Le schede NFC (Near Field Communications) non sono passive. I lettori NFC trasmettono costantemente energia RF (radiofrequenza); questo è chiamato un segnale portante. Molto vicino al lettore (entro una lunghezza d'onda, mettendo il "Vicino" in Near Field Communications), la trasmissione RF è abbastanza strong da indurre abbastanza energia nell'antenna ricevente per alimentare il circuito nella scheda. La scheda contiene un chip del computer che ha una CPU in grado di elaborare i dati ricevuti, una piccola quantità di memoria statica e la capacità di "trasmettere" una risposta (la trasmissione viene ottenuta attenuando il segnale portante.)
Le carte con strip Mag (quelle che non hanno chip incorporato) sono passive. Hanno solo dati di autenticazione "statici", che è probabilmente quello che stai pensando. I dati sono codificati sulla striscia in banca quando viene emesso, e sono sempre gli stessi dati, letti dopo aver letto dopo aver letto. La banda magnetica è tecnicamente molto limitata e contiene solo poche informazioni. Sono il PAN (numero di conto primario), il nome del titolare della carta, la data di scadenza, il codice di servizio e un valore segreto chiamato CVV (Cardholder Verification Value). In totale, non più di 79 caratteri possono essere codificati sulla prima traccia di una striscia mag.
Le schede chip NFC utilizzate per i pagamenti sono programmate per emulare gli stessi 79 caratteri che potresti trovare su una scheda a banda magnetica, con un paio di eccezioni: possono ascoltare i dati variabili trasmessi dal lettore, possono rispondere con qualsiasi il chip è programmato per l'invio e ogni carta contiene una chiave segreta che è nota solo alla banca che ha emesso la carta.
Per comunicare, il lettore invia al chip alcuni dati sulla transazione, compreso un numero casuale di "sfida". Il chip quindi crittografa il valore di sfida (e altri dati di transazione) con la chiave segreta memorizzata nella carta. Il chip emette quindi questo valore calcolato al posto del CVV. Questo si chiama dati di autenticazione "dinamici", perché il numero è diverso per ogni transazione.
Il motivo per cui queste carte non sono facilmente clonabili è che nessuno, tranne la banca, conosce la chiave segreta nascosta nel chip, quindi nessun altro può produrre una carta che reagirà allo stesso modo alla sfida che proviene dal lettore, quindi la carta clonata non può produrre il CVV corretto. La banca è responsabile della rilevazione del CVV errato e del rifiuto della richiesta dalla carta clonata.
Non tutti i sistemi in uso oggi sono perfetti. I ricercatori (e i criminali) hanno scoperto diversi attacchi. Alcune carte sono intrinsecamente insicuri perché usano una crittografia debole (come le carte MiFare usate spesso nei sistemi di transito). Alcune carte hanno letto le loro chiavi segrete usando attacchi di canali laterali, come l'analisi della potenza o l'analisi del tempo. Alcuni sono stati esaminati utilizzando la microscopia a fascio di ioni, rivelando i bit contenenti le chiavi segrete. E alcune banche hanno fatto un pessimo lavoro inizialmente implementando le loro chiavi segrete in modo tale da non convalidare correttamente i CVV.
Una volta che un sistema è stato implementato correttamente, le chip card sono molto difficili da clonare, indipendentemente dal fatto che siano NFC letti o inseriti in un lettore di chip.