Il QR code è ormai entrato a far parte della quotidianità, con mille usi. Serve a scaricare menu al ristorante o la spiegazione in un museo o sito culturale, oppure istruzioni per iscrizioni dei figli ai corsi di nuoto o in palestra, o per conoscere gli ingredienti dei cibi in vendita. Ma dagli esperti arriva un monito a prestare attenzione. Si potrebbe cadere, infatti, in una nuova forma di truffa: il quishing.

Il QR code non è innocuo

«Oggi possiamo inquadrare con la fotocamera dello smartphone il quadrato con una serie di moduli neri su fondo bianco, che ritroviamo ormai ovunque, anche su giornali, riviste, manifesti, nei musei o incollate alle vetrine di negozi e ristoranti. Grazie a loro non c’è più bisogno di stampare depliant, avvisi o istruzioni per l’uso. Ma attenzione ai rischi», avverte il generale Umberto Rapetto, già comandante Nucleo Speciale Frodi Telematiche della Guardia di Finanza ed esperto in materia. A confermare i potenziali pericoli è una ricerca della dell’azienda di sicurezza Check Point Software, che parte da una considerazione: le truffe legate alla scansione dei QR code sono cresciute del 587%. La più diffusa è il cosiddetto Quishing, che nel nome ricorda il phishing ed è proprio l’unione tra “QR” e “phishing”.

Cos’è il quishing, QR più fishing

Il quishing è il sistema con il quale si ottengono i dati di un utente in modo fraudolento, spacciandosi per un ente o istituzione pubblica o certificata, come una banca, le poste, ecc. In questo caso l’inganno passa dalla visualizzazione, con il proprio smartphone, del quadrato bianco e nero che in genere rimanda a un link con informazioni utili. Il problema, però, è che quella immagine inquadrata dallo schermo del cellulare può aprire le porte all’accesso a dati personali, che quindi rischiano di finire in possesso di malintenzionati.

Che rischi si corrono con il QR code

Come detto, il meccanismo con cui i truffatori si impossessano dei dati dell’utente è simile a quello del phishing, con la differenza che con la posta elettronica è necessario che chi apre l’email clicchi sul link “truffaldino”, mentre inquadrando il QR code con il proprio cellulare il meccanismo è automatico. «Il QR Code non ha bisogno della vera e propria intermediazione da parte dell’utente. L’importante è che lo smartphone inquadri tale immagine. Se tutto va bene il cellulare si collega a un sito fasullo. Se l’utente non si lascia incantare dall’estrema similitudine con quello originale di uso frequente, c’è ancora qualche possibilità di salvezza. Se la sorte è avversa – teniamoci forte – l’inquadratura del QR code lancia un programma capace di devastare quanto memorizzato sul cellulare, di rubarne il contenuto e spedirlo a chissà chi, di compromettere il funzionamento dell’apparato o magari di installare un software-spia», spiega Rapetto.

Proteggi i tuoi dati

Di fatto, come ricorda Il Messaggero, la scansione del QR code non prevede il filtro di antivirus, come invece avviene quando si naviga con un computer, quindi dà accesso a siti potenzialmente pericolosi e in grado di carpire dati personali. Al link a cui si viene rimandati inquadrando il codice bidimensionale, infatti, possono essere legati malware in grado di derubarci” magari arrivando alle credenziali di accesso o password di conti correnti. «Esistono degli antivirus, ma dobbiamo ricordare che sono sempre un po’ più vecchi dei nuovi virus che ogni giorno sono immessi in rete, quindi si rischia di non essere protetti», spiega ancora l’esperto. Un’altra strada passa per il ricorso ad app o impostazioni specifiche dello smartphone.

Imposta il tuo smartphone in modo corretto

Come spiega Rapetto, «Può essere utile, invece, impostare il proprio telefonino, a seconda del modello di cui si dispone, in modo che non effettui l’esecuzione automatica. In questo modo, anche inquadrando il QR code, comparirà la domanda: “Sei sicuro di volerti collegare a questo link?”. Così si avrà il tempo di controllare che la stringa corrisponda a quella corretta. Esistono anche applicazioni di sicurezza che funzionano in modo analogo, chiedendo all’utente se vuole entrare in siti non affidabili o poco sicuri, ma la cautela è il miglior antidoto a questo genere di fregatura. Le principali precauzioni sono di carattere preventivo e si basano sostanzialmente su una maggiore attenzione e su un po’ di sana prudenza».

I consigli dell’esperto: attenzione al sito

Il primo consiglio è di prestare attenzione al link che compare dopo la scansione: «I codici QR sono quasi sempre una rappresentazione grafica di un indirizzo Internet, ma non sempre abbinano il quadratino alla dicitura testuale del link. L’assenza di quella informazione è il primo campanello di allarme», sottolinea Rapetto. I più scaltri stampano un indirizzo rassicurante che però è diverso da quello che viene raggiunto dallo smartphone una volta che inquadra il QR code. Se davvero interessava quel sito o quella specifica pagina, costa poca fatica confrontare l’indirizzo su cui si è finiti con quello affiancato al codice. Non si consideri una perdita di tempo il sillabare le “coordinate” del sito web suggerito e verificarne l’esattezza: se non coincide con quello stampigliato si è imboccata la strada desiderata da chi tende l’agguato digitale», aggiunge il generale.

Attenzione agli adesivi

Altra precauzione è di prestare attenzione se il QR code si trova su un adesivo applicato sopra al codice originale di un prodotto: «Prendendo in mano un prodotto in un supermercato può far comodo avere dettagli in più rispetto a quel che si può leggere sull’etichetta. Normalmente il QR può far raggiungere la pagina web in cui sono fornite ulteriori informazioni e un adesivo applicato sulla confezione può essere giustificato da un aggiornamento dell’indirizzo Internet del produttore. Ma molto più facilmente deve far scattare qualche sospetto. Non va dimenticato che i delinquenti informatici spesso utilizzano codici QR piazzati accanto a un marchio di un’azienda famosa, magari simulando una pubblicità oppure diffondendo volantini o manifesti creati ad hoc», sottolinea Rapetto. Insomma, meglio controllare prima di aprire un link da QR code in caso sia applicato sopra al prodotto stesso.

Occhio ai buoni sconto

Il ricorso al QR code anche in questo campo è ampio. Basti pensare che nel 2022 89 milioni di persone negli Stati Uniti hanno cliccato su un QR code con un aumento del 26% in più rispetto al 2020. «È bene sapere che i criminali si affidano alla curiosità delle potenziali vittime e sanno che qualcuno cadrà nella tentazione di scansionare il codice dannoso creato appositamente per far scattare la frode – aggiunge Rapetto – In questo caso la “golosità” del possibile risparmio può distrarre e fa calare il livello della nostra attenzione, rendendo vane tutte le precauzioni adottate fino a quel momento».