Attacco SIM-swap. La truffa che svuota il conto corrente

L’attacco SIM-swap negli ultimi mesi ha registrato una impennata. Questa frode consiste nello duplicazione della scheda telefonica SIM.

Come riconoscere attacco sim swap

La SIM-swap è un particolare furto d’identità finalizzato a realizzare operazioni bancarie, in particolare bonifici, con le credenziali della vittima.

La particolarità di questa truffa è il suo manifestarsi con un problema della linea telefonica, causato dalla duplicazione, all'insaputa del malcapitato, del numero di telefono cellulare utilizzato per ricevere informazioni e trasmettere disposizioni alla propria banca.

All’origine c’è un attacco informatico come phishing, malware, accesso abusivo a un profilo social, il download di una app malevola. Che permette al truffatore di ottenere dati personali, presentarsi presso un negozio di telefonica con documento e denuncia di smarrimento falsi.

Con la duplicazione della SIM della vittima, il truffatore può così accedere all’online banking della vittima, utilizzare il numero di telefono per autorizzare l’accesso al conto bancario e ricevere i codici per autorizzare le transazioni. Il rischio è vedersi svuotare del tutto il conto corrente bancario.

Come accorgersi di essere vittima di una frode SIM-swap?

È molto difficile capire di essere vittima di un attacco SIM-swap e a volte lo si scopre solo a distanza di tempo, vedendo sul proprio conto bonifici o pagamenti con carta prepagata mai effettuati e mai autorizzati. Quando non si riesce più a telefonare e usare il proprio cellulare, ricevendo addirittura finti messaggi di rassicurazione da parte della compagnia telefonica che segnala disguidi tecnici in corso di risoluzione.

3 modi per riconoscere un attacco SIM-swap

Ecco i segnali più comuni a cui fare attenzione:

  • Il telefono cellulare smette di funzionare, perde inaspettatamente il segnale e non è più possibile effettuare chiamate e inviare/ricevere SMS; 
  • In alcuni casi, un presunto operatore telefonico potrebbe chiamare o inviare un SMS segnalando problemi di linea sullo smartphone, in corso di risoluzione;
  • Si potrebbero ricevere diverse telefonate fastidiose, per far sì che il cellulare venga spento (non spegnetelo!).

Cosa fare in caso di sospetto attacco SIM-swap

  • Verificare appena possibile il conto bancario;
  • Contattare tempestivamente il servizio clienti della banca per bloccare temporaneamente l’operatività del proprio conto;
  • Contattare il proprio operatore telefonico per segnalare la truffa e bloccare lo scambio della SIM;
  • Segnalare il caso alla Polizia Postale e delle Comunicazioni.

Meglio prevenire

Difendersi dalla sofisticata frode SIM-swap significa, a monte, proteggersi dal furto di dati personali evitando qualsiasi azione potenzialmente rischiosa sia online che offline. Come suggerito dall’Interpol:

  • Assicurarsi che il software dei propri dispositivi elettronici sia sempre aggiornato - browser, anti-virus e sistema operativo compresi;
  • Vigilanza e cautela sui social media: limitare le informazioni condivise;
  • Non aprire mai link o allegati ricevuti via e-mail o SMS senza previa verifica;
  • Non rispondere mai a e-mail sospette;
  • Vigilanza e cautela al telefono: non fornire mai dati personali o informazioni sensibili;
  • Aggiornare regolarmente le proprie password;
  • Acquistare online esclusivamente da siti affidabili, verificandone anche le recensioni dei clienti;
  • Prudenza nello scaricare delle app: assicurarsi che siano versioni ufficiali e leggere attentamente i permessi richiesti;
  • Ove possibile, evitare di associare il proprio numero di telefono ad account online “sensibili”;
  • Creare un PIN di accesso alla propria SIM e non condividerlo con nessuno;
  • Verificare spesso il proprio conto bancario.

La sicurezza già presente nelle nostre banche

È bene ricordare che l’online banking e i pagamenti basati sull’online banking presentano livelli di sicurezza elevatissimi. Da quest’anno la sicurezza della transazione viene ulteriormente potenziata dall’obbligo di implementare l’autenticazione forte SCA (Strong Customer Authentication) che richiede almeno due di tre requisiti: informazioni note soltanto al cliente (come un PIN); un oggetto posseduto solo dal cliente (come un telefono cellulare); caratteristiche possedute dal cliente (come le impronte digitali).

 

La Rivista

Gennaio/Febbraio 2026

BRAND STORYTELLING

Il "racconto" della banca riparte dal cliente. 

Tutti gli altri numeri
AziendaBanca 309 gennaio/febbraio 2026
AziendaBanca 308 dicembre 2025
AziendaBanca 307 novembre 2025
Atlas of Fintech 2026
topVendors 2026: guida al software e hardware bancario