Perché le nuove carte di credito usano l'RFID invece dell'NFC?
NFC è considerata una delle tecnologie RFID, quindi c'è qualche malinteso sulla terminologia nella domanda originale.
È la prima volta che sento dire che le carte di pagamento EMV senza contatto usano RFID (oltre a NFC).
Utilizzano solo NFC (13,56 MHz, ISO 14443).
NFC è supportato da terminali POS già installati in tutto il mondo in numero considerevole, NFC è supportato da soluzioni basate su smartphone che emulano una carta smard senza contatto (Google Wallet, Apple Pay, qualunque cosa, ce ne sono molti).
Per quanto riguarda la domanda originale: l'intercettazione e gli attacchi basati su MITM sul livello di trasporto tra la carta e il terminale (che è l'NFC) non è molto più facile per RFID che per NFC, è già possibile con NFC in qualche misura.
Il protocollo EMV è in qualche modo resistente alla maggior parte di questi attacchi, a condizione che sia implementato correttamente e che siano implementate adeguate misure di sicurezza sia nelle banche acquirenti che in quelle emittenti.
Le informazioni che possono essere rubate intercettando passivamente la connessione non sono al giorno d'oggi di grande utilità per l'attaccante, poiché non contengono informazioni sufficienti per la frode card-not-present (il codice CVV2/CVC2 che è stampato sulla carta non è nemmeno conosciuto dal chip) e poiché le modalità di autenticazione dei dati offline EMV sono ora solo dinamiche (CDA/DDA), quindi il replay delle transazioni utilizzando i dati catturati è molto difficile se non impossibile per l'attaccante.
Sono stati pubblicati una serie di attacchi a implementazioni EMV difettose, ma hanno come obiettivo il protocollo EMV in generale, quindi aggiungere NFC o qualsiasi altro trasporto a radiofrequenza sopra di esso fa poca o nessuna differenza in termini di sicurezza.