Si può prelevare denaro da una carta bancaria nella tasca? Mito, minaccia reale o rischio frainteso?

Il pagamento contactless è diventato una delle abitudini più comode della vita moderna. In Europa occidentale, nel Regno Unito e negli Stati Uniti, milioni di persone pagano ormai la spesa, il caffè, i trasporti pubblici, il parcheggio, il carburante, il cibo da asporto e molti acquisti quotidiani semplicemente avvicinando una carta bancaria, uno smartphone o uno smartwatch a un terminale.

La tecnologia sembra quasi invisibile. Non è più necessario inserire la carta nel lettore, strisciare la banda magnetica, firmare uno scontrino o, per molti importi ridotti, digitare il PIN. La transazione si conclude in pochi secondi. Proprio questa rapidità ha reso il pagamento contactless così popolare.

Ma la stessa comodità ha generato anche una paura persistente: qualcuno può prelevare denaro da una carta contactless mentre si trova ancora nella tasca?

Lo scenario è facile da immaginare. Un truffatore si muove in una metropolitana affollata, in un aeroporto, a un festival o in un centro commerciale con un terminale di pagamento o uno smartphone nascosto. Si avvicina alle persone, passa il dispositivo vicino a tasche o borse e incassa piccole somme senza che nessuno se ne accorga.

Sembra inquietante. E, a prima vista, sembra anche tecnicamente plausibile.

La realtà, però, è più sfumata. Le carte contactless comunicano effettivamente via radio, ma su una distanza estremamente breve. Un terminale di pagamento può interagire con una carta senza che questa venga inserita in un lettore. Alcuni pagamenti di basso valore possono essere completati senza PIN, senza firma e senza un’ulteriore verifica del titolare.

Tuttavia, lo scenario popolare del “furto dalla tasca” è molto più difficile nella pratica di quanto suggeriscano i video virali e gli avvisi allarmistici. La portata NFC è molto ridotta, l’orientamento della carta è importante, portafogli e altre carte possono disturbare il segnale, i terminali di pagamento sono tracciabili, le banche applicano controlli antifrode, e limiti o regole di autenticazione possono interrompere attività sospette.

Questo non significa che il rischio sia zero. Significa che il rischio viene spesso frainteso.

Il pericolo più realistico non è di solito un hacker misterioso che svuota il conto a distanza. I rischi più probabili sono carte smarrite, portafogli rubati, frodi online, phishing, false pagine di pagamento, esercenti compromessi e social engineering. Tuttavia, capire come funziona la sicurezza delle carte contactless è utile, soprattutto per chi viaggia spesso, usa mezzi pubblici affollati o porta le carte in tasche o borse facilmente accessibili.

Come funzionano le carte bancarie contactless

Una carta bancaria contactless contiene un chip e una piccola antenna. Quando la carta viene avvicinata a un terminale di pagamento, il terminale genera un campo elettromagnetico. Questo campo alimenta per un breve istante il chip della carta e consente lo scambio di dati tra carta e terminale.

Questa tecnologia si basa sull’NFC, cioè Near Field Communication. L’espressione “near field”, campo vicino, è fondamentale. L’NFC non è progettato per comunicazioni a lunga distanza. Normalmente funziona solo entro pochi centimetri. In molte situazioni reali di pagamento, la carta deve essere quasi a contatto con il terminale.

Un pagamento contactless non è semplicemente una carta che “trasmette denaro”. È un processo di pagamento strutturato. Il terminale identifica l’applicazione di pagamento della carta, la carta risponde con i dati necessari, vengono eseguiti controlli crittografici e la transazione viene elaborata attraverso l’acquirer dell’esercente, il circuito della carta e la banca emittente.

Questa distinzione è importante. Rilevare che una carta si trova nelle vicinanze non equivale a riuscire a prelevare denaro da essa.

Un lettore NFC generico può talvolta rilevare la presenza di una carta contactless. In alcuni casi, a seconda della carta, dell’emittente e dell’implementazione di sicurezza, può leggere informazioni limitate collegate alla carta. Ma effettuare un vero pagamento richiede un percorso di transazione valido. Il pagamento deve essere accettato da un terminale, inoltrato attraverso un sistema di pagamento e accreditato su un conto commerciante o un conto di pagamento.

