I codici QR sono diventati parte della nostra vita quotidiana. Li troviamo ovunque: al ristorante per leggere il menù, alla fermata dell’autobus per controllare gli orari, persino sulle bollette per pagare in un clic. Sono comodi, veloci e—apparentemente—sicuri.
Ma ecco il punto: non sempre lo sono.
Negli ultimi mesi, una nuova forma di truffa informatica sta prendendo piede in tutta Europa: si chiama quishing, un gioco di parole tra “QR code” e “phishing”, ed è tanto semplice quanto pericoloso.
Cos’è il quishing?
In pratica, si tratta di una truffa che sfrutta i codici QR per portare le vittime su siti web malevoli. E il meccanismo è subdolo: il QR non mostra l’indirizzo web che nasconde. Tu lo inquadri con il cellulare, il telefono apre automaticamente un link… e il gioco è fatto.
Il sito può sembrare del tutto legittimo. Magari è la copia perfetta della tua banca, o della piattaforma di pagamento del Comune. Ti chiede i dati della carta, o le credenziali d’accesso. Tu li inserisci, convinto che sia tutto regolare. E invece, hai appena consegnato le chiavi di casa al ladro.
Un problema in crescita
A Milano, nel novembre 2023, alcuni automobilisti hanno trovato sul parabrezza un foglio stampato con il logo del Comune e una falsa multa da 25 euro. In basso, un QR code per effettuare il pagamento “in modo rapido”.
Tutto sembrava regolare: grafica ufficiale, linguaggio istituzionale, importo credibile. Peccato che si trattasse di una truffa. Il QR code reindirizzava a un sito fake, creato apposta per sottrarre dati e denaro. La Polizia Locale ha confermato che il Comune non lascia più sanzioni cartacee sulle auto e ha invitato i cittadini a fare attenzione.
E non si è trattato di un caso isolato. A Verona, nel marzo 2025, sono stati segnalati adesivi con falsi QR code appiccicati ai parchimetri pubblici. Anche lì, l’obiettivo era lo stesso: convincere l’utente a pagare tramite un sistema fraudolento, fuori dai canali ufficiali.
Ma com’è possibile cadere in trappola?
La verità è che i QR code godono di un’aura di affidabilità. Sono visualmente “neutri”, spesso associati a processi istituzionali o moderni. E poi c’è la fretta. Siamo abituati a cliccare senza pensarci troppo. E i truffatori lo sanno benissimo.
In più, molti antivirus e filtri antiphishing non sono ancora ottimizzati per analizzare i contenuti dietro un codice QR. In altre parole: mentre un link sospetto in un’email può essere intercettato, un codice QR… no. Passa sotto il radar.
Cosa possiamo fare per difenderci?
La buona notizia è che bastano alcune semplici precauzioni per evitare brutte sorprese. Ecco le principali:
- Controlla il contesto: un QR stampato su un foglio volante, attaccato con il nastro adesivo sopra a un cartello ufficiale? Meglio lasciar perdere.
- Osserva la URL prima di cliccare: molti smartphone mostrano l’indirizzo prima di aprirlo. Se l’URL ti sembra strano, o non è “https”, annulla subito.
- Usa app ufficiali: se devi fare un pagamento o accedere a un servizio pubblico, fallo attraverso l’app ufficiale, non tramite QR ricevuti via email o trovati per strada.
- Pensa due volte: nessun ente ti chiederà mai di inserire PIN, credenziali bancarie o dati personali sensibili tramite un QR improvvisato.
E non è solo questione di tecnologia
La verità è che, come in ogni truffa, il punto debole non è mai il sistema. Siamo noi. O meglio: la nostra distrazione, la nostra fiducia, la voglia di sbrigarsi in fretta.
E allora, non basta più una password sicura o un antivirus aggiornato. Servono pratiche quotidiane di igiene informatica, mirate a proteggere i dati, i dispositivi e le identità digitali. Un’abitudine a fermarsi un attimo, fare una verifica in più, ragionare prima di cliccare. Anche quando sembra tutto normale. Soprattutto quando sembra tutto normale.
Il quishing è solo l’ultima frontiera di un fenomeno molto più ampio: l’evoluzione costante delle truffe digitali. I criminali informatici si adattano, cambiano forma, e cercano sempre nuove strade per arrivare a noi.
Sta a noi—cittadini, utenti, lavoratori digitali—rispondere con attenzione, consapevolezza e un pizzico di sano sospetto. Perché a volte, proteggersi, comincia da una semplice domanda: “Mi fido davvero di quel codice?”
Scopri di più da Gazzetta di Milano
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.
