Quishing: come riconoscere le truffe con QR Code e proteggersi

da Renato Brunetti | Mag 3, 2026 | Featured, Internet, Sicurezza, Tips

Le truffe con QR Code sono diventate una delle tecniche più insidiose usate dai cybercriminali per rubare dati personali, password e informazioni bancarie. Il fenomeno prende il nome di quishing, cioè QR Code phishing, e rappresenta l’evoluzione naturale del phishing tradizionale: invece di cliccare un link sospetto, l’utente viene spinto a scansionare un codice apparentemente innocuo.

Negli ultimi anni ci siamo abituati a usare i QR Code ovunque: ristoranti, parcheggi, biglietti digitali, pagamenti, eventi, spedizioni, Wi-Fi pubblici e perfino documenti aziendali. Proprio questa familiarità rende le truffe con QR Code particolarmente efficaci: abbassiamo la guardia perché il gesto di scansionare un codice ci sembra normale, rapido e sicuro.

Secondo il National Cyber Security Centre del Regno Unito, i QR Code vengono sempre più usati anche nelle email di phishing perché nascondono il link malevolo e possono sfuggire ad alcuni controlli automatici, soprattutto quando il codice viene trattato come semplice immagine. Inoltre, molti utenti scansionano questi codici con il telefono personale, spesso meno protetto rispetto a un dispositivo aziendale.

Che cos’è il quishing e perché riguarda le truffe con QR Code

Il termine quishing nasce dall’unione di QR Code e phishing. Indica una truffa informatica in cui il criminale usa un codice QR per portare la vittima su un sito falso, una pagina di pagamento fraudolenta, un modulo di raccolta dati o, nei casi peggiori, una pagina che tenta di installare malware.

A differenza del phishing classico, dove la vittima riceve un link via email, SMS o chat, nel quishing il link viene nascosto dentro un’immagine. L’utente non vede immediatamente l’indirizzo di destinazione e spesso non ha il tempo, la voglia o l’abitudine di controllarlo.

Il meccanismo sembra banale:

ricevi o trovi un QR Code;
lo scansioni con lo smartphone;
si apre una pagina web;
la pagina sembra affidabile;
inserisci dati personali, credenziali o dati di pagamento.

Il problema nasce proprio qui: quella pagina può imitare un sito reale. Potrebbe sembrare il portale della banca, del corriere, del Comune, del parcheggio, dell’account Microsoft, di Google, di PayPal o di un servizio di streaming.

La FTC statunitense avverte che i truffatori possono nascondere link dannosi nei QR Code per rubare informazioni personali, portare l’utente su siti falsi o installare malware sul dispositivo.

Da quale truffa nasce il quishing: l’evoluzione del phishing

Le truffe con QR Code non nascono dal nulla. Sono l’evoluzione di tecniche già note.

Phishing

Il phishing è la forma più classica. Ricevi un’email che sembra provenire da un servizio affidabile. Il messaggio ti invita a cliccare un link per risolvere un problema, confermare l’account, aggiornare la password o evitare una sospensione.

Smishing

Lo smishing usa gli SMS o le app di messaggistica. Il messaggio può fingere di arrivare da un corriere, da una banca o da un servizio pubblico. Il tono è spesso urgente: “il pacco è bloccato”, “pagamento non riuscito”, “account sospeso”.

Vishing

Il vishing usa la voce. Il criminale telefona alla vittima fingendosi operatore bancario, tecnico informatico, consulente o addetto antifrode.

Quishing

Il quishing aggiunge un passaggio apparentemente più moderno: il QR Code. Invece di mostrarti un link cliccabile, ti mostra un codice da scansionare. Questo dettaglio rende la truffa più efficace, perché il codice appare neutro e meno sospetto di un indirizzo web pieno di caratteri strani.

In pratica, le truffe con QR Code sfruttano la stessa psicologia del phishing: fretta, paura, fiducia e abitudine. Cambia solo il mezzo usato per portarti sulla pagina malevola.

