Puntata 3 — Il business dell’insicurezza — Il Portafoglio Trasparente — effedc.it
Inchiesta · effedc.it · 5 puntate

Il Portafoglio Trasparente

Puntata 3 — Il business dell'insicurezza: chi guadagna dal mercato nero degli strumenti d'attacco, e chi guadagna vendendo protezione contro la stessa paura.

effedc.it Giugno 2026 Dati aggiornati al 30 giugno 2026 Inchiesta Puntata 3 / 5
In sintesi

Questa puntata segue i soldi: chi vende gli strumenti d'attacco, chi vende la protezione, e cosa hanno in comune.

  • Gran parte dell'hardware usato per attacchi RFID (Proxmark3, ACR122U) è dual-use: strumenti legittimi di ricerca sulla sicurezza, perfettamente legali da acquistare, che finiscono anche in mani criminali senza che il venditore ne sia responsabile.
  • Il crimine si sta spostando verso un modello Malware-as-a-Service: kit come NFU Pay e TX-NFC, pubblicizzati apertamente su Telegram, permettono di "affittare" un attacco NFC senza saperlo sviluppare.
  • Dall'altro lato, un'industria interamente legale — Vaultskin, Guardality, Credifence, Travelon/Samsonite — vende protezione RFID facendo leva sulla stessa paura, spesso con un marketing che esagera il raggio reale di uno skimmer.
  • Verifichiamo e correggiamo una cifra di mercato spesso citata ma non rintracciabile in un report primario: non esiste, a quanto abbiamo trovato, un dato univoco e citabile sul valore del mercato "RFID-blocking" per consumatori.
  • Un conflitto d'interesse strutturale, non un'accusa di malafede: gli standard di sicurezza delle carte contactless (EMVCo) sono fissati dagli stessi circuiti — Visa, Mastercard e altri — che beneficiano economicamente della loro diffusione.

01 / Gli strumenti dual-use: ricerca legittima, uso criminale

Prima di seguire i soldi del crimine, vale la pena chiarire un punto che la cronaca spesso appiattisce: gran parte dell'hardware usato per attacchi RFID/NFC non nasce nell'ombra. Nasce sugli scaffali della ricerca di sicurezza legittima.

Il Proxmark3 è probabilmente il dispositivo più noto in questo campo: un lettore/emulatore RFID open hardware, venduto apertamente da rivenditori specializzati, usato da penetration tester e ricercatori per analizzare badge d'accesso, smart card e sistemi RFID industriali. È uno strumento potente — può leggere, in alcuni scenari clonare ed emulare diverse tipologie di tag RFID — ed è perfettamente legale possederlo e venderlo.

Lo stesso vale per l'ACR122U, un lettore NFC USB economico prodotto da ACS (Advanced Card Systems, Hong Kong), pensato per sviluppatori e integratori di sistemi, abbinabile a librerie open source come libnfc. È in vendita su qualunque marketplace di elettronica.

Il problema del dual-use Un ricercatore che compra un Proxmark3 per testare i badge della propria azienda e un malintenzionato che compra lo stesso identico dispositivo per altri scopi sono, agli occhi del venditore, lo stesso cliente. Nella maggior parte delle giurisdizioni europee la responsabilità legale di chi vende uno strumento con usi legittimi documentati si ferma alla vendita stessa — la stessa logica che si applica alla vendita di un martello. È un'ambiguità reale, non un'invenzione retorica: ed è la stessa ambiguità, su scala molto più grande, che ha permesso a NFCGate (Puntata 2) di passare da progetto di ricerca a base tecnica di un'arma criminale.

02 / Malware-as-a-Service: il crimine come abbonamento

Più rilevante dell'hardware, nel 2025-2026, è l'evoluzione del software verso un modello Malware-as-a-Service (MaaS): il crimine organizzato non sviluppa più da zero ogni campagna, ma affitta l'accesso a piattaforme già pronte.

