Il numero non è identità digitale
C’è un’abitudine che resiste più della tecnologia: usare il numero di telefono come se fosse una prova d’identità. È comodo, universale, “funziona sempre”. Proprio per questo è diventato una superficie d’attacco perfetta.
E quando l’autenticazione (o peggio, il recovery) passa dall’OTP via SMS, la sicurezza non si rompe perché qualcuno “buca” qualcosa. Si rompe perché qualcuno riesce a farsi consegnare la tua linea.
📞 Il numero di telefono non è un fattore di sicurezza
L’OTP via SMS dà l’illusione di essere multi-factor perché arriva su un dispositivo fisico. Ma il fattore fisico, in realtà, non è il telefono: è la linea. E la linea è un servizio gestito da terzi, con processi pensati per essere veloci e “customer-friendly”, non per resistere a un avversario motivato.
In pratica, stai legando l’accesso a email, social, banking e exchange a una cosa che può essere spostata da un operatore all’altro, o da una SIM all’altra, con una procedura. Quando la sicurezza diventa procedura, la domanda non è se si rompe, ma dove.
🧩 SIM swapping: non è hacking, è trasferimento
Il SIM swapping è l’abuso di un’operazione legittima: trasferire un numero su un’altra SIM. Solo che la SIM “nuova” non è la tua.
Il cuore del problema non è la parte tecnica, è l’ecosistema che ci gira attorno: verifiche basate su dati statici, assistenza sotto pressione, eccezioni “per urgenza”, recuperi account progettati per ridurre attrito. Se un attaccante ha già raccolto abbastanza informazioni da un data leak o da una filiera di social engineering, la richiesta diventa credibile. E la credibilità, nel mondo reale, spesso vale più di qualsiasi “second factor”.
🧾 eSIM takeover: stessa idea, meno attrito e più invisibilità
Con eSIM e Remote SIM Provisioning (RSP) la scheda fisica sparisce: resta un profilo che si attiva e si sposta con workflow digitali. È una comodità enorme, ma riduce alcune barriere “fisiche” che prima rendevano l’attacco più lento o più evidente.
ENISA, nel report Countering SIM-Swapping, osserva una correlazione tra operatori che offrono eSIM e numero di incidenti riportati, e in un documento dedicato all’ecosistema eSIM sottolinea che una parte degli eSIM swap è favorita da processi di swap e provisioning immaturi.
Traduzione: non è “l’eSIM è insicura”. È che quando cambi il modo in cui si trasferisce una linea, gli attaccanti studiano il nuovo modo e trovano il punto morbido. E spesso quel punto morbido è la stessa cosa di sempre: persone e procedure.
⚠️ OTP via SMS: il punto di vista “freddo” di NIST
Se vuoi una valutazione senza folklore: NIST, nelle Digital Identity Guidelines, tratta l’uso della PSTN (quindi SMS/voce) per out-of-band come restricted e collega direttamente il rischio al tema “binding”: impostare o cambiare un numero preregistrato equivale a legare un nuovo autenticatore e deve essere gestito con requisiti più rigidi.
È un modo elegante per dire una cosa semplice: se il tuo “second factor” dipende da un canale che può essere riassegnato, allora quel fattore è fragile per definizione.
📡 Non c’è solo SIM swap: SS7 e intercettazioni
Concentrarsi solo sul SIM swap è comprensibile (è la via più “commerciale” e scalabile), ma non è l’unico motivo per cui SMS ≠ canale sicuro.
L’infrastruttura telco porta dietro un’eredità pesante: SS7 (e, in parte, il mondo Diameter/roaming) è stata progettata in un’epoca di fiducia tra operatori. Oggi quella fiducia è un modello rotto, e la conseguenza è che l’intercettazione o la deviazione di traffico (in certi scenari) può avvenire anche senza toccare la tua SIM.
Non significa che chiunque possa farlo dal salotto di casa. Significa che l’SMS non offre garanzie “da autenticatore moderno”, perché vive dentro un ecosistema nato per far arrivare messaggi, non per proteggere identità.
🏭 Perché piace al cybercrime: trasformare un numero in accesso
Il SIM swap (fisico o eSIM) è un moltiplicatore. Un numero controllato nel momento giusto si trasforma in:
- reset password,
- takeover di email (e quindi takeover di tutto il resto),
- bypass di protezioni “basate su SMS”.
È la stessa logica dell’industrializzazione del cybercrime: non serve l’attacco perfetto, basta qualcosa di abbastanza efficace, ripetibile e monetizzabile. Il vantaggio non è nella tecnica “brillante”, ma nell’ottimizzare il percorso di minimo attrito.
🔍 “No service” e altri segnali: spesso te ne accorgi dopo
Molti associano il SIM swap al classico “No Service” improvviso. Succede spesso, ed è anche uno dei segnali citati nelle spiegazioni divulgative di ENISA.
Ma non è una regola universale: tra dual-SIM, tempi di porting, notifiche ignorate, e profili eSIM che vengono attivati quando tu sei distratto, la consapevolezza può arrivare con ore di ritardo. Ed è qui che l’attacco diventa davvero efficace: quando lo scambi per un problema di rete, mentre in realtà è un problema di identità.
🛡️ Sganciare il numero: cosa cambia davvero (e cosa no)
La soluzione non è “fare dieci cose”. È togliere al numero il ruolo di chiave maestra.
Le Authenticator app (TOTP) sono un miglioramento reale contro SIM swap, perché spostano il secondo fattore fuori dal carrier. Ma vale la pena dirlo chiaramente: TOTP non è phishing-resistant. Se inserisci il codice su un sito fasullo (o su un proxy real-time), quel codice può essere riutilizzato immediatamente.
È qui che entrano in gioco passkeys / FIDO2 / WebAuthn: non perché siano “più comode” (lo sono), ma perché sono progettate per essere legate all’origin del servizio. Una credenziale WebAuthn è scoped alla relying party/origin: su un dominio fake, semplicemente non funziona.
Il punto, quindi, non è demonizzare TOTP. È evitare la narrazione sbagliata: “ho l’app, sono al sicuro”. Sei più al sicuro contro una classe di attacchi (SIM swap), ma non contro tutto.
🔚 Conclusione: l’SMS è pratico, ma non è un autenticatore moderno
Il SIM swapping e l’eSIM takeover non sono leggende del Dark Web. Sono la conseguenza naturale di un sistema in cui:
- il numero viene trattato come identità,
- i processi di trasferimento privilegiano la rapidità,
- e troppi recovery flow considerano l’SMS un canale “affidabile”.
NIST lo incasella come restricted per un motivo.
ENISA collega l’aumento degli eSIM swap anche alla maturità dei processi di provisioning.
E l’ecosistema telco porta con sé rischi strutturali come SS7, che ricordano perché l’SMS non è mai stato pensato per difendere identità.
Se la tua sicurezza dipende da un SMS, non stai difendendo un account. Stai difendendo una procedura. E nel 2026, le procedure sono esattamente ciò che viene ottimizzato per essere aggirato.