Truffe con codici QR (Quishing): La minaccia nascosta sotto i tuoi occhi
Le truffe con codici QR, dette quishing, sono in forte aumento nel 2026. Scopri come i codici QR falsi rubano denaro e dati, dove i truffatori li posizionano e come eseguire la scansione in sicurezza prima di aprire un link.
· Truvizy Research Team · 8 min read
TL;DR
Il quishing è il phishing tramite codici QR: i truffatori sostituiscono codici QR legittimi su menu di ristoranti, parcometri, etichette di pacchi e manifesti pubblici con codici che reindirizzano a siti web che rubano le credenziali. Poiché la fotocamera del tuo telefono mostra solo un piccolo URL prima che tu apra il link, la maggior parte delle persone non si accorge mai della sostituzione. Controlla sempre l'URL di destinazione prima di aprire qualsiasi link da un codice QR, usa uno scanner QR con controlli di sicurezza integrati e, in caso di dubbio, digita manualmente l'indirizzo web ufficiale.
Arrivi in un parcheggio, scansioni il codice QR sul terminale di pagamento e inserisci la tua carta di credito per pagare il posto. La transazione sembra andare a buon fine. Quella sera, la tua banca ti chiama per tre addebiti fraudolenti dall'estero. Non hai consegnato la carta a nessuno. Non hai cliccato su un'e-mail sospetta. Hai solo scansionato un codice QR, ed è stato sufficiente. Benvenuto nel quishing: la truffa in più rapida crescita di cui la maggior parte delle persone non ha mai sentito parlare.
I codici QR sono stati progettati per la comodità, scansione e via. Ma la stessa esperienza senza attrito che li rende attraenti per le aziende li rende anche pericolosi nelle mani dei truffatori. A differenza di un link sospetto in un'e-mail su cui puoi passare il mouse per vedere l'anteprima, un codice QR non rivela nulla finché non hai già puntato la fotocamera su di esso. Nel momento in cui vedi l'URL di destinazione, molte vittime hanno già toccato "apri". Quel brevissimo divario è esattamente ciò che il quishing sfrutta.
Cos'è il quishing?
Il quishing, un portmanteau di "QR" e "phishing", è la pratica di incorporare URL dannosi all'interno di codici QR per reindirizzare le vittime a siti web fraudolenti. La truffa può assumere diverse forme: sostituire fisicamente un codice legittimo con un adesivo falso in spazi pubblici, inviare codici QR via e-mail o SMS che bypassano i tradizionali filtri antispam, oppure creare documenti falsi (fatture, multe per parcheggio, avvisi di consegna pacchi) che presentano in modo prominente codici fraudolenti.
L'Internet Crime Complaint Center dell'FBI ha segnalato il quishing come una minaccia prioritaria emergente nel 2024, e i numeri sono solo peggiorati da allora. Le aziende di sicurezza informatica hanno documentato un aumento del 587% degli attacchi di phishing basati su codici QR tra il 2024 e il 2025. La tecnica è diventata popolare tra le organizzazioni criminali perché è economica da eseguire, difficile da rilevare su larga scala ed è specificamente progettata per aggirare gli strumenti di sicurezza e-mail che non riescono a leggere gli URL incorporati nelle immagini.
Il quishing fa parte di un più ampio cambiamento nelle tattiche delle truffe verso gli attacchi mobile-first. Come abbiamo documentato nella nostra analisi di come l'intelligenza artificiale sta accelerando la sofisticazione delle truffe, i truffatori stanno prendendo di mira specificamente gli strumenti e le abitudini che le persone hanno adottato nell'era degli smartphone, e i codici QR sono una delle abitudini mobile più diffuse degli ultimi cinque anni.
Come funzionano le truffe con codici QR
La meccanica di un attacco quishing è ingannevolmente semplice. Un aggressore genera un codice QR che codifica un URL dannoso, tipicamente una versione clonata di una pagina di accesso bancario, un portale di pagamento o un servizio governativo. La pagina falsa è progettata per sembrare identica a quella legittima, catturando tutte le credenziali o le informazioni di pagamento che la vittima inserisce.
