Ti svegli, guardi il telefono e non c'è segnale. Pensi al solito disservizio, riavvii, aspetti dieci minuti. In quei dieci minuti qualcuno sta digitando i codici OTP della tua banca su un altro telefono, con la tua SIM appena clonata dentro. Quando la rete torna, il conto è già stato prosciugato e tu non hai toccato niente.
Questo è il SIM swap, la "sostituzione di SIM" fraudolenta. È una delle truffe più gravi e meno raccontate, perché non richiede di bucare il tuo telefono: basta convincere il tuo operatore a spostare il numero su una scheda nuova. La verità è che il SIM swap non è un attacco al tuo dispositivo, è un attacco alla pigra abitudine delle banche italiane di considerare un SMS come una firma sicura.
Ed è proprio qui che si decide tutto. Puoi seguire dieci consigli di prudenza, ma se la tua banca autorizza i bonifici con un codice via SMS, il tuo numero resta la chiave del caveau. Spostare quella chiave altrove è la mossa che conta più di ogni altra.
Come funziona il SIM swap, senza mistero
Il meccanismo è più banale di quanto la parola faccia pensare. Non c'è nessun virus geniale dietro.
- Il truffatore raccoglie i tuoi dati - nome, codice fiscale, data di nascita, a volte una copia del documento - tramite phishing, smishing, violazioni di database o semplice ingegneria sociale.
- Si presenta al tuo operatore, allo sportello o dove possibile online, e chiede una SIM sostitutiva dichiarando di aver perso o rotto la vecchia.
- Se la verifica d'identità è debole, l'operatore attiva la nuova scheda e il tuo numero migra su quella.
- Da quel momento chiamate e SMS - compresi gli OTP bancari - arrivano al truffatore. La tua SIM originale smette di funzionare.
Il numero di telefono, in Italia, è spesso il secondo fattore per accedere al conto e autorizzare le operazioni. Chi lo controlla può ricevere gli OTP dei bonifici, resettare la password dell'home banking con il "recupera via SMS", entrare in PayPal, Satispay o wallet legati al numero, e reimpostare email e social per allargare il danno.
I segnali che qualcosa non va
Il SIM swap è difficile da cogliere in tempo, ma qualche spia c'è. Il problema è che assomigliano a un normale guasto, ed è proprio su questo che contano i truffatori.
- Il telefono perde il segnale senza motivo, mentre chi ti sta accanto ha campo pieno.
- Non riesci a chiamare né a ricevere anche dove hai sempre avuto copertura.
- Ricevi un SMS dell'operatore che conferma una modifica o una nuova attivazione della SIM che non hai richiesto.
- Smettono di arrivare gli SMS della banca (OTP, avvisi di movimento) che stavi aspettando.
- La banca ti avvisa via email di accessi o operazioni insolite, perché i truffatori hanno l'OTP via SMS ma non la tua casella di posta.
Se perdi il segnale in modo inspiegabile, non aspettare la "risoluzione automatica": prendi un altro telefono e chiama subito il tuo operatore. In pratica, quei dieci minuti di attesa fiduciosa sono esattamente il tempo che serve dall'altra parte.
La difesa che conta e le altre, di riserva
Qui viene il punto che quasi nessuna guida mette in ordine. Le contromisure non valgono tutte uguale: ce n'è una che disinnesca l'attacco alla radice, le altre riducono solo il danno. Se me lo chiedi, la gerarchia è questa e va rispettata, non sparpagliata in un elenco dove tutto sembra ugualmente urgente.
| Misura | Priorità | Cosa fa davvero |
|---|---|---|
| Passa dagli OTP via SMS a un'app di autenticazione | Prima scelta | Google Authenticator, Microsoft Authenticator o Authy generano codici legati al dispositivo, non al numero: il SIM swap diventa inutile per il secondo fattore |
| Attiva le notifiche push dell'app bancaria | Alta | Se qualcuno entra nel conto, vedi la push sull'app (non via SMS) e reagisci in tempo |
| Imposta un PIN o una parola d'ordine sull'account operatore | Alta | Alcuni operatori permettono di proteggere le operazioni sulla SIM: verifica con TIM, Vodafone, WindTre, Iliad e Fastweb |
| Limite giornaliero ai bonifici online | Media | Non evita l'attacco, ma taglia il danno massimo in caso di accesso non autorizzato |
| Email diverse per banca e social, numero fuori dai social | Media | Riduce i dati che un truffatore può mettere insieme su di te |
Nota la logica: l'app di autenticazione non "aiuta un po'", cambia la partita. Con i codici staccati dal numero, il truffatore può anche impossessarsi della tua SIM, ma resta chiuso fuori dal secondo fattore. Tutto il resto è mitigazione: utile, ma secondaria rispetto a togliere l'SMS dall'equazione dove la banca lo consente. Molti istituti offrono ormai l'autorizzazione tramite app: se il tuo la prevede, attivala e disattiva il fallback via SMS quando possibile.
