Milano, 30 dicembre 2025 – La diffusione capillare dei QR code ha trasformato questi codici bidimensionali da strumenti industriali a elementi centrali della vita quotidiana digitale. Originariamente sviluppati nel 1994 dalla giapponese Denso Wave, sussidiaria Toyota, per tracciare componenti automobilistici, i QR code oggi sono utilizzati ovunque: dai menu digitali nei ristoranti, ai parchimetri, fino ai biglietti virtuali nelle stazioni. L’emergenza sanitaria da COVID-19 ha ulteriormente accelerato questa adozione, spingendo verso soluzioni contactless essenziali per ridurre i rischi di contagio.
Tuttavia, dietro questa apparente semplicità si cela un fenomeno preoccupante: il quishing, ovvero phishing tramite QR code, una nuova frontiera delle truffe digitali che sfrutta la fiducia e la superficialità degli utenti nel riconoscere codici malevoli.
L’evoluzione e i rischi del quishing
Il quishing nasce dalla fusione tra “QR” e “phishing” e consiste nell’utilizzo fraudolento di un codice QR per indirizzare gli utenti verso siti web contraffatti o installare malware. Tecnicamente, un QR code è un semplice contenitore di dati, spesso un link, che può rimandare a pagine web, testi, o credenziali di accesso. Il suo potenziale pericolo dipende quindi esclusivamente dalla natura del contenuto a cui rimanda.
Uno dei motivi per cui il quishing è particolarmente insidioso è la facilità con cui si possono generare codici QR malevoli: bastano pochi secondi e un servizio online gratuito, senza bisogno di competenze tecniche o infrastrutture complesse. Questo ha favorito una crescente attività criminale. Sono molteplici i casi documentati, in particolare in Europa, dove adesivi fraudolenti vengono sovrapposti ai QR code ufficiali di parchimetri o multe lasciate sulle auto, reindirizzando gli utenti verso pagine di pagamento fasulle.
In Svizzera, l’allarme quishing si è amplificato con la cosiddetta “truffa del postino”, denunciata dall’Ufficio federale della cibersicurezza (Ufcs). Qui una lettera cartacea invita a scaricare un’app meteo tramite un codice QR che però installa in realtà un malware chiamato “Coper” (o “Octo2”), progettato per sottrarre dati sensibili. La truffa replica con estrema accuratezza l’identità digitale del mittente, confondendo le vittime. Analoghi episodi sono stati segnalati anche in Italia, con la Polizia Postale che ha pubblicato specifici avvisi per sensibilizzare i cittadini.
Strategie di difesa e uso consapevole dei QR code
Per difendersi dal quishing è fondamentale adottare alcune semplici ma efficaci precauzioni. Innanzitutto, è importante valutare il contesto: un QR code in un ristorante per visualizzare il menu è generalmente affidabile, mentre codici trovati in luoghi non presidiati o su documenti sospetti meritano maggiore attenzione. Segni di manomissione, sovrapposizioni o codici sfocati sono campanelli d’allarme da non sottovalutare.
Le email o i messaggi che invitano a scansionare QR code per confermare pagamenti o aggiornare dati personali devono essere trattati con estrema cautela. In caso di dubbi, è sempre consigliato contattare direttamente l’ente o l’azienda tramite canali ufficiali, evitando di utilizzare i link forniti nella comunicazione sospetta.
Dopo la scansione, è essenziale controllare che l’URL inizi con “https” e che il dominio sia esattamente quello ufficiale. Spesso i criminali usano domini simili con piccole variazioni per ingannare le vittime. Non si devono mai inserire dati sensibili o di pagamento su pagine raggiunte tramite QR code non verificati.
Inoltre, per la scansione è preferibile utilizzare lo scanner integrato nel proprio smartphone, offerto dal produttore del sistema operativo, evitando app di terze parti non certificate che potrebbero presentare vulnerabilità. A tal proposito, applicazioni come QR & Barcode Scanner per Android, aggiornate a dicembre 2025, rappresentano strumenti affidabili, capaci di leggere rapidamente ogni tipo di codice QR e barcode, con funzioni aggiuntive quali generazione di codici, scansione offline e connessione diretta a reti Wi-Fi senza rischi.
Caratteristiche tecniche e storia dei QR code
I codici QR sono codici a matrice quadrata composti da moduli neri su sfondo bianco, capaci di contenere fino a 7.089 caratteri numerici o 4.296 alfanumerici. Utilizzano il codice di correzione d’errore Reed-Solomon, che consente di recuperare informazioni anche se il codice è danneggiato fino al 30%. La loro struttura permette una rapida decodifica da parte di smartphone e lettori ottici.
Nati nel 1994 per uso industriale, i QR code sono ora uno standard ISO ampiamente adottato in tutto il mondo, con varianti come il Micro QR per spazi ridotti. Il loro impiego si è esteso alla pubblicità, ai biglietti da visita, agli eventi e persino all’arte contemporanea, integrando mondo fisico e virtuale.
L’esplosione dei dispositivi mobili e delle reti internet ha fatto sì che i QR code diventassero un mezzo immediato e pratico per accedere a informazioni digitali, ma proprio questa diffusione ha attirato l’attenzione dei cybercriminali, trasformando un sistema nato per semplificare la vita in un potenziale veicolo di frodi.
Le normative di sicurezza internazionali e le raccomandazioni degli esperti invitano a un uso prudente e consapevole, senza demonizzare la tecnologia ma riconoscendo i rischi reali connessi alla sua ubiquità.