Una persona vuole vendere la propria lavatrice online. Pubblica un annuncio su un sito di e-commerce e viene contattato da un acquirente interessato all'offerta. Questo acquirente dichiara di essere disponibile a trasferire i soldi online, pagando la lavatrice per quanto richiesto: invia quindi un QRcode su WhatsApp chiedendo al venditore di scansionarlo per autorizzare il trasferimento di denaro. Il venditore segue le istruzioni, ma trova sottratto dal conto il doppio dei soldi che avrebbe dovuto, al contrario, ricevere in pagamento. Nel frattempo l'acquirente scompare: il telefono è irraggiungibile e al venditore non resta che rivolgersi alla polizia. 

Questa non è una storia inventata, ma un fatto accaduto realmente e che accade sempre più spesso: le truffe del QRcode sono sempre più diffuse  e hanno registrato un forte incremento, di par passo all'aumento di transazioni online in questo periodo di pandemia. Comprare e vendere online è stato, ed è tutt'ora per alcuni, l'unica maniera di comprare: un sistema per garantire la sicurezza sanitaria, evitando l'acquisto in presenza fisica. Ovviamente truffe e cyber attacchi non si sono fatti attendere, anche perché soldi e credenziali bancarie e finanziarie sono tra i bersagli preferiti dei cybercriminali. 

Queste truffe si verificano quando utenti non informati o poco consapevoli, magari allettati dalla prospettiva di ricevere denaro, scansionano un QRCode senza porsi troppe domande. Allora, partiamo dai fondamentali: quando si fa una transazione online, può esserci richiesto di scansionare un QRcode per pagare, ma MAI per riceverlo. Se qualcuno afferma di volerti inviare denaro e ti chiede di scansionare un QRcode per riceverlo, interrompi immediatamente i contatti con questa persona e bloccala, valutando anche la segnalazione alle autorità competenti. Ci sono comunque varie forme di truffe del QRcode, non soltanto quella descritta sopra e molte fanno ricorso a tecniche di ingegneria sociale. 

In breve, il funzionamento dei codici QR è quello di indirizzare uno smartphone verso un collegamento. Il punto è che i QRCode legittimi sono facilmente rimpiazzabili con quelli illegittimi: basta pensare a quanti danni potrebbe fare un attaccante che sostituisse il QRcode legittimo presente in uno spazio pubblico, nell'evidenza che saranno pochissime le persone in grado di distinguere un QRcode legittimo da uno illegittimo. 

Un esempio? Nel 2017 in Cina, qualcuno ha sostituito con un adesivo i QRcode di centinaia di biciclette del servizio Mobike: gli utenti, per poter sbloccare e utilizzare le biciclette, devono scansionare il QRcode per versare la caparra necessaria allo sblocco. L'ignoto truffatore aveva sostituito i QRcode facendo si che importi di entità pari alla caparra venissero inviati non a Mobike, ma ad un suo conto anonimo. 

L'esempio sopra è ripetibile per infiniti, diversi, contesti: dai biglietti per i mezzi pubblici, agli ingressi a teatro o al cinema, finanche al pagamento di utenze e abbonamenti. Mettersi al riparo da questa tipologia di truffe non dipende però da mezzi tecnici specifici: tutto si riduce ad una questione di vigilanza. In particolare, tieni a mente i seguenti suggerimenti: