Quishing e truffe con QR code: come funzionano e come raccogliere prove certificate

Un QR code sul menu, uno sul parcometro, uno sulla colonnina di ricarica, uno stampato sul bollettino arrivato per posta. Li inquadriamo per abitudine: un quadrato di pixel neri non si legge a occhio. In Italia le ricerche di "qr code scanner" sono passate da 18.100 a 40.500 al mese in un anno, più 124% secondo i dati Google Ads. Più scansioni, più superficie d'attacco.

I truffatori lavorano esattamente su questa fiducia automatica. Il quishing sposta l'inganno dentro un'immagine: nessun link sospetto da leggere, nessun testo che i filtri antispam possano analizzare, solo un codice che porta dove vuole chi l'ha creato.

Restano due domande, e la seconda quasi nessuno la affronta. Come si riconosce un QR code malevolo prima di inquadrarlo? E se la truffa è già avvenuta, come si dimostra? Denuncia e rimborso non dipendono da quanto si è convincenti, ma da cosa si riesce a produrre. Il consiglio che si legge ovunque, "fai uno screenshot con data e ora visibili", è proprio il punto più fragile della catena.

Che cos'è il quishing e perché i filtri antispam non lo intercettano

Il quishing è una truffa che usa un QR code al posto di un link testuale per portare la vittima su un sito fraudolento. Funziona perché i sistemi di sicurezza leggono il testo delle email, non le immagini: il codice supera i controlli e il destinatario lo apre con lo smartphone, fuori dalle protezioni dell'ufficio.

Come funziona un attacco quishing passo per passo

Il truffatore genera un codice QR fraudolento che punta a un sito clone, replica del portale di una banca, di un Comune o di un corriere. Poi lo mette dove la vittima se lo aspetta: su una lettera, su un parcometro, dentro un'email che sembra un avviso di consegna. Chi scansiona atterra sul clone, digita i dati della carta e li consegna a chi ha costruito la pagina. Il denaro parte in pochi minuti.

Perché il QR code aggira i controlli automatici

Il quishing è cresciuto del 146% in un solo trimestre. Il dato viene dall'Email threat landscape report di Microsoft per il primo trimestre 2026: a marzo 2026 sono stati rilevati quasi 18,7 milioni di casi di phishing tramite QR code, su 8,3 miliardi di minacce email analizzate nel trimestre. Dietro quella crescita c'è uno spostamento tattico preciso. Più i filtri diventano bravi a riconoscere URL malevoli e allegati infetti, più chi attacca sposta il carico dannoso dove il filtro non guarda, cioè dentro un'immagine. Quishing, scritto anche qrishing, indica proprio questo, il codice QR usato come vettore di phishing. Si affianca alle varianti già note, lo smishing via SMS e il vishing telefonico, con un vantaggio in più per chi attacca. Porta la vittima dal computer aziendale protetto allo smartphone personale, dove i controlli mancano quasi sempre.

Dove compaiono i QR code truffaldini: i bersagli più colpiti nel 2026

I QR code contraffatti compaiono dove il pagamento è veloce e la verifica difficile: parcheggi, colonnine di ricarica, bollettini cartacei, avvisi di consegna. La logica è sempre la stessa, inserirsi in un contesto già legittimo, dove nessuno si aspetta un inganno perché il supporto sembra ufficiale.

Parcheggi e colonnine di ricarica

Il 15 maggio 2026 il Comune di Riccione ha segnalato adesivi con QR code falsi applicati sui parcometri di viale D'Annunzio. I codici reindirizzavano a siti che simulavano il portale ufficiale di pagamento. Il danno qui è doppio. I soldi finiscono ai truffatori e la sosta non risulta pagata nei sistemi comunali, quindi l'automobilista rischia anche la contravvenzione. Il Servizio Viabilità ha rimosso gli adesivi e segnalato alle forze dell'ordine. L'avvertenza dell'amministrazione è netta: "diffidare categoricamente di qualsiasi QR code che si presenti sotto forma di adesivo incollato sulla scocca del dispositivo". I canali sicuri restano il pagamento con monete o carta al parcometro e le app autorizzate, EasyPark, MooneyGo, Telepass, Parking my car. Le colonnine di ricarica seguono lo stesso copione, con la sosta prolungata che lascia al truffatore tutto il tempo per agire.

