Come funzionano gli attacchi con codice QR (e come restare al sicuro)

Q: Cos'è il quishing?

Il quishing è il phishing tramite codici QR. Gli aggressori sostituiscono i codici QR legittimi con codici dannosi che reindirizzano le vittime a pagine di accesso false o attivano download di malware.

Q: Come posso sapere se un codice QR è sicuro?

Utilizza la fotocamera integrata del tuo telefono (non app di terze parti), controlla l'anteprima dell'URL prima dell'apertura, cerca segni di manomissione sui codici QR fisici e non scansiona mai codici provenienti da fonti non attendibili.

__Cybersecurity14 marzo 2026·7 minuti di lettura

I codici

QR sono diventati onnipresenti: menu dei ristoranti, parchimetri, confezioni dei prodotti, biglietti per eventi. La loro comodità ci ha fatto fidare implicitamente di loro. Ma questa fiducia è esattamente ciò che i criminali informatici sfruttano in un'ondata crescente di attacchi chiamati quishing (QR phishing).

Cos'è il Quishing?

Quishing combina "QR" e "phishing". Invece di inviarti un collegamento e-mail sospetto, gli aggressori inseriscono codici QR dannosi nel mondo fisico o in documenti digitali. Una volta scansionati, questi codici ti reindirizzano a siti Web falsi convincenti progettati per rubare credenziali, informazioni finanziarie o installare malware.

L'FBI ha segnalato un aumento del 300% nei casi di frode di codici QR tra il 2023 e il 2025, con perdite superiori a 150 milioni di dollari solo negli Stati Uniti.

5 Metodi di attacco tramite codice QR nel mondo reale

1. Adesivi parchimetro

I criminali posizionano adesivi con codici QR falsi sui codici di pagamento legittimi sui parchimetri. Le vittime scansionano il codice pensando di pagare il parcheggio, ma in realtà stanno inserendo i dati della loro carta di credito su un sito di phishing. Questo attacco è stato documentato in oltre 40 città degli Stati Uniti.

2. Sovrapposizioni del menu del ristorante

Durante la pandemia, i menu QR sono diventati standard. Gli aggressori sfruttano questa situazione posizionando adesivi trasparenti con codici QR dannosi sui tavoli tendoni dei ristoranti. Il codice falso porta a un sito che imita un menu ma richiede informazioni di pagamento o l'installazione di app.

3. Avvisi di consegna pacchi falsi

Ricevi una cartolina nella tua casella di posta: "Abbiamo provato a consegnare il tuo pacco. Scansiona per riprogrammare." Il codice QR porta a una pagina di phishing che si spaccia per un servizio di consegna e richiede le tue credenziali di accesso e i tuoi dati personali.

4. Codici QR per e-mail aziendali

Gli aggressori incorporano codici QR nelle e-mail perché i codici QR ignorano la maggior parte dei filtri di sicurezza della posta elettronica. L'e-mail potrebbe provenire dal supporto IT chiedendoti di "scansionare per verificare il tuo account" e porta a una pagina di raccolta delle credenziali.

5. Codici QR Wi-Fi pubblici

I falsi codici QR "Wi-Fi gratuito" negli aeroporti, nei bar o negli hotel possono reindirizzarti a un captive Portal che installa un profilo di configurazione sul tuo telefono, consentendo attacchi man-in-the-middle a tutto il tuo traffico.

🧪 QR Quiz sulla sicurezza

1. Trovi un codice QR su un parchimetro. Cosa dovresti fare prima?

Scansionalo e paga immediatamenteControlla se è un adesivo posizionato sopra il codice originaleScatta una foto e scansiona più tardi

2. Un'e-mail con codice QR da "Supporto IT" ti chiede di verificare il tuo account. Qual è l'azione più sicura?

Scansiona il codice QR con il tuo telefonoInoltralo ai colleghi per verificareVai direttamente al sito dell'azienda senza scansione

3. Dopo aver scansionato un codice QR, il telefono mostra un'anteprima dell'URL. Quale URL è sospetto?

https://paypal.com/paymenthttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

Come proteggersi

Anteprima prima di toccare: Controlla sempre l'URL visualizzato dal telefono dopo la scansione. Cerca domini con errori di ortografia o caratteri sospetti.

Controlla eventuali manomissioni: Sui codici fisici, cerca gli adesivi posizionati sopra l'originale. I codici legittimi vengono solitamente stampati direttamente sulla superficie.

Utilizza la fotocamera integrata: L'app fotocamera nativa del tuo telefono è più sicura delle app per scanner QR di terze parti, che potrebbero avere meno protezioni di sicurezza.

Non inserire mai le credenziali: Se un codice QR porta a una pagina di accesso, chiudila e naviga manualmente nel sito tramite il browser.

Evita i codici QR Wi-Fi: Invece di scansionare i codici QR per il Wi-Fi, chiedi direttamente al personale il nome della rete e la password.

FAQ

Cos'è il quishing?

Quishing è il phishing tramite codici QR. Gli aggressori sostituiscono i codici QR legittimi con codici dannosi che reindirizzano le vittime a pagine di accesso false o attivano download di malware.

La scansione di un codice QR può installare malware?

Sulla maggior parte dei telefoni moderni, la semplice scansione di un codice QR mostra prima un'anteprima dell'URL. Tuttavia, se tocchi il collegamento, puoi accedere a una pagina che sfrutta le vulnerabilità del browser o ti induce a scaricare un'app dannosa.

Come posso sapere se un codice QR è sicuro?

Utilizza la fotocamera integrata del telefono (non app di terze parti), controlla l'anteprima dell'URL prima dell'apertura, cerca segni di manomissione sui codici QR fisici e non scansionare mai codici provenienti da fonti non attendibili.

Strumenti correlati

Password Generator: crea password complesse per gli account esposti tramite QR phishing

Anatomia di un attacco di phishing