facebook-pixel

Truffa con QR Code: Come Proteggersi dal Quishing nel 2026

T
Team Sicurezza Lunyb
··10 min read

I QR code sono ormai ovunque: menù dei ristoranti, parcometri, bollette, pubblicità, pacchi in consegna. Questa esplosione di utilizzo ha attirato inevitabilmente l'attenzione dei criminali informatici, dando vita a una nuova forma di truffa: il quishing (crasi tra QR code e phishing). Nel 2026, secondo i dati della Polizia Postale italiana, le segnalazioni di truffe legate ai codici QR sono aumentate di oltre il 400% rispetto al biennio precedente.

In questa guida ti spieghiamo come funzionano queste truffe, quali sono i casi più comuni in Italia e — soprattutto — come proteggerti concretamente prima di scansionare qualsiasi QR code.

Cos'è il Quishing (Truffa con QR Code)

Il quishing è una tecnica di phishing che sfrutta i codici QR per reindirizzare la vittima verso siti web fraudolenti, scaricare malware o autorizzare pagamenti non voluti. A differenza del phishing tradizionale via email, il QR code nasconde completamente l'URL di destinazione, rendendo molto più difficile per l'utente valutare la legittimità del link prima di aprirlo.

Il meccanismo è tanto semplice quanto efficace:

  1. Il truffatore crea un QR code che punta a un sito malevolo.
  2. Lo posiziona in un contesto credibile (sovrapposto a un QR legittimo, in una email, su una finta multa).
  3. La vittima scansiona con lo smartphone senza sospetti.
  4. Viene reindirizzata a una pagina che imita un servizio noto (banca, Poste, Agenzia delle Entrate).
  5. Inserisce credenziali, dati della carta o installa un'app malevola.

Perché il QR code è così pericoloso

Il problema fondamentale è la mancanza di trasparenza visiva. Quando ricevi un link testuale puoi leggerlo, valutare il dominio, notare errori ortografici. Con un QR code vedi solo un quadrato di pixel: la fiducia è cieca fino al momento della scansione. Molti smartphone, inoltre, aprono automaticamente il link nel browser senza mostrare l'anteprima completa dell'URL.

Le Truffe QR Code Più Diffuse in Italia

Non tutte le truffe QR sono uguali. Ecco i sette schemi più segnalati al Garante per la Protezione dei Dati Personali e alla Polizia Postale nel corso del 2025-2026.

1. QR Code sui Parcometri

È la truffa più diffusa nelle città italiane. I criminali stampano adesivi con QR code falsi e li applicano sopra quelli originali dei parcometri o delle app di pagamento sosta (EasyPark, Telepass Pay). L'utente scansiona pensando di pagare la sosta e finisce su un clone del sito ufficiale che ruba i dati della carta di credito.

2. Finte Multe sul Parabrezza

Verbali contraffatti lasciati sotto il tergicristallo con un QR code per "pagare rapidamente lo sconto del 30%". Le multe reali della Polizia Municipale non si pagano mai tramite QR code su documento cartaceo.

3. Pacchi in Consegna con QR

Ricevi un avviso di mancata consegna (finto SDA, DHL, Poste Italiane) con un QR code per "riprogrammare la consegna" o "pagare 1,99€ di spese doganali". Il sito richiede dati della carta e attiva abbonamenti nascosti.

4. Menù di Ristoranti Sostituiti

Il QR code del menù del ristorante viene sostituito con uno che porta a una pagina di phishing o richiede l'installazione di un'app malevola per "visualizzare il menù completo".

5. Email di Phishing con QR

Molte aziende usano filtri anti-phishing che analizzano gli URL nelle email. I criminali aggirano questi filtri inserendo QR code come immagini: l'utente inquadra col telefono personale (fuori dalla rete aziendale protetta) e cade nella trappola.

6. Finti Bonus e Rimborsi

Volantini o SMS che promettono rimborsi INPS, bonus energia o rimborsi Agenzia delle Entrate accessibili tramite QR code. Il sito raccoglie codice fiscale, SPID e dati bancari.

7. QR Code nelle Ricariche Elettriche

Colonnine di ricarica per auto elettriche con QR falsi sovrapposti. L'utente crede di attivare la ricarica ma autorizza pagamenti ricorrenti verso conti esteri.

Come Riconoscere un QR Code Truffa

Riconoscere un QR code malevolo prima di scansionarlo è quasi impossibile a occhio nudo. Puoi però osservare alcuni segnali di contesto che ti mettono in guardia.

Segnali di allarme fisici

  • Adesivi sovrapposti: se il QR sembra un adesivo appiccicato sopra un altro elemento, diffida.
  • Qualità di stampa diversa rispetto al resto del materiale (colore, allineamento, carta).
  • Assenza di logo o branding ufficiale accanto al codice.
  • Contesto anomalo: un QR code su una "multa" cartacea, su un volantino non richiesto, in una email inaspettata.

