SIM swapping: la frode del duplicato di SIM e come proteggerti
Il SIM swapping clona il tuo numero su un'altra scheda per intercettare gli SMS della tua banca. Ti spieghiamo come lo fanno, i segnali e come blindarti.
NoCall Blog
Guide chiare per identificare chiamate, prefissi e truffe prima di rispondere.
Il SIM swapping è una frode in cui un malintenzionato ottiene un duplicato della tua scheda SIM e "trasferisce" il tuo numero di telefono sul suo cellulare. Da quel momento riceve le tue chiamate e, cosa più grave, gli SMS con i codici di verifica della tua banca. Qui ti spieghiamo come lo fanno, quali segnali li tradiscono e come blindarti.
A differenza delle truffe che già conosci, qui non sei tu a essere ingannato con una telefonata. Il colpo è sferrato contro il tuo operatore. Per questo è così pericoloso: puoi fare tutto bene, non rispondere a nessun numero strano, e perdere comunque il controllo della tua linea. La buona notizia è che esistono difese concrete, e molte sono gratuite.
Cos'è esattamente il SIM swapping?
Il tuo numero di telefono non vive dentro la scheda SIM di plastica. Vive nei sistemi del tuo operatore, che associano quel numero a una SIM specifica. Quando chiedi un duplicato perché hai perso il cellulare o la scheda si è rotta, l'operatore "scollega" la vecchia SIM e attiva quella nuova con lo stesso numero. È un servizio legittimo e necessario.
Il SIM swapping (chiamato anche duplicato di SIM fraudolento o SIM swap) consiste nel fatto che un malintenzionato richiede quel duplicato spacciandosi per te. Se ci riesce, la tua SIM reale resta senza servizio in pochi minuti e il tuo numero inizia a funzionare sul telefono dell'aggressore.
Da lì, tutto ciò che dipende dal tuo numero passa nelle sue mani:
- Gli SMS con i codici di verifica (il famoso 2FA o OTP) della tua banca, della tua email o dei tuoi social.
- Le chiamate di conferma che alcuni istituti fanno prima di un'operazione.
- Gli SMS di recupero password di decine di servizi.
Con il codice che arriva via SMS, l'aggressore può accedere al tuo home banking, autorizzare bonifici o svuotare il tuo conto. E tutto senza che la tua password sia trapelata: gli basta intercettare quel secondo fattore che credevi sicuro.
Come riescono a spacciarsi per te davanti all'operatore?
Il duplicato di SIM non è il primo passo della frode, ma l'ultimo. Prima, il malintenzionato deve raccogliere abbastanza dati su di te per convincere l'operatore (o un dipendente) di essere il titolare della linea. Questa fase preliminare è pura ingegneria sociale.
I dati li ottiene combinando varie fonti:
- Fughe di dati: violazioni di sicurezza di aziende che lasciano esposti nomi, documenti, telefoni e indirizzi.
- Phishing e smishing: email e SMS che ti chiedono di "verificare" i tuoi dati. Se ti suona familiare, è perché è la stessa meccanica che spieghiamo nella nostra guida sullo smishing e le truffe via SMS.
- Vishing: chiamate in cui si spacciano per la tua banca o il tuo operatore per estorcerti il documento, la data di nascita o il numero di conto.
- Social: informazioni pubbliche che tu stesso hai condiviso senza dargli peso.
Con quel dossier pronto, contattano il tuo operatore per telefono, sul sito o persino di persona in negozio, e chiedono il duplicato. Per questo conviene capire che il SIM swapping è quasi sempre preceduto da un altro tentativo di truffa. Se ti è arrivata di recente una chiamata o un SMS che ti chiedeva dati personali, consideralo un segnale d'allarme. Impara a leggere i segnali di rischio di un numero prima di fornire qualsiasi dato.
Perché l'SMS ha smesso di essere un secondo fattore sicuro?
Per anni, ricevere un codice via SMS per confermare un'operazione è stato considerato sufficiente. La logica era semplice: solo tu hai il tuo cellulare, quindi solo tu ricevi il codice. Il SIM swapping rompe questa premessa alla radice. Se l'aggressore controlla il tuo numero, il codice arriva a lui.
Questo si collega ad altre frodi che sfruttano lo stesso anello debole. L'abbiamo visto nelle flash call e chiamate ping per rubare gli OTP: i codici monouso sono preziosissimi per i malintenzionati, e l'SMS è il canale più facile da intercettare.