Negli attacchi fisici, il truffatore stampa il codice fraudolento su un adesivo e lo posiziona sopra il codice legittimo su un parcometro, sul tavolo di un ristorante o su una bacheca pubblica. Lo scambio richiede pochi secondi. L'aggressore può poi allontanarsi e raccogliere i dati rubati da remoto. Un singolo adesivo ben posizionato su un parcometro frequentato può catturare decine di vittime al giorno.

Il quishing via e-mail segue un copione diverso. Gli aggressori inviano messaggi impersonando banche, uffici del personale o corrieri, affermando che il destinatario deve verificare il proprio account o tracciare una consegna, e includendo un codice QR da "scansionare con il telefono per maggiore sicurezza". Questa istruzione è deliberata: spostare l'interazione su un dispositivo mobile allontana la vittima dal computer aziendale con i suoi strumenti di sicurezza e la porta su un telefono personale con meno protezioni.
Una volta sulla pagina falsa, la vittima si trova di fronte a un modulo di raccolta credenziali ben realizzato. Gli attacchi più avanzati utilizzano tecniche di relay in tempo reale: mentre la vittima inserisce nome utente e password, l'aggressore inserisce quelle credenziali nel sito reale contemporaneamente, quindi ritrasmette alla vittima il prompt di autenticazione a due fattori, bypassando completamente le protezioni 2FA.
Non sei sicuro di un link proveniente da un codice QR? Incolla l'URL su Truvizy per verificare la presenza di indicatori di phishing prima di inserire qualsiasi informazione.
Dove compaiono i codici QR falsi
I parcometri e i chioschi di pagamento sono tra i luoghi più presi di mira. Il Dipartimento dei Trasporti del Texas ha documentato decine di adesivi con codici QR falsi su parcometri nelle principali città nel 2024. Le vittime hanno inserito i dati completi della carta di credito aspettandosi di pagare il parcheggio e invece hanno consegnato i loro dati finanziari direttamente ai truffatori. La truffa funziona particolarmente bene perché il pagamento del parcheggio è stressante, gli automobilisti spesso hanno fretta e non esaminano attentamente l'interfaccia di pagamento.
I tavoli e i menu dei ristoranti sono diventati un vettore importante man mano che il pagamento contactless si è diffuso dopo la pandemia. Un adesivo con un codice QR fraudolento posizionato sopra o accanto a uno legittimo può reindirizzare i clienti a un menu o a una pagina di pagamento falsi. In alcuni casi, la pagina falsa mostra persino un menu convincente prima di reindirizzare a un modulo di raccolta credenziali che afferma che il ristorante è passato agli ordini online.
Le etichette di reso dei pacchi rappresentano una categoria di attacco in rapida crescita. Le vittime ricevono pacchi, a volte non richiesti, a volte come parte di una campagna di premi falsi, contenenti etichette di reso con codici QR. La scansione del codice dovrebbe avviare un reso ma invece porta a un portale falso del rivenditore che richiede i dati della carta di credito per "l'elaborazione del rimborso".
I mezzi pubblici e le fermate dell'autobus presentano un rischio significativo perché la segnaletica è gestita dai comuni con capacità di monitoraggio limitata. I codici fraudolenti sulle mappe dei trasporti, ai chioschi per i biglietti o agli schermi per il pagamento del biglietto possono passare inosservati per giorni prima di essere rimossi. Nel Regno Unito, Transport for London ha rimosso centinaia di codici QR fraudolenti dalle stazioni nel 2025.
Gli attacchi via e-mail e documenti colpiscono le aziende quanto i consumatori. Fatture false contenenti codici QR per "pagamenti sicuri", notifiche HR fraudolente che richiedono ai dipendenti di scansionare un codice per aggiornare le informazioni sulle buste paga e avvisi falsi di consegna pacchi sono tutti comuni vettori di attacco aziendale. Come discusso nella nostra guida al rilevamento delle e-mail di phishing, gli attacchi via e-mail stanno diventando sempre più sofisticati nell'uso degli elementi visivi per eludere i filtri automatizzati.
