Scatole recapitate senza preavviso, avvisi di consegna infilati nella cassetta della posta, biglietti con un QR code da “scansionare per confermare la spedizione” o “sbloccare la consegna”. È la versione domestica del quishing (phishing via QR): un raggiro che sfrutta la curiosità e l’urgenza per portarti su pagine clone, installare malware o farti pagare piccole somme che aprono la strada al furto di dati e denaro. Negli ultimi mesi i casi sono cresciuti, con segnalazioni e allerte anche in Italia.
Come funziona la truffa: gli schemi più usati
Lo schema base è semplice: ricevi un pacco inatteso o un avviso di mancata consegna. Dentro al pacco, sull’etichetta o sul biglietto c’è un QR code che rimanda a un sito “del corriere” o a una “piattaforma di pagamento”. La pagina chiede di versare pochi euro per “spese di giacenza” o “dazi doganali” e ti invita a inserire dati della carta o credenziali. In alternativa, avvia il download di un’app “necessaria per tracciare la spedizione” che è in realtà un malware capace di sottrarre codici bancari.
Le varianti sono diverse: il biglietto del “postino” che sollecita la scansione per riprogrammare la consegna; l’avviso in cassetta con QR per “aggiornare l’indirizzo”; la mail o l’SMS sul pacco in arrivo che oggi, oltre al link, inseriscono proprio il codice QR per eludere i filtri anti-phishing. Tutte puntano allo stesso obiettivo: portarti fuori dai canali ufficiali e convincerti a digitare dati sensibili o installare software malevolo.
Perché il quishing è così insidioso
Il QR code è percepito come “neutro” e veloce: basta inquadrarlo e si apre una pagina. Proprio questa immediatezza riduce i controlli dell’utente e, su email o avvisi stampati, aggira parte dei filtri automatici che cercano link sospetti in chiaro. Per gli attaccanti è un vantaggio concreto e sempre più sfruttato. In Italia, i team di CERT-AgID hanno segnalato l’uso crescente di QR in campagne a tema pagamenti (PagoPA), copia di avvisi e sanzioni, a riprova di una tattica in evoluzione.
I segnali d’allarme da riconoscere
Se il pacco non è atteso o l’avviso è generico, sei già in “zona rossa”. Diffida di richieste di micro-pagamenti per “sbloccare” qualcosa, di scadenze immediate, di numeri di tracking che non tornano o di domini web che imitano quelli dei corrieri con piccole variazioni. Le autorità italiane hanno spiegato più volte che nessun ente ti obbliga a saldare importi o comunicare credenziali passando da link non verificati o app di terze parti. Il Commissariato di P.S. ha dedicato pagine specifiche a quishing e falsi avvisi di consegna, con esempi pratici di come operano i truffatori.
Come difendersi (davvero)
La difesa più efficace è non scansionare QR code associati a pacchi o avvisi imprevisti. Se hai dubbi, contatta il corriere o il mittente attraverso i canali ufficiali (app o sito digitato a mano) e verifica il numero di spedizione. Non pagare mai spese extra da pagine raggiunte via QR o link dentro mail/SMS. Per le spedizioni reali, i corrieri e Poste Italiane indicano i loro pagamenti solo su portali ufficiali autenticati: ogni scorciatoia è sospetta. Mantieni aggiornati sistema e antivirus del telefono: molte infezioni sfruttano app “finte” che si mascherano da strumenti di tracking.
Cosa fare se hai già scansionato e inserito dati
Se hai inquadrato il codice e digitato dati della carta, blocca immediatamente il metodo di pagamento presso la banca. Se hai installato un’app, disinstalla, esegui una scansione anti-malware e, se possibile, ripristina il dispositivo da backup sicuro. Cambia le password dei servizi a cui potresti aver dato accesso e attiva l’autenticazione a due fattori. Presenta segnalazione alla Polizia Postale e conserva il pacco o l’avviso: sono elementi utili per le indagini. Le pagine ufficiali del Commissariato pubblicano alert aggiornati e indicazioni su come inoltrare la denuncia.
Le forme “parente” della stessa truffa
Oltre ai pacchi, il quishing arriva via email aziendali con QR “per rinnovare la password”, via SMS (smishing) su consegne in giacenza e persino su volantini o affissioni con offerte imperdibili. In tutti i casi, il comune denominatore è il reindirizzamento a una pagina non ufficiale che chiede credenziali o avvia download. Tenere alta l’attenzione su questi pattern riduce drasticamente il rischio.
Il quadro recente: perché se ne parla adesso
Negli ultimi mesi diverse testate e centri di sicurezza hanno registrato un aumento di casi legati ai QR code in contesti di consegne e finte richieste di pagamento. Le cronache hanno raccontato pacchi con biglietti “scansiona qui per confermare”, mentre i team di risposta italiani hanno documentato campagne che inseriscono QR direttamente negli allegati o nelle grafiche per superare i controlli automatici. È un’evoluzione naturale del phishing, che si sposta dove i filtri sono più deboli e gli utenti meno sospettosi.