/ carte e pagamenti / È davvero possibile che qualcuno ti rubi soldi dalla tasca con un POS portatile via NFC?
Pubblicato il Aprile 18, 2024

Contrariamente ai video allarmistici che circolano online, il furto di denaro tramite un POS contactless nascosto è tecnicamente possibile ma praticamente irrealizzabile a causa di limiti fisici, tecnologici e procedurali. La vera minaccia per i tuoi soldi non è il ladro in metropolitana, ma una scarsa “igiene digitale”: app in conflitto, mancata attivazione delle notifiche e una gestione disattenta delle proprie carte. Questo articolo smonta le paure infondate e ti fornisce gli strumenti per una sicurezza reale.

Gira un video virale, forse lo hai visto anche tu: una persona in un luogo affollato, come la metropolitana o un concerto, si avvicina a uno sconosciuto e, con un POS portatile nascosto in una borsa, gli “ruba” 50 euro dalla carta di credito contactless che ha in tasca. La scena è rapida, silenziosa e spaventosa. Da quel momento, il dubbio si insinua: può succedere anche a me? La reazione istintiva è cercare soluzioni immediate, come acquistare portafogli schermati o pensare di disattivare del tutto una tecnologia così comoda.

La verità, però, è molto più complessa e, per fortuna, meno drammatica di quanto sembri. Sebbene la tecnologia NFC (Near Field Communication) sia il cuore di questi pagamenti, la sua efficacia è legata a una serie di vincoli fisici e di sicurezza che i video sensazionalistici omettono. Il vero rischio, spesso, non si nasconde nei centimetri che ci separano da un malintenzionato, ma nelle nostre abitudini digitali. Pagare con la carta sbagliata per distrazione, avere app in conflitto che bloccano le transazioni o non conoscere i limiti di sicurezza imposti dalle normative sono problemi molto più concreti e frequenti.

Questo articolo non si limiterà a dirti se il furto contactless è possibile. Agirà come un vero “MythBuster”, uno sfatatore di miti. Analizzeremo scientificamente le condizioni necessarie per un simile furto, separando la paranoia dalla prudenza. Scopriremo perché la sicurezza dei pagamenti da smartphone supera quella delle carte fisiche grazie alla tokenizzazione e come una corretta “igiene digitale” sia la difesa più potente. L’obiettivo è trasformare la paura in consapevolezza, permettendoti di usare il contactless con la sicurezza che merita.

Per fare chiarezza su ogni aspetto, abbiamo strutturato questo approfondimento in sezioni specifiche. Ognuna affronterà un mito, un errore comune o una domanda pratica per darti un quadro completo e affidabile della sicurezza dei tuoi pagamenti digitali.

Sommario: Guida completa alla sicurezza dei pagamenti contactless NFC

A quanti centimetri deve stare il ladro per leggere la tua carta (e perché è quasi impossibile)?

Il primo mito da sfatare riguarda la distanza. La tecnologia NFC, per sua stessa definizione (“Near Field”, campo vicino), è progettata per funzionare solo a distanze minime. Tecnicamente, il raggio d’azione è estremamente limitato: la comunicazione tra la carta e il lettore POS avviene a una distanza massima che, secondo i dati tecnici, varia dai 4 ai 10 cm. Nella pratica, per una lettura stabile e veloce, la distanza ottimale è inferiore ai 4 cm. Questo, da solo, rende lo scenario del furto “a distanza” molto improbabile.

Ma il vero ostacolo non è solo tecnologico, è la frizione fisica del mondo reale. Un ladro dovrebbe: individuare la posizione esatta della tua carta nel portafoglio e nella tasca; avvicinare il suo terminale a meno di 4 cm da essa, mantenendolo fermo per alcuni secondi necessari alla transazione; fare tutto questo in un ambiente affollato senza destare il minimo sospetto. Inoltre, il segnale NFC è facilmente schermato da altri materiali. La semplice presenza di più carte contactless sovrapposte, monete o persino un portafoglio di cuoio spesso può creare un’interferenza di segnale sufficiente a far fallire la transazione.

