QR code falsi: come riconoscerli prima di scansionarli

I QR code falsi si riconoscono analizzando l’adesivo sovrapposto a quello originale, verificando che l’URL di destinazione sia protetto da protocollo HTTPS e non abbreviato, e ispezionando visivamente il contesto fisico o digitale in cui sono inseriti. Questa truffa, nota come quishing, mira a sottrarre dati personali o bancari prima ancora che l’utente si colleghi al sito malevolo.

In sintesi

  • Ispezione tattile: Controlla sempre se il QR code è un adesivo applicato sopra un cartello originale (es. su parchimetri o menu).
  • Anteprima dell’URL: Non scansionare alla cieca; usa la fotocamera per leggere l’anteprima del link e verifica che il dominio sia quello ufficiale.
  • No ai link abbreviati: Diffida di URL accorciati (come bit.ly o tinyurl) che nascondono la reale destinazione del codice.
  • Nessun dato sensibile subito: Un QR code legittimo non chiederà mai credenziali bancarie o dati personali immediatamente dopo l’accesso.
  • App ufficiali: Per i pagamenti o i servizi pubblici, inserisci i dati direttamente dall’app ufficiale e non tramite il browser aperto dal QR code.

Cos’è un QR code falso e come funziona il quishing?

Un QR code falso è un codice bidimensionale manipolato o creato da cybercriminali per reindirizzare le vittime verso siti web malevoli. Questa tecnica di phishing, chiamata quishing (unione di “QR code” e “phishing”), sfrutta la fiducia visiva degli utenti verso i codici a barre digitali.

A differenza dei link testuali, un QR code non mostra immediatamente la propria destinazione a occhio nudo. I truffatori stampano codici malevoli e li sovrappongono a quelli legittimi su supporti fisici (colonnine di ricarica elettrica, parchimetri, tavoli dei ristoranti) oppure li inseriscono in email di phishing camuffate da avvisi di sicurezza bancari o tracciamenti di spedizioni. Una volta scansionato, il codice può attivare il download automatico di malware o aprire una pagina clone per il furto di dati.

Cosa fare subito se incontri un QR code sospetto?

Se ti trovi davanti a un QR code che non ti convince, segui queste azioni immediate prima di attivare la fotocamera:

  1. Passa il dito sul codice: Se ti trovi davanti a un cartello fisico, verifica se il QR code è stampato direttamente sul supporto o se si tratta di un adesivo applicato successivamente.
  2. Usa lo scanner nativo dello smartphone: Non scaricare app di terze parti per leggere i QR code. Usa la fotocamera predefinita di iOS o Android, che include sistemi di protezione e mostra l’anteprima del link prima del clic.
  3. Attiva il blocco dei reindirizzamenti: Assicurati che il tuo browser mobile (Chrome, Safari o Firefox) abbia l’opzione per bloccare i pop-up e i reindirizzamenti automatici attiva.
  4. Cerca un’alternativa digitale: Se il QR code serve per pagare un parcheggio o un servizio, digita manualmente l’URL del servizio sul browser o usa l’app ufficiale dello store (Google Play o App Store).

Cosa controllare per identificare la truffa

L’analisi visiva e digitale del link generato dal QR code è lo strumento di difesa più efficace. Ecco i tre elementi fondamentali da verificare:

L’integrità del dominio (URL)

L’anteprima della fotocamera mostra l’indirizzo web completo. Controlla che il nome del sito sia scritto correttamente. I truffatori usano il typosquatting, ovvero lievi variazioni di nomi famosi (es. poste|taliane.com invece di poste.it, o l’uso di caratteri speciali).

La presenza del protocollo di sicurezza

Il link deve iniziare categoricamente con https:// e non con http://. Sebbene molti siti di phishing oggi usino certificati SSL gratuiti, l’assenza della “S” indica una totale mancanza di cifratura dei dati, segnale immediato di pericolo.

Il contesto e i loghi aziendali

I QR code inseriti in email o volantini che mettono urgenza (es. “Paga entro 2 ore o il conto sarà bloccato”) sono quasi sempre esche. Verifica se i loghi aziendali sono sgranati, fuori asse o se il testo presenta errori grammaticali e di formattazione.

