I QR code sono ovunque: nei ristoranti, sulle locandine, nei pacchi e perfino nei biglietti dei mezzi pubblici. La loro comodità è indiscutibile, ma dietro quella griglia di quadratini può nascondersi una trappola difficile da notare. Negli ultimi mesi si è diffusa una nuova forma di truffa digitale chiamata quishing, in cui il QR code porta a siti falsi progettati per rubare dati personali o convincere a scaricare file infetti.
Il meccanismo è semplice: si scansiona un codice credendo di accedere a un menu o a una pagina informativa, e invece si finisce su un portale identico a quello di una banca, di un servizio postale o di un e-commerce. Il problema è che, a differenza dei link tradizionali, l’indirizzo nascosto nel QR code non si può leggere subito. E proprio questa invisibilità lo rende uno strumento ideale per i truffatori.
I contesti più a rischio
Molti casi sono stati segnalati nei parcheggi pubblici, dove i criminali coprono i QR code autentici delle colonnine con adesivi falsi che rimandano a pagine per il pagamento online. In altri casi, i codici vengono inseriti in volantini o messaggi che promettono sconti, coupon o premi.
Anche nelle email di phishing iniziano a comparire QR code al posto dei link, nella speranza che l’utente li consideri innocui e li scansioni con il telefono.
Come evitare di cadere nella trappola
Il primo passo è controllare sempre l’origine del codice: se si trova su un foglio stampato, una bacheca o un messaggio non ufficiale, meglio non usarlo. Quando si apre il link dopo la scansione, è utile leggere con attenzione l’indirizzo web prima di proseguire. Se non corrisponde a quello dell’azienda o contiene caratteri strani, è opportuno chiudere subito la pagina. Alcuni antivirus mobili offrono funzioni di scansione sicura dei QR code, in grado di analizzare automaticamente l’URL prima dell’apertura.
