Il QR Code è diventato parte del quotidiano — menu, pagamenti, Wi-Fi, login. E con esso è arrivata la domanda naturale: è sicuro scansionare? Risposta breve: il QR in sé non è pericoloso, ma può portare a luoghi pericolosi. C'è perfino un nome per la truffa: quishing (phishing via QR Code).

Questo articolo spiega il rischio reale, come riconoscere un QR malevolo, e come scansionare in sicurezza — senza paranoia, ma con attenzione.

Il QR non è il pericolo — la destinazione sì

Importante capire: un QR Code è solo un link codificato in un'immagine. Scansionare non installa nulla, non viola il tuo cellulare, non ruba dati da solo. Il rischio è in dove porta il link.

È esattamente come cliccare su un link ricevuto per messaggio: il link in sé non fa nulla, ma può portarti a un sito falso che cerca di:

  • Rubare la tua password (pagina di login falsa)
  • Chiedere dati della carta (pagamento falso)
  • Farti scaricare un'app malevola
  • Applicare una truffa di pagamento

Il QR è solo la "busta". Il contenuto è ciò che conta.

Cos'è il quishing

Quishing = "QR" + "phishing". Il truffatore crea un QR che porta a un sito falso, e ti induce a scansionarlo. Tattiche comuni:

🏷️ Adesivo falso sopra quello vero

Il classico. In un parcheggio, parchimetro, cartello di pagamento, il truffatore incolla un adesivo col suo QR sopra il QR ufficiale. Scansioni credendo che sia il pagamento legittimo, ma i soldi vanno sul suo conto.

📧 QR in email/lettera falsa

"Il tuo account sarà bloccato, scansiona il QR per verificare." Il QR porta a una pagina falsa di banca che ruba la tua password.

🪧 QR alterato in un luogo pubblico

Un cartello "Wi-Fi gratis" o promozione con un QR che porta a una pagina malevola.

💸 Falso QR di pagamento

Un falso QR di donazione o fattura, col conto del truffatore. Paghi credendo che sia per un posto, va a un altro.

Come riconoscere un QR sospetto

⚠️ Segnali d'allarme

  1. Un adesivo sopra un altro — se il QR sembra incollato sopra qualcosa, sospetta. Specialmente su un parchimetro, tavolo di ristorante, cartello di pagamento.

  2. Un dominio strano nel link — dopo la scansione, il cellulare mostra il link prima di aprire. Guarda: il dominio corrisponde all'azienda? pagamento-banca-sicura.xyz non è il sito della tua banca.

  3. Un accorciatore sospetto — link molto corti (un bit.ly generico) nascondono la destinazione reale. Non sempre è truffa, ma richiede attenzione.

  4. Chiede login o pagamento inaspettato — se hai scansionato un menu e improvvisamente chiede la tua password bancaria, qualcosa non va PER NIENTE.

  5. Urgenza e minaccia — "Agisci ora o il tuo account sarà bloccato" è tattica classica di truffa.

  6. Errori di ortografia / design scadente — una pagina di destinazione mal fatta, con errori, è una bandiera rossa.

Come scansionare in sicurezza (checklist)

✅ Prima di scansionare

  • Il QR è in un luogo ufficiale e affidabile? (non un adesivo sciolto sospetto)
  • Sembra incollato sopra un altro QR? Non scansionare.

✅ Dopo la scansione (prima di toccare il link)

  • Leggi il link che appare sullo schermo. iPhone e Android mostrano l'indirizzo prima di aprire.
  • Il dominio corrisponde a chi dovrebbe essere?
  • È HTTPS (lucchetto)? (non garantisce sicurezza, ma HTTP puro è peggio)

✅ Non fare mai via QR

  • Non inserire la password bancaria in una pagina aperta da un QR di cui non ti fidi al 100%.
  • Non inserire i dati della carta in un pagamento arrivato da un QR non affidabile.
  • Non scaricare un'app da fonte sconosciuta via QR.

✅ Per un QR di pagamento

  • Controlla il nome del destinatario prima di confermare. L'app di pagamento mostra a chi paghi — se non è chi dovrebbe essere, fermati. Guarda la guida del QR di pagamento.

Per le aziende: come proteggere il TUO QR

Se usi il QR nel tuo business, proteggi i clienti:

  1. Materiale resistente alla manomissione — un QR inciso/stampato in modo da non poter essere facilmente coperto. Su un parchimetro/totem, usa una targa fissa, non un adesivo facile da coprire.

  2. QR dinamico con dominio proprio — se il redirector usa il tuo dominio (code2scan.com/q/...), il cliente vede un link riconoscibile. Capire il QR dinamico.

  3. Monitora le scansioni — un QR dinamico mostra schemi anomali. Un picco strano di scansioni può indicare manomissione.

  4. Educa il cliente — "Controlla che il pagamento sia per [LA TUA AZIENDA] prima di confermare".

  5. Testa i tuoi QR regolarmente — scansionali tu stesso per assicurarti che portino al posto giusto. Errori comuni.

La verità: si può usare il QR con tranquillità?

Sì. Con buon senso, il QR Code è sicuro nel quotidiano. Il rischio del quishing è reale, ma evitabile:

  • Scansionato? Guarda il link prima di toccare.
  • Ha chiesto una password/carta/pagamento inaspettato? Fermati.
  • Il QR sembra manomesso (adesivo sopra)? Non usarlo.

È la stessa cautela che hai già (o dovresti avere) con i link di email e SMS. Il QR non ha creato un nuovo pericolo — è solo un canale in più per lo stesso tipo di truffa che esiste già.

Riassunto

  1. Il QR non è pericoloso — la sua destinazione può esserlo.
  2. Quishing = truffa che usa il QR per portarti a un sito falso.
  3. Leggi sempre il link prima di aprire (il cellulare lo mostra).
  4. Sospetta di un adesivo sopra, un dominio strano, una richiesta di password/pagamento inaspettata.
  5. Per i pagamenti, controlla il destinatario prima di confermare.
  6. Aziende: usate QR dinamico con dominio proprio e materiale anti-manomissione.

Crea QR Code sicuri e tracciabili — con dominio riconoscibile e monitoraggio.