Telefonia Mobile, come cambiano le procedure di portabilità per evitare il SIM Swap
Gli operatori di telefonia mobile italiani dovranno presto adottare delle nuove misure di sicurezza durante il processo di portabilità del numero, ma in particolare in caso di sostituzione della SIM, grazie alle nuove norme approvate dall’AGCOM per prevenire le truffe del tipo SIM Swap.
L’Autorità per le Garanzie nelle Comunicazioni aveva già annunciato lo scorso 8 Luglio 2021, con un comunicato stampa, l’approvazione da parte della Commissione Infrastrutture e Reti della delibera che introduce meccanismi di prevenzione e di contrasto a eventuali tentativi di truffa a danno degli utenti finali di telefonia mobile.
La pubblicazione sul sito dell’AGCOM della delibera 86/21/CIR, denominata “Modifiche e integrazioni della procedura di portabilità del numero mobile, di cui alla delibera n. 147/11/CIR, e connesse misure finalizzate ad aumentare la sicurezza nei casi di sostituzione della SIM (SIM swap)”, è invece avvenuta solo il 27 Luglio 2021 (ecco il documento completo).
La delibera in questione, oltre ad introdurre dei nuovi meccanismi di prevenzione delle truffe con la sostituzione della SIM, modifica anche la delibera 147/11/CIR, dove sono contenute le attuali norme che regolano la portabilità del numero mobile (MNP).
Le modifiche al processo di portabilità riguardano sia la previsione di meccanismi che puntano al rafforzamento dei controlli effettuati nel corso della procedura, che l’introduzione di notifiche che garantiscono l’aggiornamento sullo svolgimento di eventuali attività di sostituzione della SIM (cosiddetto SIM Swap).
In questo modo, il cliente sarà in grado di confermare o meno la prosecuzione dell’iter di sostituzione (o di portabilità) della scheda.
La consultazione pubblica sull’aumento dei casi di SIM Swap
L’Autorità ha ritenuto di dover adottare delle nuove regole anche perché ha registrato un aumento definito “preoccupante” di segnalazioni di casi di sostituzione SIM, per passaggio ad altro operatore o per presunto furto o deterioramento, all’insaputa del cliente titolare della SIM.
L’adozione di queste nuove norme sulla portabilità del numero mobile sono frutto della consultazione pubblica avviata a Novembre 2020 con la delibera 334/20/CIR, i cui termini erano stati poi prorogati visti gli spunti emersi.
I risultati di questa consultazione sono stati allegati alla nuova delibera (ecco il documento completo), e ne costituisce parte integrante.
Alla consultazione hanno partecipato 9 fornitori di servizi di comunicazione elettronica: Coop Italia Società Cooperativa (CoopVoce), Fastweb S.p.A., Iliad Italia S.p.A., Kaleyra S.p.A., Postepay S.p.A. (PosteMobile), Telecom Italia S.p.A. (TIM), Vodafone Italia S.p.A., Welcome Italia S.p.A., Wind Tre S.p.A.. Fra queste, hanno richiesto un’audizione individuale Iliad, WINDTRE e Kaleyra S.p.A.
Hanno risposto anche tre associazioni dei consumatori, ossia il Codacons, Federconsumatori e Osservatorio Imprese e Consumatori (OIC).
Per conoscere tutte le novità degli operatori di telefonia, è possibile unirsi gratuitamente al canale Telegram di MondoMobileWeb e rimanere sempre aggiornati sul mondo della telefonia mobile.
Chi potrà richiedere la sostituzione della SIM secondo le nuove norme AGCOM
In dettaglio, con l’Articolo 1 della delibera AGCOM 86/21/CIR da poco pubblicata interamente viene stabilito il soggetto che può richiedere il cambio SIM.
In particolare, l’Autorità ha stabilità che la richiesta di cambio della SIM, inclusi i casi di richiesta di Mobile Number Portability (MNP), di furto o smarrimento, o altre fattispecie di modifica virtuale (eSIM), può essere effettuata esclusivamente dal titolare della SIM.
