Quishing: cos'è la truffa del QR code e come difendersi

Quishing: cos'è e perché è pericoloso

Il quishing è una variante del phishing che utilizza un QR code al posto del classico link cliccabile.

👉 In pratica:

• invece di cliccare un link, lo scansioni
• invece di vedere l’URL prima, lo scopri dopo
• spesso è già troppo tardi per accorgersi del rischio

L’obiettivo è sempre lo stesso: portarti su un sito falso e convincerti a inserire dati personali, credenziali o informazioni di pagamento.

---

Come funziona (schema reale)

Il meccanismo segue un flusso molto preciso:

1. Trovi un QR code (email, adesivo, volantino, schermo) 2. Lo scansioni pensando sia legittimo 3. Il telefono apre automaticamente un sito 4. La pagina imita banca, corriere o servizio reale 5. Ti viene chiesto di inserire dati o confermare un’azione 6. I dati finiscono ai truffatori o viene avviata una frode

💡 A differenza del phishing classico, qui il passaggio critico è invisibile: non vedi il link prima di interagire.

---

Perché il quishing funziona così bene

Questa tecnica è particolarmente efficace perché sfrutta tre fattori:

• fiducia nel QR code (percepito come “sicuro”)
• automatismo dello smartphone (apre subito il link)
• assenza di controllo visivo immediato sull’URL

In più, è sempre più usata perché:

• bypassa i filtri anti-phishing tradizionali
• è difficile da analizzare per l’utente medio
• funziona bene anche offline (adesivi, cartelli, ecc.)

---

Segnali per riconoscerlo subito

Fai attenzione se noti questi elementi:

• il QR code compare in un contesto urgente o insolito
• è applicato sopra un altro adesivo
• si trova in luoghi pubblici (parcometri, colonnine, volantini)
• dopo la scansione vieni portato su un dominio strano
• la pagina chiede credenziali, OTP o dati carta
• il messaggio insiste su urgenza o blocchi imminenti

👉 Regola semplice: se non sai da dove arriva, non scansionarlo.

---

Pattern comuni del quishing

Negli ultimi mesi emergono schemi ricorrenti.

Contesti più usati

• pagamenti parcheggi
• finte bollette o avvisi
• email di “verifica account”
• accesso a documenti o fatture

---

Messaggi tipici

• “Scansiona per completare il pagamento”
• “Verifica urgente richiesta”
• “Accesso richiesto tramite QR code”
• “Scarica il documento qui”

👉 Il QR viene usato per sostituire il link e aumentare la fiducia.

---

Tipi di attacco

Dopo la scansione puoi trovarti davanti a:

• pagina di login falsa
• richiesta dati carta
• richiesta OTP
• download di app o file malevoli

---

Dove può comparire

I casi più comuni includono:

• email sospette con QR code
• finti avvisi di pagamento
• adesivi su parcometri o distributori
• volantini o cartelli pubblicitari
• schermate condivise o social

💡 Attenzione particolare nei luoghi pubblici: è facile sovrapporre QR falsi a quelli reali.

---

Chi viene preso di mira

Il quishing non colpisce a caso.

Spesso prende di mira:

• utenti che usano pagamenti digitali
• persone in contesti “di fretta” (parcheggi, viaggi)
• chi si fida automaticamente del QR code

Nelle varianti più avanzate:

• il contesto è perfettamente credibile
• il QR sembra parte di un sistema ufficiale

---

Trend recenti

Le segnalazioni mostrano una crescita chiara:

• aumento dell’uso dei QR nelle truffe
• maggiore presenza in contesti fisici (offline)
• siti falsi sempre più realistici

👉 Il QR code sta diventando un nuovo vettore principale per il phishing.

---

Come verificare in sicurezza

Prima di fidarti di un QR code:

• controlla sempre il contesto
• se possibile, verifica manualmente il sito ufficiale
• dopo la scansione, guarda attentamente il dominio
• non procedere se qualcosa non torna

💡 Se si tratta di un pagamento, usa sempre l’app o il sito ufficiale.

---

Cosa fare subito

Se incontri un QR sospetto:

• non scansionarlo
• ignora o segnala

Se lo hai già scansionato:

• controlla subito l’URL
• non inserire dati

Se hai inserito dati:

• cambia immediatamente le credenziali
• contatta banca o servizio coinvolto
• attiva notifiche di sicurezza

⏱️ Più veloce reagisci, minore è il rischio.

---

Quando usare controllatruffa.it

Se hai:

• uno screenshot del QR code
• la pagina aperta dopo la scansione
• il messaggio che lo accompagna

puoi analizzarlo per individuare segnali tipici di phishing.

---

Leggi anche

• Guida al phishing: come riconoscerlo
• Link sospetto: 7 controlli essenziali prima di cliccare

---

Domande frequenti

Un QR code è pericoloso di per sé?

No. Il rischio è nel contenuto che apre dopo la scansione.

Posso fidarmi di un QR code via email?

No. Va trattato come un link: verifica sempre fonte e destinazione.

Il quishing colpisce solo banche?

No. Può imitare corrieri, enti pubblici, parcheggi e servizi digitali.