Protezione RFID: cosa protegge realmente (e cosa non protegge)
Se negli ultimi tre o quattro anni avete acquistato un portafoglio con protezione RFID o una delle sottili carte con protezione RFID che si inseriscono negli slot appositi, complimenti: siete protetti da un metodo di frode con carta che ha smesso di funzionare per lo più da quando il chip sulle carte è diventato uno standard. Il marketing afferma che i ladri possono rubare dal vostro conto attraverso un tessuto. Il marketing aveva ragione sulla fisica delle onde radio, ma si sbagliava sulle carte dall'altra parte. La presentazione è intuitiva: la vostra carta contactless invia dati via radio, uno sconosciuto con un lettore nascosto può intercettare quei dati e i vostri soldi spariscono. È il tipo di modello di minaccia che il cervello accetta senza problemi perché segue le regole del furto fisico che già conosciamo. Il problema è che la moderna carta di pagamento all'altro capo di quel collegamento radio non si comporta come presuppone il marketing.
Questo articolo analizza cos'era effettivamente lo skimming RFID, cosa ha cambiato il protocollo contactless EMV e quali frodi NFC sono attualmente in crescita. Anticipazione: la frode in aumento è del tipo che nessun portafoglio può fermare.
Come avrebbe dovuto funzionare la clonazione RFID
Le famose dimostrazioni si sono svolte all'incirca tra il 2009 e il 2013. Ricercatori come Pablos Holman e Kristin Paget sono saliti sui palchi di Defcon e TED, hanno avvicinato una scatola nera alla tasca di qualcuno e ne hanno estratto una copia funzionante di una carta di credito. I video delle conferenze sono diventati virali. In quei minuti è nato un decennio di marketing basato su portafogli, custodie e passaporti.
Le carte clonate in quelle dimostrazioni erano quelle che gli esperti di pagamenti chiamano RFID equivalenti alla banda magnetica. Si trattava di carte contactless di prima generazione, come il programma originale Chase Blink negli Stati Uniti tra il 2005 e il 2013 circa. La carta trasmetteva, tramite un collegamento radio a corto raggio, essenzialmente gli stessi dati codificati sulla sua banda magnetica: il numero di conto principale, la data di scadenza, in molti casi il nome del titolare e il codice di verifica statico della carta. Uno skimmer con un'antenna leggermente sovradimensionata poteva leggere tutte queste informazioni attraverso tessuto o pelle sottile da pochi centimetri di distanza. I dati acquisiti erano sufficienti per codificare un clone funzionante su una banda magnetica vuota e utilizzarlo in qualsiasi esercente che accettasse ancora transazioni con strisciamento.
Il motivo tecnico per cui questo sistema funzionava è che le carte utilizzavano lo standard ISO 14443, la branca a corto raggio dell'identificazione a radiofrequenza, progettata per distanze di circa dieci centimetri. I dimostratori ne hanno esteso la portata con antenne più grandi e alimentatori più efficienti. I tag di prossimità che utilizzano lo standard ISO 15693, come quelli presenti nei libri delle biblioteche e nelle etichette di inventario dei magazzini, possono essere letti fino a settanta centimetri di distanza. Le carte di pagamento non hanno mai utilizzato questo standard. Ma l'impressione che è rimasta impressa nel pubblico è stata quella di un singolo dato: le carte possono essere lette da un capo all'altro della stanza. Quest'impressione era errata già nel 2010, ed è ancor più errata oggi.
Continuo a pensare a quanto sia radicata quella paura. Le carte utilizzate in quelle famose dimostrazioni non esistono più. Il settore dei pagamenti è andato avanti. La categoria di prodotti creata per difendersi da quelle carte, invece, è rimasta.
Perché l'EMV ha ucciso la minaccia Il blocco RFID è stato venduto per fermare
Ciò che ha posto fine agli attacchi di skimming equivalenti alla banda magnetica non sono stati portafogli migliori. È stato il chip EMV e, più specificamente, la versione contactless di EMV presente su tutte le carte Visa, Mastercard, American Express e Discover emesse negli ultimi anni.
