Nel 2021 Data Protection ha sanzionato i principali operatori per non aver tutelato i clienti da questo tipo di truffe, ma a distanza di un anno e mezzo continuano le truffe
La persona che ne soffre può rendersi conto molto velocemente che sta accadendo qualcosa di strano: il suo cellulare perde copertura e non può effettuare chiamate o ricevere messaggi di testo. Non giocherellare con le impostazioni, ricalibrare la connessione o spegnere e riaccendere il dispositivo risolverà il problema. Ci vorrà del tempo prima che tu vada in un negozio fisico del tuo operatore o chiami da un’altra linea per chiedere cosa sta succedendo. Abbastanza tempo perché i criminali informatici possano saccheggiare il tuo conto bancario.
Quello che succede in quei minuti è che qualcuno ha richiesto un duplicato della tua SIM e ha ordinato la disattivazione di quella vecchia. Con la vittima già in isolamento, ha contattato la sua banca e ha richiesto la modifica delle credenziali di accesso al conto. Poiché controlla il tuo numero di telefono, l’SMS di sicurezza della banca per confermare la modifica viene ricevuto dall’aggressore, non dal suo legittimo proprietario.
Una volta all’interno del conto effettua quanti più bonifici, pagamenti all’estero o richieste di credito possibili fino a quando non arriva la denuncia della vittima oi sistemi della banca rilevano che qualcosa non va.
La truffa del duplicato della SIM card (nota anche come SIM swapping ) si è moltiplicata negli ultimi anni a causa dell’aumento delle violazioni dei dati personali. Queste falle di sicurezza consentono ai criminali informatici di accedere alle informazioni dei cittadini di cui hanno bisogno per lanciare l’attacco: nome completo, ID, indirizzo, telefono, e-mail, conto bancario, numero di carta di credito. Un token con cui impersonano le loro vittime e riescono a superare le verifiche richieste dagli operatori prima di fare un duplicato.
I reclami per questo tipo di truffa non si sono accumulati solo nelle stazioni di polizia, ma anche nell’Agenzia spagnola per la protezione dei dati (AEPD). Nel 2019, questo organismo ha deciso di avviare un’indagine d’ufficio su come gli operatori proteggessero i cittadini dalle truffe di duplicazione delle SIM. Dopo due anni di analisi, ha deciso di infliggere sanzioni elevate alle quattro principali società di telecomunicazioni che operavano nel mercato spagnolo a causa di “prove di violazione dell’obbligo di proteggere le informazioni dei clienti”.
Erano 3,9 milioni di euro a Vodafone, 900.000 a Telefónica, 700.000 a Orange e 200.000 a MásMóvil. “Le misure di sicurezza sono fondamentali”, ha insistito l’agenzia: “Questo accesso non autorizzato ai dati personali delle persone interessate è decisivo per le successive azioni compiute dagli imitatori, poiché sfruttano il periodo di tempo che trascorre fino a quando l’utente rileva il guasto della linea, contatta l’operatore, e questo rileva il problema, per effettuare operazioni bancarie fraudolente”.
A un anno e mezzo dal giro di multe milionarie, gli operatori non hanno risolto il problema. Questo 2023 è segnato da una cascata di nuove sanzioni contro le telecomunicazioni. Vodafone è ancora una volta la più sanzionata e ha già accumulato sei delibere nei suoi confronti da quando è stata multata per 3,9 milioni nel 2021. È infatti l’unico operatore che ha preso la decisione di non presentare denunce nei processi AEPD e beneficiare così di un Riduzione del 20% dell’importo delle multe per pagamento tempestivo.
Come evitare truffe duplicate
Gli specialisti ricordano che questa truffa ha un primo segnale di allarme molto chiaro. Se il telefono perde copertura senza un motivo apparente e il problema non riguarda altri utenti attorno ad esso, la raccomandazione è quella di contattare l’operatore e scoprire cosa è successo. “Nel caso in cui il duplicato della carta venga confermato, è necessario modificare immediatamente le credenziali di accesso al digital banking e agli altri servizi online di uso frequente e contattare la banca per segnalare l’accaduto”
Il National Institute of Cybersecurity (Incibe) suggerisce di stabilire metodi di autenticazione a due fattori che non richiedono un SMS, che i criminali informatici possono intercettare con un duplicato. “Implementa l’autenticazione in due passaggi sul tuo dispositivo, come misura aggiuntiva alla password con la quale puoi rendere difficile l’accesso ai tuoi account a qualcuno senza autorizzazione. Puoi utilizzare applicazioni come Microsoft Authenticator, Google Authenticator come metodo alternativo a due fattori”, afferma la loro guida per evitare lo scambio di SIM . Nel caso delle banche, il metodo alternativo agli SMS può essere tramite la propria app.
Il resto delle misure che gli specialisti hanno messo sul tavolo hanno più a che fare con l’igiene digitale per proteggersi dalla rappresentazione che con questa truffa stessa. Agli Incibe chiedono, ad esempio, di non aprire link “sospetti o allegati ricevuti via mail o sms”; “non scaricare applicazioni da store non ufficiali (ovvero quelli che non sono Google Play o Apple Store)” o aggiornare regolarmente le password.
