Esiste una categoria di attacchi informatici che non richiede malware, non sfrutta vulnerabilità software e non dipende da un errore della vittima. Prende di mira qualcosa di molto più fondamentale: la fiducia implicita tra una persona e la propria identità mobile. Il SIM swapping — noto anche come SIM hijacking — è esattamente questo tipo di attacco e, nonostante sia responsabile di alcune delle violazioni di sicurezza più gravi dell’ultimo decennio, rimane poco conosciuto al di fuori degli ambienti specializzati. La premessa è ingannevolmente semplice. Per la maggior parte delle persone e delle organizzazioni, un numero di telefono mobile è la spina dorsale dell’identità digitale. Codici di autenticazione a due fattori, procedure di recupero password, conferme bancarie: tutto transita attraverso un numero che, nelle mani sbagliate, diventa una chiave universale. Il SIM swapping funziona trasferendo quel numero su una SIM card controllata dall’aggressore. Una volta completato il trasferimento, il legittimo proprietario perde il segnale; l’aggressore ottiene accesso a ogni sistema che utilizza quel numero per l’autenticazione.

Come si svolge l’attacco

L’attacco raramente inizia con una telefonata all’operatore. Comincia giorni, settimane o addirittura mesi prima, con una fase di ricognizione. L’aggressore costruisce un profilo della vittima — data di nascita, indirizzo di residenza, dati identificativi, le ultime quattro cifre del codice fiscale o del numero di previdenza sociale — raccolti tramite phishing, database di data broker o dataset trafugati in precedenza che circolano nei mercati del dark web. Armato di queste informazioni, l’aggressore contatta l’operatore di rete mobile della vittima, per telefono o di persona presso un punto vendita, fingendosi il titolare del contratto e richiedendo la sostituzione della SIM o il trasferimento del numero. Il social engineering può andare ben oltre una semplice telefonata. In casi documentati, gli aggressori hanno corrotto o cooptato direttamente il personale degli operatori. In altri — sempre più frequentemente, man mano che gli operatori spostano la verifica dell’identità su canali digitali — la barriera è stata superata tramite video deepfake o sintesi vocale in grado di superare i controlli automatizzati. La sofisticazione dell’attacco scala con il valore del bersaglio, e i bersagli non sono sempre individui. Le conseguenze sono immediate e a cascata. La compromissione dell’account di Jack Dorsey di Twitter nel 2019 ha illustrato pubblicamente ciò che la comunità della cybersecurity documentava da tempo in privato: il controllo di un numero di telefono si traduce, nel giro di minuti, nel controllo di email, portafogli di criptovalute e qualsiasi servizio che si affidi agli SMS come secondo fattore. La FTC ha registrato un forte aumento delle denunce di SIM swap tra il 2018 e il 2023, con perdite concentrate principalmente nel settore delle criptovalute ma non limitate ad esso. L’Internet Crime Complaint Center dell’FBI ha documentato perdite per SIM swap superiori a 72 milioni di dollari nel solo 2022.

Il passaggio all’eSIM cambia le cose?

Con l’accelerazione dell’adozione delle eSIM nei dispositivi consumer, è emersa una domanda legittima: il passaggio dalla SIM fisica a quella embedded riduce in modo significativo il rischio? Sulle reti MNO pubbliche, la risposta è sfumata ma tendenzialmente pessimistica. La vulnerabilità nel SIM swap non risiede nella scheda fisica, bensì nel processo di verifica dell’identità presso l’operatore. Una eSIM viene comunque provisioning da un operatore, e quella richiesta può comunque essere avanzata da un aggressore che si spaccia per il titolare del contratto. Il SIM swapping rimane una minaccia significativa indipendentemente dal tipo di SIM, perché il livello di rischio dipende più dalle pratiche di verifica dell’operatore che dal formato della SIM stessa. La natura embedded della eSIM impedisce il furto fisico della scheda, ma non chiude il vettore del social engineering. Lo scenario cambia sostanzialmente nei contesti di rete privata, ed è qui che il ragionamento sull’eSIM diventa genuinamente interessante.