ESET, nel suo Threat Report H2 2025, cita esplicitamente due kit di questo tipo attivamente pubblicizzati su canali Telegram: NFU Pay e TX-NFC, entrambi venduti come servizio agli "affiliati" che poi conducono le campagne di phishing e gestiscono il cash-out. La struttura che emerge dalle analisi pubbliche di ESET, ThreatFabric e Cleafy — senza bisogno di inventare cifre — è tipicamente quella di un'organizzazione su più livelli: chi sviluppa e mantiene il codice del malware, chi gestisce l'infrastruttura di comando e controllo (spesso su hosting "a tolleranza di abuso" in giurisdizioni poco collaborative), chi conduce le campagne di phishing e ingegneria sociale verso le vittime finali, e chi recluta i "money mule" — persone, spesso in difficoltà economica, pagate una percentuale per prelevare fisicamente il contante agli sportelli ATM, assumendosi il rischio penale più diretto e immediato dell'intera catena.

Nota sulle cifre. Diverse fonti giornalistiche secondarie hanno fatto circolare stime in dollari sui ricavi di singole operazioni MaaS NFC (wallet Bitcoin specifici, fatturati mensili per affiliato). Non avendo trovato queste cifre in un report primario pubblicamente verificabile, le omettiamo: la struttura organizzativa qui descritta è invece solidamente documentata dalle fonti tecniche citate in calce.

03 / L'industria della protezione RFID

Dall'altra parte del tavolo c'è un'industria interamente legale che vive della stessa paura che alimenta il mercato nero: quella dei prodotti "RFID-blocking" — portafogli, bustine, carte schermanti.

Una ricerca su un qualunque marketplace di e-commerce per "portafoglio RFID" restituisce migliaia di risultati, da poche decine di centesimi per una semplice bustina fino a oltre 200 euro per articoli in pelle "certificata". Brand come Vaultskin, Guardality e Credifence costruiscono il proprio marketing attorno alla minaccia dello skimming a distanza — un rischio che, come abbiamo visto nella Puntata 1, è tecnicamente molto più limitato di quanto certi materiali promozionali lascino intendere (il raggio operativo realistico per una lettura completa resta nell'ordine dei centimetri, non dei "diversi piedi" che talvolta compaiono in copy commerciali statunitensi).

Brand più affermati nel settore travel, come Travelon (oggi parte del gruppo Samsonite, che lo distribuisce nel proprio catalogo accessori da viaggio) hanno fatto della protezione RFID una linea di prodotto consolidata fin dalla metà degli anni 2000.

04 / Quanto vale davvero questo mercato

Qui occorre una precisazione che la bozza originale di questa inchiesta non faceva: non esiste, per quanto abbiamo potuto verificare, un report di mercato dedicato specificamente ai "prodotti RFID-blocking per consumatori" pubblicato da una società di ricerche di mercato di primo piano con una cifra univoca e citabile. Quello che esiste — ed è facilmente confuso con la categoria consumer — è il mercato molto più ampio della tecnologia RFID nel suo complesso (tag, lettori, infrastruttura per retail, logistica, controllo accessi): Grand View Research lo stima a circa 20,1 miliardi di dollari nel 2024, con una crescita prevista del 15,8% annuo fino a 47,6 miliardi entro il 2030. È un mercato reale e in forte crescita, ma misura la diffusione dell'RFID nell'industria — non le vendite di portafogli antifurto.

Perché questa distinzione conta Diversi articoli e comunicati stampa di brand di accessori "RFID-blocking" citano cifre di mercato specifiche per la propria categoria di prodotto senza indicare con chiarezza la fonte primaria. Quando una cifra di mercato non è rintracciabile in un report citabile, il modo corretto di trattarla in un'inchiesta è ometterla — non ripeterla aggiungendo solo la frase "secondo alcune stime". È quello che facciamo qui.

05 / I conflitti d'interesse strutturali

Restano, però, conflitti d'interesse reali e documentabili senza bisogno di cifre inventate.

