Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Gli SMS di autenticazione segreti non sono affatto segreti: meglio abbandonarli

Il problema è che questo settore è scarsamente regolamentato, ed è facilissimo diventare intermediari di miliardi di messaggi privati. In particolare, la Fink Telecom Services è nota agli esperti del settore per aver collaborato con agenzie di sorveglianza governative e con società specializzate nella sorveglianza digitale. Sempre Bloomberg sottolinea che "sia i ricercatori di sicurezza informatica, sia i giornalisti investigativi hanno pubblicato rapporti che accusano la Fink di essere coinvolta in vari casi di infiltrazione in account online privati." Il CEO dell'azienda, Andreas Fink, respinge le accuse.

Le aziende che usano gli SMS per autenticare i propri servizi sono così ansiose di contenere i costi che si appoggiano a lunghe e intricate catene di intermediari non verificati, anche se sanno che questo è un comportamento pericoloso. Una delle principali organizzazioni di settore, il GSMA, ha pubblicato nel 2023 un codice di condotta che sconsiglia questa prassi proprio perché permetterebbe ai criminali di intercettare gli SMS contenenti i codici di sicurezza. Ma si tratta di un codice di condotta volontario, e sembra proprio che manchi la volontà diffusa di applicarlo.

Il rischio che deriva da questa carenza di volontà è tutt'altro che teorico. Nel 2020, per esempio, è emerso che una serie di attacchi informatici ai danni di investitori in criptovalute aveva usato proprio questa tecnica: un criminale informatico aveva ottenuto in questo modo i codici di autenticazione necessari per accedere agli account di mail e a quelli di gestione delle criptovalute di una ventina di persone in Israele. E ci sono altri casi documentati di intercettazioni e sorveglianze governative basate su questo approccio.

Per approfondire:

Addio, vecchia carta d'identità: è obbligatorio passare alla CIE e...

16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook...

Violazione record: 184 milioni di credenziali pubblicate nel web

Siti per adulti, la verifica dell'età non avverrà tramite SPID

Purtroppo l'industria della trasmissione degli SMS, che si stima abbia un valore di oltre 30 miliardi di dollari, non ha strumenti legali che le consentano di scremare eventuali intermediari disonesti. I grandi utenti, ossia le aziende, appaltano gli invii dei loro codici di autenticazione a uno di questi intermediari e non hanno modo di sapere se questi invii vengono subappaltati e se quel subappaltatore a sua volta cede il contratto a terzi, e così via, in un complicato gioco internazionale di scatole cinesi e di società che spesso non hanno nemmeno bisogno di una licenza per operare.

E i nostri codici di sicurezza viaggiano così in questo mare burrascoso come messaggi in bottiglia che tutti possono leggere, mentre noi crediamo di aver protetto i nostri account attivando gli SMS di autenticazione.

Per fortuna ci sono delle soluzioni.

Ti raccomandiamo anche:

Microsoft inaugura l'era degli account senza password

Siti per adulti, Agcom impone la verifica dell’età con il doppio anon...

Microsoft pensiona Desktop Remoto: al suo posto c'è la Windows App

Passkey in pratica: proteggere un account Google

Ti invitiamo a leggere la pagina successiva di questo articolo:
App di autenticazione e chiavi hardware, anche di scorta

Articoli suggeriti:

Addio password, benvenuta passkey?

WhatsApp ora supporta Passkey

Storia di un hacker

SPID a rischio, due mesi per deciderne il futuro

Proposte di lettura:

Twitter, l'autenticazione a due fattori ora si paga

Chrome 108 supporta passkey, per dire addio alle password

Italiani e identità digitale, già attivi 30 milioni di SPID

Google, autenticazione a due fattori obbligatoria per milioni di utenti