Non inquadrare quel codice: come funziona la nuova truffa digitale, i trucchi per difendersi - ripam.itUn gesto che facciamo ormai in automatico può trasformarsi in una trappola silenziosa. E non sempre te ne accorgi subito.
I QR code sono diventati parte del paesaggio quotidiano: li troviamo sui tavoli dei ristoranti per aprire il menu, sui parchimetri per pagare la sosta, in stazione per acquistare un biglietto. Li inquadriamo con lo smartphone con la stessa naturalezza con cui controlliamo l’ora. Ed è proprio questa familiarità, oggi, a renderli perfetti per una nuova forma di truffa digitale che sfrutta la distrazione e la fiducia: una frode discreta, rapida, spesso difficile da individuare al primo sguardo.
Dietro quella griglia di puntini neri su fondo bianco non c’è magia: un QR code è, in sostanza, un “link grafico”. Può contenere un indirizzo web, un testo, perfino le credenziali per accedere a una rete Wi-Fi. È un contenitore neutro, nato in un contesto lontanissimo dall’uso di massa: nel 1994, in Giappone, l’azienda Denso Wave (sussidiaria di Toyota) lo sviluppò per tracciare componenti automobilistici lungo la catena di montaggio. Poi, quasi trent’anni dopo, la pandemia da COVID-19 ha accelerato tutto: la necessità di soluzioni contactless lo ha portato ovunque. E dove c’è abitudine, c’è anche opportunità per chi vuole approfittarsene.
Come funziona davvero la truffa del QR code e perché è così efficace
Il punto critico è semplice: non vedi subito dove ti sta portando. Nel phishing tradizionale, un utente attento può riconoscere un link sospetto in un’email o in un messaggio. Nel cosiddetto quishing (fusione tra QR e phishing), invece, la guardia si abbassa: “è solo un quadratino”, si pensa. Eppure basta un codice che rimandi a una pagina malevola per aprire la porta a furti di dati, pagamenti non autorizzati o download pericolosi.
Le situazioni più insidiose sono quelle in cui il mondo fisico e quello digitale si toccano. Sono stati documentati casi di adesivi fraudolenti applicati sopra i QR code legittimi dei parchimetri, così che l’automobilista finisca su una pagina di pagamento fasulla. In altri episodi, finte multe lasciate sul parabrezza rimandano a sistemi di pagamento online truffaldini. In Svizzera, addirittura, sono state recapitate lettere cartacee con QR code malevoli nelle cassette postali: un dettaglio che rende l’inganno ancora più credibile, perché arriva “da fuori” e sembra ufficiale.
Il National Cyber Security Centre del Regno Unito ha inoltre segnalato un uso crescente dei QR code nelle campagne di phishing via email: inserire un codice in un messaggio può aggirare molti filtri che controllano i link testuali ma non interpretano le immagini. Il rischio, però, raramente esplode nel momento esatto della scansione. Il vero danno avviene dopo, quando l’utente, convinto di trovarsi su un sito autentico, inserisce dati di pagamento, credenziali o scarica applicazioni che in realtà nascondono malware. È qui che entra in gioco l’ingegneria sociale: la capacità di manipolare reazioni e automatismi, portandoci a fare ciò che normalmente eviteremmo.
Come funziona davvero la truffa del QR code e perché è così efficace – ripam.it
Anche la difesa, per fortuna, può essere semplice senza diventare paranoici. Il contesto conta: un QR code in un ristorante, in genere, è meno rischioso perché il locale ha interesse a offrire un servizio reale, non a truffare i clienti. Diverso è il discorso nei luoghi non presidiati, parcheggi, stazioni, bagni pubblici, dove un adesivo sovrapposto o segni di manomissione dovrebbero far scattare l’allarme. Dopo la scansione, controllare l’URL è fondamentale. Meglio se inizia con https e, soprattutto, se il dominio corrisponde esattamente all’ente o all’azienda che dovrebbe gestire quel servizio. I truffatori puntano spesso su domini “quasi uguali”, con piccole variazioni difficili da notare.
Un’ulteriore protezione arriva dalle buone abitudini. Usare lo scanner integrato nello smartphone invece di app casuali (come raccomanda il National Cyber Security Centre), mantenere sistema operativo e applicazioni aggiornati, e affidarsi a software di sicurezza aggiornati che possano bloccare contenuti malevoli. Ma la regola che vale più di tutte resta il buon senso. Se un QR code promette sconti incredibili o premi trovati “per caso”, fermarsi qualche secondo può evitare un disastro. In un’epoca in cui tutto è immediato, la fretta è ancora l’alleata migliore delle truffe.
