Quishing: la truffa del QR code e come difendersi

Il QR code è ormai ovunque: menù, pagamenti, parcheggi, biglietti. Proprio per questo i truffatori lo hanno trasformato in un’arma: è il “quishing”, cioè il phishing veicolato da codici QR. Basta una scansione per finire su un sito clone che svuota il conto. Ecco come riconoscerlo ed evitarlo.

🔳 Cos’è il quishing

Il termine nasce da QR + phishing. L’inganno è semplice ed efficace: il QR nasconde l’indirizzo di destinazione, quindi non puoi “leggere” a colpo d’occhio dove ti porta. I criminali creano QR che rimandano a siti falsi identici a quelli ufficiali (banca, PagoPA, corriere) per farti inserire dati personali, credenziali o estremi di pagamento.

📍 Dove si nascondono i QR truffa

• Parchimetri e colonnine di ricarica: adesivi fasulli incollati sopra il QR ufficiale per “pagare la sosta”.
• Finte multe o avvisi lasciati sul parabrezza o nella cassetta della posta.
• Email e SMS che invitano a “verificare il pacco”, “sbloccare il conto”, “confermare un rimborso”.
• Volantini, locandine e finti sondaggi con premi.
• Bollette o solleciti contraffatti con QR di pagamento alterato.

🔎 Come riconoscere un QR pericoloso

• Adesivo sovrapposto: se il QR è un’etichetta incollata sopra un altro, è sospetto.
• Anteprima dell’URL: la fotocamera mostra l’indirizzo prima di aprirlo. Controllalo: dominio strano, errori di ortografia, indirizzi accorciati.
• Contesto insolito: un QR per “pagare una multa” o “ricevere un rimborso” è quasi sempre una trappola.
• Richiesta di dati sensibili: nessun pagamento legittimo richiede password o codici personali via QR.

🛡️ Come proteggerti

• Verifica sempre l’URL mostrato prima di confermare l’apertura.
• Per pagare sosta o servizi, usa le app ufficiali o digita tu l’indirizzo, invece di affidarti al QR.
• Non inserire dati di pagamento in pagine aperte da QR ricevuti via email/SMS o trovati in luoghi pubblici.
• Diffida di chi ti mette fretta o promette premi.
• Tieni aggiornati telefono e app e usa l’autenticazione a due fattori.
• Se possibile, attiva notifiche e limiti sui pagamenti della carta.

🚨 Se hai pagato o inserito i dati

• Blocca subito la carta e l’home banking tramite numero verde o app.
• Disconosci per iscritto le operazioni non autorizzate (tutela PSD2).
• Cambia le credenziali eventualmente inserite e attiva la 2FA.
• Denuncia alla Polizia Postale, allegando foto del QR/avviso e schermate.
• Se la banca non rimborsa, ricorri all’ABF.

❓ Domande frequenti

Inquadrare un QR è già pericoloso?

La semplice scansione di norma non infetta il telefono: il rischio nasce quando apri il link e soprattutto quando inserisci dati o effettui pagamenti sul sito di destinazione. Per questo la regola d’oro è controllare l’URL e non digitare mai credenziali in pagine sospette.

Come pago la sosta o la ricarica in sicurezza?

Usa le app ufficiali del gestore (scaricate dagli store) o digita manualmente l’indirizzo del servizio. Diffida dei QR su adesivi applicati su parchimetri e colonnine: controlla che non siano incollati sopra il codice originale.

Ho ricevuto un SMS con QR che dice di sbloccare un pacco: cosa faccio?

È quasi sempre quishing/smishing. Non scansionare e non aprire il link. I corrieri gestiscono le giacenze tramite i loro canali ufficiali: verifica direttamente sull’app o sul sito del corriere usando il codice di spedizione che già possiedi.

🔗 Risorse utili

• Polizia Postale — segnalazione di phishing e quishing.
• CSIRT Italia — allerta sicurezza informatica.
• Garante per la Privacy — tutela dei dati personali.