Lettere, bollettini e comunicazioni cartacee

La truffa del postino sfrutta un canale che percepiamo affidabile per definizione: la carta. Un finto avviso di giacenza nella buca delle lettere, un QR code da inquadrare per sbloccare la consegna, una piccola somma da pagare. Vale anche per i bollettini con un codice sovrapposto all'originale. Nessun filtro interviene su un foglio di carta.

Email aziendali e falsi avvisi di consegna

Nelle caselle aziendali il codice arriva dentro finte notifiche di corriere o di rinnovo password. Stessa dinamica negli annunci di compravendita, come nelle truffe sul marketplace, dove il pagamento viene dirottato su una pagina esterna.

Come riconoscere una truffa con QR code prima di scansionare

Un QR code falso quasi sempre si tradisce due volte: sul supporto fisico, perché è stato aggiunto dopo, e sulla pagina di destinazione, perché il dominio non torna. Bastano cinque secondi prima di inquadrare e un'occhiata all'indirizzo prima di digitare qualsiasi dato.

I segnali sul codice fisico

Il segnale più affidabile è la sovrapposizione. Un codice legittimo è stampato nel supporto, non incollato sopra. Bordi sollevati, adesivi disallineati, una stampa di qualità diversa dal resto del cartello sono tutti indizi di un intervento successivo.

I segnali sulla pagina di destinazione

Prima di inserire dati si legge il dominio. Un Comune non incassa su un sito dal nome generico, e una banca non chiede mai password complete o codici OTP su una pagina raggiunta da un codice esterno.

Segnali sul codice fisico Segnali sulla pagina di destinazione
Adesivo sovrapposto al codice originale, bordi sollevati o disallineati Dominio diverso da quello ufficiale dell'ente o della banca
Stampa di qualità diversa dal resto del cartello Richiesta dei dati completi della carta, password o codici OTP
Codice incollato su scocca, palo o vetrina invece che stampato nel supporto Loghi sgranati, errori di lingua, certificato assente
Logo assente, o codice aggiunto a mano su una lettera Catena di redirezioni verso domini inattesi

Cosa fare dopo aver subito un quishing: le prove spariscono in fretta

Chi ha scansionato un QR code truffaldino ha poche ore utili. Il primo passo è bloccare la carta e contattare la banca, il secondo è raccogliere le prove prima che scompaiano: l'adesivo viene rimosso in poche ore, il sito clone va offline in pochi giorni. Poi si denuncia.

Le prove da raccogliere subito

  1. Blocca la carta e segnala subito l'operazione non autorizzata alla banca.
  2. Fotografa il QR code fisico e l'intero supporto, prima che venga rimosso.
  3. Acquisisci la pagina fraudolenta con l'indirizzo completo ben visibile.
  4. Conserva email, SMS e messaggi che contenevano il codice.
  5. Salva movimenti bancari, ricevute e ogni riferimento della transazione.

Perché uno screenshot semplice può non bastare

Uno screenshot con data e ora visibili è il consiglio più diffuso, ed è anche il più fragile. L'articolo 2712 del Codice Civile stabilisce che le riproduzioni meccaniche, quindi fotografie e copie di schermate, formano piena prova dei fatti rappresentati solo se colui contro il quale sono prodotte non ne disconosce la conformità. Tradotto: alla controparte, che sia la banca o l'imputato, basta dire "non riconosco quella schermata" perché il documento perda efficacia di piena prova. Non deve dimostrare che è falso, gli basta negarlo. A quel punto l'onere torna su chi lo ha prodotto, che deve provare in altro modo quello che dava per acquisito. Un'immagine copiata da un telefono, priva di elementi verificabili su quando e come è nata, regge poco. La differenza la fa il momento in cui la prova viene formata, non quello in cui viene esibita: è l'approccio della certificazione alla fonte adottato da TrueScreen.

