QR code falsi: come riconoscerli prima di scansionarli

I QR code sono ormai ovunque: sui tavoli dei ristoranti, sui biglietti dei mezzi pubblici, sui parchimetri e persino sulle multe sul parabrezza. Proprio la loro diffusione ha dato vita a una nuova minaccia informatica chiamata Quishing (QR code phishing). Riconoscere un QR code contraffatto prima di inquadrarlo con la fotocamera è diventato fondamentale per proteggere i propri dati e il proprio conto bancario.

📌 In sintesi

Un QR code falso non è altro che un collegamento a un sito web dannoso camuffato da codice legittimo. Per evitare truffe, basta non scansionare codici stampati su adesivi sospetti, verificare sempre l’URL di destinazione sullo schermo dello smartphone prima di aprirlo e non inserire mai dati personali o bancari dopo una scansione casuale.

Qual è il rischio reale dei QR code contraffatti

Il rischio non risiede nel codice in sé, ma nel luogo in cui ti conduce. Un malintenzionato può facilmente generare un QR code dannoso, stamparlo su un adesivo e incollarlo sopra a un QR code legittimo (ad esempio, quello per pagare il parcheggio o per consultare un menu).

Se scansioni un codice manipolato, potresti andare incontro a:

  • Siti di phishing: Pagine web identiche a quelle della tua banca o di un servizio pubblico, create per rubare le tue credenziali d’accesso.
  • Download automatici di malware: App dannose che si scaricano sullo smartphone per intercettare SMS, password o codici OTP.
  • Abbonamenti a servizi a pagamento: Attivazioni truffaldine di servizi premium non richiesti che scalano il credito telefonico.

Come riconoscerlo visivamente prima del clic

Riconoscere un QR code falso richiede solo pochi secondi di attenzione visiva e digitale. Ecco i controlli fondamentali da fare:

  1. L’effetto “sticker”: Tocca l’adesivo. Se il QR code si trova su un foglio o su un cartello plastificato, controlla se c’è un adesivo appiccicato sopra il codice originale. I truffatori coprono i codici veri con i propri.
  2. Il contesto e la posizione: Diffida dei QR code isolati, privi di logo aziendale, istruzioni o spiegazioni chiare su dove porti quel link, specialmente se posizionati in luoghi pubblici molto frequentati.
  3. L’anteprima dell’URL: Quando inquadri il codice con la fotocamera, lo smartphone mostra un’anteprima del link. Guarda attentamente il nome del sito: se presenta errori di ortografia (es. poste-ltalia.com anziché poste.it) o estensioni strane, non toccarlo.

Cosa fare subito

Se ti trovi davanti a un codice sospetto o ne hai appena scansionato uno che non ti convince, segui questi passaggi immediati.

🛑 Cosa fare subito

  • Chiudi la pagina immediatamente: Se la scansione ha aperto una pagina web sospetta, chiudi la scheda del browser.
  • Non inserire dati: Non digitare mai password, email o numeri di carta di credito.
  • Verifica i download: Controlla la cartella “Download” dello smartphone e cancella subito qualsiasi file .apk o sconosciuto scaricato di recente.
  • Segnala il codice: Se il codice si trova in un locale o su un servizio pubblico (es. un parchimetro), avvisa il personale o i gestori.

Errori comuni da evitare

Il panico o la fretta spesso fanno compiere passi falsi. Ecco cosa non devi fare:

  • Fidarsi solo perché è un QR code: Molti pensano che il QR code sia una tecnologia “sicura” per definizione. In realtà è solo un link grafico: chiunque può crearne uno in tre secondi.
  • Usare app di scansione terze non verificate: Evita di scaricare lettori di QR code non ufficiali che richiedono permessi eccessivi (come l’accesso alla rubrica o alla geolocalizzazione). Usa sempre la fotocamera nativa del tuo telefono.
  • Ignorare gli avvisi del browser: Se Google Chrome, Safari o il tuo antivirus mobile ti avvisano che il sito è pericoloso, non forzare l’accesso.

Come proteggersi in futuro

La prevenzione è la migliore difesa contro il quishing. Per navigare e scansionare in totale sicurezza, adotta queste abitudini quotidiane:

  • Attiva la visualizzazione dell’anteprima: Assicurati che nelle impostazioni della fotocamera sia attiva la funzione che mostra l’indirizzo web prima di aprirlo.
  • Digita l’URL manualmente: Se devi pagare una sosta o accedere a un servizio pubblico, preferisci l’inserimento manuale del sito ufficiale o l’uso dell’app ufficiale del servizio (es. l’app ufficiale per i parcheggi della città).
  • Mantieni aggiornato il sistema operativo: Gli aggiornamenti di Android e iOS includono spesso patch di sicurezza che bloccano l’esecuzione di codice dannoso tramite browser.

Tabella di controllo rapido: Segnali e Azioni

Segnale di allarmeCosa significaCosa fare
Adesivo sovrappostoIl QR code originale è stato coperto con uno contraffatto.Non scansionare. Segnala il cartello ai responsabili del luogo.
URL abbreviato (es. bit.ly, tinyurl)Il truffatore sta nascondendo la vera destinazione del link.Evita l’apertura a meno che il contesto non sia verificato al 100%.
Richiesta di installare un’appIl sito web ti obbliga a scaricare un file per vedere il contenuto.Blocca il download. I menu o le info pubbliche sono normali pagine web.
Errori di ortografia nel linkÈ un dominio di phishing che imita un marchio famoso.Chiudi il browser e cerca il sito ufficiale su Google.

FAQ – Domande frequenti

La sola scansione del QR code può infettare il telefono?

No, la semplice inquadratura con la fotocamera o l’apparizione del link sullo schermo non infetta il dispositivo. Il rischio scatta quando si clicca sul link, si autorizza il download di un file o si inseriscono dati personali nella pagina web di destinazione.

Esistono app sicure per scansionare i QR code?

La scelta migliore è utilizzare la fotocamera predefinita di iPhone o smartphone Android. Se desideri una protezione extra, esistono app di sicurezza gratuite sviluppate da aziende di cybersecurity note (come Trend Micro o Kaspersky) che analizzano l’URL prima di aprirlo, segnalando se è sicuro o meno.

Cosa devo fare se ho inserito i dati della mia carta di credito?

Contatta immediatamente la tua banca per bloccare la carta di credito o di debito coinvolta. Successivamente, controlla la lista dei movimenti bancari e sporgi denuncia alle autorità (Polizia Postale) se noti transazioni non autorizzate.

By Antonio Capobianco

Antonio Capobianco segue tecnologia consumer, app, intelligenza artificiale, sicurezza online e strumenti digitali. Su ItaliaGlobale cura notizie tech, guide pratiche e approfondimenti su piattaforme, servizi online e vita digitale.

Leggi anche