Che cos’è il quishing e perché i QR code falsi sono così pericolosi

Il quishing è una truffa digitale che usa QR code falsi per portare chi li scansiona su pagine fraudolente, dove possono essere rubati dati bancari, password, numeri di carta, credenziali di accesso o informazioni personali. Non è il QR code in sé a essere pericoloso: il problema è ciò che nasconde. Quel quadratino bianco e nero, innocuo come un’etichetta su una bottiglia, può rimandare a un sito vero oppure a una copia costruita per ingannare in pochi secondi.

La minaccia è cresciuta perché i QR code sono entrati nella vita quotidiana senza fare rumore: menu dei ristoranti, parcheggi, colonnine di ricarica, bollettini, pacchi, biglietti, documenti aziendali, email di lavoro. Li inquadriamo quasi per riflesso. E proprio lì si apre la crepa. Il quishing sfrutta la fiducia automatica, la fretta, la familiarità di un gesto diventato banale. Un tempo il phishing arrivava con un link sospetto in un’email sgrammaticata; oggi può stare su un adesivo appiccicato sopra un parcometro.

Perché il quishing funziona così bene

Il quishing funziona perché il QR code è una piccola scatola chiusa. A occhio nudo non si vede l’indirizzo di destinazione, non si capisce se rimanda al sito ufficiale di un Comune, a una banca, a una piattaforma di pagamento o a una pagina clonata. Serve uno smartphone, serve un clic, e spesso serve decidere in fretta. Davanti a un parchimetro, magari sotto la pioggia, con l’auto lasciata male e il telefono al 12%, nessuno si mette a fare un’analisi forense del codice.

La truffa ha una grammatica semplice. Il criminale crea un QR code che porta a un sito falso, lo stampa, lo incolla dove una persona si aspetta di trovarne uno vero, oppure lo inserisce in un messaggio, in un PDF, in una finta comunicazione bancaria o aziendale. Chi scansiona vede una pagina verosimile: logo, colori, pulsante di pagamento, campo per la targa, richiesta di conferma, magari persino un lucchetto vicino all’indirizzo web. A quel punto inserisce i dati. Carta, numero di telefono, email, password, codice ricevuto via SMS. Il danno non sempre arriva subito. A volte passa qualche minuto, a volte giorni.

La forza del quishing sta anche nella sua aria normale. Un link strano può far scattare il sospetto; un QR code, no. Sembra moderno, pratico, istituzionale. E poi è dappertutto. Dopo la pandemia molti locali hanno abbandonato il menu cartaceo, molti servizi hanno accelerato i pagamenti digitali, molte aziende usano codici bidimensionali per accessi, biglietti e autenticazioni. La comodità ha lasciato sul tavolo un piccolo resto: meno attenzione.

Il punto più insidioso è che la truffa salta spesso da un ambiente protetto a uno meno protetto. In ufficio, un’email con un link malevolo può essere intercettata dai filtri. Ma se dentro l’email c’è un’immagine con un QR code, e il dipendente la scansiona con il proprio telefono personale, l’attacco cambia strada. Esce dal computer aziendale, entra nello smartphone, passa da una porta laterale. È un trasloco elegante del rischio.

Dai parcometri alle finte multe: dove colpisce davvero

La scena più concreta è quella del parcheggio. Un adesivo con un QR code viene applicato sopra o accanto a quello autentico del parcometro. La persona lo scansiona per pagare la sosta, finisce su una pagina che somiglia a un servizio regolare, inserisce targa e carta. Pensa di aver pagato. In realtà ha consegnato i dati a qualcuno. Poi magari arriva anche la multa, perché il pagamento vero non è mai partito. Doppia beffa, secca.

Lo stesso schema compare nelle finte contravvenzioni lasciate sul parabrezza o recapitate nella buca delle lettere. Il foglio imita un verbale, cita articoli del Codice della strada, riporta importi plausibili, crea un piccolo spavento amministrativo. C’è un QR code per pagare subito, con l’aria rassicurante dei servizi digitali pubblici. È un teatro di carta: abbastanza credibile da far abbassare la guardia, abbastanza urgente da spingere al pagamento.