Come si certificano le prove di una truffa con QR code?

TrueScreen certifica la fotografia del QR code contraffatto nel momento stesso dello scatto, associandole integrità, data certa e provenienza. L'acquisizione avviene con metodologia forense direttamente dall'app. L'immagine non viene ripescata dalla galleria qualche giorno dopo, nasce e viene sigillata sul posto, insieme ai dati di contesto. Su ogni acquisizione viene apposto il sigillo elettronico di un QTSP qualificato terzo, integrato via API, con marca temporale qualificata. Quello che ne esce ha una natura diversa da uno screenshot: chi lo riceve può controllare che il contenuto non sia stato alterato dopo l'acquisizione, e quando quell'acquisizione è avvenuta. Contro l'obiezione dell'articolo 2712 la posizione di chi denuncia cambia parecchio, perché la discussione si sposta dalla sua parola a elementi tecnici controllabili in modo indipendente. Vale per la foto del codice sul parcometro come per la schermata del sito clone.

Certificare il QR fisico e il sito clone

La prova di un quishing è doppia e volatile. Serve il codice fisico, serve la pagina, e nessuno dei due resta al suo posto a lungo. Torniamo a viale D'Annunzio. Un automobilista scansiona il QR sul parcometro, paga la sosta su un sito che replica quello del Comune, e giorni dopo si ritrova addebiti non riconosciuti e una contravvenzione per mancato pagamento. Torna al parcometro, ma l'adesivo non c'è più, il Servizio Viabilità lo ha rimosso. Apre il sito: offline. Senza una prova raccolta quando QR e sito esistevano ancora, alla banca resta la sua parola contro un estratto conto. Con l'app si può certificare la foto del QR code sul posto; con il browser forense o l'estensione per acquisire la pagina fraudolenta dal browser si cattura il sito clone prima che sparisca. Le organizzazioni usano TrueScreen, la piattaforma di certificazione dei dati, proprio per questo: ottenere un'acquisizione opponibile in sede di denuncia.

Dalla prova certificata alla denuncia

Le acquisizioni certificate si allegano alla denuncia, che si avvia dal portale Denunce online della Polizia di Stato e va poi formalizzata di persona. Lo stesso materiale sostiene il reclamo alla banca. Vale per il quishing come per le truffe sentimentali o le contestazioni sul valore legale delle fotografie.

App TrueScreen

Funzionalità

Certifica foto, video, chat e file dal tuo smartphone

Con l'app TrueScreen fotografi il QR code sospetto e il supporto su cui è applicato, con integrità e data certa fin dallo scatto.

Scopri di più →

Cosa prevede la legge italiana per le truffe con QR code

Chi realizza una truffa con QR code risponde in genere di frode informatica (articolo 640-ter del Codice Penale) e, quando il sito clone si spaccia per un ente reale, di sostituzione di persona (articolo 494). Non esiste un reato di "quishing": la condotta viene ricondotta a fattispecie già previste.

Frode informatica e sostituzione di persona

L'articolo 640-ter del Codice Penale punisce chi, alterando il funzionamento di un sistema informatico o intervenendo senza diritto su dati, informazioni o programmi, procura a sé o ad altri un ingiusto profitto con altrui danno. È la norma che copre il pagamento dirottato sul conto del truffatore, e l'interesse non è teorico. Le ricerche su "frode informatica" hanno toccato un picco a febbraio 2026, con 3.600 ricerche mensili. L'articolo 494 punisce invece chi induce taluno in errore sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome o un falso stato: è la fattispecie del sito che si presenta come il portale del Comune o della banca. Le due ipotesi convivono nello stesso attacco, e la Polizia Postale documenta il quishing come furto di dati tramite QR code dal 2023.

