La nuova truffa dei parcheggi che ruba dati e soldi: s’inquadra il QR per pagare la sosta, ma il sito è falso

La truffa è tanto semplice quanto efficace. L'ignaro cittadino posteggia la propria auto, inquadra il QR code del parcometro per il pagamento della sosta, ma i suoi soldi e tutti i suoi dati bancari finiscono nelle mani di malviventi che possono svuotare il conto in pochi minuti. Questa tecnica di quishing – neologismo nato dalla fusione di "QR" e "phishing" – si sta rapidamente diffondendo in diverse parti del mondo e in Italia il primo caso sembra essere scoppiato a Pesaro, dove diverse colonnine per il parcheggio si sono trasformate in un'insospettabile trappola per gli automobilisti.

"Tali QR code sono totalmente estranei ai sistemi ufficiali autorizzati per il pagamento della sosta nelle aree a raso" – ha fatto sapere Pesaro Parcheggi, società partecipata dal Comune che ha denunciato il fenomeno – Abbiamo provveduto immediatamente alla loro rimozione e abbiamo sporto denuncia alle autorità per gli accertamenti del caso". Allarme rientrato, dunque, ma ora il timore e che questo metodo facilmente replicabile possa diffondersi in molte altre città.

Come funziona la nuova truffa del QR

I sistemi di quishing hanno iniziato a proliferare sin dalle prime riaperture post-pandemia, quando ogni cosa, dai menù dei ristoranti ai depliant informativi dei musei, si è trasformata in un pratico QR code. L'idea è di per sé molto comoda: basta inquadrare il codice con la camera del cellulare e subito si viene re-indirizzati al sito o alla pagina web dove si può fruire del servizio. È proprio questa semplicità che però viene sfruttata dai criminali per sfilare denaro dalle tasche delle vittime senza che queste possano accorgersene. È infatti sufficiente sovrapporre al QR un adesivo con un altro codice connesso a una pagina fraudolenta per incanalare gli utenti in una trappola digitale.

È quello che è successo a Pesaro. I truffatori hanno coperto i QR code dei parcometri con degli adesivi che rimandavano a una pagina che simulava il sistema di pagamento del Comune. Quando l'utente inseriva i dati della carta di credito, questi venivano prontamente clonati e usati per sottrarre denaro alle vittime. Non solo. Quando si cade in questo tipo di truffe, oltre ai rischi per il conto corrente c'è anche il pericolo che i dati personali dei cittadini vengano sbattuti sul dark web per alimentare nuove frodi o forme di ricatto.

I metodi per difendersi dal quishing

Il quishing è una forma di phishing particolarmente insidiosa perché gioca sull'immediatezza dell'utilizzo. Quando inquadriamo un QR per pagare, spesso si è di fretta o poco attenti a quello che si sta facendo, e il rischio di non accorgersi dell'inganno è molto alto. Ci sono però alcuni accorgimenti che possono aiutarci a non diventare ignare prede per i truffatori.

Il primo consiglio è ovviamente quello di limitare l'uso di questo sistema, soprattutto se i QR code sono applicati ad apparecchi o infrastrutture installate all'esterno, quindi facilmente raggiungibili da chiunque. Meglio affidarsi ad app sicure e garantite – in questo caso le varie applicazioni ufficiali per il pagamento di soste e pedaggi del Comune di riferimento – per effettuare pagamenti senza ricorrere a nessun passaggio intermedio.

La seconda accortezza risiede invece nel controllare con le mani che il QR Code che stiamo per inquadrare non sia stato sovrapposto a un altro adesivo già esistente. Una volta aperta la pagina di re-indirizzamento è poi buona abitudine controllare la veste grafica del portale (se le grafiche sembrano abbozzate o i testi presentano errori marchiani è meglio chiudere subito tutto) e, soprattutto l'URL del sito: la presenza di numeri, strani simboli o riferimenti che non c'entrano con il servizio che si sta sfruttando sono tutti campanelli d'allarme da non ignorare.