Il codice QR è diventato un gesto riflesso: si inquadra, si apre, si procede. In molti casi non è neppure una scelta consapevole, ma una scorciatoia incorporata nelle abitudini. Il quishing funziona esattamente qui: non "convince" nel modo classico, ma sfrutta l'automatismo. E lo sfrutta dentro luoghi che percepiamo come normali: un tavolo al bar, un cartello di parcheggio, un foglio alla reception, una comunicazione che sembra interna.
Il QR non è un oggetto: è un link opaco
Dal punto di vista della sicurezza, un QR code non è un contenitore neutro. È un modo diverso di consegnare un'azione digitale: tipicamente un URL, talvolta un testo, in alcuni casi un comando che apre un'app o precompila contenuti. La differenza rispetto a un link tradizionale non è estetica, è funzionale: un link testuale si può leggere, valutare, confrontare con un dominio noto; un QR no, perché l'informazione è codificata e l'utente la "esegue" prima di averla davvero ispezionata.
Questo spostamento è la chiave. Il phishing classico si regge su un elemento che, almeno in teoria, si può riconoscere: un indirizzo sospetto, un mittente anomalo, una richiesta incoerente. Il quishing riduce gli indizi visibili e aumenta la pressione dell'abitudine. In pratica toglie frizione al momento in cui la prudenza dovrebbe attivarsi.
Perché oggi è diventato un problema reale
I QR code esistono da decenni, ma il quishing diventa rilevante quando i QR diventano infrastruttura quotidiana. Non è un dettaglio: più un gesto è comune, più diventa invisibile. La pandemia ha accelerato l'adozione di strumenti "touchless" e, da allora, il QR è rimasto come interfaccia rapida per qualunque cosa: menu, pagamenti, Wi-Fi, download di manuali, promozioni, moduli, check-in, assistenza.
L'effetto collaterale è misurabile: il QR entra in spazi fisici dove la sicurezza digitale, di norma, non viene nemmeno pensata. Un'email aziendale passa (forse) da filtri e controlli. Un adesivo su un parchimetro no. Un cartoncino sul tavolo di un ristorante no. Un foglio plastificato in hotel no. È un input fisico che innesca una catena digitale senza i controlli tipici del perimetro IT.
Che cos'è il quishing, in termini operativi
Quishing significa "QR phishing". Operativamente è una tecnica che usa un QR come esca per portare la vittima verso una destinazione malevola. Il QR diventa il punto di ingresso, non il fine. Il fine è sempre uno dei classici obiettivi del crimine informatico: credenziali, denaro, accesso persistente al dispositivo, dati personali, sessioni già aperte.
Gli schemi più comuni sono quattro.
- Finto pagamento: il QR rimanda a una pagina che imita un servizio di sosta, un operatore di parcheggi, un portale comunale o un sistema di pagamento. L'utente inserisce i dati e paga "qualcosa" che non è ciò che crede.
- Finto login: il QR porta a una pagina che replica un portale (email, cloud, gestione documenti) e chiede credenziali. È particolarmente efficace quando l'utente sta già lavorando e interpreta la richiesta come normale.
- Download o installazione: il QR propone di scaricare un'app "necessaria" o un documento "importante". Il passaggio avviene su mobile, dove molti utenti sono meno rigorosi nel controllo dei permessi e dell'origine.
- Raccolta dati e tracciamento: il QR porta a form che richiedono dati personali "per confermare", "per ricevere", "per verificare", costruendo un profilo utile ad altre frodi.
In tutti i casi, la forza non sta in una tecnica sofisticata, ma nella combinazione tra contesto credibile e azione automatica.
Il trucco principale: la fiducia nel contesto
Il quishing raramente ha bisogno di un testo brillante o di una storia complessa. Gli basta un luogo che comunica legittimità. Se il QR sta su un tavolo di un bar, il cervello lo interpreta come "parte del servizio". Se sta su un parchimetro, diventa "il metodo di pagamento". Se è in una comunicazione "interna", viene percepito come "procedura".
