Il quishing è il phishing tramite codice QR — scansionare un codice falso vi porta su un sito che ruba le vostre credenziali o i dati di pagamento. L'IA ha reso queste truffe molto più facili da creare e molto più difficili da rilevare. Le abitudini più sicure sono: leggere l'anteprima dell'URL prima di toccare, non inserire mai dati di pagamento o di accesso dopo aver scansionato un codice QR in un luogo pubblico, e digitare gli indirizzi manualmente quando si è incerti.
Probabilmente nell'ultimo anno avete scansionato decine di codici QR — per consultare un menu, pagare il parcheggio o fare il check-in da qualche parte. Quel piccolo quadrato è ormai uno degli strumenti preferiti dai truffatori, e l'IA ha reso per loro dramaticamente più semplice creare codici falsi convincenti. Il trucco si chiama quishing, e si sta diffondendo così rapidamente che sia l'FBI che la FTC hanno emesso avvertimenti in merito.
Che cos'è il quishing?
La parola combina "QR" e "phishing" — la categoria più ampia di truffe che si spacciano per un'organizzazione fidata per rubare le vostre credenziali o i dati di pagamento.
Ecco come funziona: un truffatore crea un codice QR che, una volta scansionato, vi porta su un sito web falso che appare esattamente come la vostra banca, il portale per il pagamento del parcheggio del vostro comune o la pagina di tracciamento di un corriere. La pagina vi chiede di accedere, confermare un pagamento o verificare la vostra identità. Se lo fate, le vostre credenziali o il numero di carta vanno direttamente al truffatore.
Il motivo per cui i codici QR sono particolarmente efficaci per i truffatori: i filtri di sicurezza delle e-mail e degli SMS sono progettati per scansionare link di testo sospetti — non per leggere immagini. Un codice QR falso incorporato in un PDF o allegato immagine supera la maggior parte dei filtri senza essere rilevato.
Dove appaiono i codici QR falsi
I codici falsi compaiono in luoghi molto ordinari:
Parcometri. Un adesivo con un codice QR falso viene posizionato sopra il codice di pagamento legittimo. Lo scansionate, inserite la carta di credito su una convincente pagina di pagamento parcheggio falsa — e il parcometro non registra mai il vostro pagamento.
Menu dei ristoranti. La maggior parte dei menu QR è sicura, ma i truffatori sono stati sorpresi a posizionare adesivi sopra i codici originali. La versione falsa vi reindirizza su una pagina che potrebbe chiedere la vostra carta di credito "per prenotare il vostro posto" o proporre un'iscrizione con sconto.
SMS di consegna pacchi. Ricevete un messaggio che dice che la vostra consegna è in ritardo e vi chiede di scansionare un codice o seguire un link per riprogrammare. L'URL porta a una pagina falsa che chiede il vostro indirizzo e i dati di pagamento.
Volantini e manifesti. Codici falsi sono apparsi su volantini comunitari — una "gift card gratuita" o un'"offerta esclusiva" — collocati in lavanderie, biblioteche e atri di condomini.
E-mail e allegati PDF. Un messaggio di una presunta banca, azienda di utenze o servizio di consegna contiene un codice QR che vi chiede di "verificare il vostro account." Questa è la variante digitale più comune, e quella che più facilmente sfugge al software di sicurezza delle e-mail.
Perché l'IA ha peggiorato le cose
Prima che gli strumenti di scrittura IA diventassero ampiamente disponibili, una e-mail truffaldina era spesso facile da individuare: scrittura goffa, errori grammaticali, una richiesta strana che non suonava come quella di una vera banca. Non è più un indicatore affidabile.
Secondo un rapporto del luglio 2026, gli attacchi di phishing alimentati dall'IA sono aumentati di quattordici volte in un solo mese, e il phishing generato dall'IA rappresenta ora circa il 40% di tutti gli attacchi di phishing. I truffatori usano l'IA per scrivere e-mail perfettamente professionali, generare pagine di accesso false dall'aspetto realistico e creare codici QR su larga scala — centinaia di versioni leggermente diverse che prendono di mira persone o regioni diverse.
La combinazione è particolarmente efficace: l'e-mail sembra provenire da una vera azienda, il codice QR aggira i filtri basati sul testo e il sito falso appare identico a quello reale. L'unico momento in cui potete coglierlo è quando verificate l'URL a cui il codice punta effettivamente.
