
Il Portafoglio Trasparente
Puntata 3 — Il business dell'insicurezza: chi guadagna dal mercato nero degli strumenti d'attacco, e chi guadagna vendendo protezione contro la stessa paura.
Questa puntata segue i soldi: chi vende gli strumenti d'attacco, chi vende la protezione, e cosa hanno in comune.
- Gran parte dell'hardware usato per attacchi RFID (Proxmark3, ACR122U) è dual-use: strumenti legittimi di ricerca sulla sicurezza, perfettamente legali da acquistare, che finiscono anche in mani criminali senza che il venditore ne sia responsabile.
- Il crimine si sta spostando verso un modello Malware-as-a-Service: kit come NFU Pay e TX-NFC, pubblicizzati apertamente su Telegram, permettono di "affittare" un attacco NFC senza saperlo sviluppare.
- Dall'altro lato, un'industria interamente legale — Vaultskin, Guardality, Credifence, Travelon/Samsonite — vende protezione RFID facendo leva sulla stessa paura, spesso con un marketing che esagera il raggio reale di uno skimmer.
- Verifichiamo e correggiamo una cifra di mercato spesso citata ma non rintracciabile in un report primario: non esiste, a quanto abbiamo trovato, un dato univoco e citabile sul valore del mercato "RFID-blocking" per consumatori.
- Un conflitto d'interesse strutturale, non un'accusa di malafede: gli standard di sicurezza delle carte contactless (EMVCo) sono fissati dagli stessi circuiti — Visa, Mastercard e altri — che beneficiano economicamente della loro diffusione.
01 / Gli strumenti dual-use: ricerca legittima, uso criminale
Prima di seguire i soldi del crimine, vale la pena chiarire un punto che la cronaca spesso appiattisce: gran parte dell'hardware usato per attacchi RFID/NFC non nasce nell'ombra. Nasce sugli scaffali della ricerca di sicurezza legittima.
Il Proxmark3 è probabilmente il dispositivo più noto in questo campo: un lettore/emulatore RFID open hardware, venduto apertamente da rivenditori specializzati, usato da penetration tester e ricercatori per analizzare badge d'accesso, smart card e sistemi RFID industriali. È uno strumento potente — può leggere, in alcuni scenari clonare ed emulare diverse tipologie di tag RFID — ed è perfettamente legale possederlo e venderlo.
Lo stesso vale per l'ACR122U, un lettore NFC USB economico prodotto da ACS (Advanced Card Systems, Hong Kong), pensato per sviluppatori e integratori di sistemi, abbinabile a librerie open source come libnfc. È in vendita su qualunque marketplace di elettronica.
02 / Malware-as-a-Service: il crimine come abbonamento
Più rilevante dell'hardware, nel 2025-2026, è l'evoluzione del software verso un modello Malware-as-a-Service (MaaS): il crimine organizzato non sviluppa più da zero ogni campagna, ma affitta l'accesso a piattaforme già pronte.
ESET, nel suo Threat Report H2 2025, cita esplicitamente due kit di questo tipo attivamente pubblicizzati su canali Telegram: NFU Pay e TX-NFC, entrambi venduti come servizio agli "affiliati" che poi conducono le campagne di phishing e gestiscono il cash-out. La struttura che emerge dalle analisi pubbliche di ESET, ThreatFabric e Cleafy — senza bisogno di inventare cifre — è tipicamente quella di un'organizzazione su più livelli: chi sviluppa e mantiene il codice del malware, chi gestisce l'infrastruttura di comando e controllo (spesso su hosting "a tolleranza di abuso" in giurisdizioni poco collaborative), chi conduce le campagne di phishing e ingegneria sociale verso le vittime finali, e chi recluta i "money mule" — persone, spesso in difficoltà economica, pagate una percentuale per prelevare fisicamente il contante agli sportelli ATM, assumendosi il rischio penale più diretto e immediato dell'intera catena.
03 / L'industria della protezione RFID
Dall'altra parte del tavolo c'è un'industria interamente legale che vive della stessa paura che alimenta il mercato nero: quella dei prodotti "RFID-blocking" — portafogli, bustine, carte schermanti.
Una ricerca su un qualunque marketplace di e-commerce per "portafoglio RFID" restituisce migliaia di risultati, da poche decine di centesimi per una semplice bustina fino a oltre 200 euro per articoli in pelle "certificata". Brand come Vaultskin, Guardality e Credifence costruiscono il proprio marketing attorno alla minaccia dello skimming a distanza — un rischio che, come abbiamo visto nella Puntata 1, è tecnicamente molto più limitato di quanto certi materiali promozionali lascino intendere (il raggio operativo realistico per una lettura completa resta nell'ordine dei centimetri, non dei "diversi piedi" che talvolta compaiono in copy commerciali statunitensi).