I volantini di beneficenza e raccolta fondi falsi sfruttano la generosità. Dopo catastrofi naturali o grandi eventi di cronaca, volantini fraudolenti con codici QR per donazioni appaiono sulle bacheche della comunità, nei supermercati e sui social media. I codici collegano a convincenti pagine di pagamento di enti di beneficenza falsi che catturano donazioni e dati della carta senza mai effettuare una donazione reale.
Perché le truffe QR sono così efficaci
L'efficacia del quishing deriva da un fondamentale squilibrio di fiducia. I codici QR sono associati alla comodità e alla modernità, vengono posizionati da aziende legittime su materiali ufficiali. Le persone sono state formate attraverso anni di utilizzo a fidarsi del contesto fisico di un codice QR più di quanto si fidino di un link casuale in un'e-mail. Un codice sul tavolo di un ristorante o su un parcometro porta con sé un'approvazione implicita dalla sede stessa.
Le app fotocamera offrono un attrito minimo. La maggior parte degli smartphone riconosce automaticamente i codici QR e mostra una piccola anteprima dell'URL che gli utenti ignorano istintivamente senza leggere. La finestra di anteprima è piccola, l'URL è spesso lungo o abbreviato, e la tendenza naturale del cervello al riconoscimento dei pattern significa che gli utenti vedono frequentemente ciò che si aspettano piuttosto che ciò che è effettivamente lì. Un URL come "pagamento-sicuro-zonalparcheggio.com" viene letto come "parcheggio" da un utente distratto anche se segnala pericolo a chi presta attenzione.
Arrivi a un parcometro e scansioni il codice QR. La fotocamera del tuo telefono mostra un URL di anteprima: 'parcheggio-paga-sicuro-citta.com/paga'. Il parcometro si trova in una grande città italiana. Cosa dovresti fare?
- Apri il link immediatamente, menziona la città quindi deve essere legittimo
- Controlla attentamente l'URL: corrisponde al sito ufficiale del parcheggio della tua città?
- ,
- ,
Answer: I domini dal suono generico come 'parcheggio-paga-sicuro-citta.com' sono un segnale d'allarme importante. Il sistema di parcheggio ufficiale della tua città avrà un dominio specifico e ben noto (ad es. il sito ufficiale del comune). Verifica sempre che l'URL di destinazione corrisponda al dominio ufficiale previsto prima di inserire qualsiasi informazione di pagamento, o usa lo slot fisico della carta se disponibile.
Il contesto mobile rimuove anche molti degli strumenti di sicurezza che le persone hanno sui computer desktop. La protezione degli endpoint aziendali, le estensioni del browser che segnalano i siti di phishing e l'abitudine di passare il mouse sopra i link per visualizzarli in anteprima non si traducono su mobile. Su un telefono, l'utente è in gran parte da solo.
Come riconoscere un codice QR falso
Ispeziona fisicamente il codice. Cerca adesivi posizionati sopra materiali stampati. Gli adesivi falsi hanno spesso una carta leggermente diversa, un leggero disallineamento rispetto agli elementi di design circostanti o bordi visibili dove l'adesivo si sovrappone al testo stampato. Passa l'unghia sulla superficie, un adesivo sovrapposto avrà di solito un bordo rialzato sottile ma percettibile.
Leggi l'URL completo prima di toccare. Dopo che la fotocamera scansiona un codice, appare una notifica o un banner di anteprima. Fermati prima di toccarlo e leggi l'URL completo. Cerca: il nome dell'azienda prevista nel dominio (non come suffisso o prefisso), un dominio di primo livello legittimo (.com,.gov,.org, non estensioni insolite come.xyz o.top) e l'assenza di parole extra come "sicuro", "login", "verifica" o "pagamento" aggiunte a quello che sembra un nome di marchio.
Diffida dell'urgenza. I codici abbinati a frasi come "Scansiona subito", "Offerta a tempo limitato" o "Richiesto per l'accesso" sono progettati per farti agire prima di pensare. Le aziende legittime normalmente non usano un linguaggio urgente e ad alta pressione intorno ai codici QR di pagamento.
