Allarme “quishing”: la nuova truffa dei QR code colpisce i parcheggi

Sta prendendo piede anche in Italia una nuova e subdola tecnica di truffa digitale, che sfrutta i QR code affissi sui parcometri cittadini. Diverse forze dell’ordine, associazioni di consumatori e la Polizia Postale hanno segnalato nelle ultime settimane casi di “quishing” — phishing tramite QR code — capace di sottrarre dati bancari e personali agli automobilisti, approfittando della loro fiducia nei pagamenti digitali e della disattenzione causata dalla fretta.

Come funziona la truffa dei QR code

Il meccanismo è tanto semplice quanto efficace. I truffatori sovrappongono adesivi con QR code fasulli sopra quelli originali dei parcometri. Chi scansiona il codice, credendo di collegarsi al sito ufficiale del gestore del parcheggio o di app note come EasyPark, viene invece indirizzato a pagine web contraffatte, praticamente indistinguibili da quelle autentiche.

Convinti di effettuare un pagamento regolare, gli utenti inseriscono i dati della propria carta di credito o vengono invitati a scaricare finti aggiornamenti, inconsapevoli di trovarsi su un sito gestito da cybercriminali. Il furto di dati è immediato e spesso il danno economico si consuma in pochi minuti.

Chi è più a rischio e dove sono avvenuti i primi casi

Tra le vittime più esposte ci sono persone anziane e utenti poco avvezzi alle tecnologie digitali. Episodi recenti sono stati registrati a Verona, nel canton Vaud in Svizzera, ad Hannover e nel Regno Unito, dove una donna di 71 anni ha perso oltre 15mila euro cadendo nella trappola di un QR code contraffatto.

Il fenomeno del “quishing” e le sue varianti

Questa tecnica di phishing via QR code ha preso il nome di “quishing”, dall’unione di QR e phishing. È più difficile da riconoscere rispetto al phishing tradizionale via email o SMS, perché sfrutta un oggetto fisico presente nello spazio pubblico e una tecnologia — il QR code — considerata affidabile.

Oltre ai parcometri, i codici truffaldini sono stati rinvenuti su colonnine per la ricarica di auto elettriche, sportelli bancomat e persino cartelli stradali, con l’obiettivo di carpire dati bancari o installare malware nei dispositivi delle vittime.

Come riconoscere un QR code sospetto

Gli esperti suggeriscono di prestare attenzione ad alcuni segnali:

• Verificare se il codice è un adesivo sovrapposto o appare manomesso.
• Controllare sempre l’indirizzo del sito a cui si viene indirizzati: deve iniziare con https e corrispondere a quello ufficiale del gestore.
• Diffidare da richieste di inserimento di dati completi di carte o PIN.
• Esaminare la grafica e la qualità del codice: colori strani, caratteri insoliti o loghi sgranati possono essere campanelli d’allarme.

Consigli per proteggersi

Per ridurre il rischio, è consigliabile:

• Scaricare app di pagamento solo dai canali ufficiali come Google Play o App Store.
• Digitare manualmente l’indirizzo web del gestore anziché scansionare codici sconosciuti.
• Usare carte prepagate dedicate per i pagamenti online.
• In caso di dubbio, optare per il pagamento tradizionale con monete o POS.

Le contromisure tecnologiche in arrivo

In risposta al fenomeno, alcune città europee stanno sperimentando QR code incisi direttamente su supporti rigidi o stampati in 3D sulla segnaletica, rendendo impossibile la sovrapposizione di adesivi falsi. Si studiano anche sistemi di verifica automatica dei codici e controlli periodici sulle colonnine pubbliche.

Cosa fare se si è vittima di una truffa QR code

Chi si accorge di aver inserito dati su un sito falso deve immediatamente:

1. Contattare la banca per bloccare la carta o il metodo di pagamento.
2. Sporgere denuncia alle forze di polizia o alla Polizia Postale.
3. Segnalare il QR code sospetto al gestore del parcheggio o agli agenti di zona.
4. Monitorare attentamente i movimenti bancari per individuare eventuali anomalie.

---

LEGGI ANCHE