Infine, c’è un aspetto logistico cruciale: qualsiasi transazione registrata su un POS è legata a un conto corrente bancario intestato a una persona fisica o giuridica. Per incassare il denaro, il truffatore dovrebbe aver aperto un contratto da esercente con una banca, fornendo documenti d’identità validi. Un’operazione del genere lascerebbe una traccia digitale e bancaria inequivocabile, rendendo il criminale facilmente identificabile. La combinazione di vincoli tecnici, ostacoli fisici e tracciabilità finanziaria rende questo tipo di furto un’impresa ad altissimo rischio e bassissimo rendimento.

Portafoglio schermato: accessorio utile o marketing per paranoici?

Di fronte alla paura del furto contactless, il mercato ha risposto prontamente con un’ampia gamma di portafogli e custodie “anti-RFID” o “schermate”. La promessa è semplice: un materiale speciale inserito nel portafoglio crea una gabbia di Faraday che blocca i segnali NFC/RFID, proteggendo le carte da letture non autorizzate. Ma sono davvero efficaci o si tratta principalmente di un’abile operazione di marketing che sfrutta una paura diffusa?

La risposta, supportata da test indipendenti, è che la loro efficacia è molto variabile e spesso non superiore a soluzioni più semplici ed economiche. Un foglio di alluminio per alimenti, piegato più volte e inserito nel portafoglio, svolge la stessa identica funzione di schermatura. Ancor più semplicemente, tenere due o più carte contactless una sopra l’altra spesso basta a creare un’interferenza che impedisce al lettore POS di individuarne una specifica, facendo fallire il pagamento. Se hai mai provato a pagare avvicinando l’intero portafoglio al POS e la transazione non è andata a buon fine, hai già sperimentato questa protezione naturale.

Studio sull’efficacia delle carte di blocco RFID in Italia

L’inefficacia di molti prodotti commerciali è stata dimostrata scientificamente. Uno studio condotto da ricercatori italiani e pubblicato su arXiv ha messo alla prova 11 diverse “blocking cards” disponibili sul mercato. I risultati sono stati sorprendenti: come riportato in analisi successive, ben 8 su 11 sono state facilmente bypassate perché basate su tecnologie obsolete o mal implementate. Questo dimostra che affidarsi ciecamente a un prodotto etichettato come “schermato” non garantisce una protezione assoluta.

Questo non significa che tutti i portafogli schermati siano inutili, ma che la loro necessità è spesso sopravvalutata. Invece di investire in accessori costosi, una gestione consapevole delle proprie carte offre una sicurezza paragonabile, se non superiore. Il vero punto non è bloccare un segnale, ma capire che il sistema di pagamento ha già diversi livelli di sicurezza intrinseca.

Confronto visivo tra portafoglio schermato professionale e soluzione fai-da-te con alluminio

Come si può notare, la logica di base è la stessa: interporsi tra la carta e un potenziale lettore con un materiale conduttivo. Che sia una maglia metallica integrata o un semplice foglio di alluminio, il principio fisico non cambia. La vera domanda da porsi è se il rischio giustifichi la spesa, quando soluzioni a costo zero sono altrettanto valide.

Come spegnere la funzione contactless dall’app se vai in zone a rischio o affollate?

Una delle funzioni più richieste da chi teme il furto NFC è la possibilità di disattivare temporaneamente il contactless. Molte app bancarie in Italia offrono questa opzione, permettendo all’utente di “spegnere” la carta per i pagamenti senza contatto con un semplice tocco, per poi riattivarla quando necessario. Questa può sembrare una soluzione prudente, specialmente se ci si reca in luoghi molto affollati come concerti, stadi o mezzi pubblici nelle ore di punta.

Tuttavia, è fondamentale contestualizzare il rischio. Come abbiamo visto, il furto fisico via NFC è estremamente improbabile. La vera epidemia di frodi avviene online. Secondo il report annuale della Polizia Postale, nel solo 2024 si è registrato un aumento del 15%, con 18.714 casi di truffe online trattati. Phishing, smishing e malware sono minacce infinitamente più concrete e redditizie per i criminali rispetto a un maldestro tentativo di addebito in metropolitana. Disattivare il contactless per paura del borseggio elettronico è come installare una porta blindata e lasciare le finestre aperte su internet.

