Che cos'è un attacco SIM swap?

Un SIM swap (o dirottamento della SIM) avviene quando un aggressore convince il tuo operatore mobile a trasferire il tuo numero di telefono su una SIM che controlla. Lo fa con l'ingegneria sociale — fingendosi te con dati personali rubati — oppure, a volte, tramite un complice corrotto all'interno. Una volta che il tuo numero è sulla sua SIM, il tuo telefono perde il segnale e ogni SMS, compresi i codici 2FA monouso, arriva sul dispositivo dell'aggressore. A quel punto reimposta le password e si impossessa di account email, bancari e crypto che si basano sulla verifica via SMS.

Quali sono i segnali d'allarme di un SIM swap?

Il segnale più chiaro è una perdita improvvisa e inspiegabile del segnale cellulare — niente chiamate, messaggi o dati mobili mentre chi ti sta vicino non ha problemi. Potresti anche ricevere una notifica dall'operatore su un cambio SIM o una portabilità che non hai richiesto, oppure ritrovarti disconnesso inaspettatamente dagli account. Se il telefono va in tilt e resta inattivo, trattalo subito come un possibile SIM swap: contatta il tuo operatore da un altro telefono e metti in sicurezza i tuoi account più sensibili.

Un SIM swap sconfigge l'autenticazione a due fattori?

Solo la 2FA basata su SMS. È la lezione fondamentale: i codici inviati via SMS seguono il tuo numero di telefono, quindi una volta che il numero è dirottato i codici vanno all'aggressore. I metodi a due fattori che NON sono legati al tuo numero di telefono sono immuni — un'app di autenticazione (TOTP) genera i codici sul dispositivo stesso, una chiave di sicurezza hardware (FIDO2) richiede la chiave fisica e le passkey sono vincolate al tuo dispositivo. Spostare gli account di alto valore via dalla 2FA via SMS è la singola difesa più efficace.

Come mi proteggo da un attacco SIM swap?

Quattro livelli. (1) Aggiungi un PIN / blocco della portabilità / 'Number Lock' al tuo account mobile, in modo che il numero non possa essere trasferito senza di esso. (2) Sostituisci la 2FA via SMS con un'app di autenticazione, una chiave di sicurezza hardware o passkey su email, banca e crypto. (3) Rimuovi, dove possibile, il tuo numero di telefono come metodo di recupero sugli account critici. (4) Riduci i dati personali esposti nelle violazioni e sui social media, dato che gli aggressori li usano per fingersi te di fronte all'operatore.

Cosa devo fare se sto subendo un SIM swap proprio ora?

Agisci in pochi minuti. Chiama il tuo operatore da un altro telefono per mettere di nuovo in sicurezza il numero e annullare lo swap. Poi, da un dispositivo affidabile, cambia le password e revoca le sessioni partendo dalla tua email (è la chiave principale), poi banca, crypto e account social, disattivando per ciascuno la 2FA via SMS. Contatta la tua banca per segnalare la frode. Presenta una denuncia all'autorità competente. La velocità conta: la finestra dell'aggressore è il tempo che intercorre tra lo swap e la tua riconquista del controllo.

Attacco SIM swap: come funziona e come fermarlo (2026)

Il tuo numero di telefono non è mai stato concepito come una chiave di sicurezza — ma per anni i codici monouso via SMS lo hanno trasformato in una. Un attacco SIM swap sfrutta esattamente questo: dirottando il tuo numero, un aggressore riceve i tuoi codici 2FA via SMS ed entra direttamente nei tuoi account. Questa guida spiega come funziona l'attacco, i segnali d'allarme e le difese concrete che davvero lo fermano nel 2026.

Come funziona un attacco SIM swap

Il meccanismo è l'ingegneria sociale, non l'hacking del tuo telefono:

L'aggressore raccoglie i tuoi dati personali (da violazioni, phishing o dai tuoi social media pubblici).
Contatta il tuo operatore mobile, si finge te e chiede che il tuo numero venga spostato su una nuova SIM (una "portabilità" o sostituzione della SIM) — a volte con l'aiuto di un dipendente del negozio corrotto.
Il tuo telefono perde il segnale; il numero ora vive sulla SIM dell'aggressore.
Ogni SMS — compresi i codici 2FA monouso — arriva ora sul suo dispositivo. Avvia i reset delle password e si impossessa prima dell'email, poi degli account bancari, crypto e social.

La debolezza di fondo è che i codici SMS seguono il numero di telefono, non te.

Un laptop aperto su una scrivania di legno

Segnali d'allarme

Perdita improvvisa del segnale cellulare (niente chiamate/messaggi/dati) mentre chi ti circonda non ha problemi.
Un avviso dell'operatore su un cambio SIM o una portabilità che non hai richiesto.
Essere disconnesso dagli account inaspettatamente, oppure email di reset password che non hai avviato.

Se il telefono va in tilt e resta inattivo, presumi un possibile SIM swap e agisci immediatamente.

Le difese che funzionano davvero

1. Blocca il numero presso l'operatore. Aggiungi un PIN / blocco della portabilità / Number Lock affinché il tuo numero non possa essere trasferito senza di esso. È l'unico controllo lato operatore che blocca la maggior parte degli swap.

2. Abbandona la 2FA via SMS — è la mossa chiave. Poiché un SIM swap sconfigge solo i codici via SMS, sposta i tuoi account importanti su una 2FA che non sia legata al tuo numero di telefono:

App di autenticazione (TOTP) — codici generati sul dispositivo. Vedi la nostra guida alla migliore app di autenticazione.
Chiave di sicurezza hardware (FIDO2) — a prova di phishing e di swap. Vedi il nostro confronto delle chiavi di sicurezza hardware.
Passkey — vincolate al tuo dispositivo. Vedi la configurazione delle passkey.

3. Rimuovi il numero di telefono come metodo di recupero sugli account critici, dove la piattaforma lo consente.

4. Riduci i tuoi dati esposti — all'aggressore servono dettagli personali per fingersi te. Password robuste e uniche in un manager fanno sì che un SIM swap da solo non basti a propagarsi a cascata tra gli account.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Conserva password robuste e uniche con NordPass →Vault zero-knowledge + autenticatore integrato (TOTP) · Così gli SMS non sono mai la tua unica difesa→

Se stai subendo un SIM swap proprio ora

Chiama il tuo operatore da un altro telefono per mettere di nuovo in sicurezza il numero e annullare lo swap.
Da un dispositivo affidabile, metti in sicurezza prima la tua email (è la chiave principale): cambia la password, revoca le sessioni, disattiva la 2FA via SMS.
Fai lo stesso per gli account bancari, crypto e social, in quest'ordine.
Contatta la tua banca per segnalare la frode e presenta una denuncia all'autorità competente.

La velocità è tutto: la tua finestra di rischio è il divario tra lo swap e la tua riconquista del controllo. Per il manuale completo di gestione dell'incidente, vedi cosa fare quando il tuo account viene violato.

In conclusione

Un SIM swap è potente solo contro la verifica basata su SMS. Blocca il tuo numero presso l'operatore, sposta ogni account importante su un'app di autenticazione, una chiave hardware o le passkey, e conserva password robuste e uniche in un manager. Fai così e dirottare il tuo numero di telefono smette di essere una chiave universale per la tua vita digitale.

Guida editoriale basata su metodi documentati di attacco SIM swap e sulle proprietà documentate dell'autenticazione via SMS, TOTP, FIDO2 e passkey. Indichiamo con chiarezza la specifica debolezza della 2FA via SMS. I link commerciali recano l'attributo rel="sponsored nofollow"; potrebbe applicarsi una commissione di affiliazione senza alcun costo aggiuntivo per te.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Un gestore con 2FA e passkey integrate → NordPassSalva TOTP e passkey · XChaCha20 · piano gratuito→

Attacco SIM swap: come funziona e come fermarlo (2026)

Come funziona un attacco SIM swap

Segnali d'allarme

Le difese che funzionano davvero

Se stai subendo un SIM swap proprio ora

In conclusione

Leggi dopo

Che cos'è la 2FA? L'autenticazione a due fattori spiegata (2026)

App di autenticazione a due fattori: guida completa 2026 (TOTP vs SMS, app migliori)

Guida alla configurazione YubiKey FIDO2 2026 (Windows, Mac, Linux, Web)