Quella griglia di puntini neri su sfondo bianco è ormai ovunque. Al ristorante per consultare il menu, alla stazione per acquistare un biglietto, sul parchimetro per pagare la sosta. I QR code sono diventati talmente familiari che li scansioniamo senza pensarci, con la stessa naturalezza con cui accendiamo lo smartphone al mattino. Eppure, dietro quella matrice apparentemente innocua, si nasconde un mondo di potenziali insidie che la maggior parte delle persone ignora completamente. Nato nel 1994 in Giappone dall’azienda Denso Wave, sussidiaria della Toyota, il QR code (che sta per Quick Response, risposta rapida) aveva un compito nobile e industriale: tracciare i componenti delle automobili lungo la catena di montaggio. Un’applicazione logistica, tecnica, lontana dalla vita quotidiana. Oggi, quasi trent’anni dopo, questi codici bidimensionali hanno invaso ogni aspetto della nostra esistenza digitale. La pandemia da COVID-19 ha accelerato drammaticamente la loro diffusione: soluzioni contactless erano necessarie, e i QR code offrivano esattamente questo.
Ma è proprio questa ubiquità a renderli interessanti per chi cerca di truffare il prossimo. Un QR code, tecnicamente, non è altro che un link grafico: contiene dati leggibili da una fotocamera che possono rappresentare un indirizzo web, un testo, credenziali di accesso a una rete Wi-Fi. In sé per sé non è né sicuro né pericoloso, è neutro. Il problema sorge quando quel link rimanda a destinazioni malevole, progettate per sottrarre informazioni personali, dati bancari o installare software dannoso sul dispositivo. La facilità con cui chiunque può generare un QR code è disarmante. Bastano pochi secondi, un servizio online gratuito, e il gioco è fatto. Non serve competenza tecnica particolare, non servono infrastrutture complesse. Questa accessibilità democratica ha un lato oscuro: anche i criminali informatici possono creare codici malevoli con la stessa semplicità. E lo stanno facendo, con una frequenza crescente.
Il fenomeno ha persino un nome: quishing, una fusione tra QR e phishing. Il phishing tradizionale sfrutta email o messaggi per indurre le vittime a cliccare su link sospetti. Il quishing fa lo stesso, ma con un’arma in più: l’apparente innocuità di un’immagine. Se un utente esperto può riconoscere un URL fraudolento in un messaggio, davanti a un QR code la guardia si abbassa. È solo un quadratino con dei puntini, cosa mai potrà succedere. I casi documentati sono molteplici e geograficamente diffusi. Parcheggi pubblici dove adesivi fraudolenti vengono applicati sopra i QR code legittimi dei parchimetri, reindirizzando gli ignari automobilisti verso pagine di pagamento fasulle. Multe false lasciate sui parabrezza delle auto con codici che conducono a sistemi di pagamento online truffaldini. In Svizzera sono state recapitate lettere cartacee contenenti QR code malevoli direttamente nelle cassette postali delle persone. Truffe che sfruttano il confine sottile tra mondo fisico e digitale.
Il National Cyber Security Centre del Regno Unito ha evidenziato come i QR code vengano sempre più utilizzati nelle campagne di phishing via email. La logica è semplice: inserire un codice bidimensionale in un messaggio aggira molti dei filtri di sicurezza tradizionali, che analizzano link testuali ma non interpretano immagini. Una volta scansionato, l’utente viene condotto su pagine web progettate con cura maniacale per sembrare legittime: banche, servizi pubblici, piattaforme di pagamento. Ma il danno raramente avviene al momento della scansione. Il vero pericolo si materializza dopo, quando l’utente, convinto di trovarsi su un sito affidabile, compie azioni che non farebbe mai consapevolmente: inserisce dati di pagamento, scarica applicazioni che nascondono malware, fornisce credenziali d’accesso. È qui che l’ingegneria sociale entra in gioco, quella disciplina che studia come manipolare le reazioni emotive delle persone per indurle a comportamenti pericolosi.
I rischi sono molteplici e stratificati. Il malware è uno dei più insidiosi: un QR code può portare al download automatico di virus, spyware o ransomware, compromettendo la sicurezza dell’intero dispositivo. Il reindirizzamento a siti web malevoli è forse il più comune: pagine clone perfettamente realizzate che richiedono l’inserimento di informazioni sensibili. Il furto d’identità rappresenta un’altra conseguenza devastante: con dati sufficienti, i criminali possono aprire conti correnti, richiedere prestiti, compiere operazioni fraudolente a nome della vittima. Le vulnerabilità possono annidarsi anche nelle applicazioni di scansione stesse. Software obsoleti o provenienti da fonti non verificate possono presentare falle di sicurezza facilmente sfruttabili. Per questo il National Cyber Security Centre raccomanda di utilizzare lo scanner integrato nello smartphone, quello fornito dal produttore del sistema operativo, piuttosto che app di terze parti scaricate a caso.
Ma come difendersi senza cadere nella paranoia. Il contesto è fondamentale. In un ristorante, dove il codice serve a visualizzare il menu, il rischio è generalmente basso. Il locale ha interesse a fornire un servizio funzionante, non a truffare i clienti. Diverso il discorso per luoghi non presidiati: parcheggi, stazioni, bagni pubblici. Qui la soglia di attenzione deve alzarsi. Un adesivo applicato sopra un codice ufficiale, segni di manomissione, incongruenze visive sono tutti campanelli d’allarme da non ignorare. Le email e i messaggi diretti richiedono la massima cautela. Se ricevete una comunicazione inaspettata che vi invita a scansionare un QR code per verificare il conto, confermare un pagamento, aggiornare dati personali, fermatevi. Verificate sempre l’autenticità della fonte attraverso canali ufficiali, non utilizzando i contatti forniti nel messaggio sospetto.
Dopo aver scansionato un codice, controllate sempre l’URL che si apre. Deve iniziare con https, non con http. La s finale indica una connessione sicura, crittografata. Verificate che il dominio corrisponda esattamente a quello dell’ente o dell’azienda che dovrebbe gestire quel servizio. I truffatori spesso usano domini simili ma con piccole variazioni: lettere sostituite, trattini aggiunti, estensioni diverse. Mai, in nessun caso, fornite informazioni di pagamento o dati personali sensibili su pagine raggiunte tramite QR code scansionati in luoghi pubblici o da comunicazioni non sollecitate. Se un servizio legittimo richiede queste informazioni, accedete direttamente al sito ufficiale digitando l’indirizzo nel browser o utilizzando l’app ufficiale scaricata dallo store del vostro dispositivo.
L’installazione di applicazioni di sicurezza su smartphone e computer rappresenta un ulteriore livello di protezione. Software antivirus aggiornati possono identificare e bloccare malware prima che causino danni. Mantenere il sistema operativo e tutte le applicazioni costantemente aggiornate è fondamentale: gli aggiornamenti includono patch di sicurezza che correggono vulnerabilità note e sfruttabili. La regola d’oro rimane il buon senso. Se qualcosa sembra troppo bello per essere vero, probabilmente non lo è. Se un QR code trovato per strada promette sconti incredibili, premi, accesso a servizi esclusivi, la probabilità che sia una trappola è altissima. La fretta è nemica della sicurezza: prendersi qualche secondo per riflettere prima di scansionare può fare la differenza tra un’operazione sicura e un disastro informatico.
