
Il Portafoglio Trasparente
Puntata 5 (finale) — Difendersi davvero: cosa funziona, cosa è teatro della sicurezza, e cosa fare nei primi minuti se ti accorgi di essere stato colpito.
La puntata finale lascia da parte l'analisi e passa alla pratica: cosa fare, con quale efficacia, e cosa fare nei primi minuti se sei vittima di una frode.
- La difesa più efficace è anche la più economica: non installare mai app fuori da Google Play/App Store e non avvicinare mai la carta a un telefono su istruzione di una voce al telefono — è il singolo gesto che neutralizza NGate, RatOn e SuperCard X.
- Attivare gli alert per ogni transazione, abbassare i limiti contactless e verificare le impostazioni NFC dello smartphone sono misure a costo zero e alta efficacia (Livello 1).
- Portafogli schermati e wallet digitali (Apple Pay/Google Pay) aggiungono un ulteriore strato, con un test pratico per verificarne davvero l'efficacia prima di fidarsene.
- Un protocollo preciso in 5 passi per i primi minuti dopo una frode: blocco carta, screenshot e orario, denuncia, notifica scritta alla banca, e — punto spesso trascurato — non autoqualificarsi mai come "negligenti" nella propria descrizione dei fatti.
- I tuoi diritti in pratica: rimborso come regola, onere della prova sulla negligenza a carico della banca, e la via dell'Arbitro Bancario Finanziario prima di considerare una causa civile.
01 / Il rischio zero non esiste — la gestione del rischio sì
Chiudiamo questa inchiesta con quello che, in cinque puntate, può sembrare mancare: cosa fare, concretamente.
Non esiste un modo per portare a zero il rischio di frode su un sistema di pagamento elettronico — esattamente come non esiste rischio zero nell'attraversare una strada. Ma puoi ridurlo in modo sostanziale con un investimento minimo di tempo. La gerarchia che segue va dalle misure a costo zero (le più efficaci, in proporzione allo sforzo) a quelle più impegnative.
02 / Livello 1 — Difese a costo zero
Configurazione del conto e della carta
- Attiva gli alert per ogni transazione — push notification e SMS, anche per importi minimi. È la misura singola più efficace: con schemi come NGate o SuperCard X, i prelievi avvengono in sequenza ravvicinata; ricevere subito la notifica del primo permette di bloccare la carta prima degli altri.
- Abbassa i limiti contactless dove la tua banca lo consente — limite giornaliero, limite per singola transazione, limite di prelievo ATM.
- Verifica se puoi disabilitare completamente il contactless, tornando a inserimento + PIN per ogni operazione: alcune banche italiane lo offrono su richiesta.
Sicurezza dello smartphone — la difesa più efficace contro NGate e SuperCard X
Ricordando quanto visto nella Puntata 2: nessuno di questi malware si installa da solo. Richiede sempre che la vittima scarichi e apra un'app da un link esterno. Di conseguenza:
- Installa app solo da Google Play Store o App Store, mai da link ricevuti via SMS, email o WhatsApp — anche se sembrano provenire dalla banca.
- Verifica che Google Play Protect sia attivo (Play Store → icona profilo → Play Protect): rileva le firme dei malware noti, inclusi i sample NGate e SuperCard X analizzati pubblicamente.
- Non cliccare link in SMS o email che chiedono di "verificare" il conto. Le banche italiane non distribuiscono app di "verifica sicurezza" via link diretto: nel dubbio, apri l'app ufficiale già installata o chiama il numero stampato sul retro della carta — mai un numero ricevuto via SMS.
- Diffida di chiunque, al telefono, ti chieda di avvicinare la carta fisica al telefono e digitare il PIN in un'app. È, letteralmente, lo schema operativo di NGate, RatOn e SuperCard X descritto nella Puntata 2: nessuna procedura di sicurezza bancaria legittima funziona così.
Igiene quotidiana
- Controlla l'estratto conto almeno un paio di volte a settimana, non solo a fine mese.
- Non condividere mai il PIN, nemmeno con un "operatore" al telefono, nemmeno in un'app.
03 / Livello 2 — Protezioni fisiche a basso costo
Queste misure riducono il rischio di skimming RFID fisico "classico" (Puntata 1) — non proteggono contro NGate o SuperCard X, che richiedono che la vittima stessa installi il malware e avvicini volontariamente la carta al telefono infetto.
- Bustine o portafogli schermati — riducono concretamente la distanza di lettura utile di una carta contactless. Per verificarne l'efficacia, un test semplice e affidabile: prova a far leggere a un POS la carta mentre è dentro la custodia chiusa; se il terminale non la rileva, la schermatura funziona.