Questo crea un ostacolo pratico importante per i criminali.

Perché questa paura si è diffusa così tanto

La paura del furto tramite carta contactless si è diffusa perché si basa su una mezza verità.

La parte vera è questa: le carte contactless possono essere rilevate o interrogate a brevissima distanza.

La parte fuorviante è l’idea che leggere una carta significhi automaticamente rubare denaro.

Il mito è diventato più credibile quando gli smartphone hanno iniziato a poter accettare pagamenti. In molti Paesi, piccoli esercenti possono oggi accettare pagamenti con carta direttamente tramite telefono, usando soluzioni come SoftPOS, Tap to Pay o sistemi simili. Questo porta facilmente a immaginare che qualsiasi criminale con uno smartphone possa camminare in mezzo a una folla e addebitare carte a caso.

Nella pratica, però, l’accettazione dei pagamenti non è anonima. Chi accetta pagamenti con carta deve normalmente essere registrato presso un prestatore di servizi di pagamento o una banca acquirer. Le transazioni sono collegate a conti commerciante, conti bancari, identificativi dei dispositivi e sistemi di monitoraggio del rischio.

Un criminale che cercasse di raccogliere denaro in questo modo lascerebbe quindi una traccia finanziaria. Questo non rende la frode teoricamente impossibile, ma la rende molto meno interessante rispetto ad altre forme di frode con carta.

Il furto di dati online, il phishing, i falsi messaggi di consegna, le false pagine di login bancario, i codici QR malevoli e le carte fisiche rubate sono in genere più semplici, più scalabili e più redditizi.

Di cosa avrebbe realmente bisogno un truffatore

Per prelevare denaro da una carta contactless, un truffatore avrebbe bisogno di molto più di un semplice scanner NFC.

Avrebbe bisogno di un vero sistema di accettazione dei pagamenti, per esempio un terminale POS, un terminale mobile o una soluzione approvata di pagamento tramite smartphone. Avrebbe anche bisogno di un conto commerciante o dell’accesso a un conto di questo tipo, perché il denaro deve essere accreditato da qualche parte.

Dovrebbe portare il lettore estremamente vicino alla carta. Non semplicemente vicino alla persona. Non semplicemente vicino alla borsa. Molto vicino al punto esatto in cui si trova la carta.

Anche l’orientamento della carta dovrebbe essere favorevole. La comunicazione NFC può fallire se l’angolo è sbagliato, se più carte sono conservate insieme, se il portafoglio è spesso, se ci sono oggetti metallici nelle vicinanze o se il lettore non è abbastanza vicino.

La transazione dovrebbe inoltre rientrare nelle regole contactless applicabili a quel Paese, quella carta, quella banca, quel circuito e quell’esercente. In molti mercati europei, i piccoli pagamenti contactless possono essere possibili senza PIN, ma dopo più pagamenti o dopo il raggiungimento di determinate soglie cumulative può essere richiesta un’autenticazione forte. Nel Regno Unito, i limiti contactless sono noti al pubblico, anche se il mercato si sta muovendo verso una maggiore flessibilità da parte di banche e prestatori. Negli Stati Uniti non esiste un’unica soglia nazionale valida per tutte le carte; il comportamento dipende dall’emittente, dal circuito, dall’esercente, dalla configurazione del terminale e dai modelli di rischio.

Infine, la transazione dovrebbe superare i sistemi antifrode. Pagamenti ripetuti e insoliti, comportamento anomalo dell’esercente o schemi sospetti possono attivare controlli bancari.

Ecco perché lo scenario della carta addebitata in tasca è molto più complicato di quanto mostrino alcuni brevi video online.

Il vero problema della portata NFC

L’NFC funziona su una distanza molto breve. Nella pratica, le carte contactless devono trovarsi di solito a pochi centimetri dal lettore. Anche carta e terminale devono essere sufficientemente allineati.

Questa breve portata è una delle principali caratteristiche di sicurezza del pagamento contactless.

Una carta in una tasca sottile dei pantaloni può essere più esposta di una carta custodita in un portafoglio dentro una borsa chiusa. Una carta in un porta-carte metallico può non rispondere affatto. Una carta conservata insieme ad altre carte può confondere il terminale. Una carta dietro monete, chiavi, un telefono o altri oggetti può essere difficile o impossibile da leggere.

