Le eSIM sono pratiche, ma sono anche sicure?
di Francesco Di Filippo
Negli ultimi anni le eSIM da viaggio hanno conquistato sempre più utenti. Basta scaricarne una sul proprio smartphone e si è subito connessi da ogni parte del mondo, senza bisogno di acquistare SIM locali o cambiare scheda ogni volta che si parte: una comodità enorme soprattutto per chi viaggia spesso.
Eppure dietro questa innovativa e comoda semplicità si nascondono alcuni aspetti poco chiari, che potrebbero creare problemi legati alla privacy e alla sicurezza dei nostri dati. A rivelarlo è stato uno studio della no-profit USENIX, sulla base di un’analisi condotta su 25 eSIM acquistate da diversi operatori in giro per il mondo.
Uno dei punti critici di questa ricerca riguarda la posizione virtuale assegnata all’utente. Durante i test, svolti negli Stati Uniti, solo 14 (su 25) delle eSIM facevano risultare il dispositivo situato effettivamente nel Paese in cui si trovavano (poco più della metà), con le rimanenti 11 che collocavano il traffico altrove, perfino in Cina. Il caso più evidente a riguardo è quello di Holafy, un’azienda irlandese che però appoggia i propri servizi all’infrastruttura di China Telecom. Questo significa che, senza saperlo, i dati degli utenti possono transitare da server cinesi.
Per l’utente comune l’impatto di questa scoperta può sembrare minimo – ad esempio alcuni siti mostrano contenuti pensati per un altro Paese, il che al massimo peggiorerebbe il vestito sartoriale cucito dagli algoritmi per noi – ma in realtà si tratta di un instradamento del traffico non dichiarato, che può incidere sia sulla qualità della connessione sia – soprattutto – sulla tutela della nostra privacy.
I ricercatori hanno poi scoperto un altro aspetto curioso: alcune eSIM avviano delle comunicazioni senza che l’utente faccia nulla. In teoria si tratterebbe di un comportamento normale, utile per l’autenticazione sulla rete, ma in certi casi sono state registrate delle attività inattese, come alcuni messaggi provenienti da Hong Kong o collegamenti improvvisi a server di Singapore: niente di illegale, probabilmente, ma resta il dubbio su cosa esattamente venga trasmesso e perché.
Lo studio ha messo in luce anche il profilo più strettamente commerciale delle eSIM. Oggi chiunque può diventare rivenditore: basta un indirizzo email e un metodo di pagamento per iniziare a vendere piani digitali in pochi minuti. Il problema è che questi reseller non hanno solo un ruolo intermedio: in certi casi si tratta di operatori che possono accedere a dati sensibili dei clienti, come la posizione del dispositivo – quando corretta – o i codici univoci della SIM. Con alcune piattaforme si arriva addirittura a poter impostare un indirizzo IP pubblico per gli utenti, esponendoli a possibili rischi di sicurezza.
Lo studio USENIX dunque solleva diversi profili critici di un fenomeno in espansione, invitando a fissare regole più chiare per questo settore, come una limitazione all’accesso dei rivenditori per quanto riguarda i dati dei clienti e delle garanzie di maggiore trasparenza. Nel frattempo per gli utenti la cosa più saggia da fare appare semplice ma non scontata: scegliere fornitori affidabili e conosciuti, evitando servizi troppo economici o rivenditori improvvisati.
