La caduta della rete “SIM CARTEL”. Come Europol ha smantellato un’imponente operazione SIM-farm che ha favorito oltre 49 milioni di account falsi

L’azione nota come Operation SIMCARTEL ha visto protagonisti gli agenti della Europol in cooperazione con autorità di Austria, Estonia, Finlandia e Lettonia: il 10 ottobre 2025 sono state eseguite 26 perquisizioni che hanno portato all’arresto di sette sospetti — cinque dei quali cittadini lettoni — e al sequestro di un’infrastruttura sofisticata dedicata alla fornitura di numeri di telefono “virtuali” a criminali. 

Il meccanismo operativo era tanto semplice quanto efficace: la rete gestiva circa 1.200 dispositivi SIM-box, contenenti 40.000 schede attive, che fornivano numeri telefonici registrati a persone in oltre 80 nazioni. Questi numeri venivano noleggiati tramite due siti web — gogetsms[.]com e apisim[.]com — diventati strumenti chiave nell’intera catena criminale. 

Grazie a questi numeri, gli operatori criminali potevano aprire account falsi su social network, piattaforme di comunicazione e servizi online, nascondendo la propria identità e ubicazione reale. Le conseguenze sono allarmanti: più di 49 milioni di account generati mediante il servizio, più di 3.200 casi di frode accertati solo in Austria e Lettonia, e perdite documentate pari a circa 4,5 milioni € in Austria e 420.000 € in Lettonia. 

Oltre agli arresti, sono state sequestrate cinque server, bloccati i due siti web citati, congelati conti bancari per circa 431.000 €, conti crypto per circa 266.000 US$, e quattro auto di lusso sono finite sotto sequestro. 

Questo episodio mette in luce una tendenza di crescita del modello “cyber-crime-as-a-service”, in cui la componente tecnica — infrastrutture, numeri telefonici, account falsi — viene fornita da specialisti, mentre i clienti criminali semplicemente sfruttano il servizio per attacchi di phishing, smishing, truffe finanziarie, usurpazioni d’identità, estorsioni e perfino contrabbando di persone o diffusione di materiale CSAM (Child Sexual Abuse Material).

Per gli operatori delle telecomunicazioni, le piattaforme online e gli enti di sicurezza questo caso rappresenta un campanello d’allarme non solo per i numeri coinvolti, ma perché smarca come le truffe oggi non siano più isolate, bensì supportate da un’architettura criminale industrializzata. Le implicazioni sono ampie: aumento del rischio operativo, maggiori costi per la prevenzione delle frodi, maggiore difficoltà nell’attribuzione delle responsabilità e nell’identificazione della catena criminale.

Dal punto di vista operativo, alcune riflessioni:

I gestori di numerazioni e di servizi di verifica che utilizzano SMS o chiamate come metodo di autenticazione dovranno rafforzare le verifiche (es. controllo geografico, comportamento d’uso, numero residuo di dispositivi attivi) e collaborare con le autorità per segnalazioni rapide.

Le piattaforme social e di comunicazione devono migliorare i processi di rilevamento degli account creati con numeri temporanei / noleggiati in massa e considerare metodi di autenticazione alternativi all’SMS.

Gli utenti finali devono rimanere vigili: richieste insolite via WhatsApp o chiamate da numeri apparentemente locali possono essere parte di una catena basata su infrastruttura SIM-farm.

In conclusione, l’operazione SIMCARTEL segnala che anche la “parte infrastrutturale” del crimine informatico — quel che potremmo definire il “back-office” dei truffatori — è vulnerabile alle azioni coordinate di polizia e agenzie internazionali. Tuttavia, resta la sfida della resilienza: gli ambienti criminali possono riallinearsi, spostarsi in altri Paesi o adottare nuove tecnologie (es. numerazioni virtuali, VoIP, SIM IoT) e il settore della sicurezza dovrà mantenersi agile e collaborativo per contrastare efficacemente tali modelli.