- Wallet digitali (Apple Pay / Google Pay) invece della carta fisica per l'uso quotidiano — è, paradossalmente, un'opzione più sicura della carta fisica contro la clonazione fisica: ogni transazione genera un token dinamico monouso al posto del numero di carta reale, e richiede autenticazione biometrica locale (Face ID, Touch ID o impronta) prima di ogni pagamento.
04 / Livello 3 — Setup avanzato
- Carte virtuali per gli acquisti online — la maggior parte delle banche italiane (Intesa Sanpaolo, UniCredit, Fineco, Widiba e altre) offre numeri di carta temporanei generabili dall'app, scollegati dal numero fisico: se vengono compromessi in una violazione di dati online, la carta fisica resta intatta.
- Segregazione dei conti — usare una carta a saldo limitato (prepagata, ricaricata periodicamente) per le spese quotidiane, tenendo il grosso dei risparmi su un conto/carta usato raramente per i pagamenti diretti, riduce il danno massimo possibile in caso di compromissione.
05 / Cosa fare nei primi minuti, se vieni colpito
- Blocca subito la carta dall'app della banca o chiamando il numero d'emergenza stampato sul retro — non aspettare "domani".
- Fai uno screenshot delle transazioni sospette e annota l'orario esatto in cui te ne sei accorto: è rilevante per dimostrare di aver notificato "senza indugio", come richiesto dalla PSD2.
- Sporgi denuncia a Polizia o Carabinieri (anche online, dove disponibile) e conserva il numero di protocollo.
- Notifica la banca per iscritto (email o PEC, non solo telefonata), elencando data, ora e importo di ogni transazione contestata, e richiedendo formalmente il rimborso ai sensi dell'art. 73 PSD2.
- Non ammettere — perché spesso non è vero — di aver agito con "negligenza grave": limita la descrizione ai fatti verificabili (es. "ho ricevuto un messaggio che sembrava provenire dalla banca"), senza autoqualificare il proprio comportamento.
06 / I tuoi diritti, in pratica
Come ricostruito nel dettaglio nella Puntata 4: hai diritto, per legge (PSD2, art. 73), al rimborso immediato di una transazione non autorizzata, salvo che la banca dimostri una negligenza grave da parte tua (art. 74) — l'onere di provarla, va ricordato, è della banca, non il contrario.
Se la banca rifiuta il rimborso e ritieni la motivazione infondata, in Italia puoi rivolgerti, senza costi legali eccessivi, all'Arbitro Bancario Finanziario (ABF) — l'organismo di risoluzione stragiudiziale delle controversie tra clienti e intermediari promosso dalla Banca d'Italia — o alle associazioni dei consumatori (Altroconsumo, Adiconsum, Codacons, Federconsumatori), che possono offrire assistenza nella formulazione del reclamo. Una causa civile resta l'ultima risorsa, da valutare solo per importi significativi e con prove solide, vista la sproporzione di risorse legali tra un singolo cliente e una banca.
07 / Miti da sfatare
08 / Conclusione della serie
In cinque puntate abbiamo seguito un filo che parte dalla fisica di un chip NFC e arriva al testo di una direttiva europea. Nel mezzo: un progetto di ricerca universitario tedesco diventato, suo malgrado, la base tecnica di un'arma criminale operativa in mezza Europa (Puntata 2); un'industria della protezione che vive della stessa paura sfruttata dai criminali, senza che esista — lo abbiamo verificato e lo diciamo chiaramente — un dato di mercato univoco a sostegno delle cifre spesso citate dai venditori (Puntata 3); e un quadro normativo che, sulla carta, tutela il consumatore, ma la cui applicazione pratica dipende da una singola espressione, "negligenza grave", che resta in larga parte nelle mani di chi ha l'interesse economico a interpretarla nel modo più restrittivo (Puntata 4).
Non è una storia di complotti: è una storia di incentivi economici disallineati, documentabile con fonti pubbliche senza bisogno di inventare nulla. La buona notizia, per chi è arrivato fin qui, è che la difesa più efficace contro la quasi totalità degli schemi descritti in questa inchiesta non costa nulla: non installare app fuori dagli store ufficiali, e non avvicinare mai la propria carta a un telefono su istruzione di una voce al telefono.
Questa inchiesta è finita. I report tecnici che l'hanno resa possibile — ESET, CERT Polska, ThreatFabric, Cleafy, Banca d'Italia — continuano a essere aggiornati: vale la pena tornarci.
09 / Fonti di questa puntata

