Pagamenti rapidi, contactless e omnicanale sono ormai la norma: il terminale POS è diventato il cuore di ogni cassa, ma anche il bersaglio preferito dei cyber‑criminali. Dal memory scraping di RawPOS alla più recente ondata di ransomware mirati al retail, la posta in gioco è aumentata: dati di pagamento, reputazione, continuità operativa. Secondo le stime, entro fine anno un punto vendita su quattro registrerà almeno un tentativo di compromissione. Comprendere le nuove tecniche di attacco, i fattori di rischio e le scadenze normative è quindi indispensabile per qualunque esercente, grande o piccolo.

Perché il malware POS è tornato protagonista nel 2025

Il panorama delle minacce si è evoluto di pari passo con la diffusione dei pagamenti digitali. I criminali puntano al “momento in chiaro” in cui i dati della carta transitano nella RAM: ram scraper, keylogger e network sniffer continuano a dominare, mentre i backdoor consentono accessi silenziosi di lunga durata. A rendere la situazione più critica contribuiscono tre fattori:

  1. Crescita dei volumi contactless: più transazioni significano più opportunità di intercettare dati.
  2. Forte pressione sui margini: molti esercenti rimandano aggiornamenti hardware e patch, lasciando falle aperte.
  3. Economia del cyber‑crimine in pieno boom: il costo globale del cyber‑crime toccherà i 10,5 mila miliardi di dollari nel 2025.

Il risultato è un ritorno di fiamma degli attacchi POS, con campagne sempre più automatizzate che sfruttano credenziali rubate o supply‑chain software compromesse.

Nuove minacce: Prilex 2.0, ransomware e campagne mirate

Nel 2023 gli analisti di Kaspersky hanno documentato tre varianti di Prilex capaci di disattivare l’NFC e forzare l’inserimento fisico della carta, rendendo inutile il token univoco del contactless e aprendo la strada al furto dei dati chip‑and‑PIN. Nel 2024 il malware si è evoluto ulteriormente: moduli plug‑and‑play in Delphi/C++ lo rendono adattabile a diversi brand di terminale e a nuove tecniche di social engineering (finti “update” remoti via AnyDesk).

Parallelamente, il ransomware ha preso di mira la supply‑chain retail: nel primo trimestre 2025 il settore è stato il più colpito nei leak‑site, complice la campagna Clop contro software di file transfer usati per sincronizzare i POS. Questa convergenza tra estorsione e furto di carte moltiplica l’impatto: oltre ai charge‑back e alle multe PCI, le aziende devono negoziare riscatti per evitare la pubblicazione di dati sensibili.

Malware POS: le vulnerabilità più comuni nei sistemi italiani

Un sondaggio pubblicato il 16 luglio 2025 evidenzia che il 62% dei negozi di piccole e medie dimensioni utilizza ancora sistemi operativi non supportati o patchate in ritardo. Tra le criticità più frequenti:

  • Password di default e assenza di MFA per l’accesso tecnico.
  • Reti WiFi “flat”: il POS condivide la stessa VLAN del Wi‑Fi ospiti o del magazzino, facilitando il movimento laterale.
  • Back‑end esposti: API REST usate per la reportistica senza rate‑limiting o autenticazione robusta.
  • Aggiornamenti firmware non autenticati: scenario ideale per attacchi supply‑chain “drive‑by update”.

Anche i grandi retailer non sono immuni: rollout rapidi di chioschi self‑checkout e mobile‑POS basati su Android hanno aumentato la superficie d’attacco, spesso senza un adeguato programma di hardening.

Checklist di difesa e scadenza PCI DSS v4.0

Dal 31 marzo 2025 entreranno in vigore 51 requisiti future‑dated di PCIDSSv4.0 che impongono, fra l’altro, vulnerability scan trimestrali e ruolo/competenze documentate per chi gestisce i POS.

Prepararsi ora significa:

  1. Patch management serrato: automatizzare gli aggiornamenti del software POS e firmware del terminale.
  2. Segmentazione di rete: VLAN dedicata ai dispositivi di pagamento, con firewall e micro‑segmentazione zero‑trust.
  3. MFA per accessi privilegiati: includere fornitori terzi di assistenza remota.
  4. Monitoraggio continuo e threat hunting: log‑collection centralizzata, regole per individuare RAM scraping e traffico C2 anomalo.
  5. Test di penetrazione regolari: preferibilmente legati al ciclo di rilascio delle patch.
  6. Crittografia end‑to‑end o tokenizzazione: riduce l’esposizione di PAN in chiaro anche in RAM.
  7. Piano di risposta: procedure chiare di isolamento rapido dei terminali e notifica alle banche acquirenti.

Adottare queste contromisure non è solo un esercizio di compliance: la pressione dei consumatori sulla protezione dei dati e il rischio di fermo cassa impongono un salto di qualità. E con l’avvicinarsi della scadenza PCI, dimostrare proattività nella sicurezza diventerà anche un vantaggio competitivo.

Considerazioni finali

Il malware POS non è un problema relegato al passato: nel 2025 è più silenzioso, modulare e integrato nelle logiche di estorsione dei gruppi ransomware. Conoscere le tecniche di attacco – dal keylogging alle campagne che bloccano l’NFC – permette di costruire difese multilivello che combinano tecnologia, processi e formazione. Investire ora in patching, segmentazione e monitoraggio continuo significa ridurre i costi di un incidente futuro e rispettare con serenità la deadline PCI DSS v4.0. In altre parole, proteggere il terminale POS oggi equivale a proteggere l’intero business domani.