Brand più affermati nel settore travel, come Travelon (oggi parte del gruppo Samsonite, che lo distribuisce nel proprio catalogo accessori da viaggio) hanno fatto della protezione RFID una linea di prodotto consolidata fin dalla metà degli anni 2000.
04 / Quanto vale davvero questo mercato
Qui occorre una precisazione che la bozza originale di questa inchiesta non faceva: non esiste, per quanto abbiamo potuto verificare, un report di mercato dedicato specificamente ai "prodotti RFID-blocking per consumatori" pubblicato da una società di ricerche di mercato di primo piano con una cifra univoca e citabile. Quello che esiste — ed è facilmente confuso con la categoria consumer — è il mercato molto più ampio della tecnologia RFID nel suo complesso (tag, lettori, infrastruttura per retail, logistica, controllo accessi): Grand View Research lo stima a circa 20,1 miliardi di dollari nel 2024, con una crescita prevista del 15,8% annuo fino a 47,6 miliardi entro il 2030. È un mercato reale e in forte crescita, ma misura la diffusione dell'RFID nell'industria — non le vendite di portafogli antifurto.
05 / I conflitti d'interesse strutturali
Restano, però, conflitti d'interesse reali e documentabili senza bisogno di cifre inventate.
Le società di sicurezza che scoprono le minacce
Quando ESET, Cleafy, ThreatFabric o CERT Polska pubblicano l'analisi di un nuovo malware NFC, generano — legittimamente — copertura mediatica che innalza l'attenzione pubblica sul rischio. Le società di sicurezza commerciali (non i CERT pubblici, che non vendono prodotti) hanno un interesse economico diretto nel fatto che quell'attenzione si traduca in adozione dei loro prodotti di protezione mobile. Non significa che inventino minacce — sarebbe verificabile e smentibile — ma è ragionevole osservare che hanno un incentivo a sottolinearne la gravità più che a ridimensionarla.
I circuiti di pagamento e l'autoregolazione
Gli standard di sicurezza per le carte contactless sono definiti da EMVCo, un consorzio di proprietà di Visa, Mastercard, American Express, JCB, UnionPay e Discover — cioè dagli stessi circuiti che beneficiano economicamente dell'adozione di massa dei pagamenti contactless. Non è un'accusa di malafede: è una descrizione strutturale. Un consorzio che fissa i propri standard di sicurezza, bilanciando rischio accettabile e velocità di transazione, lo fa necessariamente tenendo conto anche dei propri interessi commerciali — non solo dell'interesse degli utenti finali. Approfondiamo le conseguenze pratiche di questo equilibrio, con i numeri di Banca d'Italia e PSD2, nella Puntata 4.
06 / Full disclosure vs. responsible disclosure: il dilemma dei ricercatori
Torniamo, per chiudere questa puntata, a NFCGate — il progetto di ricerca della TU Darmstadt diventato, suo malgrado, la base tecnica di NGate (Puntata 2). È un caso di scuola del più vecchio dibattito della sicurezza informatica: full disclosure (pubblicare tutto, codice compreso, per costringere l'industria a reagire) contro responsible disclosure (informare prima i soggetti coinvolti, dando tempo per una correzione, prima di rendere tutto pubblico).
I sostenitori della full disclosure — la scelta fatta dal team di Darmstadt nel 2015, pubblicando NFCGate apertamente su GitHub — argomentano che nascondere una vulnerabilità non la fa sparire, e che solo la pressione pubblica spinge davvero l'industria a investire in contromisure. I critici osservano che pubblicare un tool di attacco funzionante arma, insieme ai difensori, anche chi ha intenzioni opposte. Il repository di NFCGate include oggi un avviso esplicito che ne vieta l'uso malevolo — una clausola che, come ogni clausola di questo tipo, ha valore legale ma nessuna efficacia pratica contro chi ha già deciso di infrangerla.
Non esiste una risposta univoca a questo dilemma, ed è onesto dirlo invece di prendere posizione retoricamente: undici anni dopo la pubblicazione di NFCGate, l'industria dei pagamenti non ha eliminato la vulnerabilità strutturale che il progetto dimostrava — ma quella stessa pubblicazione ha anche permesso a ricercatori, CERT nazionali e società di sicurezza di costruire le difese e le analisi che citiamo in questa inchiesta.
07 / Fonti di questa puntata

