La tecnologia, pensata per connetterci e semplificarci la vita, può diventare uno strumento pericoloso nelle mani sbagliate. Le SIM fantasma ne sono la prova. Queste schede permettono ai criminali di operare nell’ombra, sfuggendo alle indagini e compiendo una vasta gamma di reati. Ma come funzionano esattamente queste schede? Quali sono le vulnerabilità del sistema che permettono la loro proliferazione? E quali sono le soluzioni per contrastare questo fenomeno?
Le SIM fantasma non sono altro che schede telefoniche attivate in maniera illegale, spesso utilizzando dati anagrafici sottratti illegalmente o falsificati, appartenenti a persone ignare. Questo fenomeno, purtroppo sempre più diffuso, crea gravi ripercussioni sociali, oltre a generare un vantaggio economico assolutamente non indifferente per i criminali.
1 – Come si ottiene una SIM telefonica fantasma
Il processo di creazione di una SIM fantasma non è univoco ma in generale segue questi passaggi: per prima cosa occorre raccogliere i dati personali. Ciò può avvenire, ad esempio, tramite il furto d’identità. Spesso attacchi informatici a database aziendali o istituzionali consentono ai malviventi di impossessarsi di una grande quantità di dati anagrafici. Nel Dark Web è possibile acquistare archivi contenenti milioni di dati personali trafugati. Ma anche comunissime ricerche online consentono di reperire numeri telefonici, indirizzi e date di nascita con estrema facilità.
Un’altra modalità tramite la quale la criminalità è in grado di impossessarsi di dati personali è il raggiro
delle vittime. Ciò avviene comunemente adottando tecniche di ingegneria sociale.
Superata questa fase, utilizzando i dati raccolti, i criminali creano un’identità fittizia completa di documenti fasulli o contraffatti. Con questa falsa identità i criminali si rivolgono a un operatore telefonico per attivare una nuova SIM. Ciò è fattibile sia online che recandosi fisicamente in un punto vendita di un gestore telefonico. Una volta attivata, la SIM fantasma può essere utilizzata per scopi illeciti di varia natura.
2 – Perché le SIM telefoniche fantasma sono un problema
L’impiego di SIM fantasma rappresenta un problema poiché l’uso di dati personali rubati per attivarle viola innanzitutto il diritto alla privacy delle persone. Queste, oltre che mettere a rischio la sicurezza nazionale perché utilizzabili per compiere atti terroristici, facilitare il compimento di attività criminali di varia natura e generare danni economici e d’immagine alle compagnie telefoniche, rendono più complesse le indagini svolte dalle Forze dell’Ordine nel difficile compito di risalire ai responsabili di reati.
Infatti la tracciabilità delle chiamate è limitata e i criminali spesso utilizzano infrastrutture informatiche anonime (soluzioni anonimizzanti) per nascondere le proprie tracce.
Tra i reati maggiormente diffusi si menzionano le truffe di tipo smishing (ovvero phishing via SMS), vishing (phishing via voce) per indurre le vittime a fornire dati personali oppure a effettuare pagamenti fraudolenti involontari. Sono molto diffuse anche le telefonate anonime finalizzate al compimento di atti di molestia (stalking) o minaccia. Anche il coordinamento di attività come lo spaccio di sostanze stupefacenti, il riciclaggio di denaro, l’evasione fiscale o il traffico di esseri umani trova terreno fertile nell’uso delle SIM fantasma per via delle comunicazioni riservate e difficili da intercettare.
Esiste anche la tecnica denominata di SIM Swap, consistente in una frode informatica sempre più diffusa che sfrutta le vulnerabilità dei sistemi di autenticazione basati sul numero di telefono. In pratica, un attaccante riesce a far sostituire la SIM card di una vittima con una nuova, ottenendo così l’accesso a tutti i servizi associati a quel numero. Ciò ha come conseguenza diretta il furto d’identità, perdita di denaro, danni alla reputazione e difficoltà dell’utente a recuperare i servizi.
3 – La rivoluzione delle eSIM
Occorre far menzione anche dell’eSIM (Embedded SIM, o SIM integrata), che rappresenta una vera e propria rivoluzione nel mondo della telefonia mobile. A differenza della tradizionale SIM fisica, è un chip integrato direttamente all’interno del dispositivo (smartphone, tablet, smartwatch, ecc.). Ciò la rende non rimovibile dall’utente. Il funzionamento avviene digitalmente, in genere tramite un QR code. Da notare che un dispositivo con eSIM può contenere più profili, permettendo di passare da un operatore all’altro o di avere più numeri telefonici su uno stesso dispositivo.