Anziché disattivare una funzione comoda, è più strategico abbracciare una tecnologia ancora più sicura: i pagamenti tramite smartphone con Google Wallet o Apple Pay. Questi sistemi si basano sulla tokenizzazione, un processo che sostituisce i dati reali della tua carta (il numero a 16 cifre, la scadenza, il CVV) con un codice “usa e getta” (token) per ogni singola transazione. Questo offre un livello di sicurezza superiore.

I dati che il telefono trasmette al Pos non sono quelli della carta ‘fisica’. Quindi anche se il POS fosse hackerato, i dati sottratti non potrebbero essere utilizzati.

– Jacopo Jannone, informatico, Sky TG24

In sintesi, sebbene la disattivazione del contactless sia un’opzione, focalizzarsi su di essa distoglie l’attenzione dai rischi reali e dalle soluzioni di sicurezza più avanzate. La vera prudenza sta nell’usare gli strumenti più sicuri a nostra disposizione, come i wallet digitali, piuttosto che rinunciare alla comodità per una minaccia quasi inesistente.

L’errore di avvicinare tutto il portafoglio al tornello della metro e pagare con la carta sbagliata

Abbandoniamo per un attimo gli scenari di furto e concentriamoci su un problema molto più comune e fastidioso: l’addebito sulla carta sbagliata. Chiunque usi i mezzi pubblici in città come Milano o Roma, dove è possibile pagare il biglietto direttamente al tornello con una carta contactless, ha probabilmente vissuto questa situazione. Avvicini di fretta l’intero portafoglio al lettore e, invece di usare la carta di debito, il sistema addebita il costo sulla carta di credito, o viceversa. Questo fenomeno, noto come “card clash”, non è un malfunzionamento, ma una conseguenza diretta di come funziona la tecnologia NFC.

Quando più carte contactless si trovano nel raggio d’azione di un lettore, quest’ultimo cerca di comunicare con la prima che risponde in modo stabile. Solitamente è quella più esterna o con l’antenna più potente. Il sistema non può “scegliere” la carta che intendi usare. Lo stesso conflitto può verificarsi se avvicini uno smartphone con un’app di pagamento attiva e contemporaneamente hai una carta fisica nel portafoglio. Il risultato è imprevedibile e spesso frustrante.

Per evitare questo errore banale ma irritante, la soluzione è semplice e richiede un piccolo cambiamento di abitudine: estrarre sempre e solo la carta che si intende utilizzare. Non avvicinare mai l’intero portafoglio o la borsa al lettore. Se si preferisce usare lo smartphone, assicurarsi che sia l’unico dispositivo vicino al terminale. Le regole di priorità possono essere complesse e variare in base ai sistemi di trasporto.

Vista dall'alto di un tornello della metropolitana con onde radio simboliche che indicano un conflitto tra più carte NFC.

La tabella seguente riassume le situazioni di conflitto più comuni e come risolverle, specialmente nel contesto dei trasporti pubblici italiani dove l’integrazione con i wallet digitali sta diventando sempre più sofisticata.

Priorità di lettura NFC nei trasporti pubblici italiani
Situazione Carta che ha priorità Soluzione
Più carte contactless nel portafoglio Carta più esterna/vicina al lettore Estrarre solo la carta desiderata
Smartphone con Google Wallet + carta fisica Dipende dalla vicinanza al lettore Usare solo uno dei due metodi
Abbonamento + carta di credito insieme Varia in base al sistema del trasporto Configurare ‘Carta Trasporti’ dedicata su Wallet

Quando l’NFC fallisce e ti costringe a inserire il chip (e come evitarlo)?

Un’altra esperienza comune e talvolta frustrante è il fallimento di un pagamento contactless, anche per piccoli importi. Sei alla cassa, avvicini la carta al POS e, invece del “bip” di conferma, sul display appare la scritta “Inserire carta” o “PIN richiesto”. Perché succede? Non si tratta di un guasto, ma di un meccanismo di sicurezza automatico e obbligatorio, noto come ciclo di sicurezza PSD2.