Cosa fare se sospetti di essere già vittima
- Chiama il tuo operatore da un altro telefono, subito. Chiedi di bloccare ogni operazione sulla SIM e di riportare il numero sotto il tuo controllo.
- Chiama la banca. Chiedi il blocco temporaneo dell'accesso online e delle carte e fatti elencare i movimenti delle ultime ore.
- Cambia le password dei servizi importanti da un dispositivo sicuro, usando l'email e non il numero per il recupero.
- Presenta denuncia alla Polizia Postale sul portale o di persona: è il passo indispensabile per il recupero dei fondi e per le indagini.
- Segnala all'operatore la richiesta fraudolenta: se la verifica d'identità è stata carente, questo pesa ai fini del risarcimento.
Il SIM swap raramente arriva da solo. Di solito i truffatori hanno già le tue credenziali bancarie - username e password - e usano il tuo numero solo per superare il secondo fattore. Quelle credenziali spesso escono da uno smishing bancario, come raccontiamo nell'articolo sugli SMS truffaldini che imitano la banca. La catena è quasi sempre la stessa: phishing per le credenziali, SIM swap per l'OTP, conto svuotato.
Posso essere rimborsato?
Sul rimborso il terreno è scivoloso ed è bene saperlo prima, non dopo. La normativa PSD2 pone in capo alle banche la responsabilità per le operazioni non autorizzate, ma gli istituti tendono a contestare, sostenendo che gli OTP sono stati inseriti "correttamente". Quello che non ti dicono allo sportello è che l'Arbitro Bancario Finanziario, in diversi casi di SIM swap, ha dato torto alla banca, giudicando insufficiente un'autenticazione fondata sul solo SMS.
Se la banca nega, puoi rivolgerti all'Arbitro Bancario Finanziario tramite i canali della Banca d'Italia: la procedura è accessibile e a basso costo. Anche l'operatore può avere una sua responsabilità se non ha verificato bene chi ha chiesto la SIM sostitutiva. Conserva ogni prova: date, SMS, orari del blackout di segnale, movimenti contestati.
Domande frequenti sul SIM swap
Il mio operatore può rifiutare una richiesta di SIM sospetta?
Sì, e dovrebbe. Le regole di AGCOM e le linee guida europee sulla sicurezza dei pagamenti spingono gli operatori ad adottare misure contro le sostituzioni non autorizzate: ritardi, verifiche aggiuntive, alert al cliente. Le prassi variano tra TIM, Vodafone, WindTre, Iliad e Fastweb: vale la pena chiedere al tuo quali controlli applica e se puoi mettere una parola d'ordine sull'account.
Usare una eSIM protegge dal SIM swap?
Non di per sé. La eSIM elimina la scheda fisica, ma la compromissione può passare comunque dai portali online dell'operatore. La protezione vera resta la stessa: spostare i codici su un'app di autenticazione slegata dal numero e proteggere l'account operatore.
Ho perso il telefono, come so se hanno già chiesto una SIM nuova?
Chiama l'operatore appena puoi da un altro dispositivo. Chiedi di verificare eventuali richieste di sostituzione nelle ultime ore e, nel dubbio, di bloccare l'account finché non ti presenti di persona con un documento. Nel frattempo blocca le carte e controlla i movimenti del conto.
In sintesi
Il SIM swap non buca il tuo telefono: sfrutta il fatto che la banca si fida di un SMS. Ecco perché la mossa che conta è una sola - portare il secondo fattore su un'app di autenticazione - mentre limiti di bonifico, PIN sull'operatore ed email separate riducono il danno ma non chiudono la falla. Se il segnale sparisce senza motivo, tratta quei minuti come un'emergenza, non come un disservizio: chiama operatore e banca, cambia le password dall'email e denuncia. La rapidità, qui, vale quanto la prevenzione.