di rischio.
Come proteggersi
La consapevolezza è la prima linea di difesa, ma deve essere supportata da abitudini concrete. Inizia dall’account del tuo operatore e imposta un PIN o una passphrase robusta e unica. Per le modifiche all’account molti operatori lo consentono e significa che qualsiasi richiesta di trasferimento del profilo eSIM richiede quel secondo fattore prima di procedere.
Poi, considera l’SMS come strumento di sicurezza: i codici via messaggio sono comodi ma fragili nel momento in cui il tuo numero viene compromesso. Passare a un’app di autenticazione come Google Authenticator, o una chiave hardware, rimuove completamente il numero di telefono dalla catena di autenticazione.
Fai attenzione ai segnali d’allarme: se il tuo telefono perde improvvisamente il segnale in una zona con copertura normale, vale la pena indagare subito. Una perdita improvvisa di servizio spesso significa che il tuo numero è stato trasferito altrove.
Infine, fai attenzione a quante informazioni personali sono disponibili su di te online. I truffatori spesso raccolgono abbastanza dati da profili social pubblici, database trafugati e messaggi di phishing per impersonare in modo convincente una vittima: meno trovano, più l’attacco diventa difficile.
Restare aggiornati
Il passaggio da profili SIM fisici a digitali rappresenta un reale miglioramento nella sicurezza mobile. Ma ogni nuova tecnologia crea nuove superfici di attacco, e i criminali sono veloci a individuarle. Capire come funziona l’eSIM swapping e adottare qualche precauzione è sufficiente per diventare un bersaglio più difficile.



















































