Negli ultimi anni, i QR code hanno fatto irruzione nella nostra vita quotidiana con una rapidità impressionante. Dove prima vedevamo un menu cartaceo, ora troviamo un quadratino pieno di piccoli pixel neri da inquadrare con la fotocamera. Una rivoluzione silenziosa, accelerata dalla pandemia di COVID-19, che ha cambiato abitudini consolidate in nome dell’igiene e della praticità.
Durante i mesi più critici dell’emergenza sanitaria, i QR code sono diventati lo standard per accedere a menù digitali nei ristoranti senza contatto. Il tutto con un semplice gesto: scansiona e vai.
Ma è proprio questa naturalezza, questa fiducia cieca verso un elemento ormai radicato nella quotidianità, a rendere il QR code un’arma perfetta per i cybercriminali. È qui che nasce il quishing: una fusione letale tra QR code e phishing.
Cos’è il quishing e come funziona?
Il termine “quishing” nasce dall’unione tra le parole QR code e phishing, e rappresenta una forma insidiosa di truffa informatica in cui l’inganno non arriva più da un link in un’email o da un messaggio sospetto, ma da un semplice codice visivo.
Il meccanismo è tanto semplice quanto pericoloso: l’utente scansiona un QR code apparentemente innocuo, magari stampato su un volantino, incollato in un bar, su un cartellone pubblicitario o addirittura sovrapposto a un QR legittimo in un ristorante o luogo pubblico. Dopo la scansione, viene automaticamente indirizzato verso un sito malevolo, spesso molto simile a uno reale (come il sito della banca, del corriere o di un ente pubblico). Da lì inizia la trappola: inserimento delle credenziali, download di malware, furto di dati sensibili.
A differenza del phishing classico, qui non c’è nulla che possa mettere in allerta l’utente: nessuna grammatica sgrammaticata, nessun link sospetto da leggere. Solo un’immagine da scansionare.
Perché il quishing è così pericoloso?
La pericolosità del quishing non sta solo nella tecnica in sé, ma nel momento storico e nel contesto socioculturale in cui si diffonde.
Durante la pandemia, la popolazione è stata letteralmente educata a scansionare QR code senza fare domande. Menu nei ristoranti, check-in per il contact tracing, accesso ai servizi pubblici, biglietti digitali per eventi e trasporti: ogni occasione è diventata un’opportunità per normalizzare l’uso dei QR.
Ecco perché oggi, anche fuori dal contesto sanitario, siamo portati ad accettare l’autorità implicita di un QR code. Se è lì, in un luogo pubblico, allora deve essere sicuro. È questo automatismo, questa disattivazione della soglia d’allerta, il terreno perfetto per le truffe.
A peggiorare il quadro, c’è il fatto che la scansione di un QR code non permette all’utente di leggere il link prima di aprirlo (a meno che non sia particolarmente attento e usi strumenti avanzati). E quando la vittima si accorge di essere stata truffata, spesso è troppo tardi.
Esempi concreti: quando il QR code tradisce
Alcuni casi reali hanno dimostrato quanto possa essere dannoso il quishing. In Germania, ad esempio, sono stati segnalati QR code falsi applicati sopra quelli autentici delle stazioni ferroviarie. Chi li scansionava veniva reindirizzato a pagine web fake dove si chiedeva di inserire i dati della carta di credito per “completare una registrazione” al servizio.
In Cina, durante il capodanno lunare del 2022, QR code truffaldini sono comparsi nei templi e nei luoghi turistici molto frequentati, con lo scopo di sottrarre denaro tramite finte donazioni online.
Anche negli Stati Uniti, l’FBI ha lanciato un’allerta dopo che diverse segnalazioni hanno indicato la presenza di QR code malevoli su parchimetri urbani: scannerizzandoli, l’utente veniva portato su un sito clone dove pagava la sosta… senza sapere che i soldi andavano direttamente ai truffatori.
Come proteggersi dal quishing
Il quishing non è solo una nuova forma di phishing. È un attacco silenzioso, visivo, apparentemente legittimo, e proprio per questo richiede un cambio di mentalità. La soluzione non è smettere di usare i QR code, ma iniziare a usarli con consapevolezza critica.
Ecco alcune buone pratiche (senza fare elenchi, ovviamente):
Prima di scansionare, guarda dove si trova il QR code. È stampato in modo professionale o sembra una stampa amatoriale incollata sopra qualcosa? È in un luogo logico, come un menu di un ristorante, o messo lì senza contesto?
Dopo la scansione, non cliccare immediatamente sul link. Molti smartphone moderni mostrano l’URL prima dell’apertura. Osserva il dominio: ha senso? È un sito noto? Contiene strane variazioni ortografiche?
Meglio ancora, se il contesto lo consente, cerca il sito direttamente da browser invece di scansionare.
E infine, usa applicazioni che offrono un livello di protezione aggiuntiva, come browser con protezione anti-phishing o antivirus mobili che analizzano i link prima dell’apertura.
Lo strano paradosso della fiducia cieca
Il QR code è un simbolo di innovazione e semplicità. Ma proprio questa semplicità lo rende vulnerabile. In un mondo dove l’interazione fisica è stata sostituita da quella digitale, dobbiamo ricordarci che ogni tecnologia porta con sé un’ombra.
Il quishing è il risultato di una fiducia cieca in un codice grafico che, per molti, è diventato sinonimo di accesso sicuro. Ma il cyberspazio non funziona così. La sicurezza è un processo, non un codice. E oggi più che mai, serve consapevolezza. Perché dietro un semplice quadratino bianco e nero, potrebbe nascondersi l’inganno.