Il punto cieco del 5G privato

Il dispiegamento di reti 4G e 5G private si è intensificato notevolmente in ambienti industriali, logistici, campus e infrastrutture critiche. Queste reti operano al di fuori dell’infrastruttura MNO pubblica, conferendo alle organizzazioni il controllo diretto sull’accesso radio, sul core network e — in modo critico — sul provisioning delle SIM. Negli ambienti 5G privati, la tecnologia eSIM funge da identificatore univoco per i dispositivi che si connettono alla rete, abilitando il controllo della connettività a livello di dispositivo. Questo controllo è un vantaggio, ma comporta una responsabilità che molte organizzazioni non stanno ancora gestendo appieno. In una rete pubblica esiste comunque un processo di verifica dell’identità, per quanto imperfetto. Un aggressore che tenta un SIM swap deve interfacciarsi con un operatore regolamentato, navigare le procedure di autenticazione e lasciare una traccia. L’attrito è reale, anche quando non è sufficiente. In una rete privata, quell’attrito scompare completamente. SIM ed eSIM sono provisionate direttamente dall’amministratore di rete — non esiste un processo dell’operatore, nessun flusso di verifica regolamentato, nessuna traccia di audit esterna. In questo modello, la sicurezza di ogni identità di dispositivo sulla rete dipende interamente dal rigore dei controlli di accesso interni. Ed è qui che la dinamica dell’eSIM si inverte: anziché essere una vulnerabilità, una eSIM in una rete privata ben governata può rappresentare un vantaggio di sicurezza. La disattivazione remota, il binding crittografico del dispositivo e l’impossibilità di estrazione fisica della scheda significano che, quando il processo di provisioning è adeguatamente controllato, l’eSIM riduce considerevolmente la superficie di attacco rispetto alle SIM fisiche, che possono essere rimosse, duplicate o ri-programmate al di fuori del sistema. La locuzione chiave, tuttavia, è “quando il processo di provisioning è adeguatamente controllato”. Un account amministratore compromesso, un dipendente scontento o un attacco di social engineering mirato al personale interno possono tradursi nella riassegnazione silenziosa di un’identità dispositivo, senza che nessun soggetto esterno si accorga dell’anomalia. L’aggressore non ha bisogno di ingannare un operatore del call center. Ha solo bisogno di raggiungere l’interfaccia di provisioning.

Perché l’orchestrazione di rete è una decisione di sicurezza, non operativa

La risposta a questa vulnerabilità è una disciplina architetturale. Le organizzazioni che gestiscono reti 4G o 5G private devono trattare la propria infrastruttura di gestione SIM ed eSIM con lo stesso rigore che applicano alla gestione delle identità e degli accessi nel resto dello stack IT aziendale. Questo significa, in pratica, che la scelta della piattaforma di network management e orchestrazione è inseparabile dalla postura di sicurezza dell’organizzazione. Una piattaforma robusta deve fornire una gestione centralizzata di SIM/eSIM con un avanzato controllo degli accessi basato sui ruoli: la capacità di applicare permessi granulari che distinguano, ad esempio, tra chi può visualizzare l’inventario delle SIM, chi può attivare o disattivare un profilo e chi può eseguire una riassegnazione. Non si tratta di operazioni equivalenti e non devono essere disciplinate dallo stesso livello di accesso. Altrettanto importante è il livello di osservabilità. Una piattaforma ben strumentata, operante su una rete privata multi-vendor e multi-sito — quella che nel settore viene definita “single pane of glass” — dovrebbe rilevare automaticamente comportamenti anomali nel provisioning: riassegnazioni di SIM inattese, modifiche alla configurazione eseguite al di fuori degli orari operativi o tentativi di accesso da origini non riconosciute. Senza questa visibilità, un’identità SIM swap in una rete privata potrebbe restare non rilevata indefinitamente, senza che nessun operatore pubblico né regolatore emetta un alert. Per le organizzazioni nei settori regolamentati — energia, trasporti, difesa, sanità — la posta in gioco va ben oltre la disruption operativa. Un’identità di dispositivo compromessa può essere il punto di ingresso per un’intrusione di rete più ampia, o la fonte di telemetria falsificata con conseguenze fisiche nel mondo reale. Alla scala delle infrastrutture critiche, l’assenza di governance delle SIM non è una lacuna in una checklist. È un’esposizione sistemica.

La conversazione che il settore deve avere

Il SIM swapping non è una minaccia nuova. Ma la sua rilevanza si sta espandendo con il proliferare delle infrastrutture cellulari private e con il progressivo assottigliarsi del confine tra sicurezza IT e OT. Il dibattito pubblico ha compiuto passi avanti significativi nell’educare gli MNO e i consumatori sui rischi dell’autenticazione basata su SMS. La conversazione equivalente — sulla governance delle identità nei deployment di reti private — è appena iniziata. Le organizzazioni che hanno investito in infrastrutture 4G o 5G private dovrebbero verificare i propri flussi di provisioning SIM ed eSIM come priorità assoluta. Non per soddisfare un requisito normativo, ma perché in assenza di controlli esterni, l’integrità di ogni identità di dispositivo connesso dipende interamente dalla governance interna. Quella responsabilità è gestibile — ma solo con la giusta architettura di piattaforma, il giusto modello di controllo degli accessi e una cultura della sicurezza che estenda i propri confini fino a includere lo strato di rete. L’aggressore che prende di mira una rete privata non ha bisogno di spacciarsi per un cliente presso un helpdesk. Ha solo bisogno di trovare l’anello più debole in un modello di accesso che, in troppi deployment, è stato progettato come un ripensamento.