Lexipedia

21.4649 · Interpellanza · 2021-12-17

Dipartimento delle Finanze

Liquidato

Wortlaut

Il SIM swapping, o lo scambio di schede SIM, è un metodo di hackeraggio in espansione dall'introduzione generalizzata dell'autenticazione a due fattori.

Il suo funzionamento e le sue conseguenze sono un rompicapo per la protezione dei dati perché l'aggressione consente di ottenere il numero di telefono della vittima, che viene spesso utilizzato come secondo fattore di autenticazione.

Il codice ottenuto consente successivamente di accedere a qualsiasi genere di conto online: bancario, professionale, istituzionale o addirittura infrastrutturale nel caso in cui l'attacco sia sferrato contro il gestore di un'infrastruttura.

Siccome queste soluzioni di autenticazione a due fattori sono le stesse per tutta la popolazione, ne siamo tutti interessati sia a livello privato che a livello professionale o politico.

Invito quindi il Consiglio federale a rispondere alle seguenti domande:

1. quali sono le misure adottate dall'Amministrazione federale per proteggere i suoi collaboratori da un attacco di SIM swapping?

2. L'UFCOM ha già documentato questa problematica e formulato raccomandazioni al riguardo?

3. Per proteggere tutta la popolazione, i Comuni, i Cantoni e la Confederazione, quali misure potrebbero essere adottate per impedire questo tipo di attacchi?

Stellungnahme des Bundesrates

Il ricorso all'autenticazione a due fattori è una misura fondamentale per la cibersicurezza e la protezione dei dati. Questo metodo d'identificazione previene un numero molto elevato di ciberattacchi perché, per raggiungere i loro scopi, gli aggressori devono riuscire a penetrare in due sistemi di sicurezza diversi. È vero però che i metodi di autenticazione basati sull'invio di codici a un numero di telefono possono essere raggirati. Oltre al SIM swapping menzionato dall'autore dell'interpellanza, vengono sfruttate le vulnerabilità presenti nei protocolli di trasmissione e segnalazione (SS7). L'autenticazione mediante token SMS è perciò più sicura di un'autenticazione a un solo fattore (password), ma non abbastanza per soddisfare esigenze di protezione elevate.

Per questo motivo, per l'autenticazione a due fattori sono state approntate alternative più sicure. Le smartcard e le chiavette USB sicure ("cryptostick") permettono ad esempio un'identificazione sicura e la crittografia della comunicazione. Anche i dispositivi che generano una password usa e getta sono una realtà consolidata ormai da molti anni. Nel processo di autenticazione a due fattori si stanno affermando software in grado di generare una password usa e getta e applicazioni come Mobile ID, che sono integrate direttamente nelle schede SIM.

In merito alle domande poste, il Consiglio federale prende posizione come segue:

1) Nell'Amministrazione federale, i requisiti in materia di autenticazione sono regolamentati nelle direttive concernenti la protezione di base. Le persone possono accedere ai sistemi di postazione di lavoro e ai sistemi server dell'Amministrazione federale unicamente mediante un'autenticazione a due fattori i cui mezzi di identificazione presentano il livello di sicurezza "elevato". Sono pertanto escluse le soluzioni basate sull'invio di codici a numeri di telefono.

2) Il Centro nazionale per la cibersicurezza raccomanda l'utilizzo generalizzato dell'autenticazione a due fattori mediante i metodi di identificazione sicuri sopraindicati. Questa misura figura ad esempio nel documento "Telelavoro - Accesso remoto più sicuro".

3) Esistono soluzioni sicure in alternativa all'autenticazione a due fattori mediante SMS. Queste ultime possono già essere utilizzate. Si tratta di mezzi di identificazione che consentono di rendere sicuro il processo di identificazione a due fattori eliminando il rischio di SIM swapping.

Risposta del Consiglio federale.