Inoltre, con il comma 2 viene specificato che in caso di furto, smarrimento o malfunzionamento, la richiesta della nuova SIM può essere effettuata solo con il proprio attuale operatore. Inoltre, nei casi appena citati, la richiesta di MNP può essere effettuata solo dopo aver sostituito la SIM e, pertanto, disponendo di una SIM funzionante.
In questo modo non si potrà più richiedere la portabilità della SIM verso altro operatore se la SIM non funziona o non la si ha con sé, ma bisognerà prima richiedere al proprio operatore la sostituzione della SIM.
AGCOM ha poi stabilito che l’utilizzo di deleghe al cambio della SIM è consentito solo nel caso delle SIM aziendali limitatamente ai casi che saranno declinati nell’ambito del Tavolo tecnico sulla MNP. Inoltre, gli operatori dovranno gestire il cambio del titolare del contratto utilizzando sistemi di sicurezza analoghi a quelli adottati con la nuova delibera.
Obbligo di identificazione per chi richiede il cambio della SIM
Con l’Articolo 2 della delibera di AGCOM vengono stabilite le procedure che gli operatori di telefonia mobile dovranno effettuare per l’identificazione del soggetto richiedente il cambio della SIM.
Secondo quanto stabilito dall’Autorità, in caso di sostituzione della SIM, incluso il caso in cui ciò avvenga a seguito della richiesta di MNP da parte del cliente, sia nel caso in cui la richiesta avvenga presso un punto vendita o per via telematica, l’operatore di telefonia mobile è tenuto ad identificare il soggetto che richiede la sostituzione della SIM attuando le relative vigenti norme.
Nel caso delle eSIM, gli operatori dovranno effettuare l’identificazione prima del caricamento del profilo da remoto o della sua attivazione in rete.
Per questo motivo, il comma 2 stabilisce che l’operatore di telefonia mobile dovrà acquisire dal titolare della SIM la fotocopia “chiara e leggibile” del documento d’identità del soggetto richiedente e di un documento attestante il Codice Fiscale, e una fotocopia della vecchia SIM, oppure, nel caso di furto o smarrimento della SIM, della relativa denuncia.
Introdotta la validazione per sostituzione e MNP, come funziona
Una delle novità più importanti della delibera 86/21/CIR è contenuta nell’Articolo 3, con cui viene introdotto un sistema di validazione se viene richiesta la sostituzione della SIM mentre lo stesso viene reso obbligatorio in caso di portabilità, tramite una modifica alla delibera 147/11/CIR.
Per quanto riguarda la validazione nei casi di sostituzione della SIM, ma anche in caso di MNP come stabilito dal successivo comma 3, gli operatori di telefonia mobile dovranno effettuare sempre una validazione della richiesta per verificare, tra l’altro, che la SIM sia attiva.
Per questo motivo, l’operatore dovrà inviare un messaggio SMS per informare il cliente che è stata richiesta la sostituzione della SIM, e dunque chiedere conferma per proseguire con le ulteriori procedure necessarie per esaudire la richiesta. In alternativa, l’operatore potrà acquisire la volontà del cliente chiamandolo e registrando la chiamata.
Nel comma 2 dell’Articolo 3 viene specificato che dopo aver inviato l’SMS e in assenza della conferma prevista, il processo di sostituzione può proseguire esclusivamente nei seguenti casi: sostituzione per SIM smarrita o rubata (qualora sia stata acquisita ed effettuata copia leggibile della denuncia all’Autorità competente) e nel caso di sostituzione per SIM guasta, qualora sia stata acquisita la vecchia SIM.
SMS dal nuovo operatore per confermare la portabilità
Con il comma 3 dell’Articolo 3 l’AGCOM ha inoltre stabilito che il processo di validazione diventa obbligatorio e non più facoltativo anche in caso di portabilità del numero verso altro operatore. In questo caso, dovrà essere l’operatore di destinazione (recipient) ad occuparsi di verificare i dati.
