In diversi parcheggi italiani sono comparsi falsi QR code che indirizzano gli automobilisti verso siti clonati per rubare dati bancari. È la nuova forma di truffa digitale nota come quishing.
Pagare la sosta con lo smartphone è ormai un gesto abituale. Proprio questa abitudine viene sfruttata da chi organizza la truffa dei falsi QR code: adesivi contraffatti vengono incollati sopra i codici autentici dei parchimetri.
Scansionando il codice, l’utente viene reindirizzato a un sito che imita le piattaforme ufficiali, come EasyPark o Telepass Pay, dove viene chiesto di inserire i dati della carta di credito. In realtà, quei dati finiscono direttamente nelle mani dei truffatori.
Perché il quishing è così efficace
Il successo di questa truffa dipende da due fattori. Il primo è la fiducia visiva: un codice applicato su un parchimetro sembra legittimo e difficilmente viene messo in dubbio. Il secondo è la velocità del gesto: quando si ha fretta di pagare, pochi controllano l’indirizzo del sito che si apre dopo la scansione.
La Polizia di Stato spiega che chiunque può generare un QR code con un link malevolo. Essendo un’immagine, il codice non può essere analizzato da antivirus o sistemi di sicurezza prima che venga scansionato. Questo lo rende un mezzo perfetto per truffe ibride, in cui il mondo fisico e quello digitale si intrecciano.
Come riconoscere un QR code falso
Per capire se un QR code è autentico o contraffatto bisogna prestare attenzione ad alcuni dettagli:
- Verificare che il codice non sia un adesivo sovrapposto o stampato in modo grossolano.
- Controllare l’indirizzo web che si apre: se il dominio non corrisponde a quello del servizio ufficiale, chiudere subito la pagina.
- Diffidare di URL abbreviati o con estensioni insolite come “.live”, “.app” o “.xyz”.
- Non inserire mai dati della carta di credito o personali su siti aperti tramite un QR code pubblico.
Recenti segnalazioni sono arrivate anche dall’Italia. A Verona, la società AMT3, che gestisce la sosta cittadina, ha denunciato la comparsa di adesivi con QR code falsi su diversi parchimetri del centro. Casi simili sono stati documentati in altre città europee come Hannover, segno che il fenomeno è in espansione.
Come difendersi
Il modo più efficace per difendersi dal quishing è evitare di scansionare QR code di cui non si conosce l’origine.
È sempre meglio aprire manualmente l’app ufficiale del gestore o digitare l’indirizzo nel browser.
Anche la Polizia Postale raccomanda di segnalare eventuali adesivi sospetti alle autorità locali.
- Non scansionare QR code trovati su adesivi improvvisati o senza logo ufficiale.
- Usare solo app o canali di pagamento verificati.
- Bloccare immediatamente la carta se si sospetta un uso fraudolento.
- Segnalare l’accaduto alla Polizia Postale.
Domande frequenti
È una truffa che sfrutta QR code falsi per portare l’utente su siti creati per rubare dati bancari e personali.
Sì, se integrati nel dispositivo. Gli adesivi sovrapposti o con grafica diversa devono far sospettare una truffa.
Controlla sempre che l’indirizzo inizi con “https://” e che il dominio corrisponda al nome del servizio di pagamento che usi di solito.
Blocca subito la carta, avvisa la banca e presenta denuncia alla Polizia Postale. Conserva eventuali schermate come prova.
Fonti: Polizia di Stato, L’Arena – aggiornato al 12 novembre 2025
Non perderti le ultime notizie e condividi opinioni ed esperienze commentando i nostri articoli:
• Iscriviti ai nostri canali Telegram e Whatsapp per gli aggiornamenti gratuiti.
• Siamo su Mastodon, il social network libero da pubblicità e attento alla privacy.
• Se preferisci, ci trovi su Google News, su Flipboard, ma anche su Facebook e Pinterest!
