Nei sotterranei digitali delle piattaforme di messaggistica, tra canali Telegram che funzionano come veri e propri bazar paralleli, sta prendendo forma un fenomeno criminale che mescola alta tecnologia, truffe di strada e una logistica da multinazionale. Si chiama ghost-tapping ed è la più recente evoluzione della frode contactless, un attacco che sfrutta i sistemi NFC per trasformare carte di credito rubate in acquisti fisici, tangibili, spesso di lusso.
Secondo una ricerca dell’Insikt Group, i principali attori di questa nuova catena criminale sono gruppi di lingua cinese che hanno industrializzato il concetto di “relay fraud”: la clonazione virtuale di una carta rubata, caricata su wallet digitali come Apple Pay o Google Pay, e poi utilizzata tramite telefoni “usa e getta” forniti ai cosiddetti money mule. Il risultato è un ecosistema perfettamente integrato che unisce phishing, malware mobile, logistica fisica e rivendita su marketplace clandestini.
Come funziona un ghost-tap
Il punto di partenza è familiare: i criminali ottengono i dati delle carte attraverso phishing mirati o trojan bancari capaci di intercettare gli OTP inviati via SMS. A questo punto entra in gioco un’app open source, NFCGate, disponibile su GitHub e originariamente pensata per la ricerca accademica. Con NFCGate è possibile catturare, analizzare e ritrasmettere in tempo reale il traffico NFC da un dispositivo all’altro.
In pratica, un attore malevolo può caricare una carta compromessa su un wallet digitale e trasmettere il segnale a distanza a un secondo dispositivo controllato da un mule. Quest’ultimo, fisicamente in un negozio, si limita ad avvicinare il telefono al POS, replicando un pagamento legittimo. Nessuna alterazione visibile, nessun indizio per il cassiere: solo una transazione apparentemente normale.
Il processo è reso scalabile da software proprietari sviluppati ad hoc e da telefoni preconfigurati venduti sui canali Telegram. Un nickname ricorrente nelle indagini è @webu8, figura che offre “pacchetti completi” di ghost-tapping, inclusi telefoni modificati e accesso a servizi di relay.
L’infrastruttura su Telegram
Dopo la chiusura ufficiale del marketplace Huione Guarantee nel maggio 2025, ci si sarebbe aspettati un crollo del fenomeno. Invece, la decentralizzazione ha permesso ai gruppi di spostarsi rapidamente su circuiti paralleli come Xinbi Guarantee e Tudou Guarantee, mantenendo attivo il reclutamento di mule, i canali di riciclaggio e la vendita di merce rubata.
Le piattaforme fungono da “garanti”: non solo mettono in contatto venditori e acquirenti, ma offrono anche escrow services e dispute resolution, replicando modelli consolidati dell’e-commerce legittimo. Solo che, al posto di sneakers limited edition o smartphone nuovi di fabbrica, sugli scaffali virtuali compaiono gioielli, iPhone e lingotti d’oro acquistati grazie a carte compromesse.
Un fenomeno globale con base in Asia
Sebbene gli epicentri restino Cambogia, Cina e Singapore, la tecnica non ha confini. Gli attori stessi affermano che il ghost-tapping può funzionare ovunque. Ed è proprio Singapore ad aver registrato uno dei casi più eclatanti: tra ottobre e dicembre 2024, la polizia locale ha contato oltre 650 denunce di carte compromesse collegate a wallet mobili, con perdite per quasi un milione di dollari statunitensi.
Le indagini hanno svelato un dettaglio inquietante: i mule, spesso cittadini stranieri reclutati online, venivano inviati nel Paese muniti di passaporti falsi, pronti a saccheggiare store ufficiali come Apple Store o Best Denki.
Una volta acquistata la merce, il passo successivo era rivenderla nei marketplace Telegram o perfino su piattaforme legittime come eBay e Carousell, confondendo ulteriormente le tracce.
Implicazioni per il settore finanziario
La forza del ghost-tapping sta nell’essere difficile da rilevare. I retailer non applicano misure KYC stringenti e i mule possono spacciarsi per turisti di passaggio. Per le banche e i provider di pagamenti contactless questo significa transazioni apparentemente legittime, che solo in un secondo momento si rivelano fraudolente.
Il rischio, secondo Insikt Group, è duplice: un danno economico immediato per istituti di credito e retailer, e un impatto reputazionale che mina la fiducia verso sistemi di pagamento mobile sempre più diffusi.
Oltre la tecnica: la questione del modello criminale
Più che una semplice frode tecnologica, il ghost-tapping rappresenta la convergenza tra cybercrime e criminalità organizzata tradizionale. Da un lato, sviluppatori e hacker che creano e perfezionano gli strumenti di relay. Dall’altro, sindacati criminali già radicati in attività di scam online, che integrano il ghost-tapping come ulteriore linea di business.
Questa ibridazione spiega perché le campagne siano tanto resilienti: anche se un marketplace chiude o una serie di arresti colpisce i mule, la macchina si riorganizza, pronta a sfruttare nuove opportunità.