Segnali di allarme digitali

  • L'URL dopo la scansione contiene domini strani (es. poste-italiane-verifica.xyz invece di poste.it).
  • Presenza di shortener sconosciuti o catene di redirect multiple.
  • Il sito richiede dati eccessivi per un'operazione banale.
  • Presenza di errori grammaticali o traduzioni automatiche nel testo della pagina.
  • Certificato HTTPS assente o rilasciato a un'entità diversa dal brand mostrato.

10 Regole per Proteggerti dalle Truffe QR Code

Ecco una checklist pratica da applicare ogni volta che ti trovi davanti a un codice QR sconosciuto.

  1. Usa un'app di scansione con anteprima URL: molte app scanner mostrano il link completo prima di aprirlo. Approvala tu manualmente.
  2. Controlla sempre il dominio: leggi con attenzione l'URL. "paypa1.com" non è "paypal.com".
  3. Diffida degli adesivi: se il QR sembra applicato sopra qualcos'altro, non scansionarlo.
  4. Non inserire mai credenziali raggiungendo un sito tramite QR: apri l'app ufficiale o digita l'URL a mano.
  5. Verifica i pagamenti solo su app ufficiali: per pagare sosta, multe o bollette usa sempre app installate dallo store ufficiale.
  6. Non installare app da QR code: scarica sempre da App Store o Google Play.
  7. Attiva l'autenticazione a due fattori su banca, email e social: limita i danni in caso di furto credenziali.
  8. Usa un DNS con filtro anti-phishing (come Cloudflare 1.1.1.2 o NextDNS) che blocca automaticamente domini malevoli noti.
  9. Aggiorna sempre il sistema operativo: molte protezioni contro siti fraudolenti sono nei browser aggiornati.
  10. Segnala QR sospetti: alla Polizia Postale (commissariatodips.it) e all'esercente coinvolto.

Confronto: App Scanner QR Sicure

Molti smartphone hanno lo scanner integrato nella fotocamera, ma la qualità delle protezioni varia. Ecco un confronto delle opzioni più affidabili.

Scanner Anteprima URL Blocco Phishing Piattaforma Costo
Fotocamera iOS (nativa) Base (Safari) iPhone Gratis
Google Lens Google Safe Browsing Android/iOS Gratis
Kaspersky QR Scanner Avanzato (database malware) Android/iOS Gratis
Trend Micro QR Scanner Sì, con rating siti Android/iOS Gratis
Norton Snap Sì, con avvisi dettagliati Android/iOS Freemium

Il consiglio è: se usi la fotocamera nativa, disabilita l'apertura automatica dei link nelle impostazioni e leggi sempre l'URL nell'anteprima prima di toccarlo.

Cosa Fare se Hai Scansionato un QR Code Truffa

Se sospetti di essere caduto nella trappola, agisci rapidamente. Il tempo è il fattore più importante per limitare i danni.

Se hai solo aperto il link (senza inserire dati)

  1. Chiudi immediatamente il browser.
  2. Cancella la cronologia e i cookie del sito.
  3. Esegui una scansione antivirus sul telefono.
  4. Verifica che non siano state installate app o profili di configurazione strani.

Se hai inserito credenziali

  1. Cambia immediatamente la password del servizio interessato da un dispositivo pulito.
  2. Cambia la password anche di tutti gli account che usano la stessa password.
  3. Attiva l'autenticazione a due fattori ovunque possibile.
  4. Controlla accessi recenti e sessioni attive dell'account.

Se hai inserito dati della carta di pagamento

  1. Blocca subito la carta dall'app della banca o chiamando il numero verde.
  2. Controlla i movimenti degli ultimi giorni e disconosci quelli non tuoi.
  3. Presenta denuncia alla Polizia Postale entro 24 ore (utile per contestare gli addebiti).
  4. Comunica alla banca l'accaduto per attivare la procedura di rimborso ex art. 11 D.Lgs. 11/2010.
  5. Segnala l'evento al Garante Privacy se sono stati sottratti dati personali.

QR Code e URL Shortener: Attenzione ai Redirect

Molti QR code legittimi usano servizi di link shortener perché generano codici più semplici da stampare e leggere. Il problema è che gli shortener nascondono anche la destinazione finale, e i truffatori li sfruttano per mascherare siti malevoli.

Prima di fidarti di un link accorciato in un QR code, puoi:

  • Usare servizi di preview come unshorten.it o checkshorturl.com.
  • Preferire shortener che offrono pagine di preview e statistiche pubbliche.
  • Diffidare di shortener generici o poco noti in contesti sensibili (pagamenti, banche).

