{"id":30409,"date":"2026-01-27T14:43:41","date_gmt":"2026-01-27T12:43:41","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30409"},"modified":"2026-01-27T14:44:35","modified_gmt":"2026-01-27T12:44:35","slug":"nfc-gate-relay-attacks-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/nfc-gate-relay-attacks-2026\/30409\/","title":{"rendered":"Attacchi di skimming NFC"},"content":{"rendered":"

I pagamenti NFC e tramite smartphone sono cos\u00ec comodi che molte persone hanno detto addio al portafoglio e non si preoccupano pi\u00f9 di ricordare i codici PIN. Le carte bancarie sono ormai memorizzate in un\u2019app specifica, che risulta pi\u00f9 veloce da utilizzare rispetto alle carte fisiche. Inoltre, i pagamenti mobili sono sicuri: si basano infatti su una tecnologia relativamente nuova, che integra un\u2019ampia serie di misure di difesa contro le frodi. E anche se i cybercriminali hanno escogitato metodi diversi per approfittare dell\u2019NFC e sottrarre denaro, \u00e8 molto semplice proteggere il proprio conto in banca. Leggi i suggerimenti di questo articolo ed evita le situazioni in cui \u00e8 pericoloso utilizzare l\u2019NFC.<\/p>\n

Relay NFC e NFCGate: che cosa sono?<\/h2>\n

Il relay NFC \u00e8 una tecnica specifica in base alla quale le informazioni inviate in modalit\u00e0 wireless da una sorgente (ad esempio, una carta bancaria) a un ricevitore (come un terminale di pagamento) vengono intercettate da un dispositivo intermedio e trasmesse in tempo reale a un altro. Supponiamo di avere due smartphone che sono connessi tramite Internet e in ciascuno dei quali \u00e8 installata un\u2019app di relay. Se si accosta una carta fisica a uno smartphone e si tiene l\u2019altro vicino a un terminale di pagamento o a uno sportello bancomat, l\u2019app di relay installata nel primo rileva il segnale della carta tramite NFC e lo inoltra in tempo reale al secondo smartphone, che a sua volta lo trasmette al terminale. Dal punto di vista del dispositivo ricevente, l\u2019operazione sembra sostanzialmente identica a quella che viene normalmente eseguita con una carta reale \u2013 carta che in realt\u00e0 potrebbe anche trovarsi fisicamente in un\u2019altra citt\u00e0 o in un altro paese.<\/p>\n

La tecnologia NFC non nasce per scopi criminali. Sviluppata dagli studenti dell\u2019Universit\u00e0 Tecnica di Darmstadt, in Germania, l\u2019app NFCGate ha fatto la sua comparsa nel 2015 come strumento di ricerca destinato alla didattica, al testing della tecnologia contactless, all\u2019analisi e al debug del traffico NFC. Distribuita come soluzione open source, NFCGate ha riscosso subito un ampio consenso in ambito accademico e tra gli appassionati del settore.<\/p>\n

Cinque anni dopo, rendendosi conto delle enormi possibilit\u00e0 offerte dal relay NFC, i cybercriminali hanno cominciato a modificare l\u2019app con l\u2019aggiunta di una serie di mod, progettate per instradare la comunicazione verso un server dannoso, spacciare il software come legittimo e mettere in campo tecniche di social engineering.<\/p>\n

Quello che in origine era un progetto di ricerca si \u00e8 trasformato nella tecnologia essenziale di una classe completamente nuova di attacchi, che consentono ai malintenzionati di prosciugare i conti bancari anche senza disporre di una carta fisica.<\/p>\n

Indietro nel tempo: l\u2019uso improprio della tecnologia NFC<\/h2>\n

I primi attacchi sferrati mediante una versione modificata dell\u2019app NFCGate sono stati registrati in Repubblica Ceca negli ultimi mesi del 2023. Entro l\u2019inizio del 2025 il fenomeno era ormai diventato dilagante e macroscopico, tanto che gli analisti di cybersecurity hanno scoperto pi\u00f9 di 80 campioni univoci di malware basati sul framework NFCGate. Gli attacchi si sono evoluti rapidamente e le funzionalit\u00e0 di relay NFC sono state integrate in altri componenti dei malware.<\/p>\n

