Le eSim sono sicure? Le schede virtuali per ottenere o aggiungere una utenza telefonica sul proprio smartphone sono diventate una soluzione sempre più popolare, soprattutto quando si viaggia all'estero. I motivi sono semplici: ormai le supporta un buon numero di cellulari, costano poco e soprattutto si installano in pochi secondi facendo risparmiare tempo prezioso a chi è in viaggio. Se per ottenere una sim fisica da un operatore locale tocca trovare un chiosco o un negozio e registrarsi con i propri documenti, con le eSim tutto può essere comodamente preparato in anticipo da casa e basta un tap per iniziare subito a navigare o telefonare sul posto. Inoltre, questa modalità risparmia plastica e processi produttivi necessari a fabbricare le componenti elettroniche indispensabili alle sim tradizionali.Come per molte tecnologie però anche questa non è esente da lati oscuri: a metterli in fila è un recente paper a firma dai ricercatori Maryam Motallebighomi, Jason Veara, Evangelos Bitsikas e Aanjhan Ranganathan della Northeastern University di Boston, in Massachusetts (Usa) e presentato in occasione del convegno Usenix Security Symposium di Seattle, evento di riferimento sulla sicurezza informatica.Che cosa sono le eSimLe eSim (Embedded Subscriber Identity Module) sono schede sim virtuali, entità elettroniche che si possono caricare sul telefono attraverso un chip integrato direttamente sullo smartphone. Quest'ultimo memorizza i dati identificativi di un cliente con tutti i dettagli sul piano personale (traffico dati, voce, sms, roaming) proprio come avviene sulle sim fisiche, ma si attiva da remoto e senza bisogno di componenti da inserire nel dispositivo. La procedura è semplice: si acquista una eSim da uno dei tanti portali online, si riceve in tempo reale una mail con un codice qr da inquadrare e si è subito pronti all'uso.Dai top di gamma fino all'ampia categoria dei medio range, sempre più modelli sono predisposti all'utilizzo delle eSim. Sono compresi anche gli iPhone (dalla famiglia 14 in poi), mentre Samsung ha già introdotto la possibilità di attivare il proprio abbonamento sugli S25 con un clic, senza codice qr. Insomma, la tecnologia si può considerare consolidata e nota anche al grande pubblico. E proprio per questi motivi è bene conoscere i pericoli che può portare con sé.Le criticità della tecnologia eSimQuali sono i maggiori rischi per le eSim? La risposta breve è nel solito mix di privacy e sicurezza. In un mercato in poderosa crescita e con sempre più fornitori, non mancano proposte che si muovono in zone d'ombra che spesso e volentieri passano del tutto inosservate agli occhi degli utenti. La maggiore criticità riguarda infatti la pratica di molti rivenditori di instradare il traffico degli utenti su reti di terze parti, che possono trovarsi in paesi anche ben lontani da quelli che si stanno visitando e che non tutelano a dovere i dati sensibili. In modo particolare, il paper cita le infrastrutture cinesi.Da dove passano i dati utilizzati con le eSimEsempio molto pratico: un italiano viaggia in Brasile, acquista una eSim per traffico dati dal nome vago come Global Roaming, ma quando passeggia per il lungomare di Rio de Janeiro e chatta su WhatsApp con gli amici in patria, l'indirizzo ip che identifica la sua posizione risulta in realtà a Pechino, poggiato su un operatore come China Mobile. Di più: disattivando il gps e aprendo Google Maps o Apple Mappe, il telefono pensa di essere direttamente in Cina. I dati utilizzati transitano infatti su server e infrastrutture cinesi, con l'ip assegnato in modo poco trasparente e con l'utente del tutto ignaro.I ricercatori hanno testato la sicurezza delle eSim acquistando 25 soluzioni da altrettanti rivenditori, scegliendo un piano per navigare negli Stati Uniti e nel 40% dei casi l'ip è risultato esterno agli Usa: l'esempio dell'instradamento verso infrastrutture cinesi è stato riscontrato anche con grossi nomi come il popolare Holafly (azienda irlandese). La sponda di China Mobile, che in Asia gestisce una larga fetta dei network anche di altre nazioni, era utilizzata per tutte le fasi non solo per la navigazione, ma anche per la stessa attivazione.Il problema si pone soprattutto per gli utenti europei, che normalmente possono godere di protezioni e tutele superiori rispetto a molte altre nazioni, ma che attraverso questa procedura possono al contrario vedere esporre i propri dati a mercati con giurisdizioni con una sorveglianza ridotta e meno barriere per la privacy. E sulla sicurezza, spalancando la porta a possibili azioni malevole esterne.Comunicazioni nascosteC'è anche un altro comportamento inquietante delle eSim, ovvero le comunicazioni effettuate sullo sfondo, invisibili, come se lo smartphone compisse azioni in autonomia. Il paper cita contatti tra la eSim per il traffico Usa verso un server di Singapore oppure un sms ricevuto da Hong Kong rimasto del tutto nascosto all'utente. Non ci sono spiegazioni chiare su questi eventi, che potrebbero essere innocui (come aggiornamenti dello status di connessione) ma anche nascondere qualcosa ancora da decifrare: di certo, è un altro punto oscuro da considerare per soggetti che hanno a cuore i temi di privacy e sicurezza.Il paper spiega come i rivenditori di eSim utilizzino l'espediente delle infrastrutture estere principalmente per abbassare i costi, anche a vantaggio della spesa finale degli utenti. Tuttavia, i consumatori non sono adeguatamente informati e spesso possono scegliere un piano rispetto a un altro senza essere a conoscenza dei rischi che corrono.Serve più controllo sui rivenditoriChe cosa può fare l'utente all'atto pratico? Premesso che, come evidenziato dallo studio, anche grossi nomi possono utilizzare la deviazione verso paesi con meno tutele, è bene informarsi il più possibile sull'offerta che si vuole acquistare. Limitarsi a scegliere il costo minore può tradursi in un grosso errore, perché si potrebbe capitare in uno store appena aperto e gestito magari da una singola persona, senza troppa attenzione alla sicurezza dei dati.Il paper sottolinea infatti come sia semplicissimo aprire una rivendita online di eSim, grazie a piattaforme dedicate che richiedono solo un'indirizzo email e una carta di credito per aprire il proprio negiozietto. Ed è bene ricordare come i rivenditori possano accedere a informazioni sensibili sugli utenti, dalla posizione geografica (con margine di errore sotto al km) a codici identificativi unici. Si rende dunque necessaria un'azione a largo spettro da parte delle varie autorità, con l'imposizione di limiti e controlli più severi sui rivenditori, che devono garantire la giusta trasparenza su metodi e pratiche, evitando di sfociare in un mercato senza controllo.