Chi ha già provato a pagare avvicinando l’intero portafoglio a un terminale conosce questo problema. Il terminale può rifiutare la transazione o chiedere di presentare una sola carta. La stessa limitazione rende poco affidabile una lettura segreta in un luogo pubblico.

Per un attacco nascosto, il truffatore dovrebbe portare il terminale molto vicino alla posizione esatta della carta e mantenerlo lì abbastanza a lungo da completare il tentativo di pagamento. In una folla, la vicinanza fisica può essere possibile, ma la posizione corretta e stabile della carta non è garantita.

Questo è uno dei motivi principali per cui il rischio è tecnicamente concepibile, ma fortemente limitato nella pratica.

Limiti contactless in Europa, Regno Unito e Stati Uniti

I limiti dei pagamenti contactless non sono uguali ovunque.

In molti Paesi dello Spazio Economico Europeo, i piccoli pagamenti contactless possono essere effettuati senza PIN. Allo stesso tempo, si applicano regole di autenticazione forte del cliente. Questo significa che una carta può funzionare senza PIN per importi ridotti, ma dopo diversi pagamenti o dopo il raggiungimento di determinate soglie cumulative il terminale può richiedere un PIN o un’altra forma di verifica.

Nel Regno Unito, il limite del pagamento contactless è stato a lungo molto chiaro come soglia per singola transazione. Il mercato si sta ora orientando verso soluzioni più flessibili in base alla banca e al prestatore di servizi di pagamento. Molti provider mantengono comunque limiti riconoscibili per i clienti o permettono impostazioni personalizzate.

Negli Stati Uniti, la situazione è diversa. Non esiste una soglia federale unica per i pagamenti contactless applicabile a tutte le carte nello stesso modo. La richiesta di verifica dipende dalla banca emittente, dal circuito della carta, dall’esercente, dalla configurazione del terminale e dalle regole di rischio. Alcune transazioni contactless possono avvenire senza PIN o firma, mentre altre possono richiedere una verifica in base all’importo e al contesto.

I pagamenti tramite wallet digitale sono spesso trattati diversamente. Quando un pagamento con smartphone o smartwatch è già autenticato tramite riconoscimento facciale, impronta digitale, codice del dispositivo o altro metodo sicuro, può essere considerato verificato dal titolare anche se sul terminale non viene inserito alcun PIN.

Per un pubblico internazionale, la formulazione più corretta è questa: piccoli pagamenti contactless possono spesso funzionare senza PIN, ma limiti e regole di verifica variano in base a Paese, banca, circuito ed esercente.

Perché i wallet mobili possono essere più sicuri delle carte fisiche

Apple Pay, Google Pay, Samsung Wallet e sistemi simili sono spesso più sicuri del pagamento diretto con una carta fisica contactless.

Il motivo principale è la tokenizzazione.

Quando una carta viene aggiunta a un wallet mobile, il vero numero della carta di solito non viene utilizzato direttamente per ogni transazione. Il sistema usa invece un token di pagamento. Questo token rappresenta la carta nel sistema di pagamento, ma non espone il numero reale della carta nello stesso modo.

I wallet mobili richiedono inoltre normalmente l’autenticazione del dispositivo. A seconda del telefono o dell’orologio, può trattarsi di riconoscimento facciale, impronta digitale, codice di accesso o altro metodo locale di sicurezza. Un ladro non può normalmente pagare con uno smartphone bloccato semplicemente avvicinandolo a un terminale.

Con una carta fisica contactless, alcuni piccoli importi possono essere pagati senza PIN. Con uno smartphone o uno smartwatch correttamente protetti, l’utente deve normalmente autorizzare prima il pagamento.

Questo non rende i wallet mobili perfetti. Un codice di sblocco debole, un telefono rubato mentre è sbloccato, un account compromesso o un attacco di social engineering possono comunque creare problemi. Ma per i pagamenti quotidiani in negozio, i wallet mobili aggiungono di solito un livello di sicurezza utile.

Quali dati possono essere letti da una carta contactless?

Un equivoco comune è pensare che, se qualcuno può leggere qualcosa da una carta, allora può automaticamente clonarla o rubare denaro.

Normalmente le moderne carte di pagamento non funzionano così.

