Categoria: Frode: pagamenti / carte (NFC, skimming, relay)Score: 0
Puntata 1 — L’invisibile minaccia — Il Portafoglio Trasparente — effedc.it
Inchiesta · effedc.it · 5 puntate

Il Portafoglio Trasparente

Furto contactless: come funziona davvero, chi ci guadagna, e perché il sistema dei pagamenti ha scelto di conviverci invece di risolverlo.

effedc.it Giugno 2026 Dati aggiornati al 30 giugno 2026 Inchiesta Puntata 1 / 5
In sintesi

Questa puntata apre l'inchiesta "Il Portafoglio Trasparente" spiegando, con dati verificati, cosa succede davvero quando qualcuno "ruba" denaro tramite un pagamento contactless.

  • Le frodi legate all'NFC sono aumentate di 35 volte tra il secondo semestre 2024 e il primo semestre 2025 secondo ESET — ma restano, in valore assoluto, una frazione minima delle transazioni totali (Banca d'Italia: 0,017% sui pagamenti con carta).
  • Lo skimming fisico "a distanza" è tecnicamente reale ma molto più limitato di quanto racconta il marketing della protezione RFID: il raggio operativo utile resta nell'ordine dei centimetri, non dei metri.
  • Il vero salto di qualità è l'attacco relay: un dispositivo cattura il segnale della carta e lo ritrasmette in tempo reale altrove, anche a centinaia di chilometri di distanza.
  • Chiariamo una confusione diffusa anche nella stampa di settore: Ghost Tap (ThreatFabric, relay su wallet digitali) e Ghost Tapping (BBB, truffe al punto vendita) sono due fenomeni distinti, spesso scambiati per lo stesso.
  • Quasi nessun attacco riuscito si basa solo sulla tecnologia: l'ingegneria sociale (SMS, telefonata di un finto operatore) è l'anello che rende possibile tutto il resto — ed è anche il punto più facile da difendere.

00 / Il crimine che non lascia tracce

Una mattina d'autunno qualunque, in una metropolitana affollata di una qualsiasi città europea. Qualcuno urta leggermente una persona all'altezza della tasca dei pantaloni. Una scusa veloce, un sorriso, la folla si richiude. Il portafoglio è ancora lì, la carta pure. Due ore dopo arriva un SMS dalla banca: un prelievo ATM da 500 euro, poi un altro, poi un altro ancora. In quindici minuti il conto è più leggero di alcune centinaia di euro, e la carta fisica non ha mai lasciato la tasca.

Nota metodologica. Le scene di apertura di questa inchiesta sono ricostruzioni illustrative che compongono pattern di attacco realmente documentati da ESET, CERT Polska, ThreatFabric e Zimperium (fonti citate in calce a ogni puntata). Non descrivono un singolo caso giudiziario verificabile, né nominano persone reali: servono a rendere comprensibile una dinamica tecnica che i report originali, scritti per un pubblico di sicurezza informatica, espongono in termini più aridi. Ogni dato statistico, ogni nome di malware, ogni cifra è invece tratto da fonti pubbliche verificabili e citate.

Questo non è fantascienza. È il volto che il furto finanziario ha assunto nell'era dei pagamenti contactless, ed è documentato — con nomi, cifre e analisi tecniche pubbliche — da società di sicurezza informatica, CERT nazionali e dalla stessa Banca d'Italia.

Quando, a partire dal 2020, l'adozione dei pagamenti contactless ha accelerato bruscamente, la promessa era semplice: avvicina la carta, niente PIN sotto una certa soglia, transazione in meno di un secondo. Quello che raramente viene spiegato con altrettanta chiarezza è che ogni carta contactless è, dal punto di vista fisico, un piccolo trasmettitore radio che risponde a chiunque le ponga la domanda giusta nel modo giusto.

In questa inchiesta in cinque puntate ricostruiamo l'anatomia di questa minaccia: come funzionano tecnicamente gli attacchi NFC, chi li sviluppa e li vende, perché l'industria della "protezione RFID" prospera proprio grazie a un rischio che spesso esagera, e — la parte più scomoda — perché le banche, conoscendo perfettamente questi numeri, hanno scelto in larga parte di conviverci invece di eliminarli.

