TLDR

  • NFC e RFID rendono comodi pagamenti, badge e chiavi, ma aggiungono una superficie radio a distanza molto breve.
  • Il rischio quotidiano va capito senza panico: le carte moderne usano codici dinamici e antifrode, ma badge vecchi e chiavi deboli possono essere più esposti.
  • Relay attack e skimming sono scenari diversi: uno estende la distanza, l'altro tenta letture ravvicinate.
  • Le difese pratiche sono notifiche transazioni, custodie schermate dove sensato, wallet smartphone, controllo movimenti e badge moderni.

Il borseggio non ha più solo mani

Il borseggio classico ha bisogno di distanza zero: una mano, una tasca, una borsa, una folla.

Il pickpocket 2.0 aggiunge un dettaglio più moderno: molti oggetti che portiamo addosso parlano via radio. Carte contactless, badge RFID, chiavi digitali, pass, wallet, telefoni, dispositivi NFC.

Hacker Journal parte da un'immagine molto concreta: metropolitana piena, persone vicine, zaini, giacche, telefoni e portafogli. È l'ambiente ideale per il furto tradizionale. Ma è anche l'ambiente in cui le tecnologie pensate per eliminare attrito, pagare in un gesto o aprire un tornello senza fermarsi possono diventare una superficie da studiare.

La parola chiave però è studiare.

Non panico.

NFC: comodo perché vicino

Le carte contactless usano NFC, una tecnologia pensata per comunicare a distanza molto breve. Il lettore genera un campo, la carta passiva si alimenta, parte lo scambio.

Questa vicinanza è una difesa pratica, ma non una magia. Se due dispositivi devono stare a pochi centimetri, l'attacco deve avvicinarsi. In un mondo affollato non è impossibile, ma è più difficile di quanto sembri nei video sensazionalisti.

EMVCo descrive i pagamenti contactless come transazioni con chip card e dispositivi NFC che generano un codice di sicurezza monouso per ogni transazione. Questo è il motivo per cui leggere "qualcosa" non significa automaticamente poter spendere liberamente.

Ci sono livelli:

  • comunicazione radio;
  • protocollo;
  • crittografia;
  • token o codice dinamico;
  • limiti di importo;
  • richiesta PIN;
  • antifrode banca;
  • notifiche utente;
  • blocco carta.

Il rischio reale vive nella catena completa, non nel singolo beep.

Mappa dei rischi RFID e NFC senza panico

Skimming e relay non sono la stessa cosa

Skimming significa provare a leggere dati avvicinandosi al dispositivo.

Relay significa estendere la distanza tra vittima e lettore legittimo. In pratica, due estremi comunicano tra loro e fanno sembrare vicino ciò che non lo è.

Dal punto di vista della ricerca, i relay attack sono molto interessanti. Paper come NFCGate hanno mostrato come smartphone Android possano diventare strumenti per analizzare, modificare e rilanciare traffico NFC in scenari controllati. La ricerca sugli ambient sensors ha provato a capire se sensori come luce, movimento o ambiente potessero aiutare a distinguere transazioni legittime e relay, con risultati tutt'altro che banali.

Ma attenzione: laboratorio non significa strada.

Un conto è dimostrare un rischio in condizioni controllate. Un conto è monetizzarlo in metro contro carte moderne, senza farsi notare, superando limiti, antifrode e controlli.

Per questo il tema va trattato da adulti: né "è tutto sicuro", né "ti rubano i soldi passando vicino".

Carte, badge e chiavi hanno rischi diversi

Le carte di pagamento moderne hanno difese forti, ma non sono l'unico oggetto in tasca.

Badge aziendali.

Qui il problema può essere più serio. Un badge vecchio, clonabile, non monitorato o legato a un sistema senza revoca rapida può aprire porte fisiche. Se l'edificio registra male gli accessi o usa tecnologie legacy, il danno non è solo economico.

Chiavi auto.

Il mondo keyless ha avuto negli anni molti problemi di relay e amplificazione del segnale. Anche qui non tutte le auto sono uguali, e molte contromisure moderne riducono il rischio.

Tessere palestra, hotel, uffici, coworking.