Nel febbraio del 2025 sono comparsi dei bundle di malware che combinavano il ransomware CraxsRAT e l\u2019app NFCGate. I cybercriminali potevano cos\u00ec implementare e configurare la trasmissione quasi senza interagire con la vittima. Nella primavera dello stesso anno \u00e8 emerso un nuovo sistema di frode<\/a>, basato su versione \u201cdecodificata\u201d dell\u2019app NFCGate, che ha rivoluzionato le modalit\u00e0 di esecuzione degli attacchi.<\/p>\n

Vale la pena di fare un approfondimento sul trojan RatOn<\/a>, individuato per la prima volta in Repubblica Ceca. Questo malware, che unisce le funzionalit\u00e0 di controllo remoto dello smartphone a quelle di relay NFC, consente agli autori degli attacchi di prendere di mira app e carte attraverso svariate combinazioni di tecniche. I cybercriminali possono ricorrere a un ampio arsenale di armi improprie, dalle opzioni per l\u2019acquisizione di screenshot alla manipolazione dei dati memorizzati negli appunti, dall\u2019invio di SMS al furto delle informazioni dei portafogli di criptovaluta e delle app bancarie.<\/p>\n

La tecnologia di relay NFC \u00e8 stata inoltre integrata in una serie di pacchetti MaaS (Malware-as-a-Service), che vengono rivenduti in abbonamento ad altri attori di minacce. Agli inizi del 2025 gli analisti hanno scoperto che in Italia era in corso una nuova e sofisticata campagna di malware Android, chiamata SuperCard X<\/a>. In Russia e in Brasile, rispettivamente nei mesi di maggio e agosto dello stesso anno, i cybercriminali hanno tentato diverse volte di distribuire il malware SuperCard X.<\/p>\n

Attacchi NFCGate diretti<\/h2>\n

Gli attacchi diretti non sono altro che la modalit\u00e0 originale con cui i cybercriminali sfruttavano l\u2019app NFCGate. In questo caso lo smartphone della vittima svolge la funzione di lettore, quello del malintenzionato da emulatore della carta.<\/p>\n

L\u2019utente viene convinto con l\u2019inganno a installare sullo smartphone un aggiornamento di sistema, l\u2019app di un servizio bancario, un\u2019app specifica per la \u201csicurezza dell\u2019account\u201d o perfino un\u2019applicazione molto famosa, come TikTok. In realt\u00e0, si tratta di un malware camuffato. Dopo l\u2019installazione l\u2019app riesce ad accedere sia a NFC che a Internet, spesso senza aver bisogno di ottenere autorizzazioni pericolose<\/a> o accesso come root. Alcune versioni richiedono anche di utilizzare le funzioni di accessibilit\u00e0 disponibili in Android<\/a>.<\/p>\n

A questo punto, con il pretesto di verificare l\u2019identit\u00e0 dell\u2019utente, viene richiesto alla vittima di accostare la carta bancaria allo smartphone: il malware legge i dati della carta tramite NFC e li invia subito al server dei malintenzionati. Da qui le informazioni vengono trasmesse allo smartphone di un money mule, che completa l\u2019opera sottraendo il denaro. Con questo dispositivo, che emula la carta della vittima, \u00e8 possibile effettuare dei pagamenti attraverso un terminale o prelevare contanti da uno sportello bancomat.<\/p>\n

L\u2019app fraudolenta installata nello smartphone della vittima richiede anche di inserire il PIN della carta, proprio come avviene quando si utilizza un terminale di pagamento o uno sportello bancomat, e lo trasmette ai cybercriminali.<\/p>\n

All\u2019inizio i cybercriminali restavano nei pressi di uno sportello bancomat, con lo smartphone in mano, e sfruttavano subito la carta bancaria della vittima. In seguito il malware \u00e8 stato perfezionato in modo che le informazioni rubate si potessero utilizzare anche offline, in un secondo momento, per effettuare acquisti.<\/p>\n

La vittima non si rende subito conto di aver subito un furto: la carta \u00e8 sempre stata in suo possesso, non \u00e8 stato necessario fornire o inserire manualmente le relative informazioni e l\u2019app dannosa pu\u00f2 ritardare la ricezione delle notifiche sui prelievi (o perfino intercettarle).<\/p>\n

Ecco alcuni campanelli di allarme che possono indicare un attacco NFC diretto:<\/p>\n