01 / I numeri verificati: cosa dicono davvero i report

Partiamo dai dati, perché su questo terreno circolano sia allarmismi ingiustificati sia rassicurazioni di comodo. Ecco cosa risulta, alla data di questo aggiornamento, dalle fonti primarie pubblicamente verificabili.

35×Aumento delle frodi basate su NFC rilevate da ESET tra il secondo semestre 2024 e il primo semestre 2025 (ESET Threat Report H1 2025, dati dicembre 2024 – maggio 2025)

ESET è stata esplicita su cosa c'è dietro questo numero: non un singolo malware, ma un ecosistema di strumenti — NGate, Ghost Tap e SuperCard X tra i principali — che condividono la stessa tecnica di fondo (intercettare o relayare dati NFC) applicata a scenari diversi. Il report sottolinea anche un dettaglio importante che l'allarmismo tende a omettere: il numero assoluto di casi resta relativamente basso rispetto al volume totale delle transazioni contactless; è il tasso di crescita a essere eccezionale.

Per l'Italia, dove gran parte di questa inchiesta è ambientata, la fonte più solida non è una società di sicurezza privata ma la Banca d'Italia, che dal febbraio 2025 pubblica un Rapporto sulle operazioni di pagamento fraudolente in Italia su base semestrale. I dati più recenti (secondo semestre 2024, confermati nell'aggiornamento al primo semestre 2025) dicono che il tasso di frode sui pagamenti con carta è pari allo 0,017% del valore transato — circa 13 frodi ogni 100.000 operazioni, in media 18 euro sottratti ogni 100.000 euro pagati. Sull'orizzonte 2015-2024, il numero di frodi annue è triplicato e il loro valore è raddoppiato, ma — chiarisce esplicitamente Banca d'Italia — la crescita ha proceduto di pari passo con la diffusione delle carte stesse: il rischio per singola operazione è cresciuto solo marginalmente.

Cosa NON dicono questi numeri Né ESET né Banca d'Italia pubblicano una scomposizione specifica "frodi NFC fisiche" vs. "frodi NFC da malware" vs. altre tipologie di frode su carta: i report aggregano per categoria (autorizzata/non autorizzata, POS/e-commerce, nazionale/transfrontaliera), non per vettore tecnico. È un'opacità reale — ne parliamo nella Puntata 4 — ma non è un'invenzione di questa inchiesta: è la cornice statistica entro cui qualunque cifra "specifica sull'NFC" va letta con cautela, salvo quando proviene da un report tecnico dedicato (come quelli ESET, CERT Polska o ThreatFabric che citiamo caso per caso).

Un ultimo dato, più recente e specifico sul fenomeno relay: secondo un'elaborazione Kaspersky riportata a giugno 2026, nei primi quattro mesi del 2026 i tentativi di attacco relay via NFC bloccati sono passati da circa 12.300 a oltre 35.600 rispetto allo stesso periodo del 2025 — un +188%. Il trend, insomma, non si è esaurito: si è spostato e ha continuato ad accelerare.

02 / La fisica del furto: come funziona l'NFC

Per capire come sia possibile sottrarre denaro senza toccare un portafoglio, bisogna partire da cosa succede nell'istante in cui si avvicina una carta a un POS. La tecnologia si chiama NFC, Near Field Communication, un sottoinsieme della più ampia famiglia RFID (Radio Frequency Identification).

Le carte contactless sono trasmettitori radio passivi: non hanno batteria, ricevono l'energia necessaria ad attivarsi direttamente dal campo elettromagnetico generato dal lettore. Quando il lettore "sveglia" il chip, i due dispositivi si scambiano dati in una manciata di millisecondi.

Il problema strutturale — non un difetto isolato, ma una conseguenza diretta di come il protocollo è stato progettato per essere veloce — è che la carta non verifica l'identità del lettore. Risponde a qualunque dispositivo generi il campo elettromagnetico corretto, perché è stata progettata per essere rapida, non per essere selettiva.