Un semplice lettore NFC può talvolta rilevare una carta contactless e, a seconda del tipo di carta e dell’emittente, leggere alcune informazioni limitate. Le carte più vecchie in alcuni casi esponevano più dati rispetto alle carte recenti. Le moderne carte contactless EMV sono progettate con controlli più forti e dati di transazione dinamici.

Il punto essenziale è che un pagamento valido non si basa solo su un numero di carta statico. Le vere transazioni EMV utilizzano processi crittografici che rendono molto più difficile la semplice copia o riproduzione dei dati rispetto alle vecchie carte a banda magnetica.

Bisogna quindi distinguere tre concetti molto diversi:

Rilevare una carta è una cosa.

Leggere dati limitati dalla carta è un’altra cosa.

Eseguire con successo un pagamento non autorizzato è molto più complesso.

Nel dibattito pubblico questi concetti vengono spesso mescolati. È proprio per questo che i miti sulle carte contactless si diffondono così facilmente.

Lo scenario di frode contactless più realistico

Lo scenario di frode contactless più realistico non è l’attacco nascosto a una carta in tasca. È molto più spesso l’uso di una carta smarrita o rubata.

Se un ladro possiede fisicamente la carta, può provare a effettuare diversi piccoli pagamenti contactless prima che la carta venga bloccata o prima che la banca richieda un’autenticazione aggiuntiva. È semplice, rapido e molto più realistico di un attacco con terminale nascosto in mezzo alla folla.

Per questo il blocco immediato della carta è essenziale.

Se si perde il portafoglio, non bisogna aspettare. La carta deve essere congelata nell’app bancaria o bloccata tramite la banca. Molte banche offrono ormai blocco immediato, sospensione temporanea, limiti di spesa e impostazioni separate per pagamenti online, all’estero o contactless.

Una carta fisica rubata resta un rischio molto più pratico rispetto a un attacco NFC a distanza.

La frode online è di solito il pericolo maggiore

Per la maggior parte dei consumatori, la minaccia principale non è l’NFC, ma la frode online.

I criminali preferiscono spesso attacchi che non richiedono alcuna vicinanza fisica alla vittima. Tra questi ci sono falsi messaggi bancari, e-mail di phishing, SMS fraudolenti di consegna pacchi, falsi negozi online, pagine di pagamento compromesse, pubblicità malevole, false piattaforme di investimento e telefonate truffaldine.

In questi casi, la vittima inserisce personalmente i dati della carta, conferma un pagamento, condivide un codice monouso o installa un’app dannosa. Il criminale non deve trovarsi accanto alla vittima su un autobus e non deve dipendere da una tecnologia radio con portata di pochi centimetri.

Per questo la protezione delle carte contactless dovrebbe essere parte di una strategia più ampia di sicurezza dei pagamenti e igiene digitale. Un portafoglio anti-RFID può aiutare contro un rischio fisico molto specifico, ma non protegge da siti falsi, phishing o dati della carta già rubati.

I portafogli anti-RFID sono utili?

Portafogli, custodie e porta-carte anti-RFID usano materiali conduttivi per ridurre o bloccare la comunicazione radio tra la carta e un lettore NFC. In pratica funzionano come una piccola gabbia protettiva intorno alla carta.

Possono essere utili, soprattutto per chi viaggia spesso, usa mezzi pubblici affollati, frequenta festival, passa spesso dagli aeroporti o porta le carte in tasche esterne o borse aperte.

Di solito non sono costosi. Una semplice custodia anti-RFID è spesso sufficiente se l’obiettivo è impedire una lettura NFC accidentale o non autorizzata.

Non bisogna però sopravvalutare questa protezione. Non protegge dalla frode online. Non impedisce il phishing. Non serve se si consegna la carta a una persona disonesta. E non protegge i dati della carta già salvati in un account online compromesso.

Il blocco RFID è quindi uno strato di protezione aggiuntivo e pratico, non una soluzione completa di sicurezza bancaria.

Migliori misure di protezione quotidiana

La migliore protezione nasce da una combinazione di abitudini e impostazioni bancarie.

Attivare le notifiche istantanee

Le notifiche push sono una delle difese più efficaci. Ogni pagamento con carta dovrebbe generare un avviso immediato sul telefono. Se compare una transazione che non avete effettuato, potete reagire rapidamente.