Ecco cosa succede quando si avvicina una moderna carta contactless a un lettore. La carta e il terminale concordano su un contatore di transazioni univoco per quella singola transazione. Il chip sulla carta utilizza una chiave segreta, integrata in fase di produzione e mai trasmessa, per eseguire una fase di crittografia che calcola un crittogramma monouso chiamato ARQC, Authorization Request Cryptogram (Crittogramma di Richiesta di Autorizzazione). Il lettore invia l'ARQC, insieme ad altri campi, alla banca emittente per l'approvazione. Se uno skimmer si trova vicino alla vostra tasca e intercetta la stessa transazione, lo skimmer ottiene l'ARQC, il numero di conto principale, la data di scadenza e poco altro. Nessun CVV2, il codice a tre cifre sul retro della carta. Nessun PIN. Nessun dato della traccia 2 della banda magnetica. Nessun codice di verifica della carta riutilizzabile.
Cosa c'è di sbagliato nell'utilizzare nuovamente un ARQC acquisito? Il contatore è passato. La transazione successiva richiede un nuovo crittogramma con il valore del contatore successivo. Il sistema di autorizzazione dell'emittente rifiuterà la riproduzione. I dati clonati sono, ai fini della clonazione della carta o di una normale vendita di persona, inutili.
Per rendere concreta l'asimmetria, ecco cosa uno scanner RFID passivo può rilevare da una carta contactless EMV con un singolo tocco, rispetto a quanto sarebbe effettivamente necessario a un clone funzionante.
| Campo | Catturato tramite skimming RFID di EMV | Necessario per clonare o riprodurre |
|---|---|---|
| Codice conto principale (PAN) | SÌ | SÌ |
| Data di scadenza | SÌ | SÌ |
| Nome del titolare | A volte | A volte |
| Crittogramma ARQC | Sì (monouso, con rilegatura a contatore) | No (deve essere un nuovo codice per la prossima transazione) |
| CVV2 (tre cifre sul retro della carta) | NO | Sì, per la maggior parte dei pagamenti senza presenza fisica della carta. |
| SPILLO | NO | Sì, per i prelievi bancomat. |
| Dati completi della traccia due della banda magnetica | NO | Sì, è possibile clonare la carta su una carta a strisciamento. |
| Chiave segreta della carta | No (non esce mai dal chip) | Sì per generare qualsiasi ARQC valido |
Vale la pena soffermarsi sui numeri. EMVCo, l'organismo di settore che gestisce lo standard EMV, riporta che, al quarto trimestre del 2024, il 96,20% di tutte le transazioni con carta presente a livello globale utilizzava il chip. Circa il 72% di tutte le carte emesse è abilitato per EMV. Negli Stati Uniti, Visa ha riferito che i commercianti che hanno completato l'aggiornamento al chip hanno visto diminuire del 76% il valore delle frodi con carte contraffatte tra dicembre 2015 e dicembre 2017. Non si tratta di una tendenza marginale. È il chip che neutralizza completamente la convenienza economica della clonazione di carte di persona.
C'è una piccola eccezione che vale la pena menzionare. Il numero di conto principale e la data di scadenza, se acquisiti, possono talvolta essere utilizzati per tentare di accedere a transazioni non fisiche con esercenti che non applicano l'autenticazione 3DS o non verificano il codice CVV2. Questo è un problema reale. Non si tratta di un problema legato alla tecnologia RFID. Gli stessi numeri vengono costantemente divulgati tramite violazioni dei dati degli esercenti, pagine di phishing e transazioni di e-commerce clonate. Un portafoglio digitale con blocco non risolve questi problemi.
