Quishing e truffe con QR code: come funzionano e come raccogliere prove certificate
Un QR code sul menu, uno sul parcometro, uno sulla colonnina di ricarica, uno stampato sul bollettino arrivato per posta. Li inquadriamo per abitudine: un quadrato di pixel neri non si legge a occhio. In Italia le ricerche di "qr code scanner" sono passate da 18.100 a 40.500 al mese in un anno, più 124% secondo i dati Google Ads. Più scansioni, più superficie d'attacco.
I truffatori lavorano esattamente su questa fiducia automatica. Il quishing sposta l'inganno dentro un'immagine: nessun link sospetto da leggere, nessun testo che i filtri antispam possano analizzare, solo un codice che porta dove vuole chi l'ha creato.
Restano due domande, e la seconda quasi nessuno la affronta. Come si riconosce un QR code malevolo prima di inquadrarlo? E se la truffa è già avvenuta, come si dimostra? Denuncia e rimborso non dipendono da quanto si è convincenti, ma da cosa si riesce a produrre. Il consiglio che si legge ovunque, "fai uno screenshot con data e ora visibili", è proprio il punto più fragile della catena.
Che cos'è il quishing e perché i filtri antispam non lo intercettano
Il quishing è una truffa che usa un QR code al posto di un link testuale per portare la vittima su un sito fraudolento. Funziona perché i sistemi di sicurezza leggono il testo delle email, non le immagini: il codice supera i controlli e il destinatario lo apre con lo smartphone, fuori dalle protezioni dell'ufficio.
Come funziona un attacco quishing passo per passo
Il truffatore genera un codice QR fraudolento che punta a un sito clone, replica del portale di una banca, di un Comune o di un corriere. Poi lo mette dove la vittima se lo aspetta: su una lettera, su un parcometro, dentro un'email che sembra un avviso di consegna. Chi scansiona atterra sul clone, digita i dati della carta e li consegna a chi ha costruito la pagina. Il denaro parte in pochi minuti.
Perché il QR code aggira i controlli automatici
Il quishing è cresciuto del 146% in un solo trimestre. Il dato viene dall'Email threat landscape report di Microsoft per il primo trimestre 2026: a marzo 2026 sono stati rilevati quasi 18,7 milioni di casi di phishing tramite QR code, su 8,3 miliardi di minacce email analizzate nel trimestre. Dietro quella crescita c'è uno spostamento tattico preciso. Più i filtri diventano bravi a riconoscere URL malevoli e allegati infetti, più chi attacca sposta il carico dannoso dove il filtro non guarda, cioè dentro un'immagine. Quishing, scritto anche qrishing, indica proprio questo, il codice QR usato come vettore di phishing. Si affianca alle varianti già note, lo smishing via SMS e il vishing telefonico, con un vantaggio in più per chi attacca. Porta la vittima dal computer aziendale protetto allo smartphone personale, dove i controlli mancano quasi sempre.
Dove compaiono i QR code truffaldini: i bersagli più colpiti nel 2026
I QR code contraffatti compaiono dove il pagamento è veloce e la verifica difficile: parcheggi, colonnine di ricarica, bollettini cartacei, avvisi di consegna. La logica è sempre la stessa, inserirsi in un contesto già legittimo, dove nessuno si aspetta un inganno perché il supporto sembra ufficiale.
Parcheggi e colonnine di ricarica
Il 15 maggio 2026 il Comune di Riccione ha segnalato adesivi con QR code falsi applicati sui parcometri di viale D'Annunzio. I codici reindirizzavano a siti che simulavano il portale ufficiale di pagamento. Il danno qui è doppio. I soldi finiscono ai truffatori e la sosta non risulta pagata nei sistemi comunali, quindi l'automobilista rischia anche la contravvenzione. Il Servizio Viabilità ha rimosso gli adesivi e segnalato alle forze dell'ordine. L'avvertenza dell'amministrazione è netta: "diffidare categoricamente di qualsiasi QR code che si presenti sotto forma di adesivo incollato sulla scocca del dispositivo". I canali sicuri restano il pagamento con monete o carta al parcometro e le app autorizzate, EasyPark, MooneyGo, Telepass, Parking my car. Le colonnine di ricarica seguono lo stesso copione, con la sosta prolungata che lascia al truffatore tutto il tempo per agire.
