controllatruffa.it
Salta al contenuto

PHISHING · 5 MIN · 9 aprile 2026

Quishing: cos'è la truffa del QR code e come difendersi

Hai scansionato un QR code sospetto? Scopri cos'è il quishing, come funziona e quali segnali controllare prima di inserire dati.

Scritto da Marco Ferretti · Revisionato da Redazione ControllaTruffa il 9 aprile 2026Aggiornato il 10 aprile 2026

Immagine di copertina articolo: Quishing: cos'è la truffa del QR code e come difendersi

Quishing: cos'è e perché è pericoloso

Il quishing è una variante del phishing che utilizza un QR code al posto del classico link cliccabile.

In pratica:

  • invece di cliccare un link, lo scansioni
  • invece di vedere l’URL prima, lo scopri dopo
  • spesso è già troppo tardi per accorgersi del rischio

L’obiettivo è sempre lo stesso: portarti su un sito falso e convincerti a inserire dati personali, credenziali o informazioni di pagamento.

Come funziona (schema reale)

Il meccanismo segue un flusso molto preciso:

  1. Trovi un QR code (email, adesivo, volantino, schermo)
  2. Lo scansioni pensando sia legittimo
  3. Il telefono apre automaticamente un sito
  4. La pagina imita banca, corriere o servizio reale
  5. Ti viene chiesto di inserire dati o confermare un’azione
  6. I dati finiscono ai truffatori o viene avviata una frode

A differenza del phishing classico, qui il passaggio critico è invisibile: non vedi il link prima di interagire.

Hai ricevuto un messaggio sospetto?

Incolla il testo o carica uno screenshot: ricevi subito il livello di rischio con spiegazione chiara.

Analizza il messaggio →

Perché il quishing funziona così bene

Questa tecnica è particolarmente efficace perché sfrutta tre fattori:

  • fiducia nel QR code (percepito come “sicuro”)
  • automatismo dello smartphone (apre subito il link)
  • assenza di controllo visivo immediato sull’URL

In più, è sempre più usata perché:

  • bypassa i filtri anti-phishing tradizionali
  • è difficile da analizzare per l’utente medio
  • funziona bene anche offline (adesivi, cartelli, ecc.)

Segnali per riconoscerlo subito

Fai attenzione se noti questi elementi:

  • il QR code compare in un contesto urgente o insolito
  • è applicato sopra un altro adesivo
  • si trova in luoghi pubblici (parcometri, colonnine, volantini)
  • dopo la scansione vieni portato su un dominio strano
  • la pagina chiede credenziali, OTP o dati carta
  • il messaggio insiste su urgenza o blocchi imminenti

Regola semplice: se non sai da dove arriva, non scansionarlo.

Pattern comuni del quishing

Negli ultimi mesi emergono schemi ricorrenti.

Contesti più usati

  • pagamenti parcheggi
  • finte bollette o avvisi
  • email di “verifica account”
  • accesso a documenti o fatture

Messaggi tipici

  • “Scansiona per completare il pagamento”
  • “Verifica urgente richiesta”
  • “Accesso richiesto tramite QR code”
  • “Scarica il documento qui”

Il QR viene usato per sostituire il link e aumentare la fiducia.

Tipi di attacco

Dopo la scansione puoi trovarti davanti a:

  • pagina di login falsa
  • richiesta dati carta
  • richiesta OTP
  • download di app o file malevoli

Dove può comparire

I casi più comuni includono:

  • email sospette con QR code
  • finti avvisi di pagamento
  • adesivi su parcometri o distributori
  • volantini o cartelli pubblicitari
  • schermate condivise o social

Attenzione particolare nei luoghi pubblici: è facile sovrapporre QR falsi a quelli reali.

Chi viene preso di mira

Il quishing non colpisce a caso.

Spesso prende di mira:

  • utenti che usano pagamenti digitali
  • persone in contesti “di fretta” (parcheggi, viaggi)
  • chi si fida automaticamente del QR code

Nelle varianti più avanzate:

  • il contesto è perfettamente credibile
  • il QR sembra parte di un sistema ufficiale

Trend recenti

Le segnalazioni mostrano una crescita chiara:

  • aumento dell’uso dei QR nelle truffe
  • maggiore presenza in contesti fisici (offline)
  • siti falsi sempre più realistici

Il QR code sta diventando un nuovo vettore principale per il phishing.

Come verificare in sicurezza

Prima di fidarti di un QR code:

  • controlla sempre il contesto
  • se possibile, verifica manualmente il sito ufficiale
  • dopo la scansione, guarda attentamente il dominio
  • non procedere se qualcosa non torna

Se si tratta di un pagamento, usa sempre l’app o il sito ufficiale.

Cosa fare subito

Se incontri un QR sospetto:

  • non scansionarlo
  • ignora o segnala

Se lo hai già scansionato:

  • controlla subito l’URL
  • non inserire dati

Se hai inserito dati:

  • cambia immediatamente le credenziali
  • contatta banca o servizio coinvolto
  • attiva notifiche di sicurezza

Più veloce reagisci, minore è il rischio.

Quando usare controllatruffa.it

Se hai:

  • uno screenshot del QR code
  • la pagina aperta dopo la scansione
  • il messaggio che lo accompagna

puoi analizzarlo per individuare segnali tipici di phishing.

Leggi anche

Domande frequenti

Un QR code è pericoloso di per sé?

No. Il rischio è nel contenuto che apre dopo la scansione.

Posso fidarmi di un QR code via email?

No. Va trattato come un link: verifica sempre fonte e destinazione.

Il quishing colpisce solo banche?

No. Può imitare corrieri, enti pubblici, parcheggi e servizi digitali.

Ricevi alert sulle truffe in circolazione

Seguici su Telegram — pubblichiamo nuovi pattern e checklist rapide prima di cliccare o pagare.

Apri il canale Telegram →

FONTI

CONDIVIDI

WhatsAppTelegramXEmail

CONTINUA A LEGGERE

Articoli correlati

Ricevi alert sulle truffe in circolazione

Seguici su Telegram — pubblichiamo nuovi pattern e checklist rapide prima di cliccare o pagare.

Apri il canale Telegram →