Una reazione rapida limita i danni e facilita l’indagine della banca.

Impostare limiti di spesa ragionevoli

La maggior parte delle app bancarie moderne permette di impostare limiti. A seconda della banca, si possono controllare spese giornaliere con carta, prelievi ATM, pagamenti online, pagamenti all’estero e uso contactless.

Non è utile mantenere un limite molto alto su una carta usata per gli acquisti quotidiani. Un limite più basso riduce il danno potenziale in caso di furto o frode.

Usare una carta separata per gli acquisti online

Una carta virtuale o una seconda carta può ridurre il rischio. Molte banche e fintech permettono di creare carte digitali per gli acquisti online. Alcune offrono anche carte usa e getta o carte specifiche per singolo esercente.

Questo è particolarmente utile perché la frode online è spesso più frequente della frode fisica contactless.

Preferire i wallet mobili

Dove disponibili, Apple Pay, Google Pay e sistemi simili possono essere più sicuri della carta fisica. Usano dati di pagamento tokenizzati e richiedono normalmente l’autenticazione del dispositivo.

Per gli acquisti quotidiani in negozio, uno smartphone o uno smartwatch ben protetto può quindi essere un ottimo metodo di pagamento.

Conservare le carte in un vero portafoglio

È meglio evitare di portare una carta contactless sciolta in una tasca esterna facilmente accessibile. Un portafoglio, un porta-carte o uno scomparto chiuso crea distanza e aggiunge una forma di protezione fisica.

Chi viaggia spesso o si trova regolarmente in folle molto dense può usare una custodia anti-RFID come misura aggiuntiva.

Non portare con sé tutte le carte inutilmente

Le carte usate raramente non devono essere sempre nel portafoglio. Meno carte si portano, minori sono le conseguenze in caso di perdita.

Questo è particolarmente importante durante i viaggi.

Congelare o bloccare subito una carta smarrita

Se una carta viene smarrita, deve essere subito congelata nell’app o bloccata tramite la banca. Aspettare non è una buona strategia.

Un blocco temporaneo può spesso essere revocato. Una transazione fraudolenta, invece, non è sempre semplice da annullare rapidamente.

Cosa fare dopo una transazione sospetta

Se ricevete una notifica per un pagamento con carta che non avete effettuato, bisogna agire subito.

Per prima cosa, congelate o bloccate la carta. Il modo più rapido è di solito l’app bancaria. Se l’app non è disponibile, chiamate il numero di emergenza della banca o dell’emittente della carta.

Poi verificate se il nome dell’esercente è davvero sconosciuto. Alcune transazioni legittime compaiono sull’estratto conto con il nome di un prestatore di pagamento, di una società madre o di un intermediario tecnico. Questo è frequente con app di parcheggio, abbonamenti, marketplace e piattaforme digitali.

Contattate quindi la banca e segnalate la transazione come non autorizzata. Chiedete se la carta deve essere sostituita e se è possibile avviare una procedura di contestazione, rimborso o chargeback.

È anche utile controllare gli usi recenti della carta. Verificate abbonamenti online, metodi di pagamento salvati e acquisti recenti.

Se la carta è stata rubata o se compaiono più transazioni non autorizzate, può essere utile presentare denuncia alla polizia. Questo può supportare la verifica bancaria e creare una documentazione ufficiale dell’incidente.

Miti comuni sul furto di carte contactless

Mito 1: un ladro può svuotarmi il conto passandomi vicino

Non è realistico nella pratica normale. I pagamenti contactless sono limitati dalla portata tecnica, dalle regole di pagamento, dai controlli bancari e dalla tracciabilità degli esercenti. Un ladro non può normalmente svuotare un conto semplicemente passando vicino a una persona.

Mito 2: l’NFC funziona a diversi metri di distanza

È falso. L’NFC è una tecnologia a cortissimo raggio. Nei pagamenti con carta, la distanza pratica è solo di pochi centimetri.

Mito 3: qualsiasi smartphone può rubare denaro da una carta

Uno smartphone con NFC può talvolta rilevare alcune carte o leggere dati limitati. Ma prelevare denaro richiede una transazione valida tramite un sistema di pagamento approvato. Quel sistema non è anonimo.

