Negli ultimi mesi molti cittadini si sono ritrovati davanti allo stesso copione; una comunicazione all’apparenza ufficiale, un presunto verbale amministrativo e la convinzione di aver davvero combinato qualcosa di sbagliato. Poi arriva il colpo di scena: era tutto un falso.
Si tratta di una truffa costruita nei dettagli, con lo scopo finale di far scansionare un QR code alla vittima; quest’ultima viene infine reindirizzata su un sito creato ad hoc dai criminali, perfettamente identico a quello della Pubblica Amministrazione.
Questa tecnica ha un nome preciso, quishing; si tratta di una variante del phishing, che sostituisce il classico link malevolo con un codice QR.
Una scelta intelligente, poiché l’atto di scansionare un QR code nella nostra vita di tutti i giorni risulta di suo già un atto piuttosto naturale; quando poi la testa è già proiettata all’ansia della multa, il filtro critico si abbassa ulteriormente.
Come funziona davvero il quishing delle “finte multe”
La dinamica è sempre la medesima: arriva una comunicazione via mail, o addirittura stampata su carta. I loghi sono al posto giusto, il linguaggio credibile, l’impaginazione ricorda alla perfezione quella di un ente pubblico.
Ben mascherato all’interno di questo contesto realistico compare, infine, la richiesta di un pagamento urgente accompagnata da un QR code. Nel momento in cui lo inquadri, vieni reindirizzato su un sito fasullo, che imita in tutto e per tutto la pagina ufficiale del Comune o della piattaforma di pagamento.
È a quel punto che scatta il vero pericolo; se inserisci i dati della carta o le credenziali dell’home banking, i criminali riescono ad accedere ai tuoi fondi nel giro di pochi minuti.
Questi attacchi hanno successo perché sfruttano dinamiche psicologiche molto semplici; l’autorità, reale o apparente, riduce la nostra soglia d’attenzione, mentre l’urgenza ci spinge a prendere decisioni impulsive. Alla notizia di un rischio di sanzione maggiorata o addirittura di un procedimento, la priorità diventa chiudere la pratica, non di verificare se l’avviso risulti autentico o meno.
Come riconoscere una multa falsa senza farsi travolgere dall’ansia
L’aspetto più importante da ricordare è che una vera multa non richiede mai un pagamento tramite QR code, che punta a un sito sconosciuto. Le amministrazioni utilizzano canali certificati e piattaforme ufficiali, come PagoPA. Qualsiasi scorciatoia o deviazione dovrebbe accendere immediatamente un campanello d’allarme.
Anche il linguaggio utilizzato tradisce spesso i truffatori. Nonostante essi siano diventati sempre più sofisticati, nelle comunicazioni spuntano di frequente piccole imperfezioni: frasi distorte, terminologia non appropriata, traduzioni frettolose. Un ente pubblico non invierà mai documenti pieni d’errori.
Un’altra verifica semplice è il contenuto dell’accusa: sei davvero stato nel luogo in cui avresti commesso l’infrazione? L’auto era davvero lì? Hai già ricevuto una notifica ufficiale tramite PEC o raccomandata? Se la storia non torna, è il momento di fermarsi.
Infine, fai sempre attenzione a dove ti porta il QR code; se l’URL risulta bizzarro, troppo lungo, pieno di caratteri casuali, chiudi la pagina senza pensarci due volte. Gli indirizzi ufficiali sono riconoscibili, puliti, istituzionali.
Cosa fare se hai già scansionato il QR code
Ti sei accorto per tempo dell’inganno e non hai inserito alcun dato? Prendi un respiro, chiudi il browser e cancella la cronologia, accertandoti di non scaricare ciò che ti viene proposto.
Se invece hai già scritto numero della carta, credenziali o dati sensibili, agisci subito; blocca la carta dall’app della tua banca o tramite il numero dedicato, cambia le password dell’home banking da un dispositivo sicuro e segnala tutto alla Polizia Postale, allegando la comunicazione sospetta.
Più sei rapido, più aumentano le tue possibilità di limitare i danni.
Le domande che ricevo più spesso quando parlo di quishing
Una delle domande più frequenti è se le multe possano arrivare o meno tramite mail; la risposta, salvo eccezioni ben precise, è no.
Le amministrazioni usano PEC o raccomandata. Una semplice mail con un QR code che richiede pagamenti diretti deve essere considerata sospetta.
Un’altra domanda riguarda i fogli trovati sul parabrezza: sì, anche quelli si possono falsificare. Prima di pagare, verifica sempre il verbale sul sito ufficiale del Comune inserendo l’indirizzo manualmente, senza passare dal QR.
Perché i truffatori usano i QR code? Perché sono perfetti per eludere i controlli automatici e sfruttano un gesto ormai istintivo. Il telefono è sempre a portata di mano, spesso meno protetto rispetto al computer.
Fermarsi un attimo è la vera protezione
La sicurezza non è solo un aspetto tecnico, è soprattutto una questione d’attenzione. Prendersi trenta secondi per verificare un mittente, leggere l’URL o farsi una domanda in più può davvero evitare disastri.
L’urgenza è l’arma migliore dei criminali; la calma, invece, è la tua.
Se una comunicazione ti sembra strana, trattala come tale. La trappola funziona solo se ti lasci prendere dalla fretta.
Analisi di Federico Branchetti – Developer, Cyberoo