La seconda direttiva europea sui servizi di pagamento (PSD2) ha introdotto misure di “Autenticazione Forte del Cliente” (SCA) per aumentare la sicurezza delle transazioni. Per i pagamenti contactless, questa direttiva impone dei limiti cumulativi. Anche se il singolo pagamento è inferiore alla soglia di 50 euro (che non richiede PIN), il sistema tiene traccia delle operazioni consecutive. La richiesta di inserire la carta e digitare il PIN scatta al verificarsi di una di queste due condizioni: il raggiungimento di 150 euro di acquisti cumulativi o 5 transazioni consecutive effettuate senza PIN.

Questo contatore non si azzera ogni giorno, ma solo nel momento in cui si effettua una transazione “forte”, ovvero inserendo la carta nel lettore e digitando il codice segreto. Questa operazione “resetta” il ciclo, confermando alla banca che sei ancora tu il legittimo possessore della carta. Questi limiti non sono modificabili né dalla banca né dal cliente, poiché sono imposti a livello normativo europeo per prevenire frodi in caso di furto o smarrimento della carta.

Come evitare questo “fallimento”? Non è possibile aggirare la norma, ma si può gestire con consapevolezza. Se fai molti piccoli acquisti contactless, tieni a mente che dopo la quinta transazione, la sesta richiederà probabilmente il chip e il PIN. Un modo proattivo per gestire la situazione è effettuare di tanto in tanto un acquisto (o un prelievo ATM) usando il chip, in modo da azzerare il contatore e non trovarsi “bloccati” in un momento inopportuno. Anche in questo caso, ciò che appare come un’inefficienza è in realtà un livello di sicurezza pensato per proteggerti.

Quali sono le multe reali per i commercianti che non accettano pagamenti elettronici e come segnalarli?

Passiamo a un problema diverso ma strettamente legato all’ecosistema dei pagamenti: l’esercente che rifiuta il pagamento con carta o POS. Dal 30 giugno 2022, in Italia, l’obbligo di accettare pagamenti elettronici è stato rafforzato con l’introduzione di sanzioni specifiche, previste nell’ambito del PNRR. Non si tratta più solo di un obbligo formale, ma di un comportamento sanzionabile.

Qualsiasi esercente (artigiano, commerciante, professionista) che rifiuti un pagamento elettronico, a prescindere dall’importo, è soggetto a una sanzione amministrativa. La multa è doppia: c’è una sanzione fissa di 30 euro, a cui si aggiunge il 4% del valore della transazione rifiutata. Ad esempio, per un caffè da 1 euro rifiutato, la multa sarebbe di 30,04 euro. Questo meccanismo è pensato per essere particolarmente disincentivante anche per i piccoli importi, che storicamente sono i più soggetti al rifiuto.

Cosa fare se un negoziante si rifiuta di accettare la tua carta? È un tuo diritto poter pagare elettronicamente, e puoi segnalare l’illecito. Affinché la segnalazione sia efficace, è fondamentale raccogliere quante più informazioni possibili al momento del rifiuto. La procedura non è complessa, ma richiede precisione. La segnalazione può essere inviata alla Guardia di Finanza o, in alcuni casi, all’Agenzia delle Entrate. È importante sottolineare che la segnalazione è un atto di civiltà che contribuisce alla lotta all’evasione fiscale e alla modernizzazione del sistema dei pagamenti del Paese.

Piano d’azione: come segnalare un esercente che rifiuta il POS

  1. Punti di contatto: annota data, ora e indirizzo preciso dell’esercizio commerciale.
  2. Collezione dati: registra l’importo esatto della transazione che è stata rifiutata.
  3. Coerenza della prova: documenta la risposta del negoziante, idealmente in presenza di testimoni che possano confermare il rifiuto.
  4. Canali di segnalazione: prepara e invia una segnalazione formale alla Guardia di Finanza o all’Agenzia delle Entrate del territorio competente.
  5. Piano di integrazione: includi nella segnalazione tutti i dettagli raccolti (data, ora, importo, indirizzo, risposta) per renderla completa e facilmente processabile dalle autorità.

