qr-code-una-nuova-frontiera-per-il-rischio-cyber

Qr code, una nuova frontiera per il rischio cyber

Le caratteristiche di semplicità e il sempre più diffuso utilizzo del codice Qr stanno attirando l’attenzione dei truffatori del web. Sono già stati segnalati alcuni casi di truffe nei paesi dove è più frequente l’uso per agevolare i pagamenti elettronici

Il Qr code, che tutti hanno imparato a conoscere con il Green Pass, è tecnicamente l’equivalente di un codice a barre in versione bidimensionale, una soluzione che permette di inserire molte più informazioni rispetto al più diffuso sistema a barre. Il nome è l’acronimo di Quick response code, definizione che pone l’attenzione su altri due vantaggi dell’icona quadrettata, cioè la velocità con cui permette di accedere alle informazioni e la sua estrema flessibilità di utilizzo, tanto da essere leggibile dallo smartphone.
Nato in Giappone negli anni ’90 come strumento di informazione nella gestione delle scorte, ha preso piede in Italia dagli anni Duemila, ma il suo utilizzo si è diffuso in modo massivo da parte dei consumatori nell’ultimo triennio e in particolare con la pandemia. La sua utilità è stata conosciuta con i Green Pass, ma è stato utilizzato in modo diffuso anche per funzioni informative che evitassero lo scambio fisico di oggetti, come i menù nei ristoranti o i depliant informativi. Se prima della pandemia il codice Qr era un canale di diffusione delle informazioni molto presente in comunicazione ma utilizzato solo dagli utenti più tecnologicamente evoluti, la sua introduzione “forzata” ne ha fatto uno strumento di uso comune, che trova spazio anche nella documentazione contrattuale o nei bollettini di pagamento collegato ai servizi di home banking o di pagamento elettronico. Ci si inoltra così in un numero di funzionalità che possono potenzialmente aprire al rischio di vulnerabilità e dare accesso involontario a informazioni personali e sensibili.

Come per altre soluzioni tecnologiche di facile accesso e utilizzo immediato, il rischio è che l’utente abbassi la guardia nel momento in cui ha la possibilità di avere un’esperienza più semplice e gratificante. Se ne fa portavoce Adriano Bottazzi, Certified fraud examiner e Segretario generale di Acfe Italy Chapter, filiale italiana di Acfe (Association of certified fraud examiners), con base in Texas, che raccoglie a livello mondiale 90 mila esaminatori di frodi certificati, in gran parte investigatori di frodi dei “colletti bianchi” ma anche responsabili di audit o di funzioni di controllo e fraud risk manager.

Bottazzi approfondisce l’aspetto della facilità di utilizzo, evidenziando quelli che potrebbero essere alcuni dei rischi connessi: “Un esempio della potenzialità dello strumento ci è stato riferito dalla nostra sede centrale, la quale ha raccontato che, nel corso di una pausa pubblicitaria Tv del Super Bowl, una società ha scelto di tenere in evidenza una sorta di screen saver che aveva a oggetto un Qr code, con l’esito di portare brevemente venti milioni di visite al proprio sito. È un esempio concreto del fatto che la gran parte delle persone non pone particolari accortezze all’utilizzo di questo come di altri mezzi digitali considerati friendly”.

Dal Phishing al Qishing
Dopo che si è diffusa la notizia del successo dell’iniziativa, a Austin è accaduto che alcuni truffatori abbiano inserito codici Qr fasulli sulle colonnine dei parcheggi, indicando di scansionare l’immagine per effettuare il pagamento: è questa la prima truffa individuata con l’utilizzo di questo strumento. Questo genere di truffa è chiamata Qr code fraud, o anche Qishing, e di fatto si tratta proprio di un phishing, perché il malware scaricato tramite codice Qr produce analoghi risultati: “Il Qishing consiste nel modificare o sostituire un Qr code in modo da condurre l’utente in un sito diverso da quello a cui sarebbe destinato, l’obiettivo è sottrarre dati personali e bancari. Il Qr code non è interpretabile dall’occhio umano e quindi è difficile per l’utente fare in premessa una valutazione di opportunità, l’accesso è diretto e semplice così che molti lo utilizzano senza esitazioni”.
Un altro esempio recente viene dalla Francia, dove i frodatori hanno utilizzato false cartoline di mancato recapito delle lettere raccomandate, nelle quali si invitava a selezionare il codice quadrettato per richiedere il recapito della busta senza doversi recare in posta a fronte del versamento di un importo di minima entità, per il quale erano richiesti i dati della carta di credito. Ipoteticamente, riflette Bottazzi, essendo facile costruire un Qr code diventa semplice anche falsificare utilizzi legali, come quelli dei bollettini postali o delle multe nei parcheggi.

Sempre più uno strumento di pagamento
I pagamenti tramite Qr code possono essere una nuova frontiera del rischio cyber. “Secondo una ricerca di Juniper Resource, entro il 2025 2,2 miliardi di utenti pagheranno i servizi di telefonia mobile tramite Qr code e nei prossimi anni il volume di pagamenti con questo sistema supererà quello delle carte di credito nei paesi emergenti; nel 2022 la spesa mondiale attraverso Qr code è stata di 2,4 trilioni di dollari e supererà i 3 trilioni entro il 2025”, spiega Bottazzi riportando i dati della citata ricerca. La crescita riguarderà tutti i paesi: questa forma di pagamento è già oggi in Cina la più comune dopo il contante; in India il valore delle transazioni passerà dai 62 miliardi di dollari del 2022 a 125 miliardi nel 2026, soprattutto per la riduzione dell’uso del contante e l’adozione di una specifica piattaforma bancaria per pagamenti mediante Qr code messa a disposizione dei commercianti, ragione per la quale si è assistito nel paese a un aumento del numero delle frodi con questo sistema. Una situazione di cui, per ora, in Italia non si ha ancora evidenza.