Multe false con QR code: come funzionano, come riconoscerle e cosa fare se ci caschi

Negli ultimi mesi si sono moltiplicate in Italia le segnalazioni di finte multe lasciate sui parabrezza o recapitate via email/SMS che invitano a pagare subito la sanzione scansionando un QR code. La tecnica — una forma di phishing chiamata quishing — sfrutta la fiducia visiva nel codice: dopo la scansione l’utente viene reindirizzato su un sito contraffatto che imita un portale ufficiale (a volte perfino con logo e grafica), invita al pagamento immediato e induce a inserire dati sensibili o il numero della carta. È una truffa progettata per contagiare velocemente utenti distratti o impauriti da una presunta sanzione. 

Come funzionano in pratica

1. Un foglio simile a un verbale viene lasciato sul parabrezza o inviato via SMS/email. Sul documento compare la targa dell’auto, un numero di verbale, la minaccia di sanzione e un QR code con l’indicazione “paga qui per riduzione della sanzione entro 48 ore”.
2. Se il codice viene inquadrato, lo smartphone apre automaticamente un URL che può installare malware o aprire una pagina che richiede il pagamento tramite carta, PayPal o addirittura PagoPA contraffatto. Alcuni siti sono copia quasi identica di portali istituzionali ma con URL sospetti (es. domini stranieri o non istituzionali). 

Segnali che quella multa è falsa — la checklist per riconoscerla

• Non ti è mai arrivata la notifica ufficiale: in Italia una multa viene notificata formalmente (notifica a casa o tramite ufficiale). Un foglio sul parabrezza NON è una notifica valida.
• Controlla il dominio dell’URL: i portali delle pubbliche amministrazioni usano domini istituzionali; se il link punta a domini strani o a servizi di pagamento non ufficiali, NON procedere. I QR legittimi per pagamenti istituzionali in genere reindirizzano a PagoPA o a pagine riconoscibili. 
• Errori grafici e di contenuto: refusi, loghi sbagliati o stemmi comunali non corretti (es. simboli di città usati impropriamente) sono indici di falsificazione. 
• Richiesta di pagamento immediato con metodi non convenzionali: i veri verbali offrono modalità collaudate; richieste urgentissime con carte, PayPal o link diretti sono sospette. 
• QR sovrapposti o adesivi estranei: i truffatori possono attaccare adesivi su verbali autentici o sostituire QR originari; se qualcosa sembra applicato in modo approssimativo, non scansionare.

Come verificare senza rischiare

• NON scansionare il QR se hai dubbi. Prima di qualsiasi azione, cerca la notifica ufficiale: un verbale vero arriva tramite posta o posta certificata (a seconda del caso).
• Controlla il sito ufficiale: entra manualmente (senza usare il QR) sul sito del Comune o della Polizia Municipale e verifica se il verbale risulta a tuo nome/targato.
• Chiama l’ente emittente: numero ufficiale del comando di Polizia Municipale o del Comune (non i numeri presenti sul foglio sospetto).
• Verifica l’URL visualizzato dal browser (se hai già scansionato): se contiene domini strani, caratteri strani o non è PagoPA quando ti viene presentata quella soluzione, non inserire dati. 

Cosa fare se hai già pagato o inserito dati

1. Contatta la banca: blocca la carta o segnala l’addebito per bloccare possibili prelievi non autorizzati.
2. Denuncia l’accaduto alla Polizia Postale o alla stazione dei Carabinieri: conserva schermate, url, foto del foglio e ricevute. La truffa è perseguibile (art. 640 c.p. e altre fattispecie).
3. Segnala la URL a CERT-AgID o al tuo provider/browser (molti consentono di segnalare siti phishing). Anche AgID e la Polizia Postale pubblicano alert su campagne in corso. 

Misure preventive e consigli pratici

• Imposta sullo smartphone la visualizzazione dell’URL prima di aprire link derivanti da QR (alcune app permettono di vedere l’URL in anteprima).
• Aggiorna il sistema operativo e l’antivirus del telefono: alcuni attacchi via QR possono cercare di installare malware. 
• Diffida di messaggi che generano panico (“paga subito o avvieremo procedure coercitive”): le amministrazioni non usano tattiche intimidatorie via QR.
• Se possibile, usa solo lettori QR che mostrino il link completo e permettano di annullare l’apertura automatica.

Il quadro normativo e la responsabilità degli autori

Le truffe via QR rientrano nelle fattispecie penalmente rilevanti (truffa, ricettazione di dati, frodi informatiche); la collaborazione tra forze dell’ordine, CERT nazionali e provider è fondamentale per bloccare i siti e rintracciare gli autori. Le istituzioni — da AgID alla Polizia Postale — hanno già segnalato e contrastano campagne di phishing legate a PagoPA e falsi verbali. 

La facilità d’uso dei QR code li rende uno strumento comodo ma anche un vettore efficace per frodi: la regola d’oro è mantenere la calma, non scansionare se hai dubbi, verificare sempre attraverso canali ufficiali e segnalare ogni tentativo alle autorità. La prevenzione e l’informazione rimangono la miglior difesa contro il “quishing” delle multe false.