Negli Usa è stata smantellata una delle più grandi operazioni di SIM farm mai individuate, un’infrastruttura capace non solo di alimentare frodi e spam su scala industriale, ma anche di minacciare direttamente la stabilità delle reti di comunicazione, fino a trasformarsi in un potenziale rischio per la sicurezza nazionale.

L’indagine del Secret Service ha portato al sequestro, nell’area metropolitana di New York, di oltre 300 SIM server e più di 100.000 schede SIM.

Sim farm: smantellata una delle maggiori operazioni al mondo

Una SIM farm è un’infrastruttura composta da centinaia o migliaia di schede SIM alloggiate in dispositivi dedicati chiamati SIM box o SIM server.

Questi apparati permettono di gestire in maniera centralizzata un grande numero di SIM come se fossero un unico sistema coordinato.

Attraverso software di controllo, gli operatori possono far sì che ogni scheda venga utilizzata per inviare chiamate o messaggi, alternandole in modo da aggirare i limiti imposti dagli operatori di telefonia.

In questo modo è possibile moltiplicare esponenzialmente la capacità di comunicazione partendo da normali SIM prepagate, ottenendo un’infrastruttura capace di muovere volumi di traffico che altrimenti richiederebbero reti e risorse molto più costose e controllate.

Spam, phishing o truffe telefoniche

Questa tecnologia viene spesso sfruttata per scopi illeciti. Le SIM farm consentono, per esempio, di inviare milioni di SMS o chiamate per campagne di spam, phishing o truffe telefoniche, nonché di creare in massa account falsi su piattaforme online, grazie alla possibilità di ricevere i codici di verifica inviati via SMS.

Inoltre, il traffico generato appare come proveniente da utenti legittimi, perché ogni scheda è registrata come una normale utenza presso un operatore.

Questo rende difficile per i sistemi antifrode distinguere tra traffico genuino e attività fraudolenta, permettendo ai criminali di mascherare le proprie operazioni dietro l’identità di ignari abbonati o numerazioni apparentemente legittime.

Trenta milioni di messaggi al minuto: la rete della Sim farm

Secondo i funzionari, la rete era in grado di inviare fino a 30 milioni di messaggi al minuto, una capacità che, oltre a campagne di spam o frodi finanziarie, avrebbe potuto sovraccaricare le celle telefoniche e rendere inaccessibili le comunicazioni di emergenza in un’area densamente popolata.

Una simile possibilità mostra come strumenti criminali possano, oltre una certa soglia, assumere valenza di rischio per la sicurezza nazionale.

Il fenomeno

Le immagini diffuse dalle autorità statunitensi raffigurano rack ordinati e dispositivi numerati, con livelli di professionalità e cura che suggeriscono la presenza di risorse e competenze significative.

Le SIM box rinvenute potevano ospitare centinaia di schede ciascuna, rendendo
possibile il controllo centralizzato di decine di migliaia di SIM. In precedenti casi segnalati da esperti, dispositivi simili sarebbero stati introdotti illegalmente negli Usaattraverso spedizioni camuffate come apparecchiature elettroniche di consumo, sebbene non vi siano indicazioni pubbliche che ciò sia avvenuto in questo caso.

Non si tratta di un fenomeno circoscritto agli Usa. Negli ultimi anni, in Ucraina si sono scoperte SIM farm di dimensioni ancora maggiori, con decine di migliaia di schede – fino a circa 150.000 – collegate a operazioni di disinformazione e propaganda.

In alcuni casi, gli investigatori hanno individuato infrastrutture riconducibili a operatori con legami con la Federazione Russa, impiegate per creare profili falsi e condurre campagne coordinate di influenza.

Questo dimostra come l’uso delle SIM farm non sia limitato alle frodi economiche, ma possa essere funzionale anche a obiettivi geopolitici.

I rischi legati alle Sim farm

Se nel contesto statunitense l’intervento è da attribuirsi al rischio immediato di interruzione dei servizi di comunicazione in occasione di eventi di rilievo internazionale, l’analisi deve estendersi anche ad altri Paesi.

Le reti di telecomunicazioni rappresentano un’infrastruttura critica tanto quanto energia, trasporti o sanità. La possibilità che un’infrastruttura criminale raggiunga dimensioni tali da influire sul funzionamento delle reti mobili di un’intera area urbana non può essere esclusa in altri contesti, inclusi quelli europei.

Il panorama italiano

In un contesto italiano un’operazione SIM farm su larga scala potrebbe produrre innanzitutto congestione localizzata delle celle mobili: l’invio massivo e continuativo di SMS o chiamate verso numerazioni in un’area urbana sovraccaricherebbe le risorse radio e i canali di segnalazione (S1/X2/SS7/DIAMETER a seconda dell’architettura), causando ritardi nelle chiamate, messaggi non recapitati e degradazione generale della qualità di servizio per gli utenti legittimi.

Questo degrado sarebbe particolarmente critico durante fasce orarie ad alta densità di traffico o in corrispondenza di eventi pubblici, quando la domanda è già elevata e le risorse di rete sono più tese.

Le Sim farm impattano sulle chiamate d’emergenza

L’impatto operativo sugli apparati di emergenza può essere rilevante. Servizi come il 112/118/115 si basano su canali mobili sia per le chiamate in entrata sia per le comunicazioni di coordinamento sul territorio.

Se una porzione significativa del piano di controllo radio risulta occupata da traffico generato artificialmente, le chiamate di emergenza possono subire ritardi nella connessione o nella localizzazione, peggiorando i tempi di intervento e aumentando il rischio per la sicurezza pubblica.

Inoltre, la presenza di numerazioni “pulite” (SIM regolarmente registrate) che generano traffico malevolo complica l’identificazione rapida degli attori, rallentando le attività investigative e la mitigazione.

Come mitigare i rischi

Le recenti evoluzioni normative europee, come la direttiva NIS2 e il Cyber Resilience Act, puntano a rafforzare i requisiti di sicurezza e la gestione dei rischi lungo l’intera catena di fornitura digitale.

Tuttavia, episodi come quello di New York mostrano che le minacce non provengono solo da vulnerabilità tecnologiche nei sistemi centrali, ma anche da infrastrutture parallele costruite ad hoc.

La capacità di intercettare tempestivamente traffici e lo sviluppo di strumenti di analisi predittiva diventano quindi elementi cruciali.

Il ruolo delll’evoluzione tecnologica verso le eSIM

Un aspetto da non sottovalutare riguarda anche l’evoluzione tecnologica verso le eSIM.

Se da un lato l’adozione di SIM virtuali può ridurre la circolazione di grandi volumi di schede fisiche, dall’altro apre a nuove superfici di attacco: la possibilità di gestire profili multipli da remoto potrebbe infatti essere sfruttata per replicare le dinamiche delle SIM farm in forma meno visibile e ancora più scalabile.

La sfida, in questo scenario, diventa garantire che i sistemi di provisioning e autenticazione a livello di operatori siano adeguatamente protetti.

In un contesto come quello europeo, dove la frammentazione degli operatori e la diffusione delle SIM prepagate sono fattori da considerare, risulta necessario valutare scenari simili a quello appena descritto anche per la realtà italiana.

Non si tratta solo di combattere frodi o spam, ma di comprendere che la resilienza delle comunicazioni dipende anche dalla capacità di riconoscere e neutralizzare infrastrutture parallele che, se lasciate crescere indisturbate, possono minacciare l’affidabilità dei servizi su cui si fonda la vita quotidiana.