Se sei un'azienda che genera QR code per campagne di marketing, scegliere una piattaforma affidabile è essenziale sia per la sicurezza degli utenti sia per la tua reputazione. Servizi come Lunyb offrono link brandizzati, protezione contro contenuti malevoli e analytics dettagliati che ti aiutano a mantenere la fiducia dei tuoi clienti. Per approfondire le opzioni disponibili puoi leggere la nostra guida alle migliori piattaforme di gestione link 2026 o la recensione onesta di Lunyb.

Il Ruolo del GDPR e della Segnalazione al Garante

Le truffe QR code spesso comportano una violazione dei dati personali. In base al GDPR e al Codice Privacy italiano, hai diritto a:

  • Essere informato tempestivamente se un fornitore di servizi subisce un data breach che ti coinvolge (art. 34 GDPR).
  • Presentare reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it) in caso di trattamento illecito.
  • Richiedere il risarcimento del danno subito (art. 82 GDPR).

Se una tua informazione personale è stata compromessa, è importante sapere anche quanto vale sul mercato nero: nel nostro articolo su quanto vale l'informazione personale online analizziamo i prezzi reali di credenziali, carte e documenti nel dark web.

Buone Pratiche per Aziende che Usano QR Code

Se la tua attività distribuisce QR code (menù, biglietti, cataloghi, campagne pubblicitarie), hai una responsabilità nei confronti dei tuoi clienti. Ecco alcune buone pratiche.

Genera QR verificabili

Usa domini brandizzati (es. link.tuaazienda.it) invece di shortener generici. Il cliente riconosce immediatamente la fonte.

Proteggi i QR code fisici

Applica pellicole anti-manomissione o stampa i codici direttamente su superfici non rimovibili. Controlla periodicamente che non siano stati sostituiti.

Monitora scansioni e destinazioni

Piattaforme professionali di gestione link ti permettono di sapere quante scansioni riceve un codice, da quale area geografica e su quale dispositivo. Anomalie improvvise possono indicare una manomissione. Per un confronto tra soluzioni puoi consultare la recensione di T2M o quella di TinyURL.

Educa i tuoi clienti

Un cartello semplice come "Il nostro QR ufficiale porta sempre al dominio tuaazienda.it" riduce drasticamente il rischio di quishing.

Il Futuro delle Truffe QR: Cosa Aspettarsi nel 2026-2027

Le previsioni degli analisti di sicurezza per i prossimi mesi indicano un'evoluzione preoccupante:

  • QR code dinamici malevoli: codici che cambiano destinazione in base al dispositivo o all'ora della scansione, sfuggendo ai controlli automatici.
  • Deepfake vocali dopo il QR: dopo la scansione, l'utente riceve una chiamata da un finto operatore bancario con voce clonata da AI.
  • QR in realtà aumentata: sovrapposizioni digitali che sostituiscono i codici reali visti attraverso occhiali smart o app AR.
  • Attacchi supply chain: manipolazione di QR code direttamente in fase di stampa industriale su prodotti di largo consumo.

La difesa migliore rimane sempre la stessa: diffidare, verificare, non inserire mai dati sensibili raggiungendo un servizio tramite un canale non ufficiale.

FAQ - Domande Frequenti sulle Truffe QR Code

1. Scansionare un QR code può infettare il telefono anche senza cliccare nulla?

Nella maggior parte dei casi no: la sola scansione apre un'anteprima o il browser. Tuttavia, alcune vulnerabilità zero-day dei browser possono essere sfruttate anche con la semplice apertura di una pagina. Per questo è fondamentale mantenere aggiornati sistema operativo e browser.

2. Come faccio a vedere l'URL di un QR code senza aprirlo?

Usa app di scansione con anteprima obbligatoria (Kaspersky QR Scanner, Trend Micro QR Scanner) oppure disattiva l'apertura automatica dei link nelle impostazioni della fotocamera. In alternativa, puoi fotografare il QR e caricarlo su un decoder online come zxing.org/w/decode.jspx da un computer sicuro.

3. I QR code delle multe stradali sono legittimi?

Le multe reali della Polizia Municipale possono contenere QR code informativi, ma il pagamento avviene sempre tramite pagoPA o bollettino postale ufficiale, mai tramite QR che chiede direttamente i dati della carta. In caso di dubbio, chiama il comando di Polizia Municipale del comune.

4. Ho scansionato un QR truffa ma non ho inserito nulla. Sono al sicuro?

Molto probabilmente sì, ma non abbassare la guardia. Cancella la cronologia del browser, controlla che non siano stati scaricati file o installate app, e verifica nei prossimi giorni eventuali comportamenti anomali del dispositivo (batteria che si scarica velocemente, popup insoliti, traffico dati elevato).

5. Posso denunciare una truffa QR anche se non ho perso soldi?

Sì, e ti consigliamo caldamente di farlo. La segnalazione alla Polizia Postale tramite commissariatodips.it è gratuita e aiuta a mappare i fenomeni criminali. Puoi segnalare anche al Garante Privacy se hai fornito dati personali e all'AGCM se si tratta di pratiche commerciali scorrette.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles