Blog Trucchi e consigli sulla sicurezza Cos’è il quishing? Come funzionano le truffe tramite codice QR e come evitarle

Cos’è il quishing? Come funzionano le truffe tramite codice QR e come evitarle

Apr 09, 2026

6 min di lettura

Forse credevi di sfogliare il menù di un ristorante.

Oppure di pagare il parcheggio o magari di controllare l’avviso di un pacco attaccato alla porta. Una scansione rapida, un logo familiare, una pagina che si carica immediatamente nel telefono.

Non sembrava niente di rischioso.

È proprio per questo che le truffe tramite codice QR si stanno diffondendo rapidamente.

I codici QR, o codici a matrice, sono ormai entrati nella vita quotidiana. Si trovano sui tavoli dei ristoranti, sui cartelli, nelle email, nelle pubblicità postali e nelle schermate di pagamento. Ci viene spiegato di trattarli come scorciatoie—più veloci della digitazione di un URL, più facili per scaricare un’app, più sicure che il fare clic su un collegamento.

I truffatori lo sanno bene.

Invece di farti fare clic su qualcosa che potrebbe sembrare sospetto, ti chiedono di scansionare qualcosa di ordinario. Dopodiché però potresti comunque approdare a false pagine di accesso, a richieste di pagamento fraudolente oppure a siti dannosi, progettati per rubarti i dati ancor prima che tu ti accorga di qualcosa.

Questa tattica ha un nome: quishing.

Dato che i codici QR continuano a sostituire i link, capire come funziona il quishing è essenziale per rimanere al sicuro online. 

Cos’è il quishing? 

Il quishing è una forma di phishing che utilizza i codici QR al posto dei collegamenti cliccabili per indurre le persone a visitare siti web dannosi o a fornire dati sensibili.

Il termine, che unisce QR e phishing, riflette un semplice ma pericoloso cambiamento nelle tattiche di truffa: invece di chiederti di fare clic, i truffatori ti chiedono di fare una scansione.

Una volta scansionato, un falso codice QR può portare a:

  • Pagine di “accesso” per raccogliere le tue credenziali.
  • Richieste di pagamento o fatture fraudolente.
  • Download di malware.
  • Portali di assistenza clienti falsi
  • Trappole di abbonamento.

Poiché i codici QR non mostrano un URL prima della scansione, eliminano uno dei più importanti campanelli di allarme delle truffe su cui si può fare affidamento. 

Le truffe tramite codice QR più comuni a cui prestare attenzione

Gli attacchi di quishing sono i più svariati, ma la maggior parte di essi rientra in alcuni schemi prevedibili.

1. Codici QR falsi per parcheggi e pagamenti

I truffatori applicano un adesivo con il loro codice QR sopra quello legittimo di un parcometro. Quando ne fa la scansione, la vittima giunge su una pagina di pagamento fasulla che ruba i dati della carta.

Campanello d’allarme: un codice QR che chiede tutti i dati di pagamento invece di reindirizzare a un servizio noto di parcheggio o della città.

2. Scambio dei menù al ristorante

I truffatori sostituiscono i codici QR dei menù con altri falsi, che reindirizzano a pagine di phishing o a scaricamenti dannosi.

Campanello d’allarme: una pagina del menù che ti chiede di “registrarti”, di scaricare un’applicazione o di confermare i tuoi dati personali.

3. Avvisi di consegna pacchi

Un volantino o un biglietto sulla porta dichiara che hai mancato una consegna e ti chiede di scansionare un codice QR per riprogrammarla.

Campanello d’allarme: dettagli vaghi sulla consegna e pressione per agire in fretta.

4. Falsi avvisi di sicurezza dell’account

Un codice QR dichiara che la tua banca, il servizio di streaming o il tuo account di posta elettronica necessitano di una verifica.

Campanello d’allarme: qualsiasi codice QR che richiede un’azione immediata per “motivi di sicurezza”.

