Articolo Aggiornato il 24/05/2026 da Francesco Polimeni
L’FBI ha emesso un alert nazionale nel 2025 segnalando che gli attacchi di clonazione NFC e contactless sono triplicati in 24 mesi. Secondo il report ESET Threat Report H1 2025, gli attacchi NFC sono aumentati di 35 volte nella prima metà del 2025 rispetto al semestre precedente. La carta contactless nel tuo portafoglio comunica in modo wireless con chiunque si trovi nel raggio di pochi centimetri — e quello che trasmette può essere intercettato, registrato e riutilizzato.
Ogni volta che avvicini la carta al POS senti un bip e la transazione è completata. Sembra sicuro. Sembra istantaneo. Ma in quello scambio di dati wireless — che dura meno di un secondo — viaggiano informazioni sufficienti per svuotarti il conto. La tecnologia che rende i pagamenti contactless possibili è la stessa che li rende vulnerabili.
Contenuto
- Come funziona la tecnologia NFC nella tua carta Contactless
- I tre vettori di attacco documentati nel 2025
- I numeri dell’epidemia
- Contactless ed il collegamento con “The Thing”: 80 anni di fisica identica
- Contactless: come proteggersi concretamente
- Contactless e le implicazioni per la sicurezza aziendale
- Domande frequenti
- Autore
Come funziona la tecnologia NFC nella tua carta Contactless
NFC — Near Field Communication — è una tecnologia di comunicazione wireless a corto raggio che opera a 13.56 MHz. Ogni carta contactless contiene un chip passivo identico nel principio a “The Thing” di Theremin: nessuna batteria, nessuna emissione autonoma. Si attiva solo quando viene illuminato dal campo elettromagnetico del lettore.
In quello scambio il chip trasmette numero della carta, data di scadenza e un codice di transazione dinamico. Il codice è teoricamente monouso — ma come vedremo, la catena di attacco moderna lo aggira completamente.
I tre vettori di attacco documentati nel 2025
1. Skimming fisico — il classico aggiornato
Un lettore NFC non autorizzato, nascosto in una borsa o in un dispositivo mimetizzato, può leggere i dati della carta a distanza ravvicinata senza che il titolare se ne accorga. Con strumenti come Z-NFC, X-NFC, SuperCard X e Track2NFC, gli attaccanti possono clonare i dati rubati della carta ed eseguire transazioni non autorizzate usando dispositivi NFC. Questi strumenti sono ampiamente disponibili nei forum underground e nei gruppi di messaggistica privata.
2. NFC Relay — la clonazione a distanza
NFCGate — nato come progetto open source per analizzare il traffico NFC a scopo accademico — è stato modificato aggiungendo funzioni che permettono di farlo girare attraverso un server malevolo, mascherarsi da software legittimo e eseguire scenari di social engineering. Quello che era un progetto di ricerca si è trasformato nella base per un’intera classe di attacchi per svuotare conti bancari senza accesso fisico alla carta.
I primi attacchi documentati usando NFCGate modificato risalgono alla fine del 2023 nella Repubblica Ceca. All’inizio del 2025 il problema era diventato su larga scala: i ricercatori di cybersecurity hanno scoperto più di 80 campioni unici di malware costruiti sul framework NFCGate.
3. Ghost Tap — il metodo più avanzato
I criminali usano tecniche di phishing per convincere le vittime a inserire i dati della carta su siti falsi e poi a condividere il codice OTP per confermare la carta in un wallet digitale. Con i dati e il codice in loro possesso, registrano le credenziali rubate nei propri wallet Apple o Google, inoltrano questi wallet ad altri dispositivi ed eseguono pagamenti contactless fraudolenti ovunque nel mondo. Questa tecnica permette ai criminali di rimanere anonimi e di monetizzare su scala più ampia.
I numeri dell’epidemia
Il numero totale di attacchi NFC riportati dalla telemetria ESET è aumentato di oltre 35 volte nel primo semestre del 2025 rispetto al secondo semestre del 2024.
L’FBI ha emesso un alert nazionale avvertendo che gli attacchi di clonazione NFC e contactless sono aumentati drasticamente nel 2025. I criminali stanno sfruttando vulnerabilità hardware e software nei sistemi tap-to-pay, rendendo la frode contactless una delle forme di crimine finanziario in più rapida crescita negli Stati Uniti. Le credenziali tap-to-pay rubate sono più che triplicate negli ultimi 24 mesi.
Contactless ed il collegamento con “The Thing”: 80 anni di fisica identica
Léon Theremin progettò nel 1945 un dispositivo passivo che si attivava solo sotto illuminazione elettromagnetica esterna, trasmetteva dati senza batterie e non emetteva nulla in assenza del segnale di attivazione. Il chip NFC nella tua carta funziona esattamente con lo stesso principio fisico — cavità risonante passiva, attivazione per induzione elettromagnetica, trasmissione modulata del segnale riflesso.
