
Il Portafoglio Trasparente
Furto contactless: come funziona davvero, chi ci guadagna, e perché il sistema dei pagamenti ha scelto di conviverci invece di risolverlo.
Questa puntata apre l'inchiesta "Il Portafoglio Trasparente" spiegando, con dati verificati, cosa succede davvero quando qualcuno "ruba" denaro tramite un pagamento contactless.
- Le frodi legate all'NFC sono aumentate di 35 volte tra il secondo semestre 2024 e il primo semestre 2025 secondo ESET — ma restano, in valore assoluto, una frazione minima delle transazioni totali (Banca d'Italia: 0,017% sui pagamenti con carta).
- Lo skimming fisico "a distanza" è tecnicamente reale ma molto più limitato di quanto racconta il marketing della protezione RFID: il raggio operativo utile resta nell'ordine dei centimetri, non dei metri.
- Il vero salto di qualità è l'attacco relay: un dispositivo cattura il segnale della carta e lo ritrasmette in tempo reale altrove, anche a centinaia di chilometri di distanza.
- Chiariamo una confusione diffusa anche nella stampa di settore: Ghost Tap (ThreatFabric, relay su wallet digitali) e Ghost Tapping (BBB, truffe al punto vendita) sono due fenomeni distinti, spesso scambiati per lo stesso.
- Quasi nessun attacco riuscito si basa solo sulla tecnologia: l'ingegneria sociale (SMS, telefonata di un finto operatore) è l'anello che rende possibile tutto il resto — ed è anche il punto più facile da difendere.
00 / Il crimine che non lascia tracce
Una mattina d'autunno qualunque, in una metropolitana affollata di una qualsiasi città europea. Qualcuno urta leggermente una persona all'altezza della tasca dei pantaloni. Una scusa veloce, un sorriso, la folla si richiude. Il portafoglio è ancora lì, la carta pure. Due ore dopo arriva un SMS dalla banca: un prelievo ATM da 500 euro, poi un altro, poi un altro ancora. In quindici minuti il conto è più leggero di alcune centinaia di euro, e la carta fisica non ha mai lasciato la tasca.
Questo non è fantascienza. È il volto che il furto finanziario ha assunto nell'era dei pagamenti contactless, ed è documentato — con nomi, cifre e analisi tecniche pubbliche — da società di sicurezza informatica, CERT nazionali e dalla stessa Banca d'Italia.
Quando, a partire dal 2020, l'adozione dei pagamenti contactless ha accelerato bruscamente, la promessa era semplice: avvicina la carta, niente PIN sotto una certa soglia, transazione in meno di un secondo. Quello che raramente viene spiegato con altrettanta chiarezza è che ogni carta contactless è, dal punto di vista fisico, un piccolo trasmettitore radio che risponde a chiunque le ponga la domanda giusta nel modo giusto.
In questa inchiesta in cinque puntate ricostruiamo l'anatomia di questa minaccia: come funzionano tecnicamente gli attacchi NFC, chi li sviluppa e li vende, perché l'industria della "protezione RFID" prospera proprio grazie a un rischio che spesso esagera, e — la parte più scomoda — perché le banche, conoscendo perfettamente questi numeri, hanno scelto in larga parte di conviverci invece di eliminarli.
01 / I numeri verificati: cosa dicono davvero i report
Partiamo dai dati, perché su questo terreno circolano sia allarmismi ingiustificati sia rassicurazioni di comodo. Ecco cosa risulta, alla data di questo aggiornamento, dalle fonti primarie pubblicamente verificabili.
ESET è stata esplicita su cosa c'è dietro questo numero: non un singolo malware, ma un ecosistema di strumenti — NGate, Ghost Tap e SuperCard X tra i principali — che condividono la stessa tecnica di fondo (intercettare o relayare dati NFC) applicata a scenari diversi. Il report sottolinea anche un dettaglio importante che l'allarmismo tende a omettere: il numero assoluto di casi resta relativamente basso rispetto al volume totale delle transazioni contactless; è il tasso di crescita a essere eccezionale.
Per l'Italia, dove gran parte di questa inchiesta è ambientata, la fonte più solida non è una società di sicurezza privata ma la Banca d'Italia, che dal febbraio 2025 pubblica un Rapporto sulle operazioni di pagamento fraudolente in Italia su base semestrale. I dati più recenti (secondo semestre 2024, confermati nell'aggiornamento al primo semestre 2025) dicono che il tasso di frode sui pagamenti con carta è pari allo 0,017% del valore transato — circa 13 frodi ogni 100.000 operazioni, in media 18 euro sottratti ogni 100.000 euro pagati. Sull'orizzonte 2015-2024, il numero di frodi annue è triplicato e il loro valore è raddoppiato, ma — chiarisce esplicitamente Banca d'Italia — la crescita ha proceduto di pari passo con la diffusione delle carte stesse: il rischio per singola operazione è cresciuto solo marginalmente.
Un ultimo dato, più recente e specifico sul fenomeno relay: secondo un'elaborazione Kaspersky riportata a giugno 2026, nei primi quattro mesi del 2026 i tentativi di attacco relay via NFC bloccati sono passati da circa 12.300 a oltre 35.600 rispetto allo stesso periodo del 2025 — un +188%. Il trend, insomma, non si è esaurito: si è spostato e ha continuato ad accelerare.
02 / La fisica del furto: come funziona l'NFC
Per capire come sia possibile sottrarre denaro senza toccare un portafoglio, bisogna partire da cosa succede nell'istante in cui si avvicina una carta a un POS. La tecnologia si chiama NFC, Near Field Communication, un sottoinsieme della più ampia famiglia RFID (Radio Frequency Identification).