Perché è così facile cadere nelle truffe con QR Code

Il quishing funziona perché sfrutta diversi automatismi mentali. Nessuno scansiona un QR Code pensando: “Sto per aprire un link potenzialmente pericoloso”. Di solito pensiamo: “Mi serve il menu”, “devo pagare il parcheggio”, “devo ritirare un pacco”, “devo accedere al Wi-Fi” o, la peggiore di tutte, la curiosità di vedere quel codice dove ci porta! I criminali conoscono bene questo comportamento.

Il QR Code sembra innocuo

Un link sospetto può insospettire. Un QR Code, invece, sembra solo un quadrato pieno di puntini. Non comunica nulla a colpo d’occhio. Non puoi sapere dove porta finché non lo scansioni.

Il telefono riduce l’attenzione

Sul computer leggiamo meglio gli indirizzi. Sullo smartphone, invece, gli URL vengono spesso tagliati, abbreviati o visualizzati in modo poco chiaro. Questo rende più difficile notare domini falsi, lettere scambiate o estensioni strane.

Il contesto aumenta la fiducia

Un QR Code sul tavolo di un ristorante, su un parchimetro o su un volantino sembra automaticamente legittimo. Eppure un adesivo falso può coprire quello originale. Il NCSC Ireland segnala proprio questo scenario: codici QR fraudolenti applicati sopra codici legittimi in luoghi molto frequentati, come ristoranti, punti di pagamento per parcheggi e volantini pubblici.

L’urgenza spegne il controllo

Molti messaggi di quishing fanno leva sulla fretta: “paga subito”, “evita una multa”, “conferma entro 24 ore”, “il pacco verrà restituito”, “account bloccato”. L’obiettivo è impedirti di ragionare.

Come funzionano le truffe con QR Code: esempi pratici

Per riconoscere il quishing devi conoscere gli scenari più comuni.

QR Code in email aziendali false

Una delle tecniche più diffuse consiste nell’inviare un’email che contiene un QR Code. Il messaggio può fingere di provenire da Microsoft 365, Google Workspace, Dropbox, una banca o un reparto IT.

La vittima scansiona il codice e finisce su una pagina di login falsa. Inserisce email e password, e il criminale raccoglie le credenziali.

Microsoft, nel suo report sul panorama delle minacce email del primo trimestre 2026, dedica una sezione specifica agli attacchi di phishing tramite QR Code e raccomanda formazione degli utenti, protezioni sui link, strumenti di rilevamento e autenticazione passwordless o MFA per ridurre l’impatto di queste minacce.

QR Code falsi sui parchimetri

Il criminale applica un adesivo sopra il QR Code originale. L’utente pensa di pagare il parcheggio, ma inserisce i dati della carta su un sito falso.

In alcuni casi il pagamento sembra andare a buon fine, ma i dati vengono salvati e usati successivamente.

QR Code per pacchi non consegnati

Ricevi un messaggio: “Non siamo riusciti a consegnare il pacco. Scansiona il QR Code per riprogrammare la consegna”. La pagina chiede pochi euro per sbloccare la spedizione. In realtà serve a rubare i dati della carta.

QR Code nei volantini pubblicitari

Un volantino promette sconti, buoni regalo o premi. Il QR Code porta a un modulo che chiede nome, email, telefono, indirizzo e magari anche informazioni bancarie.

QR Code per Wi-Fi gratuito

In hotel, bar o spazi pubblici potresti trovare un QR Code per connetterti al Wi-Fi. Se il codice è falso, può portarti a una pagina che raccoglie dati personali o ti invita a installare un’app non sicura.

Cosa succede se cadi in una truffa con QR Code

Le conseguenze dipendono da cosa hai fatto dopo aver scansionato il codice. Scansionare un QR Code non sempre significa essere già compromessi. Il rischio aumenta se inserisci dati, scarichi file, autorizzi permessi o effettui pagamenti.

Furto di credenziali

Se hai inserito email e password su una pagina falsa, il criminale può tentare di accedere al tuo account. Se usi la stessa password su più servizi, il danno può estendersi rapidamente.

Furto di dati bancari

Se hai inserito dati della carta, IBAN o credenziali bancarie, puoi subire addebiti non autorizzati o tentativi di accesso al conto.

Furto di identità

Nome, cognome, indirizzo, telefono, codice fiscale e documenti possono essere usati per aprire account falsi, attivare servizi o costruire truffe più credibili.

