Inquadrare un QR code al ristorante, al parcheggio o per leggere un volantino è ormai un gesto quotidiano. Tuttavia, questa comodità nasconde un rischio concreto: il quishing (la fusione tra “QR code” e “phishing”). I cybercriminali utilizzano codici contraffatti per indirizzare gli utenti verso siti malevoli, con l’obiettivo di rubare dati personali, credenziali bancarie o installare virus sul telefono.

Niente panico, però: il QR code in sé non è un virus. È semplicemente un link grafico. Il pericolo non sta nell’inquadrarlo, ma in ciò che fai dopo averlo scansionato. Con un po’ di attenzione, è facilissimo difendersi.
📌 In sintesi
- Un QR code pericoloso ti reindirizza su siti copia che sembrano legittimi (es. banche, servizi postali, pagamenti di parcheggi).
- Il rischio principale è inserire i propri dati sensibili in questi siti trappola o scaricare app malevole.
- Prima di cliccare sul link generato dallo smartphone, controlla sempre l’anteprima dell’URL.
Qual è il rischio reale dei QR code contraffatti
Il rischio principale legato a un QR code pericoloso non è l’inquadratura iniziale, ma l’azione successiva. I truffatori sostituiscono i QR code legittimi (ad esempio sui parchimetri o sui tavoli dei locali) con adesivi contraffatti.
- QR code falsi: come riconoscerli prima di scansionarli
- QR code falsi: come riconoscerli prima di scansionarli
- Quishing: perché il QR Code è diventato la nuova frontiera del phishing
Se scansioni un codice manipolato, potresti essere indirizzato su:
- Siti di phishing: Pagine identiche a quelle della tua banca o di servizi di spedizione che ti chiedono di accedere o inserire la carta di credito.
- Download automatici: Pagine che avviano il download di file APK (per Android) o profili di configurazione che installano malware sul dispositivo.
- Abbonamenti nascosti: Servizi a pagamento che si attivano con un semplice clic.
Come riconoscere un QR code pericoloso
I codici QR non sono leggibili a occhio nudo, ma ci sono indizi visivi e digitali che possono insospettirti prima di interagire con il link:
- Presenza di adesivi sovrapposti: Se noti un adesivo appiccicato sopra il QR code originale (su un cartellone, un menu o un parchimetro), quasi certamente si tratta di una manomissione.
- URL abbreviati o insoliti: Quando inquadri il codice, lo smartphone mostra un’anteprima del link. Se l’indirizzo è molto corto (es. bit.ly sconosciuti) o pieno di caratteri casuali, non aprirlo.
- Errori di ortografia nel link: Un link che imita un marchio famoso ma presenta errori (es. postee-italiane.it invece di poste.it) è un chiaro segnale di truffa.
- Richieste urgenti di dati: Se il sito aperto tramite QR code ti chiede immediatamente di inserire password, PIN o dati della carta per “sbloccare” un servizio o evitare una multa, esci subito.
Cosa fare subito: Box di emergenza
Se hai appena scansionato un QR code e temi che fosse pericoloso, mantieni la calma e segui questi passi immediati:
🚨 Cosa fare subito
- Chiudi la pagina o scollega internet: Se sei ancora sulla pagina web, chiudila subito. Se è partito un download, attiva la modalità aereo.
- Non inserire dati: Se il sito ti chiede credenziali o numeri di carta, non digitare nulla e chiudi il browser.
- Controlla i download: Vai nella cartella “Download” dello smartphone e cancella qualsiasi file scaricato di recente che non riconosci (specialmente se ha estensione
.apk).- Verifica il conto: Se hai inserito dati bancari, contatta immediatamente la tua banca per bloccare la carta o monitorare i movimenti.
Errori da evitare
Quando ci si imbatte in un QR code, l’errore più comune è la fretta. Spesso si scansiona un codice per pagare la sosta o ordinare al volo, senza guardare lo schermo.
Un altro errore frequente è utilizzare app di scansione terze non verificate piene di pubblicità, che non offrono controlli di sicurezza. Usa sempre la fotocamera nativa del tuo smartphone (iOS o Android), poiché integra già un sistema di anteprima sicuro che ti mostra l’indirizzo prima di aprirlo.
Come proteggersi in futuro
Prevenire il quishing è semplice e richiede solo un cambio di abitudini quotidiane:
- Usa la fotocamera predefinita: Evita app di terze parti per leggere i QR code, a meno che non siano software di sicurezza certificati.
- Abilita l’anteprima dei link: Assicurati che il tuo telefono non apra i link dei QR code automaticamente, ma ti chieda sempre conferma mostrando l’URL completo.
- Digita l’URL manualmente se hai dubbi: Se devi pagare un parcheggio o accedere a un servizio pubblico e il QR code ti sembra sospetto, cerca il sito ufficiale su Google o usa l’app ufficiale del servizio.
Tabella di orientamento: Segnali e Azioni
| Segnale di allarme | Cosa significa | Cosa fare |
| Il QR code è un adesivo attaccato sopra un altro cartello | Probabile manomissione fisica da parte di truffatori | Non scansionare e segnala il problema ai responsabili del luogo. |
| L’anteprima del link mostra un URL che non c’entra con il servizio | Il codice rimanda a un sito terzo o potenzialmente dannoso | Non cliccare sul link e chiudi l’anteprima. |
| Il sito aperto richiede l’installazione di un file o di un’applicazione | Tentativo di installazione di malware o spyware | Rifiuta il download e chiudi la scheda del browser. |
| Il sito richiede credenziali bancarie per un’azione banale (es. leggere un menu) | Tentativo esplicito di phishing (furto di identità) | Chiudi subito la pagina. Non inserire alcuna informazione. |
FAQ – Domande Frequenti
La sola scansione del QR code può infettare il telefono?
No. La semplice inquadratura con la fotocamera mostra solo un link. Il rischio scatta se visiti il sito web collegato, se scarichi file o se inserisci i tuoi dati personali nelle pagine di destinazione.
Esistono app sicure per scansionare i QR code?
La fotocamera nativa di iPhone e degli smartphone Android moderni è lo strumento più sicuro, perché mostra l’anteprima del link senza aprirlo automaticamente. Se cerchi maggiore sicurezza, esistono app sviluppate da aziende di cybersecurity note che analizzano il link prima di aprirlo per verificare che non sia in una blacklist.
Cosa devo fare se ho inserito la mia carta di credito su un sito aperto da un QR code sospetto?
Chiama immediatamente il numero per il blocco carte della tua banca (attivo 24/7). Spiega l’accaduto, chiedi il blocco temporaneo o definitivo della carta e monitora la lista dei movimenti per segnalare eventuali transazioni non autorizzate.