Poi ci sono i ristoranti. Il QR del menu è ormai un oggetto di arredamento, come il portatovaglioli. Basta sostituirlo, coprirlo, inserirne uno falso in una vetrofania o in un cartoncino lasciato sul tavolo. Il rischio non è solo pagare un conto inesistente. Una pagina malevola può chiedere l’accesso a un account, invitare a scaricare un’app per consultare il menu, proporre un finto Wi-Fi gratuito, attivare una raccolta di dati con il pretesto di una prenotazione.

Anche le colonnine di ricarica per auto elettriche sono un bersaglio naturale. Lì il QR code sembra quasi obbligatorio: serve a scaricare l’app, avviare la ricarica, pagare. L’utente è in uno spazio pubblico, spesso di passaggio, concentrato sul funzionamento della colonnina più che sulla sicurezza del link. E quando qualcosa non va, tende a pensare a un problema tecnico, non a una frode.

Il quishing viaggia bene anche nei pacchi inattesi. Arriva una confezione non richiesta, oppure una cartolina con un codice da scansionare per conoscere il mittente, confermare la consegna, richiedere un reso, ottenere un premio. È una variante quasi psicologica: la curiosità fa da gancio. Chi ha mandato il pacco? Perché? Cosa contiene? Si scansiona per togliersi il dubbio, ed è proprio il dubbio a portare sulla pagina sbagliata.

La versione aziendale: PDF, email e credenziali rubate

C’è poi il quishing meno visibile, quello che non sporca i parcometri e non lascia adesivi sui tavoli. Arriva in casella di posta, spesso dentro allegati PDF, documenti Word o messaggi dall’aria amministrativa. Una finta fattura, un avviso di consegna, una comunicazione HR, una richiesta di aggiornamento password, un documento condiviso. Al centro: un QR code da scansionare per visualizzare il contenuto, confermare l’account, sbloccare il documento.

Negli ambienti di lavoro questa tecnica è diventata interessante per i criminali perché aggira abitudini e strumenti difensivi. Molti sistemi di sicurezza analizzano i link scritti nel corpo dell’email; un QR code, invece, è un’immagine. Per capirne la destinazione bisogna leggerlo, estrarre il link, analizzarlo. I filtri migliori lo fanno, ma non tutti i sistemi sono uguali e gli aggressori cambiano forma in continuazione. Usano PDF, immagini, codici colorati, redirect, pagine intermedie, verifiche CAPTCHA per sembrare legittimi o per sfuggire agli scanner automatici.

L’obiettivo, spesso, non è rubare subito denaro. È rubare accessi. Una password di Microsoft 365, una credenziale aziendale, una sessione, un codice temporaneo. Una volta dentro, il criminale può leggere email, intercettare fatture, modificare coordinate bancarie, fingere di essere un responsabile interno, preparare truffe più grandi. Il QR code è solo il fiammifero. L’incendio arriva dopo.

La crescita degli attacchi via QR nelle email mostra che non siamo davanti a una curiosità da esperti di cybersicurezza. È una tecnica industrializzata, entrata nel catalogo ordinario delle frodi. Non richiede genialità criminale. Servono un generatore di QR code, una pagina falsa ben copiata, un dominio credibile, un pretesto. Il resto lo fa la routine delle vittime, quella fiducia stanca con cui si eseguono gesti digitali cento volte al giorno.

Per i privati il danno può essere una carta prosciugata, un conto violato, un furto di identità, un abbonamento attivato senza consenso. Per un’azienda può diventare un accesso non autorizzato, una frode nei pagamenti, una fuga di dati, un attacco successivo più serio. E spesso il primo gesto sembra ridicolo nella sua semplicità: inquadrare un quadratino.

Il dettaglio che tradisce un QR code falso

Riconoscere un QR code falso non è sempre facile, e sarebbe disonesto fingere il contrario. Un codice malevolo può essere stampato bene, incollato con precisione, inserito in una grafica credibile. Però alcuni segnali esistono. Il primo è fisico: adesivi sovrapposti, bordi sollevati, carta più nuova rispetto al supporto, differenze di colore, codici applicati sopra una targa metallica o su un manifesto già stampato. Se sembra un’aggiunta, potrebbe esserlo davvero.