Per fare ciò è stato dunque modificato il comma 1 dell’articolo 6 della delibera 147/11/CIR, che diventa come segue:
(Validazione parziale effettuata da parte del recipient)
1. L’operatore recipient effettua una validazione parziale preventivamente all’invio della richiesta di portabilità, verificando, tra l’altro, che la SIM sia effettivamente attiva.
Per conseguire tale finalità, il recipient invia un SMS al MSISDN principale oggetto di portabilità chiedendo al cliente destinatario di confermare, sempre tramite SMS, la correttezza delle informazioni indispensabili per l’espletamento della portabilità, quali l’identificativo del donating e del recipient nonché del numero principale ed eventuali numeri addizionali da portare. Solo nel caso in cui il cliente confermi via SMS, il recipient, nell’ordine inviato al donating, può indicare che è stata effettuata la validazione parziale e conseguentemente omettere i dati relativi al numero seriale della carta SIM del donating.
In alternativa l’operatore recipient ai fini della validazione parziale preventivamente all’invio della richiesta di portabilità, può acquisire la volontà del cliente chiamandolo e registrando la chiamata.
I fornitori di servizi mobili, in funzione del canale di distribuzione utilizzato, adottano le migliori prassi per garantire la sicurezza.
L’operatore recipient inoltra la richiesta nel più breve tempo possibile, mantiene traccia dello scambio degli SMS e della chiamata registrata ed è responsabile nell’eventualità di portabilità del numero non richiesta.
Così facendo, l’operatore verso cui si sta portando il proprio numero telefonico (recipient) sarà obbligato, prima dell’invio della richiesta di MNP, ad inviare un SMS al numero oggetto di portabilità per verificare che la SIM sia attiva e che i dati inseriti siano corretti.
A questo punto il cliente dovrà confermare via SMS al nuovo operatore la correttezza dei dati, e in caso positivo il recipient potrà indicare all’operatore di provenienza che è stata effettuata una validazione parziale, omettendo nella comunicazione il seriale della SIM.
In alternativa, l’operatore recipient potrà acquisire la volontà del cliente di proseguire con la portabilità anche tramite una chiamata, che dovrà essere registrata.
Modalità di interruzione della sostituzione o portabilità indesiderata della SIM
Al comma 4 dell’Articolo 3 della delibera pubblicata in queste ore viene inoltre stabilito che gli operatori dovranno prevedere “una procedura semplice e di immediato utilizzo per l’utente“ per consentire di interrompere il processo indesiderato di sostituzione della SIM, attivabile dal cliente laddove non vi sia stato un lecito consenso esplicito in fase di validazione parziale.
In particolare, gli operatori interrompono il processo di sostituzione della SIM indesiderato quando il cliente risponde negativamente al messaggio ricevuto, ovvero richiede l’interruzione del processo inviando un SMS ad un numero prestabilito uguale per tutti i fornitori di servizi mobili con codice “40”, in alternativa chiamando il servizio clienti o accedendo ad un’area riservata sul sito web.
Le indicazioni sulle modalità disponibili per interrompere la procedura dovranno essere rese note al cliente tramite SMS o email e “facilmente reperibili all’interno dei siti dei fornitori di servizi mobili”.
Nel caso di portabilità, invece, il messaggio di blocco determina una sospensione della procedura e, effettuate le verifiche, l’annullamento della MNP esclusivamente qualora non sia stato il cliente ad effettuare la richiesta di MNP.
Per attuare quanto descritto finora dalla delibera 86/21/CIR, con l’Articolo 4 sono state effettuate altre modifiche ai testi della delibera 147/11/CIR, in particolare all’Articolo 5 sul modello d’interazione, rimuovendo i riferimenti e le frasi non più valide con le nuove norme di sicurezza.
