SIM swap: cos'è la truffa e come difendersi

Risposta rapida: il SIM swap è la truffa in cui i criminali ottengono un duplicato della tua SIM presso l'operatore, prendono il controllo del tuo numero e intercettano gli SMS con i codici della banca. Se il telefono perde il segnale senza motivo e non riesci più a chiamare, contatta subito operatore e banca: potresti essere sotto attacco.

Cos'è questa truffa

Il SIM swap, letteralmente "scambio di SIM", è una forma di furto d'identità telefonica. I truffatori usano dati personali raccolti in precedenza per convincere l'operatore a emettere un duplicato della tua SIM. Una volta attivato, il tuo telefono perde la rete e tutte le chiamate e gli SMS arrivano al dispositivo dei criminali. Il secondo fattore via SMS, ancora usato da vari home banking italiani, è il principale bersaglio dell'attacco. Banca d'Italia raccomanda due fattori di autenticazione di categorie diverse proprio per ridurre questo rischio.

Come funziona

1. Raccolta dati. I criminali accumulano nome, codice fiscale, numero di telefono, data di nascita e talvolta copia del documento. Le fonti sono phishing, data breach pubblici o social engineering mirato.
2. Richiesta del duplicato. Contattano l'operatore tramite call center, app o store fisico, a volte con documenti falsificati, e richiedono la portabilità del numero su una nuova SIM.
3. Disattivazione della SIM originale. Quando il duplicato viene attivato, il tuo telefono smette di collegarsi alla rete.
4. Reset delle credenziali. Avviano le procedure "password dimenticata" su email e home banking. Il codice di verifica arriva al loro dispositivo.
5. Svuotamento del conto. Autorizzano bonifici istantanei o pagamenti con carta, spesso verso conti esteri o wallet crypto.

Esempio di phishing che precede un SIM swap

Le campagne di phishing usate per raccogliere i dati prima del SIM swap imitano quasi sempre l'operatore telefonico o la banca. Un esempio tipico via SMS:

[Nome operatore]: Gentile cliente, abbiamo rilevato un accesso anomalo al tuo account. Per evitare la sospensione della SIM verifica i tuoi dati entro 24 ore: [link sospetto]

E una variante via email, più articolata:

Oggetto: Aggiornamento obbligatorio dei dati contrattuali

Gentile cliente, in ottemperanza alla normativa europea sulla protezione dati, la invitiamo ad aggiornare i dati del contratto entro [data]. Il mancato aggiornamento comporterà la sospensione automatica del servizio. Clicca qui per procedere: [link]

Entrambi gli schemi puntano a raccogliere documento d'identità, codice fiscale e data di nascita — tutto ciò che serve al truffatore per presentarsi all'operatore e richiedere il duplicato della SIM. Nessun operatore italiano chiede mai questi dati tramite link in un SMS o un'email.

Perché il SIM swap è così pericoloso

A differenza di un phishing classico, dove la vittima deve cliccare un link e inserire credenziali, il SIM swap bypassa molti controlli senza alcuna interazione consapevole. Il numero di telefono è da anni la chiave di recupero di quasi tutti gli account online: email, social, home banking, exchange crypto.

Chi controlla il numero controlla anche gli OTP, le notifiche di sicurezza e spesso le funzioni "dimentica password". I truffatori agiscono in genere entro poche ore dall'attivazione del duplicato. Per questo la reazione deve essere immediata.

Come capire se sei vittima di SIM swap

• Perdita improvvisa del segnale mobile senza motivo tecnico e altri telefoni nella stessa stanza funzionano.
• Messaggio "SIM non registrata" o "nessun servizio" che persiste dopo il riavvio.
• SMS dell'operatore che conferma una richiesta di duplicato o portabilità che non hai fatto.
• Notifiche di accesso a email, social o home banking da dispositivi sconosciuti.
• Tentativi di phishing mirato nei giorni precedenti a nome dell'operatore o della banca.
• Richieste sospette di dati personali ricevute al telefono da sedicenti operatori.