Il rimborso dalla banca e l'onere della prova

La banca non rimborsa in automatico. La normativa sui servizi di pagamento tutela chi subisce operazioni non autorizzate, ma l'istituto può opporre la colpa grave del cliente, sostenendo che i dati sono stati digitati volontariamente. La stessa logica governa il chargeback sulle carte, dove la richiesta va motivata con documentazione. Qui la qualità delle prove pesa più di tutto il resto, e la Banca d'Italia spiega cosa fare da vittima di una truffa cyber.

FAQ: le domande più frequenti sul quishing

Cosa significa quishing?
Quishing è la contrazione di "QR code" e "phishing": una truffa che usa un codice QR, invece di un link testuale, per portare la vittima su un sito fraudolento e sottrarle dati o denaro. La Banca d'Italia lo classifica tra le truffe informatiche più diffuse. Si trova scritto anche come qrishing.
Cos'è la truffa dell'adesivo sul parcometro?
È un quishing fisico: il truffatore incolla un adesivo con un QR code falso sul parcometro, sopra o accanto a quello ufficiale, e chi lo scansiona paga su un sito clone. Il danno è doppio, perché i soldi vanno al truffatore e la sosta non risulta registrata, con il rischio di una contravvenzione. Il caso di Riccione del maggio 2026 ne è l'esempio documentato.
Uno screenshot del sito truffa basta come prova?
Spesso no. Per l'articolo 2712 del Codice Civile una riproduzione meccanica fa piena prova solo se la controparte non ne disconosce la conformità: basta una contestazione perché perda valore. Chi ha subito la truffa può certificare lo screenshot della pagina fraudolenta con TrueScreen, che ne attesta integrità e data di acquisizione.
Come validare un QR code prima di scansionarlo?
Controlla il supporto: se il codice è un adesivo applicato sopra un altro, non fidarti. Usa un lettore che mostri l'indirizzo prima di aprirlo e verifica che il dominio sia quello ufficiale dell'ente. Nel dubbio, ignora il codice e digita l'indirizzo a mano.
Il codice QR è un virus?
No. Un QR code è un'immagine che contiene un'informazione, di solito un indirizzo web, e da sola non esegue nulla. Il rischio arriva dopo, quando il dispositivo apre la destinazione: un sito clone che chiede dati o, più raramente, una pagina che propone il download di un file malware.
Cosa fare subito dopo aver scansionato un QR code truffaldino?
Se hai inserito dati, blocca la carta e avvisa la banca, poi cambia le password interessate. Se hai già pagato, chiedi lo storno. Prima che spariscano, fotografa il codice fisico e acquisisci la pagina fraudolenta con l'indirizzo visibile: servono per la denuncia e per il reclamo.
La banca è obbligata a rimborsare una truffa da quishing?
Non in automatico. Per le operazioni non autorizzate la normativa sui servizi di pagamento prevede il rimborso, ma l'istituto può contestare la colpa grave del cliente se i dati sono stati digitati sul sito clone. L'esito dipende dalla ricostruzione dei fatti e dalla documentazione che si porta.
Che reato commette chi crea un QR code falso?
Di norma frode informatica, articolo 640-ter del Codice Penale, per il profitto ottenuto intervenendo senza diritto su un sistema o sui dati. Se il sito di destinazione imita un ente o una banca si aggiunge la sostituzione di persona, articolo 494. Possono concorrere accesso abusivo a sistema informatico e trattamento illecito di dati personali.

Le prove di una truffa non aspettano

L’adesivo viene rimosso in poche ore, il sito clone sparisce in pochi giorni. Con TrueScreen acquisisci e certifichi foto e pagine web con valore legale, nel momento in cui esistono ancora.

applicazione mockup