Lettere, bollettini e comunicazioni cartacee
La truffa del postino sfrutta un canale che percepiamo affidabile per definizione: la carta. Un finto avviso di giacenza nella buca delle lettere, un QR code da inquadrare per sbloccare la consegna, una piccola somma da pagare. Vale anche per i bollettini con un codice sovrapposto all'originale. Nessun filtro interviene su un foglio di carta.
Email aziendali e falsi avvisi di consegna
Nelle caselle aziendali il codice arriva dentro finte notifiche di corriere o di rinnovo password. Stessa dinamica negli annunci di compravendita, come nelle truffe sul marketplace, dove il pagamento viene dirottato su una pagina esterna.
Come riconoscere una truffa con QR code prima di scansionare
Un QR code falso quasi sempre si tradisce due volte: sul supporto fisico, perché è stato aggiunto dopo, e sulla pagina di destinazione, perché il dominio non torna. Bastano cinque secondi prima di inquadrare e un'occhiata all'indirizzo prima di digitare qualsiasi dato.
I segnali sul codice fisico
Il segnale più affidabile è la sovrapposizione. Un codice legittimo è stampato nel supporto, non incollato sopra. Bordi sollevati, adesivi disallineati, una stampa di qualità diversa dal resto del cartello sono tutti indizi di un intervento successivo.
I segnali sulla pagina di destinazione
Prima di inserire dati si legge il dominio. Un Comune non incassa su un sito dal nome generico, e una banca non chiede mai password complete o codici OTP su una pagina raggiunta da un codice esterno.
| Segnali sul codice fisico | Segnali sulla pagina di destinazione |
|---|---|
| Adesivo sovrapposto al codice originale, bordi sollevati o disallineati | Dominio diverso da quello ufficiale dell'ente o della banca |
| Stampa di qualità diversa dal resto del cartello | Richiesta dei dati completi della carta, password o codici OTP |
| Codice incollato su scocca, palo o vetrina invece che stampato nel supporto | Loghi sgranati, errori di lingua, certificato assente |
| Logo assente, o codice aggiunto a mano su una lettera | Catena di redirezioni verso domini inattesi |
Cosa fare dopo aver subito un quishing: le prove spariscono in fretta
Chi ha scansionato un QR code truffaldino ha poche ore utili. Il primo passo è bloccare la carta e contattare la banca, il secondo è raccogliere le prove prima che scompaiano: l'adesivo viene rimosso in poche ore, il sito clone va offline in pochi giorni. Poi si denuncia.
Le prove da raccogliere subito
- Blocca la carta e segnala subito l'operazione non autorizzata alla banca.
- Fotografa il QR code fisico e l'intero supporto, prima che venga rimosso.
- Acquisisci la pagina fraudolenta con l'indirizzo completo ben visibile.
- Conserva email, SMS e messaggi che contenevano il codice.
- Salva movimenti bancari, ricevute e ogni riferimento della transazione.
Perché uno screenshot semplice può non bastare
Uno screenshot con data e ora visibili è il consiglio più diffuso, ed è anche il più fragile. L'articolo 2712 del Codice Civile stabilisce che le riproduzioni meccaniche, quindi fotografie e copie di schermate, formano piena prova dei fatti rappresentati solo se colui contro il quale sono prodotte non ne disconosce la conformità. Tradotto: alla controparte, che sia la banca o l'imputato, basta dire "non riconosco quella schermata" perché il documento perda efficacia di piena prova. Non deve dimostrare che è falso, gli basta negarlo. A quel punto l'onere torna su chi lo ha prodotto, che deve provare in altro modo quello che dava per acquisito. Un'immagine copiata da un telefono, priva di elementi verificabili su quando e come è nata, regge poco. La differenza la fa il momento in cui la prova viene formata, non quello in cui viene esibita: è l'approccio della certificazione alla fonte adottato da TrueScreen.