Questa fiducia nel contesto è un errore logico, ma è un errore umano normale. L'attacco non prende di mira l'intelligenza della persona: prende di mira la sua routine.
Esempi documentati: quando l'allarme non è teorico
Nel tempo, diversi enti hanno pubblicato avvisi e note pratiche. Qui non serve trasformare l'argomento in un racconto catastrofico: basta guardare la forma dei casi reali.
"Scammers hide harmful links in QR codes to steal your information."
Fonte: Federal Trade Commission, avviso ai consumatori sui QR code e casi di QR sovrapposti su parchimetri. FTC
- Consumer Alert (06/12/2023)
L'FTC descrive esplicitamente la tecnica di copertura o sostituzione del QR su parchimetri, e il fatto che un QR può essere usato come esca anche via messaggio o email. È un punto importante: il quishing non è solo "fisico", è anche "documentale".
Anche l'FBI ha pubblicato avvisi su truffe in cui un QR porta l'utente a fornire dati o a scaricare malware, inclusi scenari che partono da pacchi non richiesti. FBI
- Cyber Alerts (sezione 2025)
Sul fronte delle campagne mirate, l'IC3 (FBI) ha pubblicato un advisory (gennaio 2026) su attori nordcoreani collegati a Kimsuky che usano QR malevoli in spearphishing, includendo esempi in cui la vittima viene invitata a scansionare un QR per accedere a questionari o contenuti. FBI/IC3
- Cyber Security Advisory (08/01/2026, PDF)
Questi casi mostrano una cosa semplice: l'uso del QR non è "un rischio generico", è ormai una tecnica integrata in campagne sia opportunistiche (massa) sia mirate (spearphishing).
Numeri e scala: perché si parla di milioni
La scala conta perché cambia la probabilità. Se una tecnica produce pochi casi, rimane un'anomalia. Se produce milioni di eventi, diventa un rischio sistemico.
Proofpoint, in un approfondimento legato al suo Human Factor report, indica che nella prima metà del 2025 sono state identificate 4,2 milioni di minacce legate a QR code. Proofpoint
(14/08/2025)
Il dato non significa che "4,2 milioni di persone sono state truffate". Significa che l'ecosistema del phishing sta usando il QR come vettore in modo massivo, e che il mobile è un punto debole perché spesso bypassa controlli aziendali e abitudini di verifica.
Perché antivirus e VPN non risolvono il problema
Qui conviene essere netti. Strumenti come antivirus, antimalware, DNS filtering, VPN, Mobile Threat Defense possono aiutare, ma non eliminano la classe di rischio.
La VPN, per esempio, non "bonifica" una pagina di phishing. Cifra il traffico e lo instrada, ma se l'utente consegna credenziali a un sito falso, lo fa comunque. L'antivirus può bloccare un file noto, ma molti attacchi non passano da un file: passano da una pagina che chiede dati o da un sito che simula un pagamento. Anche quando c'è malware, spesso l'ingegneria sociale spinge l'utente a installare qualcosa o ad autorizzare permessi.
Il problema reale non è lo strumento mancante. È l'interazione non verificata.
Il punto tecnico che molti ignorano: il QR sposta il rischio fuori dal perimetro
In un'azienda, molte difese sono costruite sul traffico che passa da canali controllati: mail gateway, proxy, filtri URL, logging centralizzato. Il QR, invece, spesso viene scansionato da uno smartphone personale o da un device che non è sotto gestione aziendale. Questo sposta l'attacco su un canale meno sorvegliato, dove l'utente agisce da solo, spesso in fretta.
È anche una ragione per cui il quishing viene usato in campagne mirate: riduce la probabilità che l'attacco venga bloccato da controlli preventivi.
Come riconoscere un QR "sospetto" senza trasformarsi in paranoici
La difesa più realistica è comportamentale, ma non nel senso moralistico del termine. Vuol dire introdurre micro-controlli in un gesto automatico.
- Controllo fisico: su parchimetri e cartelli, cercare segni di manomissione. Adesivi sopra adesivi, bordi sollevati, superfici rovinate, stampe fuori standard. Il quishing "fisico" spesso lascia tracce banali.
