I possibili pericoli dietro ai QR code: sicuri, sì, ma non al 100%
I QR code non sono pericolosi, ma possono nascondere truffe come il quishing. Ecco come riconoscere i rischi e difendersi in modo efficace.
I QR code fanno ormai parte della nostra quotidianità digitale. Li usiamo per consultare un menù al ristorante, accedere a una rete Wi-Fi, pagare un parcheggio o ottenere informazioni rapide senza digitare un indirizzo web. Dietro questa apparente semplicità, però, si nasconde una zona grigia che negli ultimi anni ha attirato anche l’attenzione del cybercrime. Non perché il QR code sia intrinsecamente pericoloso, ma perché rimanda sempre a un’azione che l’utente deve compiere, ed è proprio lì che si annidano i rischi.
Il fenomeno ha ormai un nome preciso: quishing, una fusione tra “QR” e “phishing”. Una pratica che sfrutta la fiducia riposta in questi codici bidimensionali per indirizzare le persone verso siti malevoli, moduli truffaldini o download potenzialmente pericolosi. Capire come funziona e, soprattutto, come difendersi è diventato fondamentale.
QR code: come funziona questa tecnologia?
I QR code non sono una novità recente. Andiamo con ordine: nascono nel 1994 in Giappone, sviluppati da Denso Wave, azienda legata al gruppo Toyota, con l’obiettivo di tracciare in modo rapido i componenti automobilistici. La loro diffusione di massa, però, è avvenuta molto più tardi, soprattutto a partire dal 2020, durante la pandemia, quando il bisogno di interazioni contactless ha accelerato l’adozione di questa tecnologia in moltissimi contesti.
Dal punto di vista tecnico, un QR code è semplicemente un contenitore di dati leggibili da una fotocamera. Può includere un URL, un testo, un numero di telefono o un comando per connettersi a una rete Wi-Fi. Non esegue codice, non infetta lo smartphone e non è automaticamente dannoso. Il problema nasce nel momento in cui l’utente, fidandosi del contesto, decide di seguire ciò che il QR code propone.
Perché i QR code attirano i criminali informatici
La forza dei QR code è anche la loro debolezza. Chiunque può generarne uno in pochi secondi, usando servizi online gratuiti o applicazioni dedicate. Non serve alcuna infrastruttura complessa, né competenze tecniche avanzate. Questo li rende estremamente appetibili anche per i truffatori.
Negli ultimi anni sono emersi diversi scenari di abuso. Parcheggi e stazioni sono tra i luoghi più colpiti: adesivi con QR code fraudolenti vengono applicati sopra quelli originali dei parchimetri o inseriti su finte comunicazioni lasciate sui parabrezza delle auto. In altri casi, come documentato anche all’estero, i truffatori hanno inviato lettere cartacee contenenti QR code che rimandavano a siti malevoli, sfruttando l’apparente ufficialità del mezzo. In tutti questi casi entra in gioco l’ingegneria sociale, ovvero l’insieme di tecniche che sfruttano reazioni emotive come urgenza, paura o fiducia. Il QR code diventa solo il grilletto iniziale: la truffa vera e propria si consuma quando l’utente inserisce dati personali, informazioni bancarie o scarica applicazioni fuori dai canali ufficiali.
Quishing: quando il phishing passa dai link ai QR code
Secondo il National Cyber Security Centre (NCSC) del Regno Unito, i QR code vengono sempre più utilizzati anche nelle e-mail di phishing. In questo caso, il QR code rappresenta un’alternativa al classico link sospetto. Molti utenti hanno imparato a diffidare di URL strani o abbreviati, ma un’immagine con un QR code viene spesso percepita come innocua.
Il meccanismo è semplice: il messaggio simula una comunicazione ufficiale, invita a scansionare il QR code per “verificare un account”, “confermare un pagamento” o “scaricare un documento urgente”. Una volta scansionato, l’utente viene reindirizzato a una pagina costruita ad hoc per rubare credenziali o indurlo a compiere azioni dannose. Il QR code, in questo scenario, è solo il primo passo di una catena ben più articolata.
Dove il rischio è più alto (e dove è più basso)
Non tutti i QR code vanno trattati allo stesso modo. Il contesto è un elemento chiave per valutare il livello di rischio.
- In ambienti come ristoranti, bar e locali, il pericolo è generalmente contenuto: i QR code sono spesso gestiti direttamente dagli esercenti e servono per consultare menù o listini prezzi. Diverso il discorso per luoghi non presidiati, come parcheggi, bagni pubblici o stazioni, dove chiunque può sostituire o coprire un QR code legittimo con uno fraudolento.
- Ancora più attenzione va riservata a e-mail, messaggi diretti e comunicazioni online che invitano esplicitamente a scansionare un QR code. In questi casi, la soglia di allerta dovrebbe essere massima.
Come proteggersi?
La scansione di un QR code, da sola, raramente causa danni immediati. I problemi nascono dopo, quando si interagisce con la pagina che si apre. È buona norma evitare di inserire dati personali o di pagamento e non scaricare applicazioni se non tramite gli store ufficiali del proprio dispositivo.
Un ulteriore accorgimento suggerito dagli esperti di sicurezza è quello di utilizzare lo scanner integrato nello smartphone, evitando app di terze parti che potrebbero aggiungere ulteriori livelli di rischio. Inoltre, prima di proseguire, è sempre utile controllare l’indirizzo web visualizzato dopo la scansione: domini strani, errori di battitura o richieste eccessivamente urgenti sono segnali da non ignorare. I QR code non sono il nemico; lo diventano solo quando smettiamo di osservare il contesto e agire con spirito critico.
