Quante volte capita di scansionare senza troppi pensieri codici QR in luoghi pubblici come ristoranti o bar per accedere al menu oppure in hotel per collegarsi direttamente alla rete wi-fi o ancora in altri esercizi commerciali per scaricare volantini e promozioni? Eppure, spesso non si presta la dovuta attenzione ai rischi che si corrono e che possono essere anche molto gravi, perché si può prestare il fianco a installazioni di software malevolo che può sottrarre informazioni sensibili o creare altri grossi danni.
Il boom dei codici QR
I codici QR sono nati nel 1994 da un’idea della società nipponica Denso Wave per il tracciamento dei componenti all’interno degli stabilimenti automobilistici della Toyota. Nel primo decennio del 2000, questo sistema era molto diffuso in Oriente per fornire un rapido collegamento a spazi web in ambito pubblicitario oppure per scaricare software, mentre da noi ha attecchito in modo definitivo successivamente, trovando il proprio apice durante la pandemia da Covid-19. Nel 2026, è possibile trovare i codici QR in bar, ristoranti, hotel, spazi pubblici, ma anche sulle confezioni d’acquisto di prodotti (per scaricare il manuale), sui social network e persino su volantini affissi su muri e pali. Questa presenza capillare porta con sé pericoli spesso sottovalutati.
I pericoli dei codici QR
C’è un termine che definisce il lato oscuro dei codici QR ed è Quishing ovvero QR code phishing e definisce una tecnica appunto di phishing utilizzata da cybercriminali per indurre gli utenti a scansionare i codici QR posizionati spesso in luoghi legittimi come parchimetri, ristoranti o esercizi commerciali che però indirizzano a siti web dannosi o a scaricare software malevoli. A inizio gennaio, l’Fbi aveva a tal proposito emesso un avviso contro questi attacchi informatici organizzati da entità nordcoreane – come il gruppo Kimusky – allo scopo di ottenere illecitamente informazioni personali sensibili e/o per trarre profitto, inserendo per esempio i codici QR in email lavorative motivandoli come rimando a informazioni ulteriori da scaricare. Sempre negli Usa, la Federal Trade Commission che tutela i consumatori ha cercato di sensibilizzare l’opinione pubblica sui codici QR ritrovati all’interno di prodotti regolarmente acquistati, che però portano a malware oppure, nel Regno Unito, si era scovato un business illegale che sostituiva codici QR legittimi per il pagamento dei parcheggi con transazioni convogliate verso altri conti.
Come difendersi
“Il quishing è phishing, solo in una veste diversa. Un codice QR può abbassare la guardia perché questa tecnologia è diventata onnipresente solo durante la pandemia e la minaccia non è ancora ampiamente riconosciuta – ha commentato Konstantin Levinzon, co-fondatore di Planet VPN. – Inoltre, sposta il clic rischioso da un link visibile a una scansione rapida, rendendo il pericolo più facile da ignorare”. Ovviamente i fornitori di software vpn, consigliano l’uso di questi sistemi per instradare il traffico web su server remoti, ma non è una panacea contro tutti i cyberpericoli anche perché molti antivirus e antimalware vengono bypassati da alcuni codici QR. I 4,2 milioni di minacce da codici QR riportate nel solo primo semestre 2025 dalla società di cybersicurezza Proofpoint sono quindi un dato al ribasso, perché molti attacchi conclusi con successo non sono stati verosimilmente rilevati.
L’arma più affidabile è quindi quella del buon senso: evitare di scansionare codici QR trovati in giro o ricevuti da contatti sconosciuti oppure richiesti per motivi futili, controllando bene dove queste immagini sono stampate nel caso in cui siano per esempio all’interno di confezioni di acquisto oppure in fogli stampati senza troppa cura e affissi in luoghi pubblici. Quando si inquadra un codice QR spesso si ha un’anteprima del link da confermare, che può dare un’idea della destinazione e se si apre una pagina per pagamento è bene controllare con cura che sia legittima.
