Tessere di accesso in cantiere: Perché MIFARE Classic non è sicura e come funziona una crittografia sicura
Christopher Sura · giovedì 12 marzo 2026 · 7min
Le tessere di accesso fanno parte della quotidianità nei cantieri. Ma pochi sanno che la maggior parte delle tessere di accesso può essere copiata in pochi secondi – con dispositivi che costano meno di 50 euro.
Che si tratti del controllo accessi digitale a tornelli, porte o barriere – chi utilizza le tessere di cantiere senza prestare attenzione alla tecnologia di crittografia sottostante rischia accessi non autorizzati, furti e manipolazioni nella rilevazione delle presenze. Le tessere di accesso basate su UID e le tessere MIFARE Classic possono essere copiate in pochi secondi – con dispositivi liberamente acquistabili per meno di 50 euro.
In questo articolo spieghiamo perché la lettura della UID e MIFARE Classic rappresentano un rischio per la sicurezza e come un controllo accessi per cantieri moderno e crittografato, basato su MIFARE DESFire EV3, elimina completamente questo problema.
Copiare una tessera di accesso: perché le tessere RFID basate su UID non sono sicure
La maggior parte dei sistemi di accesso più semplici legge soltanto la UID (Unique Identifier) di una tessera – un numero di serie impresso in modo permanente, assegnato in fase di produzione. Il problema: questa UID viene trasmessa in chiaro a ogni lettura. Non avviene alcuna autenticazione tra tessera e lettore.
In concreto questo significa:
- Qualsiasi smartphone dotato di NFC può leggere la UID di una tessera di accesso in pochi secondi.
- I cloner di UID sono disponibili su internet a partire da circa 30 euro e creano una copia funzionante su una tessera vuota.
- Il sistema di accesso non è in grado di distinguere se si tratta della tessera originale o di una copia.
In un cantiere questo significa: chiunque si avvicini anche solo per un istante a una tessera di accesso può procurarsi l’ingresso senza essere notato. Persone non autorizzate, furti di materiale da costruzione e manipolazioni nella rilevazione delle presenze sono le conseguenze.
MIFARE Classic violata: perché queste tessere di accesso non offrono alcuna sicurezza
Molti fornitori puntano sulle tessere MIFARE Classic e le pubblicizzano come “sicure”, perché, a differenza della semplice lettura della UID, offrono una crittografia. Ma questa sicurezza è ingannevole.
MIFARE Classic utilizza l’algoritmo proprietario Crypto-1, che è stato completamente violato già nel 2008. Da allora sono documentati pubblicamente diversi metodi di attacco:
- Attacco Darkside: consente di estrarre le chiavi anche quando non è noto alcun settore della tessera.
- Attacco Nested: se una chiave è nota (ad es. quella predefinita di fabbrica), tutte le altre chiavi possono essere calcolate in pochi minuti.
- Attacco Hardnested: funziona anche con chiavi impostate individualmente e richiede soltanto un dispositivo Proxmark o Flipper Zero.
Importante da sapere:
Tutti gli strumenti per clonare le tessere MIFARE Classic sono liberamente disponibili e non richiedono alcuna competenza specialistica. Un Flipper Zero da circa 200 euro è sufficiente per copiare completamente una tessera MIFARE Classic in pochi minuti.
Il risultato: MIFARE Classic non offre più alcuna sicurezza degna di nota ed è semplicemente inadatta all’impiego nel controllo accessi nei cantieri, dove centinaia di persone entrano ed escono.
Tessere di accesso a prova di falsificazione: come funziona la crittografia MIFARE DESFire EV3
Bausicht punta su MIFARE DESFire EV3 – l’attuale standard industriale per tessere di accesso contactless ad alta sicurezza. A differenza di MIFARE Classic, DESFire EV3 si basa sullo standard di crittografia AES-128, utilizzato anche nel settore bancario e dalle autorità governative.
Le caratteristiche di sicurezza decisive:
- Autenticazione reciproca: tessera e lettore si autenticano a vicenda prima che i dati vengano scambiati. Una semplice lettura o intercettazione è così esclusa.
- Comunicazione crittografata: tutti i dati tra tessera e lettore vengono trasmessi con crittografia AES. L’intercettazione del collegamento radio fornisce solo dati inutilizzabili.