Le carte contactless sono trasmettitori radio passivi: non hanno batteria, ricevono l'energia necessaria ad attivarsi direttamente dal campo elettromagnetico generato dal lettore. Quando il lettore "sveglia" il chip, i due dispositivi si scambiano dati in una manciata di millisecondi.
Il problema strutturale — non un difetto isolato, ma una conseguenza diretta di come il protocollo è stato progettato per essere veloce — è che la carta non verifica l'identità del lettore. Risponde a qualunque dispositivo generi il campo elettromagnetico corretto, perché è stata progettata per essere rapida, non per essere selettiva.
Gli standard NFC parlano di un raggio operativo di circa 4 centimetri per una transazione completa e affidabile. Per leggere dati parziali — non sufficienti a completare un pagamento, ma sufficienti a identificare la presenza di una carta o leggerne alcuni campi — la distanza utile con hardware modificato può essere maggiore, anche se restano scenari di laboratorio più che di "furto da un metro in metropolitana" come spesso pubblicizzato dai venditori di prodotti anti-RFID (ne parliamo nella Puntata 3).
03 / Cosa si può davvero rubare con uno skimmer
C'è parecchia confusione, alimentata anche dal marketing dei prodotti di protezione, su cosa un lettore NFC non autorizzato possa effettivamente ottenere. Un'interrogazione "selvaggia" di una carta contactless non restituisce il PIN (non è memorizzato sul chip) né il CVV (per progettazione, non viene trasmesso via NFC). Può restituire, in condizioni favorevoli:
- Numero della carta (PAN), spesso parziale
- Data di scadenza
- L'elenco delle applicazioni di pagamento supportate (es. Visa, Mastercard)
- Su alcune implementazioni, un log limitato delle ultime transazioni
Dati di questo tipo, anche incompleti, alimentano un mercato nero di "dump" di carte che analizziamo nel dettaglio nella Puntata 3. Ma il vero salto di qualità nel 2024-2026 non è lo skimming fisico opportunistico — relativamente raro e poco redditizio — bensì la combinazione di ingegneria sociale e relay via malware, di cui parliamo qui sotto e nella Puntata 2.
04 / L'attacco relay: quando la distanza non conta più
In un relay attack, un dispositivo nelle vicinanze della vittima cattura il segnale della carta e lo ritrasmette in tempo reale, via rete, a un secondo dispositivo che si trova altrove — anche in un'altra città — e che lo "ripete" verso un POS o un ATM reale. Il terminale, dal suo punto di vista, sta dialogando con una carta fisica presente davanti a sé. In realtà sta dialogando, attraverso una catena di dispositivi e una connessione dati, con la carta vera, che può trovarsi a chilometri di distanza.
Il concetto non è nuovo nella ricerca accademica sulla sicurezza — i relay attack su RFID sono proof-of-concept da oltre un decennio — ma è diventato operativo su scala criminale tra il 2023 e il 2026, grazie a un singolo strumento open source che ha cambiato le regole del gioco: NFCGate, sviluppato per scopi di ricerca dalla Technical University of Darmstadt, e alla sua "arma" derivata, NGate. È la storia che ricostruiamo nella Puntata 2.
05 / Ghost Tap e Ghost Tapping: due minacce, non una
Nel cercare materiale per questa inchiesta abbiamo trovato — ed è un punto su cui vale la pena essere precisi, perché la confusione è diffusa anche nella stampa di settore — due fenomeni diversi che condividono un nome quasi identico:
Le due cose vengono spesso fuse in un unico calderone giornalistico — questa inchiesta, nella sua prima stesura, rischiava di cadere nello stesso errore. Sono fenomeni reali entrambi, documentati da fonti diverse, ma con dinamiche, autori e contromisure differenti. Le tratteremo separatamente.
07 / Perché le banche non alzano le difese
Una domanda ricorrente: se il rischio è documentato, perché le banche non disabilitano semplicemente i pagamenti contactless sopra una soglia bassa, o non impongono l'autenticazione biometrica per ogni transazione?
La risposta, che approfondiamo con dati e documenti pubblici nella Puntata 4, è in sostanza economica: i pagamenti contactless hanno ridotto drasticamente l'attrito psicologico dell'acquisto, e l'attrito è il nemico del volume di transazioni. Ogni secondo aggiunto a una transazione — uno scan biometrico, un PIN obbligatorio — riduce la propensione all'acquisto. Le banche, attraverso i meccanismi di rimborso previsti dalla normativa europea (la direttiva PSD2, articoli 73 e 74, che esaminiamo nel dettaglio nella Puntata 5), assorbono il costo delle frodi come una voce di spesa operativa, spalmata su milioni di transazioni sicure attraverso le commissioni.
Non significa che le banche "vogliano" le frodi. Significa che, fino a quando il costo aggregato delle frodi resta sotto la soglia a cui converrebbe investire in contromisure più invasive, il sistema non ha un incentivo economico forte a muoversi da solo — e la pressione regolatoria, finora, non lo ha imposto in modo stringente per il contactless.

06 / L'ingegneria sociale: il vero motore degli attacchi
Quasi nessuno degli attacchi NFC di successo documentati dal 2023 a oggi si basa solo sulla tecnologia. Il pattern, confermato indipendentemente da ESET, CERT Polska e dalle società italiane Cleafy e D3Lab nelle loro analisi di NGate e SuperCard X, segue quasi sempre la stessa sequenza:
È una catena in cui ogni anello, preso isolatamente, sembra plausibile a una persona non specialista: un messaggio che sembra dalla banca, una telefonata professionale, un'app che chiede di "verificare" la carta. Il malware da solo non basterebbe; l'ingegneria sociale da sola non basterebbe. Insieme, formano un sistema quasi infallibile — lo vediamo nel dettaglio tecnico nella Puntata 2.