Installazione di malware

Alcuni siti possono spingerti a scaricare un’app, un aggiornamento o un file. Se installi qualcosa fuori dagli store ufficiali, potresti aprire la porta a spyware, trojan o software che intercettano dati.

Compromissione aziendale

Nel contesto lavorativo il rischio aumenta. Un dipendente che inserisce credenziali aziendali su un sito falso può esporre email, file, dati dei clienti e sistemi interni.

Come riconoscere le truffe con QR Code prima di cadere nel tranello

Per difenderti dal quishing non devi smettere di usare i QR Code. Devi solo imparare a trattarli come tratteresti un link.

Controlla sempre l’URL prima di aprirlo

Molti smartphone mostrano un’anteprima dell’indirizzo prima di aprire il sito. Leggila con attenzione.

Diffida di:

domini strani o troppo lunghi;
lettere invertite;
estensioni insolite;
indirizzi accorciati;
siti che non usano HTTPS;
pagine che imitano marchi noti ma hanno domini diversi.

La FTC consiglia proprio di controllare l’URL prima di aprirlo e di fare attenzione a errori, sostituzioni di lettere e indirizzi che sembrano simili a quelli reali.

Non scansionare QR Code ricevuti in messaggi inattesi

Se ricevi un QR Code via email, SMS o WhatsApp e non te lo aspettavi, fermati. Contatta l’azienda usando un canale ufficiale, non il numero o il link presente nel messaggio.

Verifica se il QR Code è un adesivo

Nei luoghi pubblici osserva il codice. Se sembra incollato sopra un altro, storto, rovinato o aggiunto in modo artigianale, non usarlo.

Non inserire dati sensibili dopo una scansione casuale

Un QR Code può servire per aprire un menu o leggere una pagina informativa. Ma se chiede password, dati bancari o documenti, alza subito il livello di attenzione.

Diffida delle urgenze

Ogni messaggio che ti spinge ad agire subito merita un controllo extra. I criminali usano la fretta per farti saltare i passaggi di verifica.

Come proteggersi dal quishing nella vita quotidiana

La protezione dalle truffe con QR Code richiede buone abitudini, non strumenti complicati.

Usa la fotocamera o lo scanner integrato del telefono

Evita app sconosciute per leggere QR Code. Molti smartphone integrano già la scansione nella fotocamera. Il NCSC UK consiglia di usare lo scanner integrato del telefono invece di scaricare app dedicate non necessarie.

Aggiorna smartphone e browser

Gli aggiornamenti correggono vulnerabilità e migliorano la protezione contro siti dannosi. Un telefono vecchio o non aggiornato aumenta il rischio.

Attiva l’autenticazione a due fattori

La 2FA riduce il danno in caso di furto password. Meglio ancora, quando disponibile, usa metodi più resistenti al phishing come passkey, Windows Hello o chiavi FIDO.

Usa un password manager

Un password manager può aiutarti a riconoscere i siti falsi. Se sei su un dominio fraudolento, spesso non propone automaticamente le credenziali salvate per il sito reale.

Per approfondire questo punto, puoi collegare qui il tuo articolo interno dedicato alla sicurezza delle password: Come proteggere le proprie password online.

Non installare app da QR Code sconosciuti

Se un QR Code ti chiede di scaricare un’app, passa sempre dallo store ufficiale del dispositivo. Non installare file APK, profili di configurazione o applicazioni da fonti non verificate.

In azienda: formazione e simulazioni

Per le aziende, la difesa tecnica non basta. Microsoft raccomanda formazione degli utenti, simulazioni di phishing e strumenti di protezione come Safe Links, Safe Attachments, SmartScreen e metodi di autenticazione più robusti.

Cosa fare se hai scansionato un QR Code sospetto

Prima regola: non farti prendere dal panico. Il danno dipende dalle azioni successive.

Se hai solo aperto la pagina

Chiudi subito la scheda. Non inserire dati, non scaricare file e non concedere permessi.

Se hai inserito una password

Cambia immediatamente la password dell’account coinvolto. Se usavi la stessa password altrove, cambiala anche sugli altri servizi. Attiva la 2FA dove disponibile.