Il secondo segnale compare sul telefono prima di aprire la pagina. Molte fotocamere mostrano l’indirizzo web in anteprima. È un momento breve, ma prezioso. Un dominio strano, troppo lungo, pieno di trattini, con errori minuscoli, con parole fuori posto, dovrebbe fermare il dito. Le truffe amano le imitazioni: una lettera cambiata, un’estensione diversa, un nome ufficiale infilato dentro un indirizzo che ufficiale non è. Il sito falso non deve essere perfetto; deve solo essere abbastanza credibile mentre si ha fretta.

Il lucchetto e la sigla HTTPS non bastano più. Indicano che la connessione è cifrata, non che chi gestisce il sito sia affidabile. Anche un truffatore può avere un sito con connessione protetta. È come una porta blindata montata su una casa abusiva: la serratura funziona, ma il problema è l’indirizzo.

Conta molto anche ciò che la pagina chiede. Un menu non dovrebbe chiedere i dati della carta. Un parcheggio non dovrebbe obbligare a inserire credenziali bancarie complete o codici dell’home banking. Un presunto servizio pubblico non dovrebbe pretendere dati non necessari. Una banca non chiede di verificare l’account tramite QR code arrivato in un messaggio inatteso. Quando la richiesta supera lo scopo del gesto, qualcosa stona.

C’è una regola pratica, quasi domestica: se il QR code serve per pagare, accedere o inserire dati personali, merita diffidenza. Non paura, diffidenza. La differenza è importante. Non bisogna vivere ogni codice come una trappola, ma nemmeno trattarlo come un bottone magico. È un link travestito da immagine. E i link, da sempre, vanno guardati.

Perché non basta dire “non scansionare”

Dire di non scansionare QR code è una raccomandazione comoda, ma poco realistica. Il mondo non tornerà ai menu plastificati solo perché esiste il quishing. I codici QR restano utili: velocizzano pagamenti, biglietti, check-in, informazioni turistiche, manuali, accessi temporanei. Il punto non è demonizzarli. Il punto è togliere loro quella specie di innocenza automatica che hanno conquistato.

La difesa più sensata è cambiare abitudine nei casi ad alto rischio. Per pagare un parcheggio, meglio usare l’app ufficiale già installata o cercare il sito del gestore digitandolo da sé, senza passare dal codice appiccicato su un palo. Per una multa, meglio verificare dal portale istituzionale o dai canali ufficiali, non dal QR di un foglio trovato sul parabrezza. Per una banca, meglio aprire l’app direttamente. Per un pacco, meglio usare il sito del corriere partendo dal numero di tracking, non da un codice misterioso infilato in una cartolina.

Sul telefono conviene mantenere aggiornato il sistema operativo e usare browser con protezioni attive contro siti pericolosi. Non è una corazza invincibile, ma aiuta. Ancora più importante è non salvare ogni passaggio con leggerezza: autorizzazioni, download, installazioni, richieste di profili o app esterne. Un QR code non dovrebbe mai obbligare a installare qualcosa per pagare un importo minimo o leggere un’informazione banale.

Per le aziende il discorso è più duro. La formazione generica sul phishing non basta più se mostra solo email con link blu e mittenti improbabili. Bisogna includere i QR code nelle simulazioni, spiegare che un allegato apparentemente pulito può contenere un codice malevolo, estendere la protezione anche ai dispositivi mobili, limitare l’uso di telefoni personali per operazioni aziendali sensibili. L’autenticazione a più fattori resta essenziale, ma non va vissuta come una bacchetta magica: alcune tecniche di phishing moderne provano a rubare anche sessioni e token, non solo password.

L’errore umano, in questa storia, non è stupidità. È progettazione della truffa. I criminali costruiscono percorsi pensati per sembrare normali nel momento esatto in cui la persona ha meno voglia di controllare. Alla cassa, in strada, in ritardo, con una notifica che lampeggia. Il quishing è efficace perché non chiede di fare qualcosa di strano. Chiede di fare una cosa normale, nel posto sbagliato.

