Truffa Bancomat, come rubano i soldi dal conto senza accorgertene

Cos’è la truffa Bancomat via smartphone (NGate & SuperCard X)?

Il malware NGate, scoperto da ESET nel 2024, sfrutta una tecnica sofisticata di relay NFC. I criminali inviano SMS o messaggi via WhatsApp che simulano avvisi bancari: l’utente è invitato a installare una “app” (in realtà un PWA o WebAPK) che perfettamente imita quella della banca, ma proprio per questo è estremamente ingannevole.

Una volta installata l’app:

• Vengono chieste credenziali (ID cliente, data di nascita, PIN).

  Leggi anche

  • Lavori sulla statale 36 nel lecchese
  • Pro e contro dei diversi sistemi di riscaldamento

• Si attiva l’NFC dello smartphone e si istruisce l’utente a porre la carta sul retro del telefonino, in modo che NGate ne apra il chip, trasmettendo i dati NFC ai truffatori.

  Leggi anche

  • Solar Cooling: come il calore del sole può produrre freddo
  • Ventilatore o condizionatore? Consumi a confronto per il raffrescamento domestico

Un successivo sviluppo ha portato a SuperCard X, un malware più sofisticato e sempre basato sul relay NFC, identificato da Cleafy all’inizio del 2025. Opera tramite un sistema modulare “Reader” (sul dispositivo vittima) e “Tapper” (del criminale), e consente transazioni fraudolente istantanee, anche prelievi da POS o ATM.

---

Storia della minaccia e diffusione

• I primi casi risalgono alla Repubblica Ceca (fine 2023 – inizio 2024), dove NGate fu usato per clonare carte e prelevare denaro nei bancomat. Le vittime scoprivano l’inganno solo dopo, quando ormai era troppo tardi.

• Il fenomeno, inizialmente limitato, si è espanso: nei primi sei mesi del 2025, gli attacchi basati su NFC sono cresciuti di più di 35 volte rispetto alla seconda metà del 2024, secondo ESET.

• SuperCard X è stato documentato anche in Italia, con varianti customizzate appositamente per il territorio.

---

Come funziona la truffa, passo dopo passo

1. Smishing o messaggi WhatsApp falsi: si dice che c’è un problema con la tua banca o un rimborso fiscale.

2. Installazione della “finta app”: viene proposta una Progressive Web App (PWA) o WebAPK che fa credere di essere legittima.

3. Phishing delle credenziali + attivazione NFC: l’app invita a fornire dati sensibili e a porre la carta sullo smartphone.

4. NFC relay verso il criminale: i dati NFC vengono inviati al dispositivo fraudolento e utilizzati per emulare la carta.

5. Prelievo o pagamento contactless: i criminali effettuano operazioni illecite in tempo reale.

---

Come difendersi (in modo pratico e immediato)

• Diffida degli SMS/WhatsApp urgenti: soprattutto se richiedono di installare app o fornire dati — verifica sempre telefonando alla tua banca tramite contatti ufficiali.

• Scarica solo da store ufficiali: evita fonti esterne; PWAs e WebAPK non hanno le stesse verifiche degli store.

• Proteggi PIN e credenziali: nessuna banca li chiede via SMS/email o telefona per ottenerli.

• Disattiva NFC quando non serve: così riduci drasticamente i rischi di relay NFC.
  
  

• Utilizza app di sicurezza mobile: antivirus efficaci possono bloccare malware come NGate o SuperCard X, anche installati da fonti esterne.

• Monitora regolarmente il conto: controlli frequenti permettono di individuare subito transazioni sospette.

---

Questa truffa Bancomat via smartphone sfrutta tecnologie moderne — NFC relay, phishing, software stealth — per clonarci la carta senza accorgercene. Gli esempi concreti (dal 2023 in Repubblica Ceca fino alle varianti moderne in Italia) mostrano che nessuno è immune. Ma seguendo le buone pratiche — diffidare dei messaggi sospetti, scaricare solo da store, proteggere i codici, disattivare NFC, usare antivirus, monitorare il conto — possiamo difenderci efficacemente.

Ricevi le news con Telegram
WhatsApp Messenger Instagram