Mito 4: i portafogli anti-RFID sono inutili

Non sono inutili. Possono bloccare o ridurre fortemente la comunicazione NFC a breve distanza. Ma proteggono solo da un rischio fisico specifico, non dalla frode online o dai dati della carta rubati.

Mito 5: i wallet mobili sono meno sicuri perché sono digitali

Un wallet mobile correttamente protetto è spesso più sicuro di una carta fisica, perché usa tokenizzazione e autenticazione del dispositivo.

Mito 6: le carte contactless trasmettono dati continuamente

Non trasmettono dati attivamente come un radiotrasmettitore. Una carta contactless è passiva. Risponde solo quando viene alimentata dal campo di un lettore molto vicino.

Domande frequenti

Qualcuno può addebitare la mia carta mentre è in tasca?

In teoria, una transazione contactless molto piccola e non autorizzata potrebbe essere tentata se il lettore è estremamente vicino, se la carta non è schermata e se non è richiesta un’ulteriore verifica. Nella pratica, è difficile, poco affidabile e tracciabile.

È una forma di frode comune?

No. I rischi più comuni sono carte perse o rubate, phishing, siti falsi, furto di dati della carta online e social engineering.

Una carta può essere letta attraverso un portafoglio?

A volte sì, ma non in modo affidabile. Un portafoglio sottile può permettere la comunicazione NFC. Un portafoglio più spesso, più carte, oggetti metallici o materiale anti-RFID possono impedirla.

Un portafoglio anti-RFID aiuta davvero?

Sì, contro la comunicazione NFC a brevissima distanza. È particolarmente utile in mezzo alla folla, negli aeroporti, sui mezzi pubblici e durante i viaggi. Va però considerato uno strato aggiuntivo, non una soluzione completa.

Apple Pay o Google Pay sono più sicuri di una carta fisica?

In molti casi sì. I wallet mobili usano dati di pagamento tokenizzati e richiedono normalmente autenticazione biometrica o tramite codice.

Si può clonare una carta contactless?

Le moderne carte contactless EMV sono progettate per resistere alla clonazione semplice. Leggere dati limitati non equivale a creare una copia funzionante della carta.

Bisogna disattivare il pagamento contactless?

La maggior parte degli utenti non ha bisogno di disattivare il contactless. È più efficace usare notifiche, limiti di spesa, wallet mobili e blocco rapido delle carte smarrite.

Il rischio reale per Europa occidentale e Stati Uniti

L’idea che qualcuno possa prelevare denaro in modo silenzioso da una carta bancaria nella tasca non è completamente inventata. È però fortemente esagerata.

La tecnologia consente una comunicazione contactless a brevissima distanza. Alcuni piccoli pagamenti con carta possono funzionare senza PIN o firma. In condizioni ideali, un tentativo non autorizzato è teoricamente concepibile.

Ma gli ostacoli pratici sono importanti. La portata NFC è minuscola. Portafogli e altre carte disturbano la comunicazione. I terminali di pagamento sono collegati a esercenti. Le banche monitorano le transazioni. Limiti e regole di autenticazione variano a seconda del mercato, ma esistono in una forma o nell’altra. Schemi sospetti possono essere bloccati.

Per la maggior parte delle persone in Europa occidentale, nel Regno Unito e negli Stati Uniti, i rischi più importanti sono più ordinari: perdere una carta, subire il furto del portafoglio, inserire i dati su un sito falso, approvare una richiesta di pagamento fraudolenta o ignorare gli avvisi della banca.

L’approccio ragionevole non è il panico, ma l’uso controllato. Il pagamento contactless è comodo e generalmente sicuro nella vita quotidiana se si rispettano alcune regole semplici. Attivare le notifiche di pagamento. Tenere la carta in un portafoglio. Usare un wallet mobile quando possibile. Impostare limiti sensati. Usare carte virtuali per gli acquisti online. Bloccare subito le carte smarrite. E, se si trascorre spesso tempo in ambienti molto affollati, una custodia anti-RFID può essere una misura aggiuntiva sensata.

Il pagamento contactless non è privo di rischi. Ma non è nemmeno una porta aperta verso il conto bancario, come spesso suggeriscono i messaggi allarmistici.

---

Le immagini utilizzate in questo articolo sono generate tramite IA...

Questo articolo può contenere link di affiliazione...