Una nuova truffa legata a QR code stampati su pacchi misteriosi si sta diffondendo negli USA. L’FBI invita alla massima cautela: ecco come funziona e perché è così pericolosa.
Ricevere un pacco mai ordinato e trovarci sopra un QR code ben visibile. Basta questo per far partire la trappola. L’allerta è stata diffusa nei giorni scorsi dall’FBI, che ha identificato una nuova variante della brushing scam, ora potenziata dall’uso di codici QR malevoli. Il fenomeno, già in crescita negli Stati Uniti, preoccupa anche in Europa, dove potrebbe arrivare a breve.
Il pacco in sé non contiene nulla di pericoloso: è la scansione del QR code a mettere a rischio l’utente. Una volta inquadrato, il codice attiva un link che può portare al download di malware, trojan o all’apertura di portali falsi, spesso copie accurate di siti di corrieri o e-commerce. L’obiettivo? Rubare informazioni bancarie, credenziali di accesso o convincere la vittima a fornire dati sensibili.
A differenza delle truffe classiche via email o SMS, qui il punto di accesso è fisico. E questo aumenta la percezione di legittimità. “Scansiona per sapere da chi arriva il pacco”, oppure “conferma la consegna”, sono frasi comunemente stampate accanto al codice. La curiosità e l’apparente ufficialità del messaggio spingono molti a cedere, dando così accesso ai criminali.
Come funziona la truffa “qr brushing”
Il meccanismo riprende quello della brushing scam classica, già nota nel mondo dell’e-commerce. In quel caso, i pacchi venivano spediti da venditori per generare false recensioni a proprio favore. L’aggiunta del QR code sposta però il focus: ora non si punta più solo alla manipolazione delle piattaforme, ma al furto diretto di dati.
Il nome “qr brushing” nasce proprio dalla fusione tra brushing e quishing, un termine tecnico che indica i tentativi di phishing via QR code. Questo sistema sfrutta la facilità con cui i QR vengono oggi letti da qualsiasi smartphone e la fiducia, spesso malriposta, che gli utenti ripongono in questi strumenti.
Negli Stati Uniti i primi casi sono stati segnalati a luglio 2025, principalmente in grandi centri urbani come Chicago, Dallas e Los Angeles. Le vittime hanno riferito di aver ricevuto pacchi mai richiesti, con etichette apparentemente ufficiali e codici QR incollati in punti strategici. Una volta scansionati, il telefono iniziava a rallentare o apriva pagine in cui veniva chiesto di confermare i propri dati.
Le autorità statunitensi parlano di un fenomeno in espansione, favorito anche dalla facilità con cui è possibile produrre pacchi falsi o usare indirizzi casuali estratti da database compromessi. Chi cede alla tentazione e apre il link, spesso si ritrova inserito in un circuito truffaldino che può durare mesi.
Le raccomandazioni dell’FBI e i rischi per l’Europa
L’FBI ha diffuso un comunicato chiaro: non accettare pacchi non richiesti e non scansionare mai QR code se non si è certi della provenienza. La dinamica della truffa, apparentemente semplice, si basa proprio sulla fiducia implicita e sull’automatismo con cui molte persone agiscono di fronte a un’etichetta ben stampata.
I tecnici federali hanno spiegato che il QR può condurre a siti clonati che replicano l’interfaccia di Amazon, UPS, FedEx o altri corrieri. Una volta lì, viene chiesto di “confermare la consegna” tramite login o inserimento della carta. L’effetto domino è immediato: furto di credenziali, acquisti non autorizzati e compromissione dell’identità digitale.
In Italia, al momento, non risultano ancora casi confermati. Ma le forze dell’ordine sono in allerta. Secondo fonti interne alla Polizia Postale, il fenomeno potrebbe diffondersi velocemente nei prossimi mesi, specie durante i periodi di alta attività logistica come il Black Friday o Natale.
Il consiglio resta uno: diffidare sempre. Anche se un pacco sembra autentico, anche se arriva da un corriere noto, se non lo si aspetta, va rifiutato. E mai — mai — inquadrare un QR code di dubbia provenienza. Basta un click per aprire la porta a intrusioni invisibili ma devastanti.