- Chiavi diversificate: ogni singola tessera riceve una chiave unica, individuale per ciascuna tessera. Anche se un aggressore riuscisse a estrarre la chiave di una singola tessera, nessun’altra tessera sarebbe compromessa.
Cosa significa Key Diversification?
Con la Key Diversification, da una master key segreta e da un’informazione specifica della tessera (ad es. la UID) viene derivata una chiave di tessera univoca secondo algoritmi conformi alle direttive NIST. La master key non lascia mai il Secure Access Module.
Il procedimento garantisce che:
- Nessuna chiave di tessera sia uguale a un’altra – anche con migliaia di tessere nel sistema.
- La master key non venga mai esposta – né sulla tessera né nel lettore.
- La copia di una tessera di accesso sia esclusa, poiché la chiave della tessera non può essere estratta dalla tessera.
Secure Access Module (SAM) – Archivio di chiavi a prova di manomissione per il Suo controllo accessi
Un elemento centrale della nostra architettura di sicurezza è il Secure Access Module (SAM AV3) – un chip crittografico a prova di manomissione con certificazione EAL5+. Questo modulo viene impiegato sia nel lettore di tessere USB collegato al PC sia nei controller di accesso in cantiere.
Il SAM svolge i seguenti compiti:
- Archiviazione sicura delle chiavi: le master key sono memorizzate esclusivamente nel SAM e non lo lasciano mai – nemmeno in caso di attacco fisico al lettore.
- Operazioni crittografiche: tutte le operazioni di cifratura e decifratura avvengono direttamente nel SAM. La chiave non viene mai depositata nella memoria di lavoro del controller o del PC.
- Protezione dalle manomissioni: la certificazione EAL5+ attesta che il chip è protetto contro gli attacchi fisici (attacchi side-channel, probing, fault injection).
Anche se un aggressore smontasse un lettore di accesso dalla parete e scomponesse completamente il dispositivo, non potrebbe estrarre le chiavi memorizzate.
Controllo accessi crittografato in cantiere: dalla tessera al server
La sicurezza non finisce con la tessera di accesso. Bausicht garantisce una catena di comunicazione crittografata senza interruzioni, dal momento della lettura della tessera fino all’elaborazione sul server:
1. Tessera → Lettore (contactless)
La comunicazione tra la tessera MIFARE DESFire EV3 e il lettore avviene tramite una sessione crittografata AES-128 con autenticazione reciproca. Intercettazioni o attacchi replay sono esclusi.
2. Lettore → Controller (OSDPv2 Secure Channel)
Il lettore comunica con il controller di accesso tramite il protocollo OSDPv2 con Secure Channel. OSDPv2 è il successore dell’obsoleto protocollo Wiegand e offre:
- Canale dati crittografato AES-128 tra lettore e controller
- Autenticazione reciproca di lettore e controller
- Protezione contro manomissioni, attacchi replay e attacchi man-in-the-middle
Buono a sapersi:
L’obsoleto protocollo Wiegand, ancora utilizzato in molti sistemi di accesso, trasmette i dati in chiaro. Con un semplice sniffer Wiegand da circa 20 euro è possibile intercettare i dati delle tessere direttamente sul cavo – senza nemmeno avere accesso alla tessera stessa.
3. Controller → Server (TLS)
La comunicazione dal controller di accesso al server Bausicht avviene tramite una connessione crittografata TLS. Tutti i dati di accesso vengono trasmessi in forma crittografata ed elaborati in modo sicuro sul server.
Creare tessere di cantiere sicure: Plug & Play nonostante gli standard di sicurezza per infrastrutture critiche
Nonostante questa estesa architettura di sicurezza, la configurazione per Lei come cliente è estremamente semplice. Bausicht mette a disposizione un’app per Microsoft Windows e un plugin per il browser Chrome, con cui può assegnare nuove tessere di accesso in modo crittografato in pochi secondi:
- Collegare al PC il lettore di tessere USB con SAM integrato
- Aprire l’app Bausicht o il plugin per Chrome
- Selezionare il collaboratore e appoggiare la tessera – fatto
L’intera derivazione delle chiavi, la crittografia e la scrittura della tessera avvengono automaticamente in background. Non Le serve alcuna competenza specialistica in crittografia o sicurezza informatica. Il sistema esegue tutti i passaggi rilevanti per la sicurezza in modo completamente automatico.
