I codici QR sono sicuri? Rischi e consigli per scansionare senza problemi

Sì, i codici QR sono sicuri da scansionare, a patto di usare uno scanner di codici QR che ti mostri il link prima di aprirlo e di diffidare dei codici incollati per strada. Il quadratino in sé non contiene virus: è solo un modo per memorizzare dei dati. Il pericolo non è mai il QR, ma la pagina a cui ti porta. Se la tua app ti fa vedere l’indirizzo prima di aprire qualsiasi cosa, hai già eliminato gran parte del rischio con una sola occhiata.

Vediamo i dettagli, perché in Italia le truffe tramite codice QR (il cosiddetto qrishing) sono ormai così diffuse che la Polizia Postale ci ha dedicato avvisi specifici. Saper distinguere un codice affidabile da una trappola fa davvero la differenza.

Come funziona davvero un codice QR

Un codice QR è un codice a barre bidimensionale che memorizza informazioni come una griglia di quadratini bianchi e neri. Quando lo inquadri, il telefono decodifica quel disegno e lo trasforma in dati: di solito un indirizzo web (URL), ma a volte anche testo, una rete WiFi o una scheda contatto (vCard).

Il punto chiave è questo: il codice non “esegue” nulla da solo. È un contenitore di informazioni, esattamente come un collegamento ipertestuale su una pagina web. Il rischio nasce da cosa fai dopo averlo letto, cioè dall’aprire o meno quel link.

I rischi reali (e dove si nascondono)

Phishing e link malevoli

La minaccia più comune è un codice QR che ti porta a un sito di phishing: una pagina falsa creata per rubarti credenziali di accesso, dati della carta o informazioni personali. Visto che non puoi “leggere” la destinazione semplicemente guardando il quadratino, i truffatori sfruttano proprio questa curiosità per aggirare la diffidenza che avresti davanti a un link sospetto in una mail o in un SMS.

Qrishing: il phishing tramite QR code

Gli esperti di sicurezza hanno dato un nome a questa tecnica: qrishing (da QR + phishing). Il truffatore incolla un codice fraudolento sopra uno legittimo, ad esempio su un parchimetro, sul menu di un locale, su una colonnina di ricarica o su un manifesto pubblico. Chi inquadra il codice falso finisce su una finta pagina di pagamento controllata dal criminale.

In Italia i casi più frequenti riguardano i parchimetri e le multe false: ti arriva un avviso che ti invita a pagare inquadrando un QR, e quel codice ti porta a un sito clone. La Polizia Postale invita sempre a controllare il dominio e a non inserire mai i dati della carta su pagine raggiunte tramite codici trovati in giro.

Raccolta di dati e download

A volte un codice QR rimanda al download di un file invece che a una pagina web. Gli smartphone moderni chiedono conferma prima di installare qualsiasi cosa, ma sui dispositivi più vecchi vale la pena fare attenzione. Altri codici portano a pagine che raccolgono dati in modo aggressivo o che ti fanno rimbalzare tra più indirizzi per profilare la tua navigazione: un trattamento di dati che, in assenza di consenso, viola anche il GDPR vigilato dal Garante per la protezione dei dati personali.

Come scansionare in sicurezza

Bastano poche abitudini per essere al sicuro nella stragrande maggioranza dei casi.

1. Guarda l’URL prima di aprirlo

È il passaggio più importante. Un’app affidabile ti mostra il contenuto decodificato prima di fare qualsiasi cosa. QR Toolkit è costruita esattamente su questo principio: quando inquadri un codice, l’app mostra prima il contenuto completo sullo schermo. Sei tu a decidere se aprire il link, copiarlo o ignorarlo. Niente succede senza la tua approvazione. In più, la decodifica avviene sul dispositivo e non ci sono pubblicità né SDK di tracciamento o advertising ID a seguirti.

2. Controlla bene il dominio

Una volta che vedi l’URL, leggilo con attenzione. Il dominio corrisponde davvero al marchio o al servizio che ti aspetti? Occhio alle storpiature sottili come “arnazon.com” al posto di “amazon.com”, o a estensioni di dominio insolite. Se qualcosa non ti torna, non aprire.

3. Usa uno scanner di fiducia

La fotocamera del telefono spesso apre i link quasi subito, lasciandoti poco margine per ispezionarli. Un’app dedicata ti dà più controllo: cerca uno strumento che mostri l’anteprima del contenuto, tenga uno storico delle scansioni e non riempia l’esperienza di pubblicità.

4. Diffida dei codici nei luoghi pubblici

Tratta con scetticismo i codici QR negli spazi pubblici. Quelli sulla cartellonistica ufficiale di un’attività nota sono di solito affidabili. Quelli su adesivi anonimi, volantini attaccati ai pali o bigliettini scritti a mano meritano attenzione. Se un codice sembra incollato sopra un altro, evitalo.

5. Tieni aggiornato il telefono

iOS e Android moderni includono protezioni integrate contro i siti di phishing noti e i download malevoli. Tenere aggiornati sistema operativo e browser ti garantisce di beneficiare delle ultime patch di sicurezza.

Consigli per chi usa i codici QR nella propria attività

Se nella tua attività usi i codici QR, hai anche la responsabilità di proteggere i clienti.

• Usa link HTTPS. Ogni indirizzo dietro i tuoi codici dovrebbe usare HTTPS per garantire connessioni cifrate.
• Usa un dominio tuo. Evita gli abbreviatori di link gratuiti per i codici critici: se il servizio chiude o viene compromesso, i tuoi codici smettono di funzionare o reindirizzano altrove.
• Controlla i codici fisici. Verifica ogni tanto i codici esposti per assicurarti che nessuno abbia incollato sopra un adesivo diverso.
• Forma il personale. I collaboratori devono sapere che non si scansionano codici di origine sconosciuta sui dispositivi di lavoro, esattamente come non si clicca sui link sospetti nelle mail.

Domande frequenti

Un codice QR può contenere un virus? No. Il codice è solo un modo per memorizzare dei dati e non può eseguire nulla da solo. Il rischio è la pagina o il file a cui rimanda, non il quadratino in sé. Per questo conta vedere il link prima di aprirlo.

Come riconosco una truffa qrishing? Diffida dei codici incollati su parchimetri, manifesti o avvisi di pagamento trovati in giro. Prima di aprire, controlla il dominio: deve corrispondere al servizio ufficiale e usare HTTPS. Non inserire mai i dati della carta su pagine raggiunte tramite codici sospetti e, in caso di dubbio, segnala alla Polizia Postale.

Scansionare un QR è più sicuro con un’app dedicata? Sì, se l’app ti mostra il contenuto prima di aprirlo. La fotocamera di sistema tende ad aprire subito il link, mentre uno scanner come QR Toolkit ti fa vedere l’URL completo e lascia a te la decisione.

In sintesi

I codici QR sono una tecnologia sicura e utile, se usata con un minimo di consapevolezza. Il rischio nasce dal seguire i link alla cieca senza controllare dove portano, lo stesso rischio che esiste con qualsiasi collegamento su internet.

Scansiona in modo intelligente: usa un’app come QR Toolkit che ti mostra cosa c’è dentro un codice prima di agire, controlla sempre gli URL e diffida dei codici nei luoghi pubblici. Con queste abitudini puoi inquadrare in tutta tranquillità, sapendo di avere il controllo.