Un innocuo QR code arrivato nella casella di posta può bastare a compromettere account, dati personali e persino le difese di sicurezza aziendali. È questo il cuore del fenomeno chiamato quishing, una tecnica di truffa che sfrutta i codici a barre bidimensionali per aggirare i filtri antiphishing tradizionali e colpire proprio dove ci si sente più al sicuro. La curiosità, in questi casi, è la prima alleata dei criminali informatici.
Chi pensa alle vecchie truffe si ricorda ancora delle email sull’eredità di un parente lontano mai conosciuto, delle finte vincite alla lotteria, degli investitori pronti a trasferire milioni. Roba che circola ancora oggi, sia chiaro. Ma i tempi cambiano. Le truffe legate al lavoro sono diventate abbastanza raffinate da convincere chi cerca un impiego, l’intelligenza artificiale viene usata per rendere più credibili i messaggi ingannevoli e automatizzare intere catene d’attacco, e adesso c’è questo nuovo fronte che trasforma i QR code in armi capaci di scavalcare l’autenticazione a più fattori.
Come funziona il quishing e perché è pericoloso
Il meccanismo è quello di sempre, solo con un vestito diverso. Il QR code phishing nasconde link malevoli dentro un’immagine, così i filtri di sicurezza faticano a leggerli e bloccarli. L’esca resta la stessa vecchia leva: creare urgenza, fare appello all’avidità, seminare paura oppure promettere una ricompensa per chi scansiona il codice con il telefono. Un finto messaggio della banca, una email che annuncia una vincita, un avviso urgente dai social. Una volta scansionato il codice e cliccato il link, ci si ritrova su un dominio costruito apposta per rubare dati o prendere il controllo di un profilo.
Secondo il rapporto sui trend del phishing per il 2026 di Hoxhunt, le classiche email con codice stanno calando, ma il fenomeno riemerge nascosto negli allegati fraudolenti, per esempio in PDF infetti. Nel complesso gli attacchi quishing sono cresciuti del 25% su base annua. E non parliamo solo di spazi digitali: i codici truffaldini sono stati avvistati anche su manifesti fisici e su falsi biglietti da visita.
C’è poi la parte più insidiosa. Il quishing si combina con la tecnica dell’adversary in the middle, o AITM. Il funzionamento, descritto sia da Google sia da Microsoft, è lineare. Arriva l’email con il codice, la curiosità spinge a inquadrarlo, e a quel punto si finisce su un sito clonato che sembra identico a quello di un servizio fidato, come la banca o una piattaforma di lavoro. Chi inserisce le proprie credenziali consegna tutto all’attaccante, che riesce a bypassare l’autenticazione a più fattori perché la vittima è convinta di trovarsi sul sito legittimo. Password e token di sessione finiscono nelle mani sbagliate, con furto di dati e account compromessi. Il punto critico, soprattutto per le aziende, è che la scansione avviene dal telefono personale. Questo salta a piè pari le reti di protezione basate sulla rete e i sistemi di rilevamento del phishing. Il team di Microsoft Defender ha osservato campagne basate su QR code passare dal 10% al 30% del totale delle campagne di phishing negli ultimi mesi.
Come difendersi dalle truffe con i codici
Il problema di fondo è che un QR code nasconde la sua destinazione dentro un’immagine, quindi non si può vedere dove porta né verificarne facilmente l’origine. Scansionare alla cieca è un rischio, e i codici inaspettati andrebbero trattati con la stessa diffidenza riservata ai link e agli allegati sospetti nelle email. Il formato cambia, la trappola no. Il consiglio più solido è restare prudenti. Se arriva una email con un codice che sembra della banca, meglio aprire il sito ufficiale in una scheda separata o usare direttamente l’app. Anche quando un messaggio pare autentico, la regola è non cliccare, non aprire allegati e non scansionare codici senza avere la certezza che la fonte sia affidabile. E occhio anche fuori dallo schermo: quell’adesivo con un QR code attaccato al lampione vicino al negozio preferito può nascondere una minaccia concreta per privacy e sicurezza.