La conclusione non è "l'SMS non serve a niente", ma che l'SMS è il fattore più debole tra quelli esistenti. Se puoi scegliere un altro metodo di verifica, fallo. Più sotto ti spieghiamo quali.
Quali sono i segnali che ti stanno facendo un SIM swap?
Il grande vantaggio difensivo che hai è che il SIM swapping lascia una traccia molto visibile: il tuo cellulare smette di funzionare. Il problema è che molti lo confondono con un guasto tecnico e impiegano ore a reagire. Ogni minuto conta.
Questi sono i segnali da non ignorare:
| Segnale | Cosa significa |
|---|---|
| Perdita improvvisa di copertura senza motivo | La tua SIM è stata disattivata; il numero potrebbe essere già su un altro telefono |
| Il cellulare segna "Nessun servizio" o "Solo emergenze" | La linea non è più associata alla tua scheda |
| Smetti di ricevere chiamate e SMS di colpo | Il traffico del tuo numero è stato dirottato |
| Ti arriva un SMS o email che avvisa di un "cambio SIM" che non hai richiesto | L'operatore ha elaborato un duplicato a tuo nome |
| Avvisi della banca su accessi o tentativi di accesso sconosciuti | Qualcuno sta usando il tuo numero per entrare nei tuoi conti |
| Non riesci ad accedere all'email o ai social | Hanno avviato il processo di recupero con il tuo numero |
Il segnale principale è la perdita di copertura inspiegabile. Se sei in una zona dove hai sempre segnale e all'improvviso sparisce, e riavviare il cellulare non lo risolve, non rimandare. Prendi un altro telefono e chiama il tuo operatore per confermare che la tua SIM è ancora attiva e che nessuno ha richiesto un duplicato.
Cosa faccio nei primi minuti se sospetto?
La velocità è tutto. Se credi di subire un SIM swap proprio ora:
- Chiama il tuo operatore da un altro telefono e chiedi di bloccare qualsiasi duplicato e riattivare la tua SIM. Spiega che sospetti una frode.
- Contatta la tua banca tramite il canale ufficiale (l'app o il numero sul retro della carta) e chiedi di congelare accessi e operazioni online.
- Cambia le password della tua email principale e dell'home banking da un dispositivo fidato, non dal cellulare colpito.
- Controlla i tuoi conti in cerca di bonifici o modifiche che non hai fatto.
- Denuncia. Chiama il 017 dell'INCIBE (gratuito) per farti orientare e presenta denuncia alla polizia.
Se hai già fornito dati o subìto addebiti, segui il piano d'azione completo descritto in cosa fare se hai già dato i tuoi dati in una truffa.
Come mi proteggo prima che accada? Il PIN dell'operatore e altre barriere
La prevenzione del SIM swapping ha due fronti: rendere difficile all'aggressore raccogliere i tuoi dati e rendere difficile all'operatore consegnare un duplicato a chi non sei tu. La misura principale è il PIN o password dell'operatore.
Il PIN dell'operatore: il tuo scudo migliore
La maggior parte degli operatori in Spagna permette di impostare una chiave o PIN di sicurezza associato al tuo account. È un codice che ti verrà richiesto per qualsiasi pratica sensibile, come un duplicato di SIM. Senza quella chiave, nemmeno con i tuoi dati personali potranno autorizzare il cambio.
Non si attiva da solo. Devi richiederlo espressamente:
- Chiama il tuo operatore o entra nella tua area clienti.
- Richiedi di attivare una chiave o PIN di sicurezza per le pratiche SIM.
- Scegli un codice non indovinabile (niente date di nascita o documenti).
- Conservalo dove non conservi tutto il resto.
È gratis ed è la barriera più efficace che esista contro il duplicato fraudolento. Se non sai se il tuo operatore lo offre o come si chiama esattamente nel tuo caso, consulta la nostra sezione operatori o chiedi direttamente all'assistenza clienti.
