Questi pacchi stanno arrivando in tante case italiane ma sono una truffa - fashionblog.it
Una truffa sempre più diffusa: pacchi con QR code inviati a caso per rubare dati. L’Fbi lancia l’allarme, il rischio sta per arrivare anche in Europa.
Negli Stati Uniti si sta diffondendo una nuova truffa che combina logiche note dell’e-commerce con tecniche più recenti di phishing tramite QR code. Il fenomeno, già sotto osservazione da parte dell’Fbi, è stato ribattezzato “qr brushing”. La segnalazione arriva in seguito a un aumento improvviso di casi in diverse città americane, con vittime che hanno segnalato la ricezione di pacchi mai ordinati contenenti un codice QR ben visibile sull’imballaggio.
La dinamica, per quanto semplice, si rivela efficace proprio per la sua capacità di sfruttare la curiosità umana. Il destinatario riceve un pacco che non si aspetta. Nonostante il sospetto, molti decidono comunque di scansionare il QR code per capirne l’origine. In quel momento si attiva il meccanismo della frode: il codice apre collegamenti a siti malevoli, scarica file dannosi o simula pagine ufficiali che richiedono dati personali o bancari.
Il meccanismo dietro il qr brushing e le sue radici nel phishing
La truffa nasce dalla fusione tra la cosiddetta brushing scam, diffusa già da anni nel mondo dell’e-commerce, e il quishing, un metodo di phishing legato all’uso di codici QR manipolati. Nel brushing, i venditori inviano pacchi a indirizzi casuali per poter generare false recensioni e aumentare il posizionamento dei loro prodotti. Ma con il qr brushing si fa un passo in più: non si punta più solo a gonfiare le valutazioni online, bensì a intercettare dati privati dell’utente finale.
Il codice QR, spesso accompagnato da una scritta come “scansiona per conoscere il mittente” o “conferma la consegna”, agisce da esca. Il sito su cui l’utente atterra può sembrare quello di un corriere o di un marketplace, ma è in realtà una replica fraudolenta. Una volta aperto il portale, viene richiesto di inserire informazioni personali, credenziali o numeri di carta di credito, che finiscono nelle mani dei truffatori.
Negli Stati Uniti, i primi casi sono stati segnalati a partire da giugno 2025 e nel giro di poche settimane si è registrato un aumento costante delle denunce, soprattutto in aree urbane dove la presenza di hub logistici facilita l’invio indiscriminato di pacchi. L’Fbi invita la popolazione a non interagire con pacchi non attesi e a non scansionare codici QR presenti su confezioni sconosciute.
L’allerta in Europa: cosa aspettarsi e come difendersi
Anche se al momento non risultano casi ufficiali segnalati in Italia o nel resto d’Europa, gli esperti ritengono probabile l’arrivo del fenomeno anche nei nostri territori. Le frodi legate al phishing via QR code hanno già fatto la loro comparsa in altri contesti: parcheggi pubblici, false promozioni, biglietti digitali. L’integrazione di questa tecnica con le dinamiche del brushing rende il qr brushing particolarmente insidioso.
Il consiglio più semplice – e allo stesso tempo più efficace – resta quello di non fidarsi dei pacchi inattesi. Nel caso in cui si riceva una spedizione senza aver effettuato ordini, è importante non aprire il contenuto, non scansionare codici e, se possibile, restituire il pacco al corriere. Alcuni destinatari, pur consapevoli della truffa, decidono comunque di scansionare il QR per “capire meglio” da dove arrivi la spedizione. Questo comportamento espone immediatamente il dispositivo a malware, trojan o tentativi di furto di dati bancari.
L’Fbi sta collaborando con le principali piattaforme logistiche e le autorità locali per tracciare l’origine delle spedizioni e fermare l’attività dei mittenti. La raccomandazione finale è rivolta anche alle aziende: educare i dipendenti sui rischi digitali può evitare che anche l’ambiente lavorativo diventi bersaglio di attacchi tramite spedizioni ingannevoli.