I prodotti di blocco RFID per numeri di frode contactless non ti mostrano mai
Chi acquista portafogli con protezione RFID quasi mai vede i dati reali sulle frodi, perché la categoria di frodi a cui questi portafogli sono destinati non è quella che subisce le perdite economiche.
| Fonte | Anno | Figura |
|---|---|---|
| Rapporto annuale sulle frodi nel settore finanziario del Regno Unito 2025 | 2024 | Nel Regno Unito le perdite dovute a frodi contactless ammontano a 41,1 milioni di sterline, registrando il primo calo su base annua dal 2020. |
| Finanza nel Regno Unito | 2024 | Nel Regno Unito, il totale delle frodi con carte di credito non autorizzate ammonta a 572,6 milioni di sterline. |
| Derivato | 2024 | Le frodi contactless rappresentano circa il 7,2% di tutte le frodi con carte di credito nel Regno Unito. |
| Finanza nel Regno Unito | 2024 | Le frodi con carta non presente rappresentano circa il 70% di tutte le frodi con carta, per un totale di oltre 400 milioni di sterline. |
| Documento di impegno della FCA | 2025 | Il tasso di frode nei pagamenti contactless è pari a 1,3 pence ogni 100 sterline spese con questo metodo, contro i 6 pence ogni 100 sterline registrati per tutte le transazioni con carta non autorizzate. |
| FCA / Computer Weekly | 2024 | Transazioni contactless nel Regno Unito: 18,9 miliardi, in aumento del 3,4% rispetto all'anno precedente, valore medio 15,86 sterline. |
| Recensione del servizio di skimming delle carte FICO statunitensi del 2025 | 2025 | L'organismo americano preposto alla lotta contro le frodi afferma esplicitamente di non poter isolare la clonazione RFID come categoria di perdita separata. |
Leggete due volte l'ultima riga. Il motivo per cui non esiste una cifra in dollari ampiamente citata per le perdite dovute alla clonazione RFID negli Stati Uniti è che chi si occupa di quantificare le frodi con carte di credito non riesce a trovare un dato significativo da riportare. Vengono isolate le clonazioni da bancomat e da distributori di benzina perché queste lasciano un dispositivo fisico. La clonazione RFID, nella forma presentata ai consumatori in quei video di Defcon, non viene rilevata.
In sintesi, le perdite documentate dovute a skimming passivo RFID sulle moderne carte contactless EMV sono statisticamente indistinguibili da zero. Consumer Reports, AARP, numerosi esperti di sicurezza, tra cui Roger Grimes di KnowBe4, l'Identity Theft Resource Center, Chase e Visa hanno tutti espresso opinioni simili in forma scritta.
Nel 2018, la Federal Reserve Bank di Kansas City ha studiato l'introduzione dei chip negli Stati Uniti in un briefing sui sistemi di pagamento, rilevando che le frodi con carta presente presso gli esercenti abilitati al chip sono diminuite drasticamente una volta completata la transizione, con un calo dei tassi di contraffazione e un aumento dei tassi di frode senza presenza fisica della carta, poiché i criminali hanno seguito la via più semplice verso i canali online. Questa migrazione è il fattore centrale delle frodi con carta negli anni 2020. Lo skimming, in tutte le sue forme, è diventato una fetta piccola e in diminuzione di una categoria già in contrazione di perdite dovute a frodi con carta presente. Lo skimming contactless rappresenta la parte più piccola di questa fetta.
Un altro dato merita di essere evidenziato. Nel Regno Unito, il limite massimo per le transazioni contactless è stato innalzato da venticinque a cento sterline nel 2021, dopodiché la Financial Conduct Authority ha annunciato nel 2025 che il limite sarebbe stato rimosso a partire dal 0 marzo e che i singoli emittenti avrebbero potuto stabilire i propri limiti. Se lo skimming passivo delle carte contactless fosse stato un vettore di perdita significativo, un aumento di cinque volte dell'esposizione per transazione avrebbe modificato i dati. Ciò non è avvenuto. Le frodi contactless sono diminuite di anno in anno nel 2024, nonostante i limiti più elevati e il maggior numero di transazioni. Il protocollo sta svolgendo il suo compito.
La vera minaccia NFC che il tuo portafoglio non può bloccare
Mentre l'industria del blocco RFID cercava di rispondere al quesito del 2012, i truffatori si sono spostati su un'altra strategia. La frode NFC in più rapida crescita al momento non coinvolge affatto uno sconosciuto vicino alla tua tasca.