Sostituisci l'SMS con metodi di verifica più forti
Anche se ti fanno il SIM swap, se i tuoi conti critici non dipendono dall'SMS, l'aggressore resta senza il pezzo chiave. Confronta le opzioni:
| Metodo di 2FA | Resistenza al SIM swap | Comodità |
|---|---|---|
| Codice via SMS | Bassa: si intercetta con il duplicato | Alta |
| App di autenticazione (TOTP) | Alta: il codice vive sul tuo dispositivo, non nel numero | Media |
| Chiave di sicurezza fisica (FIDO/passkey) | Molto alta: richiede il dispositivo fisico | Media |
| Notifica push della banca | Alta: legata al dispositivo, non all'SMS | Alta |
La raccomandazione pratica: migra il secondo fattore della tua banca, della tua email e dei tuoi social verso un'app di autenticazione o verso chiavi/passkey ogni volta che il servizio lo consente. Riserva l'SMS solo ai servizi privi di alternativa.
Riduci l'impronta di dati che possono rubarti
Il SIM swap inizia con i tuoi dati. Meno ne circolano, più gliela rendi difficile:
- Non dare mai dati personali al telefono o via SMS a chi ti chiama o ti scrive senza che sia stato tu a iniziare. La regola d'oro è sempre la stessa: riattacca e verifica tramite il canale ufficiale.
- Diffida dell'urgenza. La pressione ad agire "subito" è il marchio della frode.
- Controlla cosa pubblichi sui social. La tua data di nascita, il tuo paese o il nome del tuo animale possono essere risposte a domande di sicurezza.
- Tieni d'occhio le fughe di dati. Se ti avvisano di una violazione in un servizio che usi, cambia quella password e attiva un 2FA robusto.
Attiva avvisi e rafforza l'email
Il tuo account di posta elettronica è la chiave principale: da lì si recuperano quasi tutte le altre password. Proteggilo con la migliore verifica possibile e un 2FA che non dipenda dall'SMS. Attiva anche le notifiche della banca per qualsiasi accesso o movimento: sono il tuo sistema d'allarme precoce, perché ti avvisano di attività sospette anche se l'aggressore controlla già il tuo numero (le push vanno al dispositivo, non alla linea).
In cosa si distingue il SIM swapping dalle altre truffe telefoniche?
È facile confonderlo, quindi chiariamolo. Nel vishing e nello spoofing dell'identificativo, il malintenzionato inganna direttamente te, fingendo di essere la tua banca perché tu gli dia i dati o autorizzi qualcosa. Nel SIM swapping, l'inganno è rivolto all'operatore, e tu non partecipi nemmeno alla conversazione.
Un'altra differenza chiave: nella maggior parte delle frodi telefoniche la difesa è non rispondere né dare dati. Nel SIM swapping non basta, perché l'attacco avviene dietro le quinte. Qui la difesa è strutturale: il PIN dell'operatore, il 2FA senza SMS e la sorveglianza della copertura.
Tuttavia, condividono un anello iniziale comune: la raccolta di dati tramite phishing, smishing o vishing. Per questo, blindarti contro quei primi tentativi ti protegge anche dal SIM swap. Se ricevi spesso molte chiamate sospette, rivedi come identificare e bloccare i numeri più segnalati e consulta le tendenze dello spam in Spagna per sapere quali schemi stanno circolando.
In sintesi: il tuo piano anti-SIM swap
Se ti porti via quattro idee, che siano queste:
- Attiva il PIN dell'operatore oggi stesso. È gratis ed è la barriera più efficace.
- Togli l'SMS dal tuo 2FA su banca, email e social. Usa app di autenticazione o passkey.
- Tratta la perdita improvvisa di copertura come un'emergenza, non come un guasto tecnico.
- Proteggi la tua email sopra ogni cosa e attiva gli avvisi bancari.
Il SIM swapping fa paura perché attacca un servizio che credevi inviolabile: il tuo stesso numero. Ma è una delle frodi che si prevengono meglio se prendi le misure giuste per tempo. Non devi essere un esperto di sicurezza; ti serve una telefonata al tuo operatore e mezz'ora per cambiare le impostazioni.
E ricorda che la comunità è il tuo miglior radar. Molti SIM swap iniziano con una chiamata o un SMS di raccolta dati. Se ne ricevi uno sospetto, cercalo e segnalalo nella directory dei numeri spam di NoCall: aiuti un'altra persona a riconoscere la minaccia prima di abboccare. Per continuare a formarti, passa dalle nostre guide e dal resto del blog.
Hai ricevuto una chiamata sospetta?
Cerca il numero su NoCall prima di condividere dati, richiamare o cliccare qualsiasi link.
Cerca un numero di telefono spagnolo o il nome di un'azienda (Iberdrola, Movistar...) per verificare se è stato segnalato come spam.