Se hai inserito dati bancari

Contatta subito la banca o l’emittente della carta. Chiedi il blocco preventivo, verifica gli ultimi movimenti e valuta la sostituzione della carta.

Se hai scaricato un file o installato un’app

Disinstalla l’app sospetta, esegui una scansione antivirus e controlla i permessi concessi. Se il telefono mostra comportamenti strani, valuta un ripristino dopo aver salvato i dati importanti.

Se si tratta di un account aziendale

Avvisa immediatamente il reparto IT. Più passa il tempo, più aumenta il rischio di accessi non autorizzati, furto dati e compromissione della posta elettronica.

Il NCSC Ireland suggerisce, in caso di sospetta truffa tramite QR Code, di cambiare subito le password, contattare la banca, eseguire una scansione antivirus e segnalare l’accaduto alle autorità o all’organizzazione impersonata.

Errori da evitare quando si parla di truffe con QR Code

Molti utenti sottovalutano il quishing perché pensano che “un QR Code non possa fare nulla”. In parte è vero: il codice da solo non ruba dati. Però può portarti nel posto sbagliato.

Evita questi errori:

scansionare codici senza guardare l’URL;
fidarti solo perché il QR Code si trova in un luogo pubblico;
inserire password dopo una scansione non richiesta;
pagare multe, parcheggi o spedizioni senza verificare il sito;
installare app fuori dagli store ufficiali;
ignorare piccoli errori nel dominio;
pensare che la 2FA renda tutto automaticamente sicuro;
usare la stessa password su più account.

Le truffe con QR Code funzionano perché sembrano semplici, veloci e quotidiane. La difesa migliore è rallentare di pochi secondi.

Come spiegare il quishing a utenti meno esperti

Se devi spiegare il quishing a un familiare, a un collega o a un cliente, usa una frase semplice:

Un QR Code è un link mascherato. Prima di aprirlo, controlla dove porta.

Questa definizione aiuta a cambiare prospettiva. Il QR Code non è magia, non è automaticamente sicuro e non è diverso da un collegamento cliccabile. È solo un modo più comodo per aprire un indirizzo web.

Un buon metodo pratico è questo:

scansiona;
guarda l’anteprima;
controlla il dominio;
chiediti se ti aspettavi quel codice;
apri solo se tutto torna.

Pochi secondi possono evitare furti di account, perdite economiche e problemi molto più lunghi da risolvere.

Cosa ricordare prima di scansionare un QR Code

Le truffe con QR Code non devono farci rinunciare alla comodità dei QR Code. Devono però spingerci a usarli con la stessa attenzione che riserviamo ai link ricevuti via email o SMS.

Il quishing nasce dal phishing, ma usa un mezzo più moderno e meno visibile: un codice che nasconde l’indirizzo reale. Proprio per questo può ingannare utenti esperti e meno esperti. La difesa non consiste nel diventare paranoici, ma nel controllare il contesto, verificare l’URL, evitare la fretta e proteggere account e dispositivi con strumenti adeguati.

Quando un QR Code ti chiede dati sensibili, password o pagamenti, fermati. Se hai dubbi, usa il sito ufficiale digitandolo manualmente o contatta direttamente l’organizzazione. Le truffe con QR Code funzionano solo quando riescono a farti saltare questo passaggio.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	past	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
PHPSESSID		This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga_41JCTK78EB	2 years	This cookie is installed by Google Analytics.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durata	Descrizione
ANONCHK	10 minutes	This cookie is used for storing the session ID for a user. This cookie ensures that clicks from advertisement on the Bing search engine are verified and it is used for reporting purposes and for personalization.
MUID	1 year 24 days	Used by Microsoft as a unique identifier. The cookie is set by embedded Microsoft scripts. The purpose of this cookie is to synchronize the ID across many different Microsoft domains to enable user tracking.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.

Cookie	Durata	Descrizione
_clck	1 year	No description
_clsk	1 day	No description
CLID	1 year	No description
CONSENT	16 years 6 months	No description
pvc_visits[0]	1 day	This cookie is created by post-views-counter. This cookie is used to count the number of visits to a post. It also helps in preventing repeat views of a post by a visitor.
SM	session	No description available.
SRM_B	1 year 24 days	No description available.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.