Tap-to-pay: perché l'allarme NFC è quasi tutto rumore

Nel luglio 2025 una donna con un POS nella borsa veniva arrestata a Sorrento dopo aver sottratto migliaia di euro a turisti ignari. Il caso era reale. L'allarme mediatico che ne è seguito, molto meno. La tecnologia NFC ha difetti concreti, ma anche protezioni concrete che quasi nessuno menziona quando scrive di borseggio digitale.

Il caso di Sorrento del luglio 2025 è diventato rapidamente il simbolo di una minaccia moderna: una donna portava in borsa un terminale POS portatile, lo avvicinava alle borse dei turisti nei luoghi affollati, e sottraeva denaro senza che le vittime se ne accorgessero. In uno dei casi accertati, il danno aveva superato i novemila euro ai danni di una turista straniera. La cronaca era vera. Il modo in cui è stata raccontata, però, merita qualche precisazione.

Come funziona davvero la tecnologia NFC

Partiamo dalla fisica. Il pagamento contactless si basa sulla comunicazione in campo vicino, o NFC, che opera a 13,56 MHz e richiede una distanza massima di circa due centimetri tra la carta e il lettore. Non è un segnale radio che attraversa zaini, tasche profonde o strati di materiale. È un campo magnetico strettissimo che funziona solo in condizioni di prossimità quasi di contatto. Già questo riduce drasticamente il rischio rispetto all'immagine del truffatore che legge le carte delle persone dall'altro capo della metropolitana.

C'è però una protezione che quasi nessuno sa di avere già: portare due carte contactless nello stesso portafoglio le rende entrambe molto più difficili da leggere. I segnali NFC di due carte si sovrappongono e si disturbano a vicenda. Un lettore che riceve segnali simultanei da più carte non riesce a interpretarne nessuno correttamente, e mostra un messaggio di errore. Non è una funzione di sicurezza progettata, è una conseguenza fisica della tecnologia. Chi porta tre carte nel portafoglio ha già una protezione naturale senza aver speso un euro in custodie schermanti.

Il caso Sorrento non era ghost tapping

Il punto più trascurato nella narrazione mediatica riguarda la natura della frode. La donna arrestata non stava usando un Flipper Zero o un'app sullo smartphone per raccogliere dati delle carte in giro per la città. Stava usando un terminale POS commerciale reale, del tipo che usano i piccoli commercianti, collegato però a un conto intestato a un prestanome. Questo cambia radicalmente il profilo del rischio.

Il cosiddetto ghost tapping ordinario, ovvero l'idea di avvicinarsi a qualcuno in fila al supermercato e farsi addebitare qualcosa, funziona solo entro i limiti delle transazioni contactless senza PIN. In Italia la soglia è generalmente cinquanta euro, e molti istituti la fissano a trenta. Importi piccoli, transazioni tracciabili, conta valuta immediata sui sistemi bancari. La truffatrice di Sorrento riusciva a sottrarre cifre molto più alte perché si presentava ai circuiti di pagamento come un esercente legittimo, aggirando le protezioni per importo che valgono per i normali pagamenti contactless.

Il vero rischio non è la tecnologia. È chi riesce a fingersi un commerciante. E anche lì, la traccia è perfetta.

La rete di sicurezza che nessuno cita

Anche nel caso peggiore, ovvero quello in cui una transazione non autorizzata vada a buon fine, l'intero sistema è costruito per farti riavere i soldi. La politica Zero Liability di Visa prevede il rimborso entro cinque giorni lavorativi dalla segnalazione di una frode. Mastercard ha un meccanismo analogo. E la normativa italiana, il d.lgs. 11/2010, stabilisce che in caso di operazione disconosciuta la banca deve procedere al rimborso entro la giornata lavorativa successiva alla segnalazione, con le somme riaccreditate con la stessa valuta del giorno dell'addebito. Non è una cortesia: è un obbligo di legge. Il meccanismo chargeback esiste proprio per questo, ed è accessibile a chiunque.

Questo non significa che sia irrilevante subire un prelievo non autorizzato. Significa che la narrativa del furto digitale invisibile e irrecuperabile è falsa. La transazione è tracciata, l'esercente è identificato, e il percorso verso il rimborso è ben definito. Chi agisce tempestivamente, come prescrive la norma, non perde nulla, o al massimo una piccola franchigia in casi specifici.

Il vero punto debole sei tu

Ogni volta che si parla di sicurezza digitale, la tecnologia finisce sul banco degli imputati mentre il fattore umano passa quasi inosservato. Vale per l'autenticazione a due fattori, dove avere la 2FA attiva non significa essere al sicuro se si risponde a un SMS di phishing. Vale per il SIM swap, dove il numero di telefono viene sottratto non con la forza ma con una telefonata al gestore. E vale anche per il borseggio digitale.

Il modo più efficace con cui operano le frodi legate ai pagamenti, oggi, non passa da un POS pirata nascosto nella borsa. Passa da un SMS che simula la banca, da una telefonata in cui qualcuno sostiene che c'è un addebito sospetto e chiede di confermare il PIN, da un sito che replica esattamente quello della propria banca. L'ingegneria sociale ha un tasso di successo molto più alto di qualsiasi exploit tecnologico, proprio perché aggira la crittografia rivolgendosi direttamente all'utente.

Una cosa sola che cambia tutto

Se c'è un consiglio pratico che vale davvero, è uno solo: attivare le notifiche push per ogni transazione sull'app della propria banca. Non perché il contactless sia pericoloso, ma perché avere visibilità in tempo reale su ogni movimento è la risposta più efficace a qualsiasi tipo di frode, fisica o digitale. Un addebito non autorizzato che viene segnalato entro pochi minuti è quasi sempre recuperabile. Uno che si scopre a fine mese sull'estratto conto è invece più complicato da gestire, anche se i tempi di legge arrivano fino a tredici mesi.

Comprare una custodia anti-RFID è un investimento opzionale che non fa male. Evitare il tap-to-pay per paura del borseggio digitale, invece, significa rinunciare a una tecnologia che in termini assoluti è più sicura della banda magnetica che ha preceduto i chip EMV, come emerge chiaramente dai dati sulle frodi bancarie europee confrontando i periodi prima e dopo l'adozione dello standard. La storia della tecnologia dei pagamenti, a ben guardare, è proprio quella di una serie continua di risposte tecniche a problemi tecnici. È una storia che vale la pena raccontare per intero, e che inizia molto prima del tap-to-pay.