News

17 Gennaio 2020

SIM swap fraud – Frode informatica con clonazione SIM (Telefriuli 08.01.2020)


La Direttiva (UE) 2015/2366, nota come PSD2 e recepita in Italia con d.lgs. 15 dicembre 2017 n. 218, prevede che i prestatori dei servizi di pagamento, comprese le banche, mettano a disposizione dei propri clienti misure di autenticazione forte (Strong Authentication) basate sull’uso di due o più dei seguenti elementi:
– la conoscenza (qualcosa che solo l’utente conosce, come la password);
– il possesso (qualcosa che solo l’utente possiede, per es. un dispositivo che genera o riceve una password temporanea detta OTP);
– l’inerenza (qualcosa che caratterizza l’utente, compresi i dati biometrici).

Il mutato quadro normativo ha portato il sistema bancario nel corso del 2019 ad abbandonare progressivamente i token fisici (le chiavette OTP) a beneficio degli smartphone usati per effettuare l’autenticazione mediante app dedicate oppure per ricevere o inserire la password temporanea.

Per quanto tali modifiche legislative e tecnologiche intendessero favorire l’uso di strumenti di pagamento on line nel rispetto di misure di sicurezza elevate, nondimeno negli ultimi mesi si sono verificati molti casi di frodi telematiche a danno di correntisti attuate con nuove modalità operative.

Ci si riferisce, in particolare, al fenomeno ribattezzato “SIM swap fraud” nel quale la SIM dello smartphone associato al conto corrente viene clonata o duplicata da un soggetto terzo non autorizzato; quest’ultimo, avendo generalmente già carpito in precedenza le credenziali di accesso a tale conto corrente, potrà così ricevere l’OTP inviato dalla banca e superare le misure di autenticazione forte.

Anche di questo argomento ha parlato l’avv. David D’Agostini, ospite della trasmissione “Elettroshock” in onda su Telefriuli lo scorso 8 gennaio 2020; ne pubblichiamo parte dell’intervento.