Verifica con i canali ufficiali. Prima di scansionare un codice QR da un'e-mail o un documento che afferma di provenire dalla tua banca, dall'ufficio del personale o da un corriere, verifica se quell'organizzazione ha effettivamente inviato la comunicazione contattandola direttamente tramite il suo sito web o app ufficiale. Non usare mai le informazioni di contatto fornite nello stesso messaggio che contiene il codice QR. Per valutare link sospetti e contenuti da fonti sconosciute, lo strumento di scansione di Truvizy può aiutarti a valutare il rischio prima di intraprendere qualsiasi azione.
Usa l'alternativa quando disponibile. Se un codice QR è l'unica opzione di pagamento a un parcometro o chiosco, considera di usare lo slot fisico della carta, di pagare tramite un'app ufficiale dedicata scaricata da un app store verificato o di trovare un altro metodo. La comodità non dovrebbe mai prevalere sulla sicurezza quando sono coinvolti pagamenti o informazioni personali.

Cosa fare se sei stato truffato
Se hai scansionato un codice, aperto il link e inserito informazioni, agisci rapidamente. Ogni minuto di ritardo dà all'aggressore più tempo per usare i tuoi dati.
Se hai inserito i dati della carta di pagamento: Chiama immediatamente il numero antifrode della tua banca (usa il numero sul retro della carta, non qualsiasi numero dal sito sospetto). Richiedi il blocco o la sostituzione della carta. Chiedi alla banca di segnalare qualsiasi addebito dal momento in cui hai inserito le informazioni.
Se hai inserito le credenziali di accesso: Cambia immediatamente la tua password da un dispositivo separato e affidabile. Abilita l'autenticazione a due fattori se non è già attiva. Controlla se ci sono dispositivi o sessioni non familiari connessi all'account e rimuovili. Se usi la stessa password altrove, cambia anche quelle.
Attiva un avviso di frode sul tuo fascicolo creditizio con le principali agenzie di credito. Se ritieni che la tua identità sia stata compromessa, considera il blocco del credito, che è gratuito e impedisce l'apertura di nuovi conti a tuo nome. La nostra guida completa sulla prevenzione del furto d'identità copre in dettaglio l'intero processo di recupero.
Proteggiti dalle truffe con codici QR e da altre minacce mobile con il rilevamento delle frodi basato sull'intelligenza artificiale.
Come proteggersi in futuro
L'abitudine più importante è fare una pausa prima di toccare. L'intero design del quishing si basa sul fatto che la scansione QR sembra automatica e istantanea. Interrompere quella risposta automatica, anche solo per due secondi per leggere l'URL, smaschera l'attacco. Stabilisci una regola: prima l'URL in anteprima, poi apri.
Usa un'app scanner QR dedicata che esegue controlli di sicurezza in tempo reale sull'URL decodificato prima di presentartelo. Queste app, disponibili gratuitamente dai principali fornitori di sicurezza, funzionano come un controllo URL integrato nel tuo flusso di scansione. Sono l'equivalente mobile del passare il mouse sopra un link prima di cliccare.
Tieni aggiornati il sistema operativo e il browser del telefono. Le patch di sicurezza chiudono frequentemente le vulnerabilità che gli attacchi drive-by download sfruttano quando viene visitato un sito dannoso. Un telefono senza patch è significativamente più vulnerabile alla seconda fase di un attacco quishing, anche se le tue credenziali rimangono al sicuro.
Abilita l'autenticazione a due fattori usando un'app di autenticazione, non gli SMS. Come abbiamo notato nella nostra guida allo smishing e alle truffe via SMS, il 2FA basato su SMS può essere intercettato. Un'app di autenticazione genera codici localmente sul tuo dispositivo, rendendo gli attacchi relay in tempo reale significativamente più difficili.
Segnala i codici sospetti ovunque li trovi. Se noti un adesivo che sembra sospetto su un codice QR pubblico, fotografa il luogo e segnalalo all'azienda o alle autorità locali. Rimuovere un adesivo dannoso entro poche ore può proteggere decine di altre potenziali vittime.
Key Takeaways
- Leggi sempre l'URL di destinazione completo nell'anteprima della fotocamera prima di toccare qualsiasi link di codice QR, specialmente ai parcometri, nei ristoranti e alle fermate dei mezzi pubblici.