Come verificare un codice QR prima di toccarlo
Non dovete smettere del tutto di usare i codici QR. Vi serve solo una rapida abitudine: leggere l'anteprima dell'URL prima di toccare.
Su iPhone: Quando puntate la fotocamera su un codice QR, una piccola notifica appare in cima allo schermo con l'URL di destinazione. Non toccate immediatamente quella notifica — prima leggete l'indirizzo.
Su Android: La maggior parte delle app fotocamera Android mostra una piccola barra URL sotto il riquadro del codice QR. Leggetela prima di toccare.
Cosa cercare nell'URL:
- Il dominio corrisponde all'organizzazione che vi aspettate? Un'app per il parcheggio comunale potrebbe essere "nomecitta.it" o "parkXYZ.it" — non dovrebbe essere "parking-secure-pay.net" con un dominio casuale che non riconoscete.
- C'è una lunga stringa di caratteri casuali nell'URL? I codici QR legittimi per un menu o una pagina di pagamento di solito hanno indirizzi brevi e puliti.
- Il dominio usa errori ortografici sottili — "rniabanca.it" invece di "miabanca.it"? Quella lettera in più è facile da non notare a colpo d'occhio.
Abitudini sicure per il futuro
Digitate gli indirizzi manualmente quando siete incerti. Se un codice QR in una e-mail vi chiede di "verificare il vostro account" con la vostra banca, non scansionatelo — aprite l'app della vostra banca o digitate l'indirizzo che conoscete nel browser. La FTC raccomanda specificamente questo come principale consiglio per la sicurezza dei codici QR.
Non inserite mai dati di pagamento o accesso dopo aver scansionato un codice pubblico. Se un parcometro, un manifesto o qualsiasi codice QR pubblico vi chiede la carta di credito o la password, fermatevi. Le app per il parcheggio legittime e i sistemi di pagamento pubblici vi permettono di pagare tramite un'app consolidata che avete già, o accettano la vostra carta direttamente al parcometro. Non hanno bisogno che inseriate il numero completo della carta su un sito raggiunto tramite un adesivo QR.
Controllate la presenza di adesivi. Prima di scansionare un codice QR su una superficie fisica — un parcometro, un cartellino da tavolo, un manifesto — verificate se il codice è stampato direttamente o se c'è un bordo di adesivo sopra. Un adesivo posizionato sopra un codice legittimo è la forma fisica più comune di questa truffa.
Siate particolarmente scettici sui codici QR nelle e-mail. Le vere banche, aziende di utenze e servizi di consegna raramente hanno bisogno che scansioniate un codice QR. Hanno app e siti web che potete raggiungere direttamente. Un'e-mail inaspettata contenente un codice QR è un segnale d'allarme anche se il branding sembra corretto.
A cosa fare attenzione
Queste abitudini intercetteranno la maggior parte dei tentativi di quishing, ma nessun controllo è infallibile. I truffatori continuano a perfezionare le loro tecniche, e le pagine false che creano sono a volte visivamente indistinguibili da quelle reali. Se avete inserito informazioni dopo aver scansionato un codice e poi avete avuto dei dubbi, agite rapidamente: cambiate la password, chiamate la banca e segnalate l'incidente su reportfraud.ftc.gov. Prima agite, migliori sono le possibilità di limitare i danni.
Una cosa che questa guida non copre: le telefonate di follow-up alimentate dall'IA che a volte accompagnano le truffe QR. Un truffatore potrebbe chiamare poco dopo che avete scansionato un codice, sostenendo di "verificare il vostro pagamento" e chiedendo i dati della carta che non avete inserito sul sito falso. Se ricevete una chiamata inaspettata subito dopo aver scansionato un codice QR, riattaccate e chiamate l'organizzazione direttamente usando un numero che cercate voi stessi.
Cosa provare dopo
Il quishing fa parte di un'ondata più ampia di truffe alimentate dall'IA che stanno colpendo le caselle di posta in questo momento — Come riconoscere le e-mail di phishing generate dall'IA copre i segnali che indicano che un messaggio non è stato scritto da un essere umano. E se state ricevendo chiamate sospette insieme a messaggi sospetti, I migliori bloccatori di chiamate truffaldine con IA illustra gli strumenti che possono aiutare a filtrarle.