- Controllo di coerenza: un QR "per pagare" dovrebbe portare a un dominio coerente con il gestore o con l'ente. Se il dominio è generico, corto, pieno di caratteri, o non riconducibile al servizio, è un segnale.
- Controllo dell'anteprima: molti scanner mostrano l'URL prima dell'apertura. Non saltare quel passaggio. È l'unico momento in cui il QR torna a essere un link leggibile.
- Controllo della pagina: se appare un form di pagamento o login, fermarsi e verificare. Un sito legittimo ha indicatori di identità coerenti (dominio, intestazioni, flusso). Le copie spesso sono "quasi uguali" ma non identiche.
- Controllo del canale: se un QR arriva via email o messaggio e chiede un'azione "urgente", trattarlo come phishing. Il QR non rende l'email più credibile, la rende solo meno ispezionabile.
Difendersi significa rallentare di mezzo secondo
Nel quishing, la variabile più importante non è la competenza tecnica: è il tempo. Un attacco del genere ha bisogno di velocità psicologica, non di vulnerabilità software. Funziona quando l'utente passa da "inquadra" a "apri" senza passare da "valuta".
Rallentare non è un consiglio generico. È una misura concreta: trasformare un gesto riflesso in un gesto intenzionale.
Approfondimento critico: l'idea di comodità come debito di sicurezza
C'è un aspetto più ampio, spesso ignorato. La digitalizzazione degli spazi pubblici tende a spostare responsabilità sull'utente. Il menu è un QR: il bar non stampa più, tu devi scansionare. Il parcheggio è un QR: tu devi pagare via smartphone. Il manuale è un QR: tu devi scaricare. Ogni volta, la catena di fiducia passa per un link.
Questo non è "male" in sé. Ma crea un debito: più la comodità dipende da reindirizzamenti rapidi, più aumenta il valore di ogni punto di reindirizzamento come bersaglio. Se un servizio si appoggia a un QR, quel QR diventa un'interfaccia critica. E un'interfaccia critica, nel mondo reale, viene manomessa.
Non serve romanticizzare il contante o demonizzare il digitale. Serve riconoscere che l'efficienza, quando diventa automatismo, produce vulnerabilità.
Chiusura
Il quishing non è "la nuova truffa". È un aggiornamento banale di un principio vecchio: spostare l'utente su un canale dove controlla meno e si fida di più. Il QR code rende questa operazione più pulita, perché elimina l'elemento che prima attivava la prudenza: il link visibile. In un mondo pieno di codici da scansionare, la sicurezza torna a essere una cosa semplice e scomoda: vedere dove si sta andando prima di andarci.
Prodotti e letture collegate (Amazon)
- Copri-webcam per laptop (riduce rischi collaterali nelle frodi che portano a installare software di controllo remoto). Amazon: copri-webcam
- Chiavetta di sicurezza FIDO2/U2F (mitiga il furto di account anche se le credenziali finiscono su siti di phishing). Amazon: chiave sicurezza FIDO2
- Libro: "L'arte dell'inganno" di Kevin Mitnick (ingegneria sociale, utile per capire perché certe truffe funzionano). Amazon: Mitnick L'arte dell'inganno
- Libro: Il fantasma nella rete. La vera storia dell'hacker più ricercato del mondo di Kevin Mitnick (contesto e dinamiche reali di manipolazione e accesso). Amazon: La vera storia dell'hacker più ricercato del mondo
- Custodia schermata (Faraday bag) per smartphone (utile in contesti specifici di protezione fisica e privacy, non come "cura universale"). Amazon: Faraday bag
Fonti
- FTC
- Scammers hide harmful links in QR codes (06/12/2023) - FBI
- Cyber Alerts (pagina 2025) - FBI/IC3
- Advisory su QR malevoli e Kimsuky (08/01/2026, PDF) - Proofpoint
- Human Factor Vol. 2 / QR threats H1 2025 (14/08/2025)
