Non appena le persone iniziano a capire come funziona un certo tipo di truffa, i criminali mettono in atto nuove tattiche per continuare a rubare denaro. Ora che le persone hanno imparato a diffidare dei link contenuti nei messaggi di testo, i truffatori hanno cambiato esca e, nel 2026, il «nuovo link» è spesso un codice QR nascosto all’interno di un falso avviso.
L'ultima variante delle classiche truffe relative a pedaggi non pagati e infrazioni stradali è particolarmente subdola perché sembra più ufficiale di un semplice messaggio contenente un URL. Anziché un semplice link, alle vittime viene mostrata l'immagine di un avviso del tribunale o di un ente pubblico e viene chiesto loro di scansionare il codice QR per pagare una multa di importo piuttosto modesto.
Quella piccola somma fa parte del trucco. Sembra abbastanza irrisoria da essere pagata senza pensarci due volte, ed è proprio per questo che la truffa funziona. Questi criminali non vogliono che ci rifletta troppo.
Gli elementi fondamentali di queste nuove campagne sono gli stessi: urgenza, autorevolezza e un pagamento irrisorio pensato per aggirare la diffidenza.
BleepingComputer ha riferito che ai destinatari veniva comunicato di avere una multa per infrazione stradale in sospeso e di dover agire immediatamente, mentre Cyber Safety Watchdog ha messo in luce l'evoluzione della truffa del pedaggio.
Che il messaggio riguardi pedaggi, parcheggi o infrazioni stradali, l'aspetto fondamentale è che si finge di provenire da un'autorità pubblica e spinge il destinatario a prendere una decisione affrettata senza prendersi il tempo di verificare nulla.
Perché i codici QR aiutano i truffatori
I codici QR offrono ai truffatori un ulteriore livello di occultamento. Anziché un link testuale visibile, alla vittima viene suggerito di scansionare un codice incorporato in un'immagine, il che riduce le probabilità di un'analisi immediata.
I truffatori sanno bene che le persone sono ormai abituate a individuare link evidenti, domini sospetti ed e-mail scritte in modo approssimativo. Per questo nascondono i contenuti dannosi all’interno di immagini, avvisi e codici QR, avvolgendo il tutto in un linguaggio che suona ufficiale.
Nella campagna descritta da BleepingComputer, il codice QR reindirizzava inizialmente le vittime verso un sito intermedio che presentava un CAPTCHA, per poi indirizzarle a una pagina di phishing che si spacciava per il Dipartimento dei Trasporti o un'agenzia statale simile.
Quel passaggio aggiuntivo con il CAPTCHA serve a rallentare eventuali analisi automatizzate. L'obiettivo finale è quello di spacciarsi per un'istituzione affidabile, creare un senso di urgenza, applicare una piccola commissione e sottrarre i dati personali e finanziari nella schermata di pagamento.
In entrambe le campagne, i siti fasulli richiedono nomi, indirizzi, numeri di telefono, indirizzi e-mail e dati delle carte di credito. Una volta inseriti questi dati, la truffa può sfociare in furti di identità e frodi con carte di credito, mentre i dati possono essere rivenduti ad altri criminali per ulteriori frodi.
L'impatto delle truffe è enorme
Il rapporto annuale IC3 dell'FBI del 2025 evidenzia chiaramente che le truffe non sono un fenomeno marginale, ma rappresentano il fenomeno principale. Nel 2025 l'IC3 ha ricevuto oltre un milione di segnalazioni e le perdite denunciate hanno superato i 20,8 miliardi di dollari.
Il phishing e lo spoofing hanno totalizzato da soli quasi 200.000 denunce, mentre i casi di usurpazione dell'identità di enti governativi hanno raggiunto le 32.424 denunce e quasi 800 milioni di dollari di perdite dichiarate.
Questi dati sono significativi perché la truffa dei pedaggi rientra a pieno titolo nello stesso ecosistema del phishing, dell’usurpazione d’identità e delle frodi nei pagamenti. Non si tratta di un fastidio isolato, ma di un chiaro segnale che le frodi informatiche fanno parte di una rete più ampia di criminalità organizzata.
Come stare al sicuro
I truffatori si adattano alle nostre abitudini più rapidamente di quanto ci si aspetti. Ogni volta che una misura di difesa diventa di dominio pubblico, i criminali modificano leggermente il loro modus operandi.
Ecco perché questi messaggi dovrebbero essere considerati con lo stesso scetticismo riservato a qualsiasi altra richiesta di denaro non richiesta.
- Controlla il numero di telefono da cui proviene il messaggio. Alcune truffe erano facili da smascherare perché provenivano da numeri di telefono al di fuori degli Stati Uniti.
- Cerca il sito effettivo che gestisce la presunta violazione e confronta il nome di dominio. A volte la differenza è minima, quindi controlla attentamente.
- Se ritieni che la violazione sia plausibile perché hai effettivamente viaggiato in quella zona, controlla sul sito web ufficiale del servizio di pedaggio oppure chiama il numero del servizio clienti.
- Se hai deciso di effettuare il pagamento, verifica di aver ricevuto la conferma. Gli enti ufficiali inviano una conferma dopo aver incassato il pagamento. Se non la ricevi, contattali per verificare e agisci di conseguenza se ritieni di aver pagato dei truffatori. Contatta immediatamente la tua banca e l'Internet Crime Complaint Center dell'FBI all'indirizzoic3.gov. Assicurati di includere il numero di telefono da cui proviene il messaggio e il sito web indicato nel testo.
- Non interagire in alcun modo con il truffatore. Ogni reazione fornisce loro informazioni, anche solo il fatto che il numero di telefono sia attivo.
- Se ricevi un messaggio sospetto, Scam Guard può aiutarti a capire se si tratta di una truffa (che si tratti di un SMS, un'e-mail o qualsiasi altra forma di comunicazione) e guidarti passo passo nella procedura.
- Utilizza una protezione anti-malware aggiornata e in tempo reale, che bloccherà i domini noti per essere dannosi.
Ammettiamolo, una finestra in incognito ha i suoi limiti.
Violazioni dei dati, commercio sul dark web, frodi creditizie. Malwarebytes Identity Theft monitora tutto questo, ti avvisa immediatamente e include un'assicurazione contro il furto d'identità.
