Un qrcode non fa male a nessuno. Davvero?

La cosa più preziosa che abbiamo oggi non è l’informazione: è l’attenzione. E proprio lì, nella strettoia tra fretta e abitudine, si infila il quishing: il phishing che ha imparato a uscire dallo schermo e a prendere aria di strada. Il gesto è banale: scendi dall’auto, inquadri un QR, paghi la sosta. Il cervello è già altrove, riunione, messaggi, bambini, “due minuti e torno”, e il dito esegue. È il punto esatto in cui l’interfaccia vince sull’oggetto.

Il meccanismo è semplice e per questo efficace: adesivi ben fatti, con loghi e colori dei servizi di pagamento parcheggi (EasyPark, MooneyGo, Tap&Park, ecc.), appiccicati su parcometri reali; il QR ti porta su un sito dei criminali, dove compili di tutto: anagrafica, targa, numero di carta, scadenza, CVC/CVV, telefono, indirizzo. Così i dati finiscono su infrastrutture controllate dai truffatori e alimentano micro-addebiti o futuri tentativi di social engineering (nuove utenze, contratti, ecc.). Episodi sono stati registrati in molte città italiane ed europee: non serve il genio del male, basta un buon adesivo e la nostra distrazione.

Il collega Leopoldo Comparin che, come me, lotta da anni contro questi fenomeni mi segnala che la situazione sta diventando sempre più grave. Attraverso un monitoraggio passivo in ambiente isolato, caricando dati fittizi per tracciare i flussi e mappare l’infrastruttura, ha visto una rete internazionale con nodi in Olanda, host di mascheramento negli USA, l’utilizzo di diverse tattiche e tecniche criminali ben note, tredici tecniche e quattro tattiche. Le pagine truffaldine sfruttavano certificati apparentemente legittimi e tecniche di camuffamento. Infine, fatto non meno inquietante sembra che i criminali stessero mettendo a punto uno spyware per intercettare SMS e notifiche bancarie. Ci fermiamo a questo punto perché a seguito di un’esposto-denuncia la Polizia Postale sta indagando nello specifico. 

Piuttosto chiediamoci per quale ragione funziona? Perché la nostra attenzione, costantemente tirata per la giacchetta, ci addestra a rispondere subito a qualunque stimolo sembri familiare. Il quishing sfrutta un triangolo perfetto: luogo legittimo + logo riconoscibile + gesto automatico. Il contesto garantisce l’adesivo; il brand garantisce il sito; il gesto è quotidiano e garantisce l’intera operazione. Il tutto mentre noi stiamo pagando “con la mente in background”. Il risultato è una presenza assente: il corpo è davanti al parcometro, ma la mente è già in riunione.

Qui si innesta il discorso più ampio che spesso mi ritrovo a fare: siamo biologicamente inadeguati al rischio digitale che vive “oltre lo schermo”. Reagiamo bene a ciò che si vede e fa rumore; molto meno a un dominio quasi-identico, a un certificato “verde”, a un form che chiede “solo” un CVC. Il quishing porta il phishing nel mondo che crediamo di padroneggiare — la strada, il parchimetro, la routine — e ce lo riconsegna travestito da normalità. E noi, riconoscendo la normalità, spegniamo il cervello.

Che fare senza trasformare ogni sosta in un interrogatorio? Recuperare un minimo di materialità del controllo in tre gesti sobri: non scansionare QR incollati su adesivi “troppo nuovi” o privi di marchi ufficiali; aprire l’app già installata dagli store e avviare da lì il pagamento (o digitare il dominio noto); trattare targa, telefono e carta come qualcosa che conta, non come dettagli. Se il QR promette uno scivolo veloce, l’attrito è nostro amico: cinque secondi di controllo valgono più di cinque ore con la banca.

Alle istituzioni e ai gestori tocca il resto: pannelli chiari, domini ben visibili, canali ufficiali appresi come le targhe stradali, controllo fisico dei parcometri e rimozione rapida degli adesivi. È lotta alla truffa, ma anche alfabetizzazione percettiva: riprendere l’abitudine di guardare e insieme vedere davvero.

In fondo, la trappola del quishing non è il quadratino in bianco e nero: siamo noi in scala di grigi, sospesi tra fretta e fiducia. Se l’attenzione è merce, la sicurezza è l’insieme di tutti quei momenti che non devono essere in vendita.