Overview
Quando si parla di sicurezza delle SIM, il dibattito è spesso superficiale. Chi dice 'l'eSIM è più sicura', chi dice 'la SIM fisica è più controllabile'. La realtà è più sfumata: le due tecnologie hanno profili di rischio diversi. Questo confronto analizza gli scenari di attacco concreti per entrambe.
Vulnerabilità della SIM fisica
Gli attacchi principali alla SIM fisica: Clonazione SIM — con attrezzatura specializzata (<500€) è possibile copiare il contenuto di molte SIM (dipende dall'algoritmo di autenticazione — le SIM moderne con TUAK sono più resistenti). SIM swap — l'attacco più comune e pericoloso: social engineering sull'operatore per trasferire il numero su una SIM controllata dall'attaccante. Skimming fisico — qualcuno accede fisicamente al tuo dispositivo, rimuove la SIM e la usa. Intercettazione SS7 — attacchi alla rete di segnalazione che consentono di intercettare SMS su qualsiasi SIM.
Vulnerabilità dell'eSIM
Gli attacchi specifici all'eSIM: Compromissione SM-DP+ — se il server di provisioning è compromesso, profili fasulli possono essere installati (raro, richiede attacco sofisticato). SIM swap digitale — analogo al SIM swap fisico ma eseguito via portali online degli operatori; spesso richiede meno social engineering. Vulnerabilità firmware eUICC — bug nel firmware del chip (rarissimi, richiedono aggiornamenti). Intercettazione provisioning — se il processo di download del profilo non usa TLS correttamente (tutti i provider seri lo usano). Il SIM swap resta il rischio principale per entrambe le tecnologie.
Confronto per scenario di rischio
Furto fisico del dispositivo: eSIM vince — il profilo non è rimovibile fisicamente. Clonazione SIM: eSIM vince — il Secure Element è molto più difficile da clonare. SIM swap: pari — entrambe vulnerabili, dipende dalle misure dell'operatore. Sorveglianza di stato: pari — entrambe visibili alla rete cellulare. Accesso fisico limitato (no negozio fisico): eSIM perde — tutto avviene online, più difficile recuperare l'accesso in alcune emergenze. Backup e recovery: SIM fisica vince — più semplice da gestire senza infrastruttura digitale.
Raccomandazioni pratiche
Indipendentemente dalla tecnologia SIM usata: non usare SMS come 2FA per account importanti (banca, email, social); abilita il PIN SIM su entrambe le tecnologie; registra con l'operatore un numero di sicurezza diverso per verificare i trasferimenti; usa un password manager e autenticazione forte per tutti gli account. Per i più paranoici: considera un secondo telefono solo per la 2FA bancaria, tienilo a casa, non portarlo in viaggio.