Cosa fare subito

• Contatta l'operatore da un altro telefono per sospendere il duplicato e ripristinare la SIM originale.
• Chiama la banca sul numero ufficiale del sito o del retro della carta, blocca home banking e carte e chiedi il monitoraggio dei movimenti recenti.
• Cambia le password partendo dall'email principale, che è la chiave di recupero di tutti gli altri account.
• Sostituisci l'SMS come secondo fattore con app di autenticazione o chiavi hardware dove possibile.
• Denuncia alla Polizia Postale tramite commissariatodips.it allegando SMS dell'operatore, estratti conto e log di accesso.
• Segnala all'operatore per iscritto via PEC o raccomandata: serve per eventuali rimborsi e per la catena di responsabilità.

Cosa chiedere al tuo operatore per proteggerti

Non tutti gli operatori italiani offrono le stesse protezioni contro il SIM swap. Al tuo gestore puoi chiedere:

• PIN o parola chiave da fornire per ogni richiesta di duplicato o portabilità.
• Blocco delle richieste di portabilità online, con obbligo di presenza fisica in store con documento.
• Notifica SMS preventiva di ogni modifica al contratto o richiesta di duplicato.
• Disattivazione del reset SIM via call center, limitandolo al canale presidiato.
• Conferma che i tuoi dati non siano stati oggetto di data breach dichiarati dall'operatore negli ultimi 12 mesi.

Se il tuo operatore non offre nessuna di queste opzioni, valuta se il livello di protezione è adeguato alla quantità di servizi critici legati al tuo numero.

Come prevenire il SIM swap

• Attiva il PIN sulla SIM e un eventuale blocco del duplicato presso l'operatore.
• Riduci l'esposizione del numero online: evita di pubblicarlo su social, forum o annunci pubblici.
• Usa app di autenticazione come Google Authenticator, Authy o l'app della banca al posto degli SMS.
• Attiva le notifiche push dell'home banking per essere avvisato in tempo reale di accessi e operazioni.
• Non cliccare link in SMS o email che fingono di essere l'operatore o la banca: il SIM swap è quasi sempre preparato con phishing.
• Controlla periodicamente gli accessi recenti ai tuoi account principali.

Per approfondire le tecniche di phishing bancario che spesso precedono un SIM swap, leggi la guida al phishing bancario in Italia. Se ricevi chiamate sospette a nome della banca, utile anche il focus su spoofing telefonico e numeri clonati. Una panoramica dei principali rischi contro i conti correnti la trovi nella hub dedicata alle truffe bancarie.

Domande frequenti

Quanto tempo hanno i truffatori per svuotare il conto dopo un SIM swap? I truffatori agiscono in genere entro poche ore dall'attivazione del duplicato. Per questo è cruciale reagire appena il telefono perde il segnale senza ragione apparente.

La banca mi rimborsa se sono vittima di SIM swap? Dipende dal caso. Le normative europee sui pagamenti prevedono rimborsi in caso di operazioni non autorizzate, ma la banca può contestare il rimborso se ritiene che ci sia stata colpa grave del cliente. Una denuncia tempestiva e la segnalazione scritta all'operatore rafforzano la tua posizione.

Basta usare un'app di autenticazione per essere al sicuro? L'app di autenticazione riduce molto il rischio ma non lo azzera. I truffatori possono comunque usare il controllo del numero per resettare l'email, che spesso è il punto di ripristino anche delle app di autenticazione. La difesa deve essere stratificata.

Se cambio operatore, il nuovo gestore eredita il rischio? Sì. La portabilità del numero trasferisce il rischio sul nuovo operatore. Quando porti il numero, approfitta del passaggio per chiedere al nuovo gestore quali protezioni anti-SIM swap offre.

Quando usare controllatruffa.it

Se hai ricevuto SMS, email o chiamate sospette a nome del tuo operatore o della banca, puoi verificarle con il tool di analisi di controllatruffa.it prima di cliccare qualunque link. Incolla il messaggio o carica uno screenshot nel modulo di analisi e ottieni una valutazione dei segnali tecnici ricorrenti nei phishing preparatori di SIM swap.