Spesso sono la parte più trascurata. Costano poco, si sostituiscono in fretta, ma possono aprire spazi reali.

Passaporti e documenti.

Hanno standard e protezioni specifiche, ma la regola resta: non confondere "ha un chip" con "è banale leggerlo e abusarlo".

I gadget non sono il male, sono l'occasione per capire

Flipper Zero e strumenti simili hanno reso più accessibile il mondo radio. Questo non significa che ogni persona con un gadget sia un criminale.

Significa che più persone possono vedere protocolli che prima restavano invisibili.

Come per Meshtastic e LoRa, il valore educativo è enorme se resti nel laboratorio legale:

  • capire frequenze;
  • capire distanza reale;
  • distinguere UID, autenticazione e contenuto;
  • capire cosa è leggibile e cosa no;
  • testare solo dispositivi propri;
  • documentare limiti e contromisure.

Il problema non è imparare.

Il problema è confondere curiosità con autorizzazione.

Difese pratiche che non vendono paura

Per le carte:

  • attiva notifiche per ogni pagamento;
  • usa wallet smartphone quando possibile;
  • imposta limiti e blocco rapido;
  • controlla movimenti spesso;
  • porta solo le carte necessarie;
  • usa custodie schermate se ti fa stare più sereno o viaggi molto.

Per i badge:

  • chiedi che tecnologia usa l'azienda;
  • segnala badge smarriti subito;
  • evita di tenerlo sempre esposto;
  • non prestarlo;
  • chiedi log e revoca rapida se gestisci accessi.

Per chi progetta sistemi:

  • usa tecnologie moderne;
  • evita UID come unica prova di identità;
  • aggiungi revoca e logging;
  • separa aree e privilegi;
  • controlla accessi anomali;
  • non lasciare badge legacy a proteggere spazi critici.

Per chi compra gadget:

  • non comprare per "rubare";
  • compra per imparare;
  • documentati su leggi e standard;
  • resta su dispositivi tuoi;
  • tieni un quaderno di laboratorio;
  • se il test può coinvolgere altri, non farlo.

Perché il wallet smartphone spesso è meglio

Molte persone pensano che la carta fisica sia più sicura perché è "meno digitale".

Spesso è il contrario.

I wallet smartphone possono aggiungere biometria, tokenizzazione, blocco remoto, notifiche, controllo dispositivo e codici dinamici. Non sono perfetti, ma riducono alcuni rischi pratici rispetto a una carta passiva sempre pronta nel portafoglio.

La domanda non è "analogico o digitale?".

È: quale sistema ha più controllo, più revoca e più visibilità?

La frase da ricordare

NFC e RFID non sono magie oscure.

Sono radio a corto raggio dentro oggetti comodi.

La sicurezza sta nel capire che la comodità è sempre uno scambio: meno attrito quando paghi, apri, passi, entri; più bisogno di sapere cosa porti addosso e come reagisci se qualcosa succede.

Il portafoglio schermato può aiutare.

La consapevolezza schermata no.

FAQ

Devo comprare subito un portafoglio RFID-blocking?

Non per forza. Può essere utile se tieni molte carte contactless nello stesso portafoglio o viaggi spesso in luoghi affollati, ma non sostituisce notifiche bancarie, controllo movimenti e blocco rapido della carta.

Le carte contactless sono facili da rubare via radio?

Non è così semplice. La comunicazione è a distanza breve e le transazioni EMV usano meccanismi dinamici e antifrode. Il rischio esiste, ma va distinto dal panico da gadget.

Badge aziendali e chiavi sono più delicati?

Spesso sì, perché dipende dal sistema. Badge legacy, accessi non monitorati o sistemi senza revoca rapida possono avere un impatto più serio di una singola carta di pagamento.

Flipper Zero è il problema?

No. È uno strumento di ricerca e apprendimento. Il problema è usare tecnologie radio senza capire standard, permessi, log e contromisure.

Qual è la protezione migliore?

Per pagamenti: wallet smartphone, notifiche e limiti. Per badge: tecnologie moderne, revoca, audit accessi e separazione. Per la vita quotidiana: meno carte inutili nel portafoglio.

Fonti