L’errore di avere due app di pagamento attive che vanno in conflitto al momento di avvicinare il telefono al POS

Torniamo al mondo degli smartphone. Un altro errore comune che genera frustrazione al momento di pagare è il conflitto tra diverse app di pagamento installate sullo stesso dispositivo. Questo problema è particolarmente frequente sui telefoni Android, che offrono un ecosistema più aperto rispetto ad Apple. Potresti avere installato Google Wallet, l’app della tua banca (che magari ha una sua funzione di pagamento NFC), e forse anche altre app come Satispay o Bancomat Pay.

Quando avvicini il telefono al POS, il sistema operativo deve decidere quale di queste app autorizzare per la transazione. Se non hai definito un’app predefinita per i pagamenti, il sistema può andare in confusione. Il risultato? Un messaggio di errore sul POS, il pagamento che non va a buon fine, o l’apertura di un’app che non volevi usare. Questo non è un problema di sicurezza, ma di cattiva “igiene digitale” nella configurazione del proprio smartphone.

La soluzione è semplice e richiede pochi secondi. È necessario entrare nelle impostazioni NFC del proprio telefono Android e specificare un’applicazione di pagamento predefinita. Generalmente, si consiglia di impostare Google Wallet come scelta principale, in quanto è progettato per gestire più carte di diverse banche in modo centralizzato e intuitivo. Impostandolo come predefinito, ti assicuri che, ogni volta che il telefono rileva un POS, sia sempre e solo Google Wallet a gestire la transazione, evitando conflitti e garantendo un’esperienza fluida.

Su iPhone, il problema è quasi inesistente. Apple Pay è profondamente integrato nel sistema operativo e agisce sempre come gestore predefinito dei pagamenti NFC, senza possibilità di conflitto con altre app. Anche questo è un esempio di come una corretta configurazione sia più importante di mille paranoie. Un’esperienza di pagamento senza attriti dipende più da come impostiamo i nostri strumenti che dalla presunta minaccia di agenti esterni.

Da ricordare

  • Il furto fisico via NFC è estremamente improbabile a causa di limiti tecnici (distanza 4-10 cm) e ostacoli pratici (interferenze, tracciabilità).
  • La sicurezza dei pagamenti via smartphone (Apple/Google Pay) è superiore a quella delle carte fisiche grazie alla tokenizzazione, che nasconde i dati reali della carta.
  • Molti problemi (pagamenti falliti, addebiti su carte sbagliate) non sono minacce alla sicurezza, ma errori di configurazione o meccanismi di protezione (limiti PSD2) che è importante conoscere.

Come configurare Google Wallet o Apple Pay per uscire di casa senza portafoglio in sicurezza?

Dopo aver sfatato i miti e analizzato gli errori più comuni, è chiaro che la strada per una vera sicurezza non è la paura, ma la padronanza degli strumenti digitali. Configurare correttamente Google Wallet o Apple Pay non solo è più sicuro, ma permette di raggiungere un obiettivo di grande comodità: uscire di casa senza il portafoglio fisico. La dematerializzazione del portafoglio è il punto d’arrivo di una buona igiene digitale.

Il primo passo è aggiungere tutte le proprie carte di pagamento (credito, debito, prepagate) al wallet digitale. Ma la vera magia avviene quando si inizia a digitalizzare tutto il resto. Oggi è possibile aggiungere:

  • Carte fedeltà: Dalle tessere dei supermercati italiani come Coop, Esselunga e Conad, a quelle di catene di negozi e distributori.
  • Biglietti di trasporto: I biglietti del treno di Trenitalia o Italo, e sempre più spesso gli abbonamenti e i biglietti dei trasporti pubblici locali.
  • Carte d’imbarco: Per i voli aerei, eliminando la necessità di stampare.
  • Tessere sanitarie e documenti: In alcuni contesti e app certificate, è possibile iniziare a digitalizzare anche questi documenti.