Riepilogo: il controllo accessi sicuro per cantieri in sintesi
| Componente | Tecnologia | Livello di sicurezza |
|---|---|---|
| Tessera di accesso | MIFARE DESFire EV3 | AES-128, chiavi individuali per tessera |
| Archivio chiavi | Secure Access Module (SAM AV3) | Certificato EAL5+, a prova di manomissione |
| Tessera ↔ Lettore | DESFire Secure Messaging | Crittografia AES, autenticazione reciproca |
| Lettore ↔ Controller | OSDPv2 Secure Channel | Crittografia AES-128, autenticazione bidirezionale |
| Controller ↔ Server | TLS | Crittografia end-to-end |
| Assegnazione tessere | App Windows / Plugin Chrome + lettore USB con SAM | Plug & Play, a prova di furto |
A differenza dei sistemi basati su UID o MIFARE Classic, Bausicht offre un controllo accessi per cantieri crittografato senza interruzioni, in cui la copia di una tessera di accesso è esclusa. Allo stesso tempo, l’utilizzo rimane semplice come con qualsiasi altro sistema – solo, appunto, sicuro.
Ideale per progetti di infrastrutture critiche e aree ad alta sicurezza
L’architettura di sicurezza interamente crittografata di Bausicht non è adatta solo ai cantieri tradizionali, ma è particolarmente indicata per i progetti di infrastrutture critiche e le aree ad alta sicurezza. Ovunque vengano posti i massimi requisiti al controllo accessi, il nostro sistema offre la base di sicurezza necessaria:
- Data center: i gestori di infrastrutture IT critiche sono soggetti a severi obblighi normativi in materia di sicurezza informatica e alla direttiva NIS-2. Un controllo accessi a prova di falsificazione con crittografia AES-256 e moduli SAM a prova di manomissione soddisfa questi requisiti.
- Siti militari: nella costruzione e nella manutenzione di installazioni militari l’accesso è rigorosamente regolamentato. Chiavi individuali per tessera e chip crittografici certificati EAL5+ garantiscono che nessun accesso non autorizzato sia possibile.
- Banche e istituti finanziari: dalla costruzione di una nuova filiale bancaria alla ristrutturazione di un caveau – la combinazione di DESFire EV3, OSDPv2 Secure Channel e crittografia TLS è in linea con gli standard di sicurezza del settore finanziario.
- Approvvigionamento energetico e infrastrutture di pubblica utilità: centrali elettriche, sottostazioni e impianti idrici sono tra le aree più sensibili dei servizi pubblici essenziali. Un controllo accessi in cui le copie delle tessere sono escluse è qui indispensabile.
Buono a sapersi:
Il controllo accessi Bausicht soddisfa i requisiti di sicurezza secondo lo standard BSI-Grundschutz ed è adatto a progetti soggetti alle normative sulle infrastrutture critiche e alla direttiva NIS-2.
Un controllo accessi sicuro per il Suo cantiere con Bausicht
Desidera proteggere il Suo cantiere o il Suo progetto di infrastruttura critica con tessere di accesso a prova di falsificazione basate su MIFARE DESFire EV3? Con il controllo accessi digitale di Bausicht ottiene una soluzione crittografata senza interruzioni – dalla tessera al server. Si convinca di persona e lo provi gratuitamente per 14 giorni!
Porta le Tue Conoscenze a un Nuovo Livello!
Approfondisci le Tue Conoscenze
Scopra approfondimenti informativi sul settore edile attraverso i nostri articoli del blog mentre ci occupiamo della Sua richiesta.
Approfondimento
Copiare una tessera di accesso? Perché MIFARE Classic è un rischio per la sicurezza nei cantieri
Christopher Sura
Approfondimento
Protezione dei dati - Controllo accessi in cantiere
Christopher Sura
Approfondimento
L’IA nel settore edile: previsioni 2024
Tristan Ratz
Vuoi Vedere Bausicht in Azione?
Prenoti un appuntamento demo senza impegno per scoprire come Bausicht può farLe risparmiare tempo e denaro in futuro.