Come si certificano le prove di una truffa con QR code?
TrueScreen certifica la fotografia del QR code contraffatto nel momento stesso dello scatto, associandole integrità, data certa e provenienza. L'acquisizione avviene con metodologia forense direttamente dall'app. L'immagine non viene ripescata dalla galleria qualche giorno dopo, nasce e viene sigillata sul posto, insieme ai dati di contesto. Su ogni acquisizione viene apposto il sigillo elettronico di un QTSP qualificato terzo, integrato via API, con marca temporale qualificata. Quello che ne esce ha una natura diversa da uno screenshot: chi lo riceve può controllare che il contenuto non sia stato alterato dopo l'acquisizione, e quando quell'acquisizione è avvenuta. Contro l'obiezione dell'articolo 2712 la posizione di chi denuncia cambia parecchio, perché la discussione si sposta dalla sua parola a elementi tecnici controllabili in modo indipendente. Vale per la foto del codice sul parcometro come per la schermata del sito clone.
Certificare il QR fisico e il sito clone
La prova di un quishing è doppia e volatile. Serve il codice fisico, serve la pagina, e nessuno dei due resta al suo posto a lungo. Torniamo a viale D'Annunzio. Un automobilista scansiona il QR sul parcometro, paga la sosta su un sito che replica quello del Comune, e giorni dopo si ritrova addebiti non riconosciuti e una contravvenzione per mancato pagamento. Torna al parcometro, ma l'adesivo non c'è più, il Servizio Viabilità lo ha rimosso. Apre il sito: offline. Senza una prova raccolta quando QR e sito esistevano ancora, alla banca resta la sua parola contro un estratto conto. Con l'app si può certificare la foto del QR code sul posto; con il browser forense o l'estensione per acquisire la pagina fraudolenta dal browser si cattura il sito clone prima che sparisca. Le organizzazioni usano TrueScreen, la piattaforma di certificazione dei dati, proprio per questo: ottenere un'acquisizione opponibile in sede di denuncia.
Dalla prova certificata alla denuncia
Le acquisizioni certificate si allegano alla denuncia, che si avvia dal portale Denunce online della Polizia di Stato e va poi formalizzata di persona. Lo stesso materiale sostiene il reclamo alla banca. Vale per il quishing come per le truffe sentimentali o le contestazioni sul valore legale delle fotografie.
Cosa prevede la legge italiana per le truffe con QR code
Chi realizza una truffa con QR code risponde in genere di frode informatica (articolo 640-ter del Codice Penale) e, quando il sito clone si spaccia per un ente reale, di sostituzione di persona (articolo 494). Non esiste un reato di "quishing": la condotta viene ricondotta a fattispecie già previste.
Frode informatica e sostituzione di persona
L'articolo 640-ter del Codice Penale punisce chi, alterando il funzionamento di un sistema informatico o intervenendo senza diritto su dati, informazioni o programmi, procura a sé o ad altri un ingiusto profitto con altrui danno. È la norma che copre il pagamento dirottato sul conto del truffatore, e l'interesse non è teorico. Le ricerche su "frode informatica" hanno toccato un picco a febbraio 2026, con 3.600 ricerche mensili. L'articolo 494 punisce invece chi induce taluno in errore sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato: è la fattispecie del sito che si presenta come il portale del Comune o della banca. Le due ipotesi convivono nello stesso attacco, e la Polizia Postale documenta il quishing come furto di dati tramite QR code dal 2023.
Il rimborso dalla banca e l'onere della prova
La banca non rimborsa in automatico. La normativa sui servizi di pagamento tutela chi subisce operazioni non autorizzate, ma l'istituto può opporre la colpa grave del cliente, sostenendo che i dati sono stati digitati volontariamente. La stessa logica governa il chargeback sulle carte, dove la richiesta va motivata con documentazione. Qui la qualità delle prove pesa più di tutto il resto, e la Banca d'Italia spiega cosa fare da vittima di una truffa cyber.