Errori da evitare durante la scansione

  • Scansionare codici ricevuti via email o SMS non richiesti: Le aziende istituzionali, le banche e le utility non inviano quasi mai QR code via SMS per risolvere problemi di sicurezza.
  • Autorizzare permessi al sito web di destinazione: Non concedere mai l’accesso alla fotocamera, alla geocalizzazione o alle notifiche a un sito aperto tramite QR code, a meno che tu non sia assolutamente certo della sua identità.
  • Inserire credenziali di accesso o dati della carta: Se il QR code ti rimanda a una pagina di login che non ricordavi di dover effettuare, chiudi la scheda.
  • Scaricare file automatici: Se la scansione avvia il download di un file con estensione .apk (su Android) o profili di configurazione (su iOS), interrompi immediatamente il processo.

Quando preoccuparsi e quando stare tranquilli

⚠️ Situazioni di alto rischio (Quando preoccuparsi):

  • Il QR code si trova su un oggetto pubblico all’aperto (parchimetri, monumenti, fermate del bus).
  • Il link visualizzato è un URL abbreviato o non mostra chiaramente il nome del brand.
  • La pagina di destinazione richiede di scaricare un’applicazione esterna agli store ufficiali per completare l’operazione.

Situazioni sicure (Quando stare tranquilli):

  • Il QR code è generato all’interno di un’applicazione ufficiale già installata sul tuo telefono (es. per associare un dispositivo o mostrare un biglietto ferroviario).
  • Il codice è stampato sul retro di un prodotto sigillato acquistato da canali ufficiali.
  • L’anteprima del link corrisponde esattamente al dominio istituzionale dell’azienda di cui stai usufruendo il servizio.

Tabella comparativa: QR Code Sicuro vs QR Code Falso

CaratteristicaQR Code AutenticoQR Code Falso / Sospetto
Supporto FisicoStampato direttamente sul materiale del cartello o del menu.Adesivo applicato sopra la stampa originale, spesso disallineato.
Anteprima URLMostra il dominio ufficiale chiaro (es. www.nomesito.it/servizi).URL abbreviato (bit.ly, tiny.cc) o dominio alterato (p0ste.it).
Richiesta DatiMostra informazioni o rimanda all’app dello store ufficiale.Richiede subito dati bancari, password o dati personali.
ComportamentoApre una normale pagina web informativa o transazionale.Avvia il download automatico di file o mostra continui pop-up.
ContestoInserito in comunicazioni verificate o punti informativi protetti.Ricevuto tramite email di spam, SMS (Smishing) o su arredi urbani incustoditi.

FAQ – Domande Frequenti

La sola scansione di un QR code può infettare il telefono?

No, la semplice scansione con la fotocamera e la visualizzazione del link non infettano il dispositivo. Il rischio si concretizza quando si fa clic sul link e si autorizza il download di file dannosi, oppure quando si inseriscono dati personali nella pagina web aperta.

Esistono app consigliate per verificare la sicurezza dei QR code?

Sì. Se non vuoi usare la fotocamera nativa, puoi utilizzare scanner di sicurezza sviluppati da aziende di cybersecurity note come Kaspersky QR Scanner o Trend Micro QR Scanner, che analizzano l’URL in tempo reale contro un database di siti pericolosi prima di aprirlo.

Cosa devo fare se ho scansionato un QR code falso e inserito i miei dati?

Se hai inserito dati bancari, contatta immediatamente il tuo istituto di credito per bloccare le carte. Se hai inserito delle password, cambiale subito sul sito originale e attiva l’autenticazione a due fattori (2FA) su tutti i tuoi account sensibili.

By Antonio Capobianco

Antonio Capobianco segue tecnologia consumer, app, intelligenza artificiale, sicurezza online e strumenti digitali. Su ItaliaGlobale cura notizie tech, guide pratiche e approfondimenti su piattaforme, servizi online e vita digitale.

Leggi anche