Nel corso di un'intervista su Milano Pavia TV dedicata alla sicurezza digitale, ho affrontato un tema che ritengo sistematicamente sottovalutato nel dibattito pubblico italiano: il SIM swap. Non è fantascienza, non è una vulnerabilità riservata a target di alto profilo. È una truffa concreta, in forte crescita, che colpisce correntisti comuni e che sfrutta una debolezza strutturale nel modo in cui le banche italiane — e non solo — gestiscono l'autenticazione.

Cos'è il SIM swap e come funziona

Il numero di telefono è diventato, nel corso degli ultimi anni, la chiave d'accesso alla nostra vita digitale. Le banche lo usano per inviare codici OTP. I servizi di recupero password lo usano per verificare l'identità. WhatsApp, Instagram, Gmail — tutto si riattiva partendo da un numero di telefono. Il problema è che questo numero non vi appartiene davvero: appartiene al vostro operatore telefonico, che lo affitta a voi. E un operatore telefonico può essere ingannato.

Il SIM swap segue sempre la stessa logica in più fasi:

1
Raccolta dei dati. L'attaccante ottiene le vostre informazioni personali — nome, data di nascita, codice fiscale, indirizzo. Spesso le trova in data breach precedenti, a volte tramite phishing, a volte semplicemente dai vostri profili social. Vinted, Facebook, LinkedIn: ogni piattaforma in cui avete inserito dati reali è una fonte potenziale.
2
Impersonificazione all'operatore. Armato dei vostri dati, l'attaccante si presenta a uno sportello telefonico — fisico o remoto — e dichiara di aver perso la SIM o che il telefono è rotto. Chiede un duplicato. Il documento d'identità presentato può essere contraffatto o alterato digitalmente, cosa tutt'altro che complessa con gli strumenti attuali.
3
Attivazione del duplicato. Il vostro numero passa alla nuova SIM. Il vostro telefono perde il segnale. Questo è il primo segnale d'allarme — ma spesso viene scambiato per un problema tecnico.
4
Accesso agli account. L'attaccante, che nel frattempo ha già le vostre credenziali bancarie (ottenute prima, via phishing o da un data breach), richiede il recupero password. Il codice SMS arriva sul suo telefono. Entra nel conto. Di notte, per avere più tempo.

«Il problema non è solo tecnico — è sistemico. Finché le banche continuano a usare il numero di telefono come prova d'identità, stanno costruendo la loro sicurezza su un fondamento che qualcun altro può spostare.»

I numeri: un fenomeno in esplosione

Non si tratta di casi isolati. Il Rapporto Clusit 2025 segnala che il 90% degli istituti di credito italiani ha dichiarato di aver ricevuto tentativi di frode di questo tipo, e il 40% ha subito perdite effettive. A livello internazionale, il National Fraud Database britannico ha registrato un aumento del 1.055% dei casi di SIM swap nel solo 2024 rispetto all'anno precedente — da 289 a quasi 3.000 episodi (dati Cifas, 2025). Negli Stati Uniti l'FBI ha ricevuto 982 denunce formali nel 2024, con perdite documentate di circa 26 milioni di dollari.

C'è però un fattore che rende i dati ufficiali una sottostima strutturale: la maggior parte delle vittime non sa con precisione cosa sia successo. Sa che il conto è stato svuotato, non necessariamente che la causa era un duplicato di SIM attivato da qualche rivenditore. Le denunce finiscono spesso classificate genericamente come "frode informatica".

Il quadro normativo italiano: AGCOM ha già legiferato

L'Italia non ha ignorato il problema. Con la delibera 86/21/CIR del luglio 2021, AGCOM ha introdotto nuove procedure obbligatorie per tutti gli operatori di telefonia mobile, entrate in vigore il 14 novembre 2022. Le misure principali riguardano la doppia verifica dell'identità in caso di cambio SIM: non basta più un documento, serve anche la conferma tramite SMS al numero originale oppure una chiamata registrata all'utente. In caso di furto o smarrimento, è obbligatoria la copia della denuncia all'autorità. AGCOM ha anche istituito un Comitato tecnico sulla sicurezza delle comunicazioni elettroniche con il compito di monitorare il fenomeno e aggiornare le procedure.