Gli standard NFC parlano di un raggio operativo di circa 4 centimetri per una transazione completa e affidabile. Per leggere dati parziali — non sufficienti a completare un pagamento, ma sufficienti a identificare la presenza di una carta o leggerne alcuni campi — la distanza utile con hardware modificato può essere maggiore, anche se restano scenari di laboratorio più che di "furto da un metro in metropolitana" come spesso pubblicizzato dai venditori di prodotti anti-RFID (ne parliamo nella Puntata 3).

03 / Cosa si può davvero rubare con uno skimmer

C'è parecchia confusione, alimentata anche dal marketing dei prodotti di protezione, su cosa un lettore NFC non autorizzato possa effettivamente ottenere. Un'interrogazione "selvaggia" di una carta contactless non restituisce il PIN (non è memorizzato sul chip) né il CVV (per progettazione, non viene trasmesso via NFC). Può restituire, in condizioni favorevoli:

  • Numero della carta (PAN), spesso parziale
  • Data di scadenza
  • L'elenco delle applicazioni di pagamento supportate (es. Visa, Mastercard)
  • Su alcune implementazioni, un log limitato delle ultime transazioni

Dati di questo tipo, anche incompleti, alimentano un mercato nero di "dump" di carte che analizziamo nel dettaglio nella Puntata 3. Ma il vero salto di qualità nel 2024-2026 non è lo skimming fisico opportunistico — relativamente raro e poco redditizio — bensì la combinazione di ingegneria sociale e relay via malware, di cui parliamo qui sotto e nella Puntata 2.

04 / L'attacco relay: quando la distanza non conta più

In un relay attack, un dispositivo nelle vicinanze della vittima cattura il segnale della carta e lo ritrasmette in tempo reale, via rete, a un secondo dispositivo che si trova altrove — anche in un'altra città — e che lo "ripete" verso un POS o un ATM reale. Il terminale, dal suo punto di vista, sta dialogando con una carta fisica presente davanti a sé. In realtà sta dialogando, attraverso una catena di dispositivi e una connessione dati, con la carta vera, che può trovarsi a chilometri di distanza.

Il concetto non è nuovo nella ricerca accademica sulla sicurezza — i relay attack su RFID sono proof-of-concept da oltre un decennio — ma è diventato operativo su scala criminale tra il 2023 e il 2026, grazie a un singolo strumento open source che ha cambiato le regole del gioco: NFCGate, sviluppato per scopi di ricerca dalla Technical University of Darmstadt, e alla sua "arma" derivata, NGate. È la storia che ricostruiamo nella Puntata 2.

05 / Ghost Tap e Ghost Tapping: due minacce, non una

Nel cercare materiale per questa inchiesta abbiamo trovato — ed è un punto su cui vale la pena essere precisi, perché la confusione è diffusa anche nella stampa di settore — due fenomeni diversi che condividono un nome quasi identico:

Ghost Tap (ThreatFabric, novembre 2024) Tecnica di cash-out: i criminali, in possesso di dati di carta già rubati (via phishing o malware), li caricano in un wallet digitale (Apple Pay o Google Pay) su un dispositivo sotto il loro controllo, poi ne fanno il relay verso un secondo dispositivo — spesso un "mulo" fisicamente presente in un negozio — che esegue acquisti contactless reali a distanza. Tecnicamente sofisticata, organizzata, su scala industriale.
Ghost Tapping (Better Business Bureau, dal 2025) Termine adottato dal Better Business Bureau statunitense per descrivere truffe al punto vendita che sfruttano la velocità del tap-to-pay: finti venditori che digitano un importo superiore a quello dichiarato prima di chiedere alla vittima di "appoggiare" la carta, o terminali che non mostrano chiaramente l'importo prima del pagamento. Meno tecnica, più simile a una truffa da banco di mercato adattata al contactless.

Le due cose vengono spesso fuse in un unico calderone giornalistico — questa inchiesta, nella sua prima stesura, rischiava di cadere nello stesso errore. Sono fenomeni reali entrambi, documentati da fonti diverse, ma con dinamiche, autori e contromisure differenti. Le tratteremo separatamente.

