Le eSim sono sicure? Il lato oscuro delle schede virtuali

Le eSim sono sicure? Le schede virtuali per ottenere o aggiungere una utenza telefonica sul proprio smartphone sono diventate una soluzione sempre più popolare, soprattutto quando si viaggia all’estero. I motivi sono semplici: ormai le supporta un buon numero di cellulari, costano poco e soprattutto si installano in pochi secondi facendo risparmiare tempo prezioso a chi è in viaggio. Se per ottenere una sim fisica da un operatore locale tocca trovare un chiosco o un negozio e registrarsi con i propri documenti, con le eSim tutto può essere comodamente preparato in anticipo da casa e basta un tap per iniziare subito a navigare o telefonare sul posto. Inoltre, questa modalità risparmia plastica e processi produttivi necessari a fabbricare le componenti elettroniche indispensabili alle sim tradizionali.

Come per molte tecnologie però anche questa non è esente da lati oscuri: a metterli in fila è un recente paper a firma dai ricercatori Maryam Motallebighomi, Jason Veara, Evangelos Bitsikas e Aanjhan Ranganathan della Northeastern University di Boston, in Massachusetts (Usa) e presentato in occasione del convegno Usenix Security Symposium di Seattle, evento di riferimento sulla sicurezza informatica.

Che cosa sono le eSim

Le eSim (Embedded Subscriber Identity Module) sono schede sim virtuali, entità elettroniche che si possono caricare sul telefono attraverso un chip integrato direttamente sullo smartphone. Quest’ultimo memorizza i dati identificativi di un cliente con tutti i dettagli sul piano personale (traffico dati, voce, sms, roaming) proprio come avviene sulle sim fisiche, ma si attiva da remoto e senza bisogno di componenti da inserire nel dispositivo. La procedura è semplice: si acquista una eSim da uno dei tanti portali online, si riceve in tempo reale una mail con un codice qr da inquadrare e si è subito pronti all’uso.

Dai top di gamma fino all’ampia categoria dei medio range, sempre più modelli sono predisposti all’utilizzo delle eSim. Sono compresi anche gli iPhone (dalla famiglia 14 in poi), mentre Samsung ha già introdotto la possibilità di attivare il proprio abbonamento sugli S25 con un clic, senza codice qr. Insomma, la tecnologia si può considerare consolidata e nota anche al grande pubblico. E proprio per questi motivi è bene conoscere i pericoli che può portare con sé.

Le criticità della tecnologia eSim

Quali sono i maggiori rischi per le eSim? La risposta breve è nel solito mix di privacy e sicurezza. In un mercato in poderosa crescita e con sempre più fornitori, non mancano proposte che si muovono in zone d’ombra che spesso e volentieri passano del tutto inosservate agli occhi degli utenti. La maggiore criticità riguarda infatti la pratica di molti rivenditori di instradare il traffico degli utenti su reti di terze parti, che possono trovarsi in paesi anche ben lontani da quelli che si stanno visitando e che non tutelano a dovere i dati sensibili. In modo particolare, il paper cita le infrastrutture cinesi.

Da dove passano i dati utilizzati con le eSim

Esempio molto pratico: un italiano viaggia in Brasile, acquista una eSim per traffico dati dal nome vago come Global Roaming, ma quando passeggia per il lungomare di Rio de Janeiro e chatta su WhatsApp con gli amici in patria, l’indirizzo ip che identifica la sua posizione risulta in realtà a Pechino, poggiato su un operatore come China Mobile. Di più: disattivando il gps e aprendo Google Maps o Apple Mappe, il telefono pensa di essere direttamente in Cina. I dati utilizzati transitano infatti su server e infrastrutture cinesi, con l’ip assegnato in modo poco trasparente e con l’utente del tutto ignaro.