L’utente può gestire i profili direttamente tramite l’app dell’operatore o le impostazioni del dispositivo. Similmente al SIM Swap, un hacker può riuscire a trasferire il numero di telefono della vittima sul proprio dispositivo, ottenendo così l’accesso a tutti i servizi associati a quel numero. Questo viene spesso realizzato tramite l’accesso non autorizzato all’account dell’operatore telefonico della vittima. Una volta ottenuto il controllo del numero di telefono, l’hacker può resettare le password di numerosi servizi online, accedere ai conti bancari e compiere transazioni fraudolente. Inoltre può intercettare le comunicazioni
della vittima, comprese le email, i messaggi e le chiamate, ottenendo informazioni sensibili e riservate. In alcuni casi, l’hacker può bloccare l’accesso al dispositivo della vittima e richiedere un riscatto per ripristinare i dati (tecnica del Ransomware).
4 – Come proteggersi
Innanzitutto è necessario proteggere i propri dati personali, evitando di condividere informazioni riservate online, utilizzando password complesse e tenendo aggiornati i software di sicurezza (antivirus e firewall). Controllando regolarmente il proprio estratto conto telefonico è possibile individuare eventuali addebiti sospetti. Non fornire mai dati personali a soggetti non identificati o tramite canali non sicuri. In caso di
sospetti, è sempre opportuno contattare il proprio operatore telefonico o direttamente le Forze dell’Ordine che sono costantemente formate sulle nuove tecniche adottate dai criminali e sulle modalità per individuare le SIM fantasma.
5 – Il ruolo delle istituzioni
I processi di verifica dell’identità attualmente utilizzati dagli operatori telefonici per attivare una nuova SIM risultano spesso insufficienti, inoltre la falsificazione di documenti d’identità e l’utilizzo di dati rubati rendono difficoltoso distinguere un’identità reale da una falsa.
La legislazione in materia di telefonia mobile, in molti Paesi, non è ancora completamente allineata alle nuove sfide poste dalle SIM fantasma e le sanzioni previste per chi commette reati in quest’ambito sono spesso insufficienti o poco severe affinché scoraggino i criminali.
Da parte delle istituzioni è necessario svolgere controlli più intensi e stringenti sulle attivazioni delle SIM telefoniche, introducendo misure di sicurezza maggiormente efficienti e creare una rete di collaborazione tra operatori e istituzioni a livello internazionale, per favorire ancora di più il contrasto di questo fenomeno criminale.
Ad esempio, la creazione di piattaforme telematiche ad hoc per lo scambio di informazioni consentirebbe una più agevole identificazione di eventuali pattern criminali. Sviluppare tecnologie in grado di identificare e bloccare le SIM fantasma in tempo reale, avviare campagne di sensibilizzazione per informare i cittadini sui rischi legati all’uso improprio dei dati personali e sulle modalità per proteggersi dalle truffe, potrebbero certamente contribuire a limitare maggiormente la proliferazione di questo fenomeno criminale.
6 – Qualche (scomodo) spunto di riflessione conclusivo
In considerazione delle dinamiche descritte verrebbe spontaneo domandarsi se possa essere plausibile una connivenza tra chi gestisce le SIM card e gli acquirenti. Perché se è vero, come del resto è, che i gestori hanno l’obbligo di controllare la corrispondenza tra il cliente e i documenti che quest’ultimo fornisce, come è possibile che questo fenomeno criminale sia così ampiamente diffuso?
Sono state condotte numerose campagne di sensibilizzazione riguardo la protezione dei dati personali. Ma come ci si dovrebbe comportare quando visitando un sito internet i dati dell’utente vengono immediatamente identificati e memorizzati tramite i noti “cookie”? Non dimentichiamo infatti che questi file di informazioni possono essere manipolati e “avvelenati” (poisoning) da hacker malintenzionati, interessati a violare la privacy dell’utente e rubargli l’identità digitale.
Sarà sufficiente inibire i cookie di terze parti semplicemente agendo sulle impostazioni del proprio browser? Alcune cautele da adottare senza oneri ci sarebbero, a beneficio di chi oggi ha in tasca un telefonino… e cioè tutti. Per impedire la proliferazione di SIM fantasma ed eSIM, oltre anche a moltissimi contratti telefonici fraudolenti, si potrebbe pensare di consentire l’invio dei dati personali solo tramite il proprio servizio SPID. Ciò però implicherebbe un’imposizione tramite opportuna norma di legge. Inoltre sarebbe sufficiente anche che la policy di sicurezza bancaria diventasse una best practice per tutti i possessori di smartphone: obbligando il riconoscimento del proprio dispositivo (che per le banche avviene attraverso i propri sportelli ATM) tramite un servizio gestito da un ente ad hoc, come ad esempio l’Agenzia per la Cybersicurezza Nazionale (ACN) o la Polizia Postale, avvalendosi del portale NoiPA, in modo gratuito come un comune servizio a disposizione e a tutela dei cittadini.
