Il quishing è una variante del phishing classico — ma usa i QR Code al posto di link falsi nelle e-mail. Il truffatore stampa o incolla un QR Code malevolo sopra quello originale e aspetta che tu lo scansioni senza pensarci. La vittima viene reindirizzata a una pagina falsa di pagamento, accesso o installazione di app.

Perché è cresciuto così tanto? Perché il QR Code è diventato un'abitudine: menù del ristorante, parcheggio, ricevute bancarie, fermate dell'autobus. Quell'abitudine è stato il terreno fertile di cui i truffatori avevano bisogno. Secondo i rapporti del 2024 e 2025, gli attacchi di quishing sono aumentati di oltre il 300 % in due anni — e la maggior parte delle persone ancora non sa che questa truffa esiste.


🔍 Come funziona la truffa

Il quishing ha tre semplici passaggi:

  1. Sostituzione del QR Code. Il criminale stampa un adesivo con un QR falso e lo incolla sopra quello originale — sul parcometro, nel menù cartaceo, sulla ricevuta stampata o persino su manifesti di campagna.
  2. Reindirizzamento invisibile. Scansioni, il telefono apre una URL. La pagina sembra identica alla banca, al parcheggio o al servizio originale.
  3. Furto di dati o denaro. Inserisci il tuo codice fiscale, la password, o effettui un pagamento credendo di pagare il servizio giusto. Il denaro va sul conto del truffatore.

Dove avvengono più spesso gli attacchi

  • Parcometri e parcheggi a rotazione
  • Tavoli di ristorante (QR del menù/pagamento)
  • Ricevute fisiche con QR stampato da terzi
  • Colonnine di ricarica per veicoli elettrici
  • Cartelli "Scarica la nostra app" in luoghi fisici

Il dettaglio crudele: il telefono mostra una URL molto piccola e molte persone non la leggono prima di cliccare su "Continua".


🛡️ Come proteggersi

Segui queste pratiche prima di scansionare qualsiasi QR Code:

Controlla la URL prima di agire

Dopo aver scansionato, leggi l'indirizzo completo prima di aprirlo. Domini come banca-sicura.app o pagamento-link.it non sono siti ufficiali. Verifica sempre che il dominio corrisponda all'indirizzo ufficiale noto dell'azienda.

Diffida dei pagamenti tramite QR Code di origine dubbia

  • Non pagare mai tramite un QR Code stampato su un foglio sciolto ricevuto via WhatsApp o e-mail.
  • Se il QR proviene da un parcheggio, verifica che l'adesivo sia intatto — senza bolle, graffi o sovrapposizioni.
  • Preferisci generare il tuo QR di pagamento direttamente dall'app della tua banca.

Non scaricare app tramite QR Code sconosciuti

I cartelli con "Scarica la nostra app, scansiona qui" sono vettori di attacco perfetti. Preferisci cercare l'app direttamente su Google Play o App Store digitando il nome dell'azienda.

Controlla fisicamente l'adesivo

Sui parcometri e sui tavoli del ristorante, prova ad alzare l'angolo dell'adesivo. Un QR Code legittimo è generalmente stampato direttamente sull'apparecchio o su un supporto ufficiale. Adesivo sopra adesivo è un segnale di allarme.

Usa l'anteprima del link

La maggior parte delle app fotocamera Android e iOS mostra la URL prima di aprirla. Non saltare mai quella schermata — è la tua prima linea di difesa.

Leggi anche: Il QR Code è sicuro? Quello che devi sapere per capire i rischi generali dell'uso dei QR Code nella vita quotidiana.


🏢 Per le aziende

Se usi QR Code nei tuoi punti fisici, la responsabilità di proteggere il cliente è anche tua.

Usa i QR Code dinamici

I QR Code dinamici ti permettono di modificare la destinazione senza ristampare il codice. Questo significa che se qualcuno incolla un QR falso sopra il tuo, puoi disattivare o reindirizzare l'originale immediatamente — e tracciare gli accessi.

Con il generatore di QR Code dinamico di Code2Scan controlli la URL di destinazione, monitori le scansioni per data, ora e posizione, e rilevi picchi di accesso anomali che possono indicare che il tuo QR è stato clonato.

Monitora le scansioni

Un QR Code legittimo di un ristorante ha un pattern di utilizzo: pranzo e cena, giorni feriali e fine settimana. Se noti scansioni alle 3 di notte o da città diverse, qualcosa non va. Usa il pannello analytics per rilevare anomalie.

Vedi come configurare il reindirizzamento condizionale per bloccare gli accessi fuori dall'orario di apertura.

Proteggi con password se necessario

Per i QR Code ad accesso limitato — documenti interni, moduli HR, link intranet — usa QR Code protetto da password. Così, anche se qualcuno lo scansiona, non può accedere al contenuto senza credenziali.

Usa materiale originale e sigillato

  • Stampa i QR Code su carta resistente o plastificata.
  • Usa supporti con bordi fissi o viti — più difficili da sovrapporre.
  • Controlla fisicamente i QR Code dei tuoi punti vendita ogni settimana.
  • Considera di includere il logo aziendale al centro del QR — qualsiasi sostituzione diventa visivamente percettibile.

❌ Errori comuni che facilitano la truffa

  • Scansionare senza leggere la URL — l'errore più frequente. L'anteprima esiste, usala.
  • Fidarsi dell'aspetto della pagina — le pagine false sono copie quasi perfette.
  • Pensare che "qui non succede" — gli attacchi di quishing crescono a livello mondiale.
  • Non aggiornare l'app fotocamera — le versioni vecchie possono aprire la URL direttamente, senza anteprima.
  • Condividere foto di QR Code su WhatsApp — il destinatario non sa da dove proviene l'originale.
  • Aziende che non monitorano i propri QR — senza analytics, non sai se il tuo codice è stato compromesso.

Evita anche gli errori comuni nell'uso dei QR Code che compromettono l'esperienza e la sicurezza dei tuoi clienti.


📋 Riepilogo

  1. Quishing = phishing tramite un QR Code falso incollato sopra quello originale.
  2. La truffa avviene nei parcheggi, ristoranti, su ricevute e cartelli.
  3. Prima di agire, leggi la URL completa mostrata dal tuo telefono.
  4. Non pagare mai tramite QR Code di origine sconosciuta.
  5. Non scaricare app tramite QR Code — usa lo store ufficiale.
  6. Controlla fisicamente la presenza di adesivi sovrapposti.
  7. Le aziende devono usare QR dinamico con monitoraggio per rilevare gli attacchi.
  8. Proteggi i contenuti sensibili con QR Code protetto da password.

Crea QR Code dinamici che controlli — monitora le scansioni in tempo reale, cambia le destinazioni senza ristampare e proteggi i tuoi clienti dal quishing con Code2Scan.

Oppure, se hai bisogno di un QR semplice e veloce, usa il nostro generatore di QR Code gratuito.