Nell'agosto del 2024, la società di sicurezza ESET ha pubblicato una ricerca su un malware per Android chiamato NGate. La catena di attacco si presenta in questo modo: la vittima viene ingannata, solitamente tramite un SMS che finge di provenire dalla sua banca. Installa quella che crede essere un aggiornamento di sicurezza bancario. La falsa app le chiede di verificare la propria carta fisica avvicinandola brevemente al retro del telefono. Il malware legge la carta tramite il chip NFC del telefono e trasmette i dati, in tempo reale, al telefono di un aggressore in un altro paese. L'aggressore si avvicina a un bancomat con il telefono in mano e preleva contanti come se la carta della vittima fosse stata effettivamente avvicinata al terminale. ESET ha documentato l'arresto di un sospetto con circa seimila e cinquecento euro sottratti a tre vittime in un breve lasso di tempo.
Quello fu il primo caso ampiamente riportato dai media. Entro la prima metà del 2025, la telemetria di ESET ha mostrato un aumento di circa 35 volte dei rilevamenti di attacchi NFC relay rispetto alla seconda metà del 2024. La tecnica è ora in uso attivo. Funziona contro le moderne carte contactless EMV, perché il protocollo fa ciò che dovrebbe fare: la carta viene avvicinata, il crittogramma è nuovo e la banca emittente vede una transazione apparentemente normale.
Una custodia con protezione RFID non offre alcuna protezione contro tutto questo. La carta viene utilizzata volontariamente dalla vittima, tramite il proprio telefono, dopo aver installato l'app dannosa. La schermatura radio del portafoglio non ha alcuna relazione con la superficie di attacco.
Ciò che effettivamente protegge da questo tipo di attacco è molto più difficile da monetizzare come prodotto fisico. Bisogna essere in grado di riconoscere il messaggio di phishing, non installare app tramite link e considerare qualsiasi richiesta di verifica tramite carta di credito come un vero e proprio allarme. Niente di tutto ciò trova spazio in un portafoglio da venticinque dollari su Amazon.
Dove la tecnologia di blocco RFID si guadagna ancora un posto
La verità è che la protezione RFID non è inutile. Il punto debole del prodotto è la sua integrazione con le carte di pagamento. Gli oggetti realmente vulnerabili alla tecnologia RFID presenti in molti portafogli sono tutti tranne le carte di credito/debito.
Un breve elenco. Le vecchie tessere magnetiche degli hotel sono ancora in uso in molte strutture e utilizzano le famiglie HID iClass e MIFARE Classic a 13,56 MHz, entrambe compromesse da ricerche pubbliche e clonabili da chiunque con un lettore economico. I badge di accesso agli edifici, soprattutto quelli dei vecchi sistemi aziendali, spesso utilizzano gli stessi stack vulnerabili. Le etichette delle biblioteche seguono lo standard ISO 15693, che ha un raggio di lettura maggiore, e i loro identificativi vengono facilmente divulgati. Alcuni dei primi passaporti biometrici avevano un controllo degli accessi di base debole e potevano essere clonati per estrarre il contenuto della pagina dati. Le carte fedeltà, i badge per le palestre e le carte per i trasporti con valore memorizzato sono in genere facili da clonare o riutilizzare.
Se porti con te diverse di queste carte insieme alle tue carte di credito, una semplice custodia protettiva ha una funzione ben precisa. Non ha invece alcuna funzione per la tua carta Visa contactless.
L'asimmetria è l'aspetto che il marketing dei portafogli evita. Due problemi diversi vengono raggruppati nella stessa presentazione del prodotto, e quello più facile da spiegare è quello che, in sostanza, ha smesso di esistere una decina di anni fa.
Un modo pratico per pensarci: fate un elenco degli oggetti che avete nel portafoglio. Per ogni oggetto, chiedetevi quale standard radio utilizza e se tale standard prevede un livello di crittografia aggiuntivo. Le carte di credito, dopo il completamento dell'implementazione del chip EMV, lo prevedono. La maggior parte dei badge, delle chiavi degli hotel e delle tessere delle biblioteche non lo prevedono. La custodia protegge tutto ciò che non ha un livello di crittografia. Non può migliorare ciò che già ne ha uno. Questa è la storia del blocco RFID, raccontata senza il marketing.
