Una VPN può proteggermi dal SIM swapping?

No. Una VPN protegge il tuo traffico internet crittografandolo e mascherando il tuo indirizzo IP, ma non ha alcuna influenza su come il tuo operatore di telefonia mobile gestisce la tua SIM card o il tuo numero di telefono. Il SIM swapping sfrutta l'ingegneria sociale contro il personale dell'operatore, un processo che avviene completamente al di fuori di ciò che una VPN può controllare.

Come faccio a sapere se sono vittima di un attacco di SIM swapping?

Il segnale più comune è la perdita improvvisa del segnale cellulare sul tuo telefono, anche in un'area con buona copertura. Potresti anche smettere di ricevere chiamate e messaggi, o notare notifiche di accesso insolite su tuoi account online. Se sospetti un SIM swap, contatta immediatamente il tuo operatore e modifica le password dei tuoi account più importanti.

Qual è il modo più sicuro per proteggere i miei account se non posso usare la 2FA via SMS?

Il metodo più sicuro è utilizzare una chiave di sicurezza hardware come YubiKey, che richiede la presenza fisica del dispositivo per autenticarsi. In alternativa, le app di autenticazione come Google Authenticator o Authy generano codici monouso senza dipendere dalla tua SIM card o dal numero di telefono, risultando molto più resistenti agli attacchi di SIM swapping.

Il SIM swapping è illegale?

Sì. Il SIM swapping effettuato senza il consenso del titolare dell'account è illegale nella maggior parte dei paesi e può configurare reati quali furto d'identità, frode informatica e accesso non autorizzato a sistemi informatici. Tuttavia, poiché gli attaccanti operano spesso da giurisdizioni diverse, perseguirli penalmente può risultare difficile. La prevenzione rimane la strategia più efficace.

SIM Swapping

SIM Swapping: Come i Criminali Dirottano il Tuo Numero di Telefono

Il tuo numero di telefono è diventato una delle chiavi più potenti per accedere alla tua vita digitale. Banche, provider di posta elettronica e piattaforme social lo utilizzano per verificare la tua identità. Il SIM swapping è una forma di furto d'identità che sfrutta esattamente questa fiducia — e può smantellare la tua sicurezza online in pochi minuti.

Cos'è il SIM Swapping?

Il SIM swapping (chiamato anche SIM hijacking o port-out fraud) è un attacco in cui un malintenzionato convince il tuo operatore di telefonia mobile a riassegnare il tuo numero di telefono a una nuova SIM card di sua proprietà. Una volta riuscito nell'intento, tutte le chiamate e i messaggi destinati a te — incluse le password monouso (OTP) e i codici di verifica per il login — arrivano direttamente all'attaccante.

La parte più inquietante? Il tuo telefono fisico continua a funzionare. Perdi semplicemente il segnale senza alcun avviso evidente, scambiando spesso l'accaduto per un'interruzione della rete, finché non è troppo tardi.

Come Funziona un Attacco di SIM Swap?

L'attacco si articola in due fasi: raccolta di informazioni e social engineering.

Ricognizione: L'attaccante raccoglie prima informazioni personali su di te — nome completo, indirizzo, numero di account o le ultime quattro cifre del codice fiscale. Questi dati provengono spesso da violazioni di dati, email di phishing o persino dai tuoi profili sui social media.

Impersonificazione: Armato di sufficienti informazioni personali, l'attaccante contatta il tuo operatore — per telefono, chat online o persino di persona in un punto vendita — fingendo di essere te. Dichiara che il telefono è stato smarrito o danneggiato e richiede che il tuo numero venga trasferito su una nuova SIM.

Acquisizione del controllo: Una volta che l'operatore acconsente, l'attaccante riceve tutti i tuoi messaggi SMS e le tue chiamate. Avvia immediatamente le procedure di "password dimenticata" per la tua email, i wallet di criptovalute, le app bancarie o qualsiasi account associato al tuo numero. In pochi minuti può escluderti da tutto.

L'intero attacco può avere successo in meno di un'ora, e alcuni operatori si sono dimostrati in modo preoccupante facili da ingannare.

Perché Questo È Importante per gli Utenti VPN e per Chi Tiene alla Privacy

Se usi una VPN per proteggere la tua privacy, comprendi già il valore di mettere in sicurezza la tua identità digitale. Ma una VPN non può proteggerti dal SIM swapping — opera su un livello completamente diverso.

Il SIM swapping mina direttamente l'autenticazione a due fattori (2FA) basata su SMS. Molte persone credono che la 2FA via SMS renda i propri account inviolabili. In realtà, crea un singolo punto di vulnerabilità legato alle pratiche di assistenza clienti del tuo operatore.

Tra le vittime più note figurano investitori in criptovalute che hanno perso milioni, giornalisti le cui fonti sono state esposte e dirigenti i cui account aziendali sono stati svuotati. Chiunque abbia un numero di telefono pubblicamente noto o asset online significativi è un potenziale bersaglio.

Un Esempio Reale

Nel 2019, il CEO di Twitter Jack Dorsey subì il dirottamento del proprio account Twitter tramite SIM swap. Gli attaccanti lo utilizzarono brevemente per pubblicare contenuti offensivi — una dimostrazione pubblica e imbarazzante di come anche persone potenti e tecnicamente sofisticate siano vulnerabili.

I possessori di criptovalute sono particolarmente nel mirino. Poiché le transazioni in criptovaluta sono irreversibili, gli attaccanti si dirigono spesso direttamente verso gli account sugli exchange protetti da 2FA via SMS, trasferendo i fondi prima ancora che la vittima si renda conto di quanto accaduto.

Come Proteggerti

Passa alla 2FA tramite app (come Google Authenticator o Authy) al posto degli SMS, ovunque sia possibile.
Usa chiavi di sicurezza hardware (come YubiKey) per gli account più importanti.
Imposta un PIN per la SIM o un codice di accesso con il tuo operatore — la maggior parte degli operatori consente di aggiungere una password secondaria necessaria per qualsiasi modifica all'account.
Riduci al minimo l'esposizione pubblica del tuo numero di telefono — non inserirlo nei profili dei social media.
Usa un numero VoIP come contatto pubblico e mantieni privato il tuo numero reale.
Chiedi al tuo operatore informazioni sulle funzioni di port freeze o SIM lock che limitano i trasferimenti non autorizzati.

Il SIM swapping ci ricorda che le difese tecniche più solide contano poco se i processi umani possono essere manipolati. Stratificare la propria sicurezza — combinando metodi di autenticazione robusti, una gestione attenta dei dati personali e strumenti per la privacy come le VPN — offre la migliore difesa contro gli attacchi che cercano di aggirare completamente la tecnologia.

SIM SwappingIntermedio