Obbligo di informare il cliente nelle fasi della portabilità
Altra importante novità sui processi di portabilità di un numero mobile è stata introdotta con l’Articolo 5 della delibera 86/21/CIR, che stabilisce dei nuovi obblighi informativi nei confronti degli utenti durante il processo di MNP.
Infatti, in aggiunta a quanto previsto dall’Articolo 3 della nuova delibera, in caso di portabilità l’operatore di telefonia mobile dovrà informare il cliente, nelle modalità ritenute più idonee e “in modo puntuale e completo” non appena vengono completati i seguenti passaggi: viene registrata nei sistemi del recipient la richiesta di portabilità; viene ricevuta da parte del recipient la risposta positiva o negativa alla richiesta di portabilità; avviene il passaggio del numero; viene accreditato il credito residuo sulla nuova SIM.
Le informazioni dovranno essere fornite tramite SMS o tramite una chiamata, anche automatica preregistrata, dall’operatore di telefonia mobile. In caso di insuccesso della chiamata, l’informazione dovrà essere trasmessa dall’operatore con SMS con conferma di ricezione.
Modalità di informazione per le SIM M2M e IoT
L’Articolo 6 della delibera dell’AGCOM stabilisce anche le modalità per informare il cliente che possiede una SIM per servizi M2M o IoT di eventuali sostituzioni della scheda telefonica o portabilità.
Infatti, in caso di SIM utilizzate per servizi M2M o IoT, l’operatore dovrà ottenere dal cliente un numero alternativo su cui inviare le comunicazioni di validazione, e questa numerazione dovrà essere riportata nel contratto.
Per questo motivo, l’operatore dovrà informare il cliente che le SIM per servizi interpersonali, per le quali non è prevista la fornitura di una numerazione alternativa in modo obbligatorio, non vanno utilizzate per servizi M2M o IoT.
L’AGCOM ha stabilito che eventuali variazioni dei contatti di riferimento dovranno essere effettuate tramite chiamate registrate o scambio di SMS con il cliente.
Entro quando dovranno essere attuate le nuove norme
Con l’Articolo 7 della delibera in questione, l’Autorità ha stabilità che le modifiche introdotte e appena raccontate dovranno essere attuate entro 12 mesi dalla pubblicazione della delibera 86/21/CIR. Si ricorda comunque che ci sono sempre 60 giorni di tempo per impugnare il provvedimento davanti al TAR del Lazio.
L’Autorità si riserva inoltre di convocare il Tavolo tecnico sulla MNP per agevolare il mercato nella implementazione dei processi, compresi quelli a questi connessi, quale la gestione delle sostituzioni non desiderate delle SIM, compresi i casi di MNP, e la gestione del processo di ripristino del servizio in tali casi.
L’AGCOM istituisce anche un Comitato tecnico sulla sicurezza delle comunicazioni elettroniche coordinato dalla competente Direzione dell’Autorità, che “tratta e condivide con gli operatori tutti gli aspetti e le problematiche attinenti alla sicurezza delle comunicazioni al fine di prevenire comportamenti dolosi a danno degli utenti finali”.
Al Comitato tecnico possono partecipare, con un proprio rappresentante, anche il Nucleo Speciale per la Radiodiffusione e l’Editoria della Guardia di Finanza e la Sezione di Polizia Postale e delle Comunicazioni che collaborano con l’Autorità. Le attività del Comitato Tecnico Antifrode di cui alla delibera 418/07/CONS confluiscono nel Comitato tecnico sulla sicurezza delle comunicazioni.
Infine, con l’Articolo 8 della delibera AGCOM viene stabilito che il mancato rispetto delle disposizioni adottate con il nuovo provvedimento comporterà l’applicazione delle sanzioni previste dalla normativa vigente.
Unisciti al canale Telegram dedicato agli appassionati di telefonia e a chi vuole scoprire le migliori offerte per risparmiare. Clicca qui per entrare tramite il link di invito.
Per rimanere aggiornato sulle novità della telefonia seguici su Google News cliccando sulla stella, Telegram, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.