Proprio lì si infilano le nuove truffe NFC, sempre più frequenti e aggressive. Nel mirino ci sono soprattutto gli smartphone Android con tecnologia NFC, quella usata per i pagamenti contactless e per leggere le carte a distanza ravvicinata. Il problema non è la tecnologia in sé, ma il modo in cui viene usata dai truffatori: riescono a convincere le vittime a compiere da sole il passaggio che spalanca la porta al furto.
Allarme in crescita: attacchi NFC su Android su del 188 per cento
A mettere in fila i numeri è un’analisi diffusa da Kaspersky, società specializzata in sicurezza informatica. Secondo il report, nei primi quattro mesi del 2026 gli attacchi NFC contro dispositivi Android sono cresciuti del 188 per cento rispetto allo stesso periodo dell’anno prima. In termini concreti, vuol dire oltre 35.600 tentativi bloccati tra gennaio e aprile, contro i circa 12.300 registrati un anno prima.
Va detto che si tratta di dati raccolti da un singolo operatore e non di una statistica pubblica complessiva. Ma il segnale resta netto: questa frode sta prendendo piede e non riguarda più solo gli addetti ai lavori. Dietro ci sono famiglie di malware già conosciute dagli esperti, come SuperCard X, PhantomCard, NGate e alcune varianti di NFCGate, strumenti capaci di intercettare o alterare il passaggio dei dati attraverso il chip NFC. A preoccupare, più di tutto, è un aspetto: si fa leva su un’azione di tutti i giorni, familiare, e quindi meno sospetta.
Dalla falsa app al PIN: così agiscono i truffatori
Il metodo più diretto comincia quasi sempre con un contatto che sembra credibile. Può arrivare con un messaggio, una chat o una telefonata. Dall’altra parte c’è qualcuno che si presenta come banca, servizio antifrode o perfino ente pubblico. Alla vittima viene chiesto di installare un’app fuori dai canali ufficiali, spesso con una scusa urgente: mettere al sicuro il conto, controllare un’anomalia, sbloccare una procedura. È lì che scatta il passaggio decisivo. Viene chiesto di avvicinare la carta bancaria al telefono e inserire il PIN. A quel punto i dati della carta finiscono ai criminali, che poi possono usarli per altre operazioni.
C’è poi una seconda tecnica, ancora più subdola, che sposta tutto sul terreno del falso “salvataggio” del denaro. Gli esperti la chiamano “reverse NFC”, cioè NFC inverso. In pratica la vittima installa un’app truccata, che viene impostata come sistema predefinito per i pagamenti contactless. Poi riceve istruzioni per trasferire soldi su un conto descritto come sicuro, spesso passando da un bancomat o da una macchina per i depositi. Solo che quei soldi non finiscono in un’area protetta, come viene raccontato, ma direttamente nelle mani dei truffatori. Il punto più insidioso è proprio questo: il trasferimento lo esegue la vittima stessa. All’inizio può sembrare un’operazione regolare, autorizzata, e per questo accorgersi subito della truffa diventa più difficile.
Come difendersi davvero: app ufficiali e segnali da non ignorare
La prima regola è anche la più semplice: non installare applicazioni ricevute tramite link su SMS, WhatsApp, Telegram, social o email, soprattutto se il messaggio mette fretta. Banche e operatori seri non chiedono di scaricare app in questo modo per “proteggere il conto” all’improvviso. Lo stesso vale per richieste particolari e fuori dall’ordinario, come appoggiare la carta al telefono, cambiare l’app predefinita dei pagamenti o seguire istruzioni al bancomat dettate da uno sconosciuto al telefono. Presi uno per uno, questi segnali possono sembrare plausibili. Messi insieme, molto spesso raccontano già una truffa.
Google Play e App Store non sono infallibili, questo è chiaro, ma restano molto più sicuri dei link che arrivano in chat o via messaggio. Se arriva una chiamata allarmata dalla “banca”, la cosa più prudente da fare è chiudere la conversazione e richiamare il numero ufficiale trovato sul sito o sull’app che si usa abitualmente. Il nodo, oggi, è tutto qui: questi raggiri non puntano solo a forzare un sistema tecnico. Puntano a convincerti che stai mettendo in salvo i tuoi soldi, quando in realtà li stai consegnando tu.