La sicurezza di questo sistema è garantita da più livelli. L’accesso al telefono è protetto da un PIN o, ancora meglio, da dati biometrici (impronta digitale o riconoscimento facciale), molto più difficili da rubare di un PIN di 4 cifre. Ogni transazione richiede questa autenticazione, eliminando il rischio di pagamenti non autorizzati anche se il telefono fosse sbloccato. Inoltre, attivare le notifiche push per ogni spesa ti permette di avere un controllo in tempo reale su ogni movimento. Infine, in caso di furto o smarrimento dello smartphone, le funzioni “Trova il mio dispositivo” (per Android) o “Dov’è” (per iPhone) permettono di bloccare o resettare il dispositivo da remoto, rendendo i dati inaccessibili istantaneamente. Una sicurezza imparagonabile rispetto a un portafoglio smarrito.

Abbracciare completamente il portafoglio digitale significa trasformare una potenziale fonte di ansia in uno strumento di efficienza e tranquillità. La sicurezza non deriva dal nascondere le carte, ma dall’utilizzare una tecnologia progettata per proteggerle in modo intelligente.

Per una transizione completa e sicura al mondo digitale, è essenziale seguire una checklist precisa, come quella per la configurazione ottimale del proprio wallet digitale.

Per mettere in pratica questi consigli, il passo successivo è configurare correttamente il tuo portafoglio digitale e le relative impostazioni di sicurezza, trasformando il tuo smartphone nel tuo strumento di pagamento più affidabile.

Domande frequenti sul furto contactless e i limiti di pagamento

Perché il POS mi chiede il PIN anche per importi sotto i 50 euro?

Probabilmente hai raggiunto il limite di sicurezza imposto dalla normativa europea PSD2. Questo avviene quando effettui 5 transazioni contactless consecutive o quando l’importo totale di queste transazioni raggiunge i 150 euro. A quel punto, il sistema richiede un’autenticazione forte (chip e PIN) per verificare che tu sia il legittimo proprietario della carta e per azzerare il contatore.

Il limite dei 150 euro si resetta ogni giorno?

No, il contatore non si basa sul tempo ma sulle transazioni. Si azzera esclusivamente quando effettui un’operazione che richiede l’inserimento fisico della carta e la digitazione del PIN, come un pagamento tradizionale o un prelievo a un ATM. Solo dopo questa operazione il conteggio delle 5 transazioni o dei 150 euro riparte da zero.

Posso modificare questi limiti di sicurezza?

No, questi limiti non sono personalizzabili. Sono standard di sicurezza obbligatori imposti dalla direttiva europea PSD2 a tutte le banche e istituti finanziari che operano in Europa. Il loro scopo è proteggere i consumatori in caso di furto o smarrimento della carta, limitando l’ammontare di possibili transazioni fraudolente.

Scritto da Giulia Giulia Venturi, Consulente Senior in Digital Banking e Fintech, specializzata in Open Banking e sicurezza dei pagamenti digitali (PSD2/3). Ha guidato la transizione digitale di due importanti istituti di credito italiani.
Cosa fare se un commerciante ti rifiuta il pagamento POS per spese sotto i 10 euro?
Come vivere 30 giorni senza contanti in Italia usando solo carte e smartphone senza rimanere bloccati?
In primo piano
Il mio conto è davvero sicuro fino a 100.000€ o c’è una clausola che non conosco?
Perché devi autorizzare ogni pagamento due volte e come questo ha azzerato le frodi sulla tua carta?
Ricorso all’Arbitro Bancario (ABF): la guida strategica per riavere i tuoi soldi
Come il sistema di vigilanza bancaria impedisce che la tua banca scappi con i soldi domani mattina?
Come creare una carta usa-e-getta per comprare su un sito cinese sconosciuto in totale sicurezza?
Post simili
Bancomat o Visa/Mastercard: la guida per scegliere il circuito giusto sul POS e non pagare commissioni nascoste
Come la tokenizzazione impedisce ai siti e-commerce di vedere (e rubare) il tuo vero numero di carta?
Uscire senza portafoglio: la guida definitiva a Google Wallet e Apple Pay in Italia
Come usare la carta di debito per gli acquisti online in sicurezza senza bisogno della carta di credito?