La differenza è che Theremin lo usava per ascoltare conversazioni diplomatiche segrete. Oggi lo stesso principio gestisce miliardi di transazioni finanziarie quotidiane — e la stessa vulnerabilità fondamentale si applica: chiunque riesca a illuminare il chip con il campo elettromagnetico giusto può leggere quello che trasmette.
Contactless: come proteggersi concretamente
Custodia schermante RFID: blocca fisicamente il campo elettromagnetico, rendendo il chip illeggibile anche a distanza ravvicinata. È la contromisura più semplice e più efficace contro lo skimming fisico.
Disattiva il contactless quando non lo usi: molte banche permettono di disabilitare i pagamenti NFC dall’app. Tienilo spento e attivalo solo al momento del pagamento.
Monitora le micro-transazioni: i criminali testano le carte rubate usando distributori automatici e chioschi non presidiati. Tieni d’occhio le transazioni da 1 o 2 euro — sono i segnali di allarme precoce.
Wallet digitale con token dinamico: Apple Pay e Google Pay non trasmettono il numero reale della carta ma un token monouso rigenerato a ogni transazione — significativamente più sicuro della carta fisica contactless.
Contactless e le implicazioni per la sicurezza aziendale
In contesti professionali il rischio supera la frode finanziaria individuale. Badge aziendali, tessere di accesso, carte di identità elettroniche usano lo stesso standard NFC. L’attacco eseguito contro una carta Mifare Classic 1K ha permesso di leggerne il contenuto, scrivere su di essa e duplicarne il UID usando uno smartphone NFC-capable con app standard. Un badge clonato è un accesso fisico non autorizzato a un edificio, a un server room, a un archivio riservato.
La valutazione del rischio RFID/NFC di un ambiente professionale rientra nel perimetro di una bonifica di sicurezza completa — non basta proteggere le comunicazioni digitali se i sistemi di accesso fisico sono vulnerabili alla stessa tecnologia.
Polinet S.r.l. include nelle ispezioni di sicurezza la valutazione delle vulnerabilità RFID e NFC dei sistemi di accesso fisico, operando dal 2001 con licenza ex Art. 28 T.U.L.P.S. e codice NATO NCAGE AL332. Contattaci su spiare.com per una valutazione riservata.
Fonti: ESET Threat Report H1 2025, Kaspersky NFC Relay 2026, FBI/IC3 Alert NFC 2025, The Hacker News
Domande frequenti
La mia carta contactless può essere clonata senza che me ne accorga?
Sì. Uno skimmer NFC nascosto in una borsa o in un dispositivo mimetizzato può leggere i dati della carta a distanza ravvicinata senza contatto fisico. Gli strumenti necessari — Z-NFC, X-NFC, SuperCard X — sono disponibili nei forum underground a prezzi accessibili. La transazione avviene in meno di un secondo e non lascia tracce visibili sul dispositivo della vittima.
Cos’è il Ghost Tap e perché è pericoloso?
Ghost Tap è la tecnica più avanzata di frode NFC. I criminali rubano le credenziali della carta tramite phishing, le registrano nel proprio wallet digitale e le inoltrano ad altri dispositivi in tutto il mondo per eseguire pagamenti contactless fraudolenti. La vittima non perde fisicamente la carta — è il token digitale ad essere compromesso. Le transazioni appaiono legittime ai sistemi antifrode perché provengono da wallet autenticati.
Qual è la differenza tra clonazione NFC e relay attack?
La clonazione copia i dati della carta su un supporto fisico duplicato. Il relay attack è più sofisticato: intercetta la comunicazione NFC in tempo reale tra carta e lettore e la inoltra attraverso internet a un secondo dispositivo in un’altra posizione geografica. Non serve clonare nulla — basta intercettare e ritrasemettere il segnale in tempo reale.
Una custodia RFID protegge davvero dalla clonazione?
Sì, contro lo skimming fisico è la contromisura più efficace. Blocca fisicamente il campo elettromagnetico a 13.56 MHz impedendo al chip di attivarsi. Non protegge però dal Ghost Tap, che avviene a livello di wallet digitale e non richiede accesso fisico alla carta. La protezione completa richiede entrambe le misure: custodia schermante per la carta fisica e monitoraggio attivo del wallet digitale.
I badge aziendali NFC sono vulnerabili agli stessi attacchi?
Sì. Badge aziendali, tessere di accesso e carte di identità elettroniche usano lo stesso standard NFC delle carte di credito. Un badge clonato con uno smartphone NFC-capable e un’app standard consente accesso fisico non autorizzato a edifici, server room e archivi riservati. La valutazione del rischio RFID dei sistemi di accesso fisico è parte integrante di una bonifica di sicurezza professionale.