La regola esiste, dunque. Il problema è che la sua applicazione dipende dai singoli rivenditori, compresi quelli indipendenti autorizzati, che in passato hanno rappresentato il punto debole della catena. Un rivenditore che vuole attivare un'utenza — magari su commissione — può essere meno scrupoloso nella verifica. Non è una giustificazione: è una vulnerabilità strutturale che le nuove norme cercano di chiudere ma non eliminano completamente.

⚠ Segnali di allarme da non ignorare

Il telefono perde improvvisamente il segnale senza motivo apparente. Arrivano SMS con codici OTP che non avete richiesto. Ricevete notifiche di accesso da dispositivi sconosciuti su email o app bancarie. In questi casi: chiamate subito il vostro operatore da un altro telefono e contattate la banca per bloccare temporaneamente le operazioni online.

La responsabilità dell'operatore: si può fare causa?

Questa è la domanda che, nel mio lavoro all'incrocio tra diritto e tecnologia, sento più spesso dopo un episodio di SIM swap. La risposta è: dipende, ma ci sono casi in cui sì.

Alcune banche, una volta dimostrato che il bonifico non autorizzato era conseguenza diretta di un SIM swap, hanno rimborsato il cliente invocando la normativa PSD2 (Payment Services Directive 2), che impone agli istituti di credito di garantire la sicurezza delle transazioni elettroniche. Sul fronte dell'operatore telefonico, la situazione è più complessa: occorre dimostrare che il duplicato SIM è stato rilasciato con negligenza, in violazione delle procedure di verifica. Casi legali in merito sono già stati discussi davanti all'Arbitro Bancario Finanziario e in sede giudiziaria ordinaria. La tesi — che trovo fondata — è che un operatore telefonico che rilascia un duplicato SIM senza verificare adeguatamente l'identità del richiedente abbia una corresponsabilità nel danno subito dall'utente. Non è ancora giurisprudenza consolidata, ma la direzione sembra quella.

Come proteggersi concretamente

La misura più efficace è smettere di usare l'SMS come secondo fattore di autenticazione ovunque sia possibile farne a meno. Per i servizi che lo permettono — social media, email, servizi cloud — passate a un'app TOTP come Google Authenticator o a una passkey. Per la banca, verificate se è possibile sostituire l'SMS con l'app bancaria stessa come secondo fattore, che è cifrata e non dipende dalla rete telefonica.

Alcune misure ulteriori che consiglio:

Chiedete al vostro operatore il blocco portabilità (SIM lock o port freeze). Molti operatori permettono di aggiungere un PIN aggiuntivo alle richieste di cambio SIM o portabilità. Questa funzionalità non è sempre comunicata attivamente — dovete chiederla.
Non pubblicate il vostro numero di cellulare personale dove non è strettamente necessario. Ogni piattaforma che conosce sia il vostro numero che altri vostri dati personali è un potenziale punto di raccolta informazioni per un attaccante.
Se usate SMS per la banca perché non ci sono alternative, valutate di avere una SIM dedicata solo a quello scopo — un numero che non date a nessuno e che non appare sui vostri profili social. Paranoia? Forse. Ma tra la comodità di un numero unico per tutto e la sicurezza dei propri risparmi, la scelta non è poi così difficile.
Abilitate le notifiche in tempo reale per ogni transazione bancaria. Non eliminano il rischio, ma vi permettono di accorgervi dell'attacco nel più breve tempo possibile e di bloccare la carta prima che il danno sia totale.

Il problema di fondo: chi ha costruito il sistema

Tengo a fare una considerazione finale che va al di là del singolo consiglio pratico. Il SIM swap funziona perché il settore bancario ha delegato parte della propria sicurezza a un'infrastruttura — la rete telefonica — che non controlla e le cui procedure di verifica dell'identità sono eterogenee, in parte dipendenti da rivenditori indipendenti con incentivi economici che non sempre si allineano con la sicurezza dell'utente.

La normativa AGCOM e le iniziative ABI-Banca d'Italia vanno nella direzione giusta. Ma le passkey e i sistemi FIDO2, che non dipendono affatto dalla rete telefonica, rappresentano un'architettura strutturalmente più robusta. Il problema è che la loro adozione nelle banche italiane procede lentamente. Finché il settore non completa questa transizione, la responsabilità ricade su ciascuno di noi — e questo non è corretto, ma è la realtà in cui operiamo.