I QR code sono comodi: permettono di aprire un menu, pagare un parcheggio, collegarsi a una rete Wi-Fi o scaricare un’app in pochi secondi. Proprio questa immediatezza, pero, li rende uno strumento interessante anche per truffatori e criminali informatici. Un codice QR non mostra a colpo d’occhio dove porta: chi lo scansiona deve fidarsi di un quadrato grafico che puo nascondere un link, un comando o una configurazione potenzialmente pericolosa.
Perche un QR code puo essere pericoloso
Il problema principale e che il QR code sposta l’attenzione dall’indirizzo reale alla promessa stampata accanto al codice. Un adesivo applicato sopra un QR code legittimo, un volantino falso o un cartello contraffatto possono indirizzare l’utente verso pagine che imitano banche, servizi di pagamento, social network o portali aziendali.
Una volta aperta la pagina, l’attacco puo assumere forme diverse: richiesta di credenziali, inserimento dei dati della carta, download di applicazioni non ufficiali, autorizzazioni eccessive, abbonamenti fraudolenti o tentativi di installare profili di configurazione. Il telefono, di per se, non viene compromesso solo perche ha letto il codice: il rischio nasce da cio che l’utente apre, concede o installa dopo la scansione.
I rischi specifici su Android
Su Android il pericolo piu comune e il download di file APK fuori dal Play Store. Un QR code puo portare a una pagina che invita a installare un’app apparentemente necessaria per completare un pagamento, ottenere uno sconto o accedere a un servizio. Se l’utente abilita l’installazione da fonti sconosciute, l’app puo richiedere permessi invasivi, intercettare notifiche, leggere SMS, rubare credenziali o sovrapporsi ad altre app con schermate false.
Un altro rischio riguarda i link di phishing ottimizzati per smartphone. Su schermi piccoli e piu difficile leggere con attenzione l’indirizzo completo, e molti siti fraudolenti usano domini simili a quelli originali. Anche le reti Wi-Fi configurate via QR code meritano prudenza: collegarsi automaticamente a una rete non verificata puo esporre il traffico a intercettazioni o reindirizzamenti malevoli.
I rischi specifici su iPhone
iOS limita molto l’installazione di software fuori dai canali ufficiali, ma non elimina il problema. Un QR code puo comunque portare a pagine di phishing credibili, richieste di pagamento fraudolente, falsi accessi Apple ID o servizi bancari contraffatti. Puo anche proporre l’installazione di profili di configurazione o di gestione del dispositivo: elementi legittimi in ambito aziendale, ma pericolosi se installati senza sapere esattamente chi li ha generati e per quale scopo.
Anche su iPhone e importante osservare l’anteprima del link prima di aprirlo. La fotocamera e le app moderne mostrano l’indirizzo o il tipo di azione associata al QR code: e un passaggio da non saltare, soprattutto quando il codice si trova in luoghi pubblici o su materiale non ufficiale.
Come riconoscere un QR code sospetto
- Il codice e applicato con un adesivo sopra un cartello, un menu o un parcometro.
- La pagina aperta chiede subito dati personali, password, codici OTP o dati di pagamento.
- L’indirizzo del sito contiene errori, trattini insoliti, domini strani o parole aggiunte al nome di un marchio noto.
- Viene richiesto di installare un’app, un APK o un profilo di configurazione per completare un’operazione semplice.
- Il messaggio crea urgenza: multa da pagare subito, conto bloccato, pacco in attesa, sconto valido solo per pochi minuti.
Buone pratiche per proteggersi
- Controllare sempre l’anteprima del link prima di aprirlo.
- Non inserire password o dati bancari dopo aver seguito un QR code trovato in pubblico.
- Per pagamenti, multe, banche e servizi pubblici, digitare manualmente l’indirizzo ufficiale o usare l’app gia installata.
- Su Android, non installare APK suggeriti da un QR code e mantenere disattivata l’installazione da fonti sconosciute.
- Su iOS, non installare profili di configurazione se non provengono da un’organizzazione fidata e verificata.
- Mantenere sistema operativo, browser e app aggiornati.
- Usare l’autenticazione a due fattori, preferibilmente con app autenticatore o passkey.
Cosa fare se si e gia scansionato un QR code sospetto
Se ci si limita ad aprire un link, nella maggior parte dei casi basta chiudere la pagina senza inserire dati. Se invece sono state digitate credenziali, bisogna cambiare subito la password dal sito ufficiale e revocare le sessioni attive. Se sono stati inseriti dati di pagamento, e opportuno contattare la banca o l’emittente della carta. Se e stata installata un’app o un profilo di configurazione, va rimosso immediatamente e conviene eseguire un controllo di sicurezza del dispositivo.
Il QR code non e pericoloso in quanto tecnologia: e pericolosa la fiducia automatica in cio che contiene. La regola pratica e semplice: un codice sconosciuto va trattato come un link sconosciuto ricevuto via email o messaggio. Prima si verifica la destinazione, poi si decide se aprire.