§ 01 article

Come riconoscere un codice QR falso (evitare il quishing)

autore: Team QR Toolkit · pubblicato: 2026-05-21

#quishing#codice QR truffa#sicurezza#phishing

Il modo più sicuro per riconoscere un codice QR falso è uno solo: leggi l’intero link prima di aprirlo e controlla con calma il dominio. Un codice QR non è altro che un modo per nascondere un indirizzo; il pericolo non sta nel quadrato, ma nella pagina a cui ti porta. Se la tua app ti mostra l’URL completo prima di aprirlo, hai già metà del lavoro fatto.

Il fenomeno ha persino un nome: quishing (QR + phishing). Nel 2025 in Italia c’è stata un’ondata di casi documentati — finte multe, finti avvisi di pagamento PagoPA, adesivi truffa sui parchimetri — e la dinamica è quasi sempre la stessa: ti spingono a scansionare in fretta e a inserire dati o pagare su una pagina sosia. Vediamo come difenderti.

Come funziona una truffa con codice QR

Le truffe via QR sfanno leva sulla curiosità e sulla fretta. Gli schemi più diffusi sono:

  • Adesivi falsi sopra codici veri. Il truffatore incolla il proprio QR sopra quello legittimo su un parchimetro, un menù, un volantino o una colonnina di ricarica.
  • Domini sosia. Il link assomiglia a quello vero ma ha una piccola differenza: una lettera in più, un trattino, un’estensione diversa.
  • Finti avvisi ufficiali. Email o lettere cartacee con il logo di un ente che ti invitano a scansionare per “pagare una sanzione” o “verificare il tuo account”.
  • QR in luoghi inattesi. Un codice ricevuto da uno sconosciuto, lasciato su un volantino o spedito a sorpresa.

In tutti i casi, la pagina finale prova a rubarti credenziali, dati della carta o un pagamento.

Questa è la regola d’oro. Prima di toccare “apri”, leggi l’URL per intero e poniti tre domande:

  1. Il dominio è quello giusto? Guarda la parte subito prima del primo /. È lì che si nasconde il vero indirizzo. pagamenti.comune-roma.it è diverso da comune-roma.pagamenti-online.xyz.
  2. Ci sono errori sottili? Lettere scambiate, numeri al posto di lettere (paypa1 invece di paypal), trattini sospetti, estensioni strane.
  3. Il link c’entra con il contesto? Un parchimetro che rimanda a un dominio personale o a un servizio sconosciuto è un campanello d’allarme.

QR Toolkit ti mostra l’anteprima del link prima di aprirlo: vedi l’URL completo e decidi tu se fidarti, invece di finire automaticamente su una pagina che non hai mai visto.

I segnali di un codice QR falso

Tieni a mente questa checklist:

  • Un adesivo applicato sopra un altro codice o sopra una superficie stampata.
  • Il link non corrisponde all’azienda o all’ente che dice di rappresentare.
  • Urgenza e minacce: “paga entro 24 ore”, “il tuo account sarà bloccato”.
  • Richiesta di login o pagamento subito dopo la scansione, senza che tu lo stessi cercando.
  • Errori di ortografia o grafica scadente sulla pagina di destinazione.
  • Un QR ricevuto a sorpresa via email, SMS o lettera cartacea.

Anche uno solo di questi segnali è motivo sufficiente per fermarti.

Cosa non fare mai dopo aver scansionato un QR

Alcune azioni non andrebbero mai compiute partendo da un codice QR inatteso:

  • Non inserire username e password. Se devi accedere a un servizio, apri l’app ufficiale o digita tu l’indirizzo nel browser.
  • Non pagare una multa o un bollettino partendo da un QR ricevuto: vai sul sito ufficiale dell’ente.
  • Non scaricare app o file proposti dalla pagina di destinazione.
  • Non concedere permessi insoliti a pagine aperte da un codice.

In caso di dubbio, raggiungi la destinazione per la via che conosci già — l’app della banca, il sito ufficiale, lo sportello — invece di affidarti al QR.

Buone pratiche quotidiane

Per ridurre il rischio quasi a zero:

  • Usa un’app che mostra l’URL prima di aprirlo. È la difesa più efficace contro il quishing.
  • Diffida dei QR in spazi pubblici non sorvegliati (parchimetri, colonnine, volantini affissi).
  • Controlla che l’adesivo non sia sovrapposto a un altro.
  • Tieni il telefono aggiornato: le protezioni del browser e del sistema bloccano molti siti malevoli noti.
  • Segnala i casi sospetti alla Polizia Postale: aiuti a far rimuovere le campagne truffa.

La scansione in sé è sicura. Il rischio nasce solo quando apri il link e ci interagisci senza averlo verificato.

Domande frequenti

Scansionare un codice QR può infettare subito il telefono?

La sola scansione, in genere, non installa nulla: si limita a leggere un indirizzo o del testo. Il rischio arriva dopo, quando apri il link e interagisci con la pagina — inserendo dati, accedendo o scaricando file. Per questo l’anteprima del link è così importante: ti permette di fermarti prima di fare il passo pericoloso.

Leggi l’URL completo e concentrati sul dominio, cioè la parte subito prima del primo /. Cerca lettere scambiate, numeri al posto di lettere, trattini insoliti o estensioni strane, e chiediti se il dominio ha senso rispetto al contesto. Se qualcosa non torna, non aprirlo. QR Toolkit ti mostra il link prima di aprirlo, così puoi fare questo controllo ogni volta.

Cosa faccio se ho già inserito i miei dati su una pagina truffa?

Agisci in fretta: cambia subito la password del servizio coinvolto (e di ogni altro account con la stessa password), contatta la tua banca per bloccare la carta o contestare un pagamento, e attiva la verifica in due passaggi dove possibile. Poi segnala l’accaduto alla Polizia Postale. Prima intervieni, minore è il danno.

<< cd /it/blog