06 / L'ingegneria sociale: il vero motore degli attacchi

Quasi nessuno degli attacchi NFC di successo documentati dal 2023 a oggi si basa solo sulla tecnologia. Il pattern, confermato indipendentemente da ESET, CERT Polska e dalle società italiane Cleafy e D3Lab nelle loro analisi di NGate e SuperCard X, segue quasi sempre la stessa sequenza:

  1. Contatto iniziale — SMS, email o messaggio WhatsApp che simula una comunicazione bancaria urgente (un pagamento sospetto, un problema di sicurezza)
  2. Chiamata di conferma — un finto operatore, spesso con numero contraffatto (spoofing), guida la vittima passo dopo passo, costruendo fiducia
  3. Installazione dell'app — la vittima scarica, da un link e non da uno store ufficiale, un'app di "verifica sicurezza" che in realtà è il malware
  4. Estrazione dati NFC + PIN — alla vittima viene chiesto di avvicinare la carta fisica al telefono e di inserire il PIN nell'app, "per completare la verifica"
  5. Cash-out — i dati vengono inviati in tempo reale a un complice altrove, che li usa per prelevare contante o effettuare pagamenti

È una catena in cui ogni anello, preso isolatamente, sembra plausibile a una persona non specialista: un messaggio che sembra dalla banca, una telefonata professionale, un'app che chiede di "verificare" la carta. Il malware da solo non basterebbe; l'ingegneria sociale da sola non basterebbe. Insieme, formano un sistema quasi infallibile — lo vediamo nel dettaglio tecnico nella Puntata 2.

07 / Perché le banche non alzano le difese

Una domanda ricorrente: se il rischio è documentato, perché le banche non disabilitano semplicemente i pagamenti contactless sopra una soglia bassa, o non impongono l'autenticazione biometrica per ogni transazione?

La risposta, che approfondiamo con dati e documenti pubblici nella Puntata 4, è in sostanza economica: i pagamenti contactless hanno ridotto drasticamente l'attrito psicologico dell'acquisto, e l'attrito è il nemico del volume di transazioni. Ogni secondo aggiunto a una transazione — uno scan biometrico, un PIN obbligatorio — riduce la propensione all'acquisto. Le banche, attraverso i meccanismi di rimborso previsti dalla normativa europea (la direttiva PSD2, articoli 73 e 74, che esaminiamo nel dettaglio nella Puntata 5), assorbono il costo delle frodi come una voce di spesa operativa, spalmata su milioni di transazioni sicure attraverso le commissioni.

Non significa che le banche "vogliano" le frodi. Significa che, fino a quando il costo aggregato delle frodi resta sotto la soglia a cui converrebbe investire in contromisure più invasive, il sistema non ha un incentivo economico forte a muoversi da solo — e la pressione regolatoria, finora, non lo ha imposto in modo stringente per il contactless.

Nella prossima puntata: l'anatomia tecnica di NGate, il malware nato da un progetto di ricerca universitario tedesco e diventato un'arma criminale operativa in Repubblica Ceca, Polonia — e SuperCard X, la sua "risposta" italiana scoperta da Cleafy nella primavera del 2025.

08 / Fonti di questa puntata

01ESET — Threat Report H1 2025 (dati dic. 2024 – mag. 2025): +35× nelle frodi NFC, menzione esplicita di Ghost Tap e SuperCard Xwelivesecurity.com, giu. 2025
02Banca d'Italia — Rapporto sulle operazioni di pagamento fraudolente in Italia, dati 2015-2024 e aggiornamento H1 2025bancaditalia.it, feb. e ago. 2025
03ThreatFabric — "Ghost Tap": New cash-out tactic with NFC Relaythreatfabric.com, nov. 2024
04Better Business Bureau — Scam Alert: Ghost Tapping, ripreso da McAfee, Newsweek, Fox Newsott.–nov. 2025
05Kaspersky — dati su crescita attacchi relay NFC, ripresi da Hackerjournal.itgiu. 2026
06ESET — NGate Android malware relays NFC traffic to steal cash (origine tecnica NFCGate / TU Darmstadt)welivesecurity.com, ago. 2024
Il Portafoglio Trasparente — Puntata 1 di 5 · effedc.it · Inchiesta giornalistica
Tutte le fonti citate sono pubblicamente verificabili ai link indicati. Articolo aggiornato al 30 giugno 2026.
Puntata 2 — NGate & SuperCard X →