Sta diventando, purtroppo, una nostra consuetudine scrivere articoli per mettere in guardia il lettore dai rischi sempre più diffusi di incappare in truffe, anzi in cybertruffe, talmente raffinate e tecnologicamente sofisticate che anche i meno sprovveduti e vulnerabili possono cascarci. Se di recente abbiamo trattato dell’Iban swap, l’’ultima truffa in ordine di tempo si chiama “Sim swap” e, negli Usa, dove è nata, ha spinto anche l’Fbi a muoversi per arginare il problema. Di fatto si tratta di una potenziale sostituzione di identità, che dunque, oltre a carpire i nostri dati sensibili, può anche svuotare un conto corrente: una vera rapina, ma senza passamontagna e pistola. C’è chi è in grado di accedere tramite il cellulare di un ignaro malcapitato al suo conto corrente e di effettuare dei bonifici verso carte prepagate non rintracciabili. Senza che il soggetto raggirato si accorga di nulla. Ora, vediamo come sia possibile un simile raggiro e cosa fare o, meglio, non fare per evitare brutte sorprese. Infatti, come si evince dal nome della nuova cybertruffa, si tratta di uno scambio (“swap”) della scheda Sim di uno smartphone.
Come funziona la nuova cybertruffa
Il primo passaggio si concretizza allorché il truffatore ottiene i dati personali della vittima attraverso attacchi informatici: tipicamente, il phishing, i link malevoli, i malware); poi, avendo a disposizione tali informazioni, si presenta in un centro di assistenza telefonica o chiama il servizio clienti dicendo di avere subìto il furto del cellulare o di averlo smarrito e di voler acquistare una nuova Sim con il vecchio numero di telefono, che in realtà è quello del soggetto truffato, ingannando l’operatore telefonico e spacciandosi per il proprietario. Ciò consente di duplicarne la scheda Sim (Secondo l’Agcom in Italia la richiesta di visionare il documento è obbligatoria solo quando l’utente richiede un cambio di contatto o l’attivazione di una nuova promozione) e, tramite il numero di telefono, il truffatore potrà ottenere, ad esempio, i codici di accesso al conto corrente online, potendo avere accesso a email, conti correnti, account di cloud, social network e wallet. Si passa, poi, alla fase per così dire operativa: il frodatore, spesso di notte per evitare di essere scoperto, inizia a operare con l’homebanking della vittima, ricevendo sulla Sim duplicata le notifiche e gli sms necessari per autorizzare le operazioni. Il risultato è che la persona presa di mira, magari al mattino successivo, si accorge di non riuscire più a telefonare e usare il proprio cellulare, pur ricevendo dei (finti) messaggi di rassicurazione da parte della compagnia telefonica. Nel frattempo, la truffa si è già consumata attraverso l’esecuzione di un bonifico verso un conto o una carta prepagata nella disponibilità del frodatore. Prima di vedere come evitare di cadere in trappola, precisiamo che qualche segnale, in apparenza innocuo, può rappresentare un primo campanello d’allarme, come le difficoltà a connettersi con la rete o l’impossibilità di effettuare telefonate o inviare sms.
Truffa Sim swap, come difendersi
Ora, passiamo alle buone pratiche e ai deterrenti a tale tipo di truffa: un primo, banale ma efficace, aspetto riguarda la divulgazione del proprio numero di cellulare, che taluni inseriscono tra le informazioni del proprio profilo sui social network. Un’altra buona prassi è quella di inserire un codice Pin per accedere ai propri account su tutti i dispositivi mobili. Pe ridurre il rischio di essere truffati occorre altresì evitare di utilizzare il proprio numero di telefono nei processi di autenticazione a due fattori, cioè quando è necessaria una conferma dell’identità attraverso un codice che viene inviato tramite sms, dunque alla piena portata del truffatore: è consigliabile, invece, la autenticazione a due fattori tramite un software esterno. Esiste, infatti, più di una app di autenticazione, in modo che i codici non siano intellegibili a coloro che fossero entrati in possesso del numero di telefono della vittima. Sicché quella seconda parte del codice di accesso non viaggerebbe via sms ma la si otterrebbe solo attraverso l’applicazione. Insomma, si può duplicare una sim ma non un telefono. Altri sistemi invece utilizzano la verifica attraverso l’invio di una email, un’altra valida alternativa secondo il portale dedicato tecnoandroid.it. Infine, si potrebbe decidere di utilizzare un token fisico, ovvero quel piccolo dispositivo che genera un codice di accesso all’home banking visibile solo a chi lo adopera.
La posizione dell’Arbitro Bancario e Finanziario
Già nel 2020, L’Arbitro Bancario e Finanziario, il sistema di risoluzione stragiudiziale di controversie introdotto nel 2005, ha già avuto modo di occuparsi di questa truffa: accertato che si trattasse di truffa da “Sim swap”, in alcuni casi, l’Arbitro ha chiesto alla banca di rifondere i clienti vittime delle truffe di quanto perso poiché “la frode si è consumata con modalità tali che consentono di escludere che il cliente si sia reso responsabile di un comportamento gravemente negligente“.