- Gli adesivi con codici QR falsi possono comparire sopra quelli legittimi e sono quasi impossibili da rilevare senza un'ispezione fisica dei bordi sovrapposti.
- I codici QR nelle e-mail bypassano la maggior parte dei filtri antiphishing aziendali, trattali con lo stesso scetticismo che applicheresti a qualsiasi link in un'e-mail.
- Se hai inserito dati di pagamento o di accesso su un sito sospetto, contatta immediatamente la tua banca e cambia le password interessate da un dispositivo separato.
I codici QR non scompariranno, e nemmeno i truffatori che li sfruttano. Man mano che i pagamenti contactless, i menu digitali e i servizi mobile-first diventano più radicati nella vita quotidiana, il quishing diventerà più sofisticato e pervasivo. L'antidoto è la consapevolezza: sapere che qualsiasi codice QR fisico può essere sostituito, che qualsiasi codice in un'e-mail può portare ovunque, e che i due secondi necessari per leggere un URL prima di toccare potrebbero essere i due secondi che ti salvano da una lezione molto costosa.
I piani di protezione di Truvizy includono strumenti per analizzare URL e link sospetti, incolla un URL decodificato da qualsiasi codice QR su Truvizy prima di aprirlo e ottieni una valutazione immediata basata sull'intelligenza artificiale della sua legittimità. In un panorama di minacce in cui i truffatori nascondono link dannosi all'interno delle immagini, avere uno strumento che controlla la destinazione effettiva non è più opzionale, è essenziale.
Smishing: Perché quel messaggio dalla tua banca è probabilmente una truffa — Il phishing via SMS che condivide lo stesso schema psicologico del quishing.
Rilevamento delle e-mail di phishing — Come identificare gli attacchi via e-mail, inclusi quelli che usano codici QR per bypassare i filtri.
Attacchi di ingegneria sociale — Le tecniche di manipolazione psicologica alla base del quishing e di tutte le truffe moderne.
FAQ
Cos'è il quishing?
Il quishing è il phishing tramite codici QR, una truffa in cui gli aggressori sostituiscono o creano codici QR falsi che reindirizzano le vittime a siti web dannosi progettati per rubare credenziali di accesso, informazioni di pagamento o installare malware sui loro dispositivi.
Come faccio a capire se un codice QR è falso prima di scansionarlo?
Ispeziona fisicamente il codice: cerca adesivi sovrapposti a un codice originale, danni al materiale circostante o codici che sembrano leggermente diversi rispetto a quelli vicini. Dopo la scansione, controlla sempre l'URL di destinazione completo nell'anteprima dell'app fotocamera prima di toccare "apri". Se l'URL non corrisponde esattamente al dominio dell'azienda prevista, non procedere.
La scansione di un codice QR può installare malware sul mio telefono?
La semplice scansione di un codice QR con la fotocamera non installa malware, ma l'apertura del link risultante può farlo. I siti dannosi possono tentare download automatici, phishing delle credenziali o invitarti a installare un'app falsa. Tieni aggiornato il sistema operativo del telefono, evita di consentire installazioni di app da fonti sconosciute e usa uno scanner QR con controllo di sicurezza URL integrato.
Quali luoghi presentano il rischio più elevato di codici QR falsi?
I luoghi ad alto rischio includono parcometri, tavoli e menu di ristoranti, fermate dei mezzi pubblici, etichette di reso pacchi, hall degli hotel e volantini affissi in luoghi pubblici. Qualsiasi spazio fisico non monitorato in cui qualcuno potrebbe sostituire un codice di notte senza essere scoperto è un potenziale bersaglio.
Cosa devo fare se ho già scansionato un codice e inserito informazioni su un sito sospetto?
Agisci immediatamente: cambia tutte le password che hai inserito, contatta la tua banca se hai fornito dati di pagamento, abilita l'autenticazione a due fattori sugli account interessati e monitora il tuo credit report. Segnala l'incidente alle autorità competenti e, se era su proprietà aziendale, avvisa l'azienda in modo che possano sostituire il codice compromesso.