Per curiosita' oggi ho provato ad avvicinare tutto il portafoglio con dentro la mia debit card abilitata NFC al lettore della cassa selfservice con lettore di NFC del supermercato e non ha letto niente...ma come fanno quelli che, come si vedono nei vari video circolanti anche recentemente su Striscia, ad avvicinarsi sulla metro affollata e con un lettore portatile riescono a captare il NFC della carta e a rubarti i soldi? Se un lettore al supermercato non riesce a leggerla quando e' a mezzo cm di distanza come fanno i criminali avvicinandosi ancora meno, attraverso maglioni, giacche a vento ecc ecc? Hanno un lettore piu' sensibile o sono tutte bufale che circolano per vendere piu' portafogli schermati? Grazie!
Il chip NFC della carta non è alimentato (non ci sono batterie).
Viene alimentato per induzione quando si avvicina ad un lettore e scambia con questo un pacchetto dati (crittografato) di 'riconoscimento' per autorizzare la transazione.
La potenza di induzione del lettore standard è sufficiente fino ad una distanza di una decina di centimetri (anche meno, come hai sperimentato), ma apparecchi più potenti potrebbero essere in grado di attivarlo anche a distanze maggiori.
Detto questo, ci sono delle considerazioni di ordine pratico che fanno pensare che gli allarmi giornalistici su questo tipo di truffe siano più per esigenze di 'click' che per ragioni di sicurezza:
- questi lettori 'potenziati' sono stati realizzati per scopi di ricerca ma dovrebbero essere piuttosto ingombranti per agire a distanza in presenza di fattori di schermo (tasche, portafogli, etc...).
- anche fossero usati da un eventuale malintenzionato, essendo lo scambio dati criptato, potrebbero al più 'catturare' alcune informazioni che viaggiano in chiaro ma non potrebbero 'riprodurre' una transazione contactless con quella carta.
Comunque, senza dover acquistare custodie specifiche, la frequenza del segnale NFC (13.56 MHz) è fortemente abbattuta dal metallo per cui potrebbe anche bastare un pezzetto di stagnola da cucina nel portafoglio (se hai uno smartphone NFC puoi divertirti a vedere se 'leggi' la tua carta contactless e a che distanze, ci sono app apposite).
In assoluto, il rischio più grosso delle carte contactless è il furto col quale potrebbero essere autorizzate fino a 4 transazioni da 25 Euro ciascuna senza bisogno di Pin o firma)
. La buona notizia è che in questi casi, a fronte di denuncia di furto e disconoscimento delle operazioni, le banche in genere risarciscono perchè le transazioni sono state effettuate senza il secondo fattore di autenticazione (pin o firma a seconda della carta).