Le società di sicurezza che scoprono le minacce

Quando ESET, Cleafy, ThreatFabric o CERT Polska pubblicano l'analisi di un nuovo malware NFC, generano — legittimamente — copertura mediatica che innalza l'attenzione pubblica sul rischio. Le società di sicurezza commerciali (non i CERT pubblici, che non vendono prodotti) hanno un interesse economico diretto nel fatto che quell'attenzione si traduca in adozione dei loro prodotti di protezione mobile. Non significa che inventino minacce — sarebbe verificabile e smentibile — ma è ragionevole osservare che hanno un incentivo a sottolinearne la gravità più che a ridimensionarla.

I circuiti di pagamento e l'autoregolazione

Gli standard di sicurezza per le carte contactless sono definiti da EMVCo, un consorzio di proprietà di Visa, Mastercard, American Express, JCB, UnionPay e Discover — cioè dagli stessi circuiti che beneficiano economicamente dell'adozione di massa dei pagamenti contactless. Non è un'accusa di malafede: è una descrizione strutturale. Un consorzio che fissa i propri standard di sicurezza, bilanciando rischio accettabile e velocità di transazione, lo fa necessariamente tenendo conto anche dei propri interessi commerciali — non solo dell'interesse degli utenti finali. Approfondiamo le conseguenze pratiche di questo equilibrio, con i numeri di Banca d'Italia e PSD2, nella Puntata 4.

06 / Full disclosure vs. responsible disclosure: il dilemma dei ricercatori

Torniamo, per chiudere questa puntata, a NFCGate — il progetto di ricerca della TU Darmstadt diventato, suo malgrado, la base tecnica di NGate (Puntata 2). È un caso di scuola del più vecchio dibattito della sicurezza informatica: full disclosure (pubblicare tutto, codice compreso, per costringere l'industria a reagire) contro responsible disclosure (informare prima i soggetti coinvolti, dando tempo per una correzione, prima di rendere tutto pubblico).

I sostenitori della full disclosure — la scelta fatta dal team di Darmstadt nel 2015, pubblicando NFCGate apertamente su GitHub — argomentano che nascondere una vulnerabilità non la fa sparire, e che solo la pressione pubblica spinge davvero l'industria a investire in contromisure. I critici osservano che pubblicare un tool di attacco funzionante arma, insieme ai difensori, anche chi ha intenzioni opposte. Il repository di NFCGate include oggi un avviso esplicito che ne vieta l'uso malevolo — una clausola che, come ogni clausola di questo tipo, ha valore legale ma nessuna efficacia pratica contro chi ha già deciso di infrangerla.

Non esiste una risposta univoca a questo dilemma, ed è onesto dirlo invece di prendere posizione retoricamente: undici anni dopo la pubblicazione di NFCGate, l'industria dei pagamenti non ha eliminato la vulnerabilità strutturale che il progetto dimostrava — ma quella stessa pubblicazione ha anche permesso a ricercatori, CERT nazionali e società di sicurezza di costruire le difese e le analisi che citiamo in questa inchiesta.

Nella prossima puntata entriamo nei numeri concreti delle banche: cosa dice davvero la PSD2 sui rimborsi, cosa significa "negligenza grave" nella pratica, e perché — a parità di tecnologia disponibile — alcune banche scelgono di non implementare l'autenticazione biometrica obbligatoria sui pagamenti contactless.

07 / Fonti di questa puntata

01ESET — Threat Report H2 2025: citazione esplicita dei kit MaaS NFU Pay e TX-NFCwelivesecurity.com
02Proxmark3 — documentazione ufficiale del progetto open hardwareproxmark.com
03ACS (Advanced Card Systems) — specifiche prodotto ACR122Uacs.com.hk
04Grand View Research — Radio Frequency Identification Technology Market Report (mercato RFID complessivo, non solo prodotti anti-skimming)grandviewresearch.com, 2025
05Samsonite Group — catalogo accessori da viaggio, brand Travelonshop.samsonite.com
06EMVCo — struttura societaria e standard pubblici EMV contactlessemvco.com
07NFCGate — repository GitHub, TU Darmstadt Secure Mobile Networking Labgithub.com/nfcgate