Quishing, la nuova truffa digitale che colpisce attraverso i Qr code

È la nuova frontiera del raggiro online e sta dilagando con una rapidità che preoccupa gli investigatori: il quishing, una variante del più noto phishing, sfrutta l’innocua immagine quadrata dei Qr code per rubare dati personali e bancari. A segnalarlo è la Polizia Cibernetica, che invita gli utenti alla massima prudenza.

Il meccanismo è semplice quanto insidioso: un Qr code fasullo, piazzato su una finta comunicazione o inviato tramite messaggi e social, rimanda a un sito web che appare credibile ma è interamente costruito dai cybercriminali. Basta una scansione – magari per il menu di un ristorante, l’audioguida di un museo, il pagamento di un parcheggio – e l’utente viene indirizzato a un portale pronto a sottrarre dati di accesso, informazioni bancarie o a installare malware sul dispositivo. Secondo la Polizia Cibernetica, il fenomeno sta assumendo forme sempre più elaborate.

Le due truffe più diffuse sono quelle del “falso postino” e della “finta assicurazione”. Nel primo caso la vittima trova nella cassetta delle lettere un avviso di consegna, curato graficamente in modo da sembrare autentico: loghi, timbri, formati identici a quelli dei corrieri più noti. Nell’avviso compare un Qr code che invita a confermare la consegna, pagare presunte spese doganali o aggiornare i propri dati. Una volta scansionato, il codice porta a un sito che chiede generalità, recapiti e persino dati bancari. In alcuni casi, l’apertura del link installa spyware capaci di sottrarre informazioni e controllare il dispositivo. Nella versione “assicurativa”, invece, l’utente riceve un QR code apparentemente collegato alla targa della sua auto e viene invitato a usarlo in ricevitoria per pagare una polizza. Il codice però rimanda ai dati del truffatore: il denaro sparisce e l’automobilista resta senza copertura. Un fenomeno “in forte crescita e particolarmente subdolo”, spiegano gli investigatori, perché colpisce un gesto considerato di routine: la scansione di un Qr code. La Polizia Cibernetica consiglia la massima prudenza: diffidare da offerte assicurative troppo vantaggiose o comunicazioni anomale; controllare con attenzione errori, toni urgenti o formati insoliti; verificare sempre con il corriere o l’ente indicato; controllare l’indirizzo del sito che si apre dopo la scansione; evitare Qr code su pacchi o lettere non richiesti; non effettuare pagamenti elettronici tramite Q code; usare app che verificano il link; non fornire dati sensibili su siti sospetti; segnalare dubbi alla Polizia Postale; contattare subito banca o gestore della carta se si sono inseriti dati finanziari; eseguire una scansione antivirus; cambiare password e denunciare l’accaduto. Una serie di precauzioni indispensabili in un periodo in cui la truffa digitale cambia pelle e approfitta dei gesti più automatici della quotidianità.