Ech ... piszesz o kartach magnetycznych więc na tym się skupię ... zasadniczo na czas gdy się tym zajmowałem (pracowałem w firmie robiącej kontrole dostępu i RCP w oparciu o czytniki i biometrię - jakieś 10 lat wstecz) to już wtedy standard RFID był taki, że praktycznie nie dało się go poprawnie skopiować (dlatego np zgubienie karty wiązało się z fizycznym zakupem nowej karty i dodaniem jej do systemu) istnieją również karty programowalne ale dawno nie spotkałem systemu, który by na nich pracował - choć zaznaczam, że od 10 lat nie siedzę w branży. Co do samego jednak RFID to to każda karta ma zaszyty wewnątrz swój unikalny numer seryjny oraz podpis cyfrowy. Jeśli się zastanawiasz jak to działa to analogia jest podobna do sytuacji z kluczem publicznym i kluczem prywatnym na karcie jest klucz prywatny na czytniku (lub oprogramowaniu do czytnika) klucz publiczny. Możesz go odczytać ale skopiować na ten moment się chyba nie da. No chyba, że ktoś korzysta z jakichś chińskich tanich niezabezpieczonych zamienników.
Co do samej aplikacji to na jednej z konferencji dotyczących bezpieczeństwa (nie podam nazwy bo nie pamiętam) zademonstrowano nową formę przestępstwa polegającą na zdalnym przechwytywaniu karty. Mianowicie typ przyłożył kartę do telefonu z aplikacją działającą na NFC i aplikacja przesyłała sygnał NFC do drugiego telefonu, który był przy terminalu płatniczym. Okazało się, że taka aplikacja jest w stanie poprzez GPRS/LTE/WiFi przekazać do terminala płatniczego informacje niezbędne do dokonania płatności (oczywiście do kwoty blokowanej przez PIN - czyli np u mnie na karcie 100zł). Facet opowiadał, że przetestowali to w godzinach szczytu w autobusie i "ocierając" się w tłumie o ludzi zebrali w ten sposób kilkanaście kart, którymi mogli zapłacić za usługi w innym miejscu.
Niestety sam nigdy nie miałem okazji tego sprawdzić czy takie coś rzeczywiście jest możliwe