5. Abbonamenti trappola e offerte false

Alcuni codici QR promettono sconti, rimborsi o premi, mentre in realtà iscrivono gli utenti a spese ricorrenti.

Campanello d’allarme: le scritte in piccolo sono difficili da trovare o mancano del tutto.

Cosa rende il quishing particolarmente insidioso

Le truffe QR hanno successo non per la sbadatezza delle persone, ma perché sfruttano la fiducia e la routine.

A differenza delle tradizionali email di phishing, il quishing:

  • Si verifica sia offline sia online.
  • Appare spesso in luoghi fisici fidati.
  • Sembra più veloce e più “legittimo”.
  • Elimina l’ispezione visiva dei collegamenti.

Una volta che la vittima approda a un sito falso, i danni possono accumularsi rapidamente: dal furto delle credenziali al prosciugamento dei conti correnti, fino al furto di identità.

Come riconoscere un codice QR falso prima di scansionarlo

Non è necessario evitare del tutto i codici QR, ma usare cautela.

Verificare il contesto fisico

Il codice QR è incollato, graffiato o sovrapposto a un altro codice? È una tattica comune.

Cercare le incoerenze dei marchi

Errori ortografici, logo generici o colori non corrispondenti sono segnali di allarme.

Vedere in anteprima il collegamento

La maggior parte delle fotocamere dei telefoni mostra l’URL prima di aprirlo. Prenditi un secondo per leggerlo.

Essere scettici nei confronti dell’urgenza

Qualsiasi codice QR che ti spinga ad agire immediatamente va preso con le pinze.

Come proteggersi dalle truffe tramite codice QR

Passo 1: trattare i codici QR come collegamenti

Un codice QR è una scorciatoia per raggiungere un sito web. Applica dunque la stessa cautela che useresti per qualsiasi link.

Passo 2: evitare di inserire dati sensibili

I servizi legittimi raramente chiedono password, dettagli di pagamento o dati personali tramite i codici QR.

Fase 3: utilizzare gli strumenti di sicurezza mobile

Un software di sicurezza contribuisce a rilevare i siti dannosi e a bloccare gli scaricamenti rischiosi prima che facciano danni.

Fase 4: in caso di dubbi, vai direttamente alla fonte

Invece di effettuare la scansione, visita manualmente il sito web ufficiale o l’applicazione di cui ti fidi.

Cosa fare dopo la scansione di un codice QR sospetto

Se pensi di aver interagito con un codice QR dannoso:

  • Smetti subito di interagire con il sito.
  • Non inserire altri dati.
  • Controlla i tuoi conti finanziari alla ricerca di attività insolite.
  • Cambia le password se hai inserito le credenziali.
  • Esegui una scansione della sicurezza nel tuo dispositivo. Fai una prova gratuita.
  • Segnala il caso all’azienda o alla sede coinvolta.

Un’azione tempestiva può limitare le ricadute a lungo termine.

Domande frequenti

Che cos’è il quishing in parole povere?
Il quishing è il phishing che utilizza i codici QR per indurre le persone a visitare siti web falsi o dannosi.

I codici QR sono intrinsecamente non sicuri?
No, ma possono essere utilizzati. Il rischio deriva dal luogo in cui si trovano, non dal codice in sé.

La scansione di un codice QR può installare un malware?
In alcuni casi sì, soprattutto se richiede di scaricare qualcosa o se reindirizza a un sito dannoso.

Le truffe QR sono in aumento?
Sì. Poiché i codici QR sono sempre più comuni, i truffatori li utilizzano sempre più spesso per aggirare le difese tradizionali.

Presentazione di McAfee+

Protezione dal furto di identità e privacy per la tua vita digitale.

FacebookLinkedInTwitterEmailCopy Link

Mantieniti al corrente

Seguici per essere sempre al corrente delle notizie di McAfee e delle ultime minacce alla sicurezza per consumer e dispositivi mobili.

FacebookTwitterInstagramLinkedINYouTubeRSS

More from Trucchi e consigli sulla sicurezza

Back to top