Cosa fare dopo aver scansionato un QR sospetto

Scansionare un QR code falso non significa automaticamente essere stati derubati. Il rischio cresce quando si aprono pagine, si inseriscono dati, si scaricano file, si concedono autorizzazioni o si completano pagamenti. La prima cosa da fare è chiudere la pagina, senza compilare nulla e senza premere altri pulsanti. Se è stato scaricato qualcosa, meglio non aprirlo. Se è stata installata un’app, va rimossa e il telefono controllato con gli strumenti di sicurezza disponibili.

Se sono stati inseriti dati della carta, bisogna bloccarla o limitarla subito dall’app bancaria e contattare la banca. Qui la rapidità conta davvero, ma non la frenesia. Meglio usare il numero ufficiale presente sul retro della carta o nell’app, non numeri ricevuti via SMS o mostrati dalla pagina sospetta. Se sono state inserite credenziali, la password va cambiata da un dispositivo sicuro e va attivata, o rigenerata, l’autenticazione a più fattori. Se la stessa password era usata altrove, va cambiata anche lì. Sì, è noioso. Ma il riuso delle password è benzina.

Se il QR code era su un parcometro, un menu, una colonnina o un volantino pubblico, ha senso avvisare il gestore, il Comune, il locale o chi amministra quello spazio. Non per zelo burocratico: per evitare che altri cadano nello stesso punto. Nel caso di pagamenti non autorizzati, furto di dati o accessi violati, la denuncia alle autorità competenti e la segnalazione ai canali ufficiali diventano parte della protezione, anche quando sembra una perdita di tempo.

C’è poi una forma di attenzione successiva. Nei giorni dopo una possibile esposizione bisogna guardare movimenti bancari, notifiche di accesso, email di recupero password, messaggi insoliti, chiamate di presunti operatori. Le truffe spesso non finiscono con il QR. Dopo aver raccolto qualche dato, il criminale può telefonare fingendosi banca, tecnico antifrode, corriere, ufficio pubblico. La seconda trappola si presenta come soluzione alla prima.

Questa è una delle parti più sporche del quishing: non sempre ruba tutto nel primo clic. A volte prepara il terreno. Ti fa credere di aver pagato una sosta, poi usa i dati per rendere più credibile una chiamata. Ti manda su un finto portale, poi ti chiede il codice di sicurezza. Ti fa sentire già vittima, poi ti offre un finto salvataggio. È una sceneggiatura, non un colpo isolato.

Il nuovo alfabeto della prudenza digitale

Il quishing racconta una cosa semplice: la sicurezza non abita più solo nelle password, nei computer e nelle email sospette. Sta anche sui muri, sui tavolini dei bar, sulle colonnine, sui pacchi lasciati all’ingresso, sui fogli infilati sotto il tergicristallo. Il confine tra truffa online e mondo fisico si è assottigliato. Un adesivo da pochi centesimi può aprire una pagina capace di rubare migliaia di euro.

La risposta non deve essere panico. Il panico è cattivo consigliere, e spesso somiglia alla fretta che i truffatori sfruttano. Serve una cautela più sobria, quasi muscolare. Guardare il supporto. Leggere l’anteprima del link. Diffidare delle richieste eccessive. Preferire app e siti ufficiali quando ci sono soldi o dati di mezzo. Non inserire password dopo aver scansionato un codice trovato in giro. Non credere che una grafica ben fatta sia una garanzia.

Il QR code è nato per rendere le cose più rapide. Il quishing nasce nello spazio lasciato da quella rapidità, nel gesto che precede il pensiero. Per questo la protezione più efficace non è smettere di usare la tecnologia, ma rallentarla di un secondo. Uno solo, a volte basta. Il tempo di vedere se l’adesivo è sovrapposto, se l’indirizzo ha un nome strano, se la pagina chiede troppo, se quel pagamento può essere fatto da un canale più sicuro.

Il quadratino resta lì, muto. Non dice se è buono o cattivo. Tocca a noi non trattarlo come un atto di fede.