Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la guida

Attenzione ai QR Code “di strada”: guida pratica per riconoscere rischi e difendersi

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Indirizzo copiato

Quando un sistema di comunicazione si diffonde, con questo aumentano anche i tentativi di sfruttamento malevolo del sistema. I QR Code sono diventati un mezzo di comunicazione per i link Web e questo utilizzo si sta diffondendo: vediamo come mitigare i rischi con piccoli gesti quotidiani

Pubblicato il 30 set 2025
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

QR code rischi

Negli ultimi anni i QR Code sono spuntati ovunque: sui cartelloni pubblicitari, ai tavoli dei bar per consultare i menu, sui biglietti dei concerti e perfino su foglietti improvvisati appesi ai muri delle città.

La loro forza è la comodità: basta inquadrare e si apre un link, senza digitare nulla. Ma proprio questa immediatezza è anche la loro debolezza.

Un QR stampato e attaccato in stazione può sembrare innocuo o persino “carino”, magari frutto di una campagna di guerrilla marketing creativa. Tuttavia, chiunque può generare un QR, e dietro quell’immagine in bianco e nero si può nascondere un link malevolo.

Quali sono i rischi?

Tra le minacce note che si stanno facendo spazio mediante l’uso dei QR Code, si notano normalmente le stesse che sono sempre state attive mediante url, più o meno nascosti: il phishing – Il QR rimanda a una pagina che imita un servizio noto (banca, email, social) e ruba le credenziali.

Anche il malware – Il link scarica un’app o un file infetto, spesso su dispositivi Android meno protetti.

C’è poi il tracciamento non autorizzato. Alcuni link servono solo a profilare chi li visita, raccogliendo dati e comportamenti.

E, infine, le truffe lampo: link che spingono a inserire carta di credito o IBAN con pretesti urgenti (“offerta a tempo”, “ritira il tuo premio”).

Perché il rischio è alto?

Perché la maggior parte delle persone usa direttamente la fotocamera dello smartphone, che non mostra l’URL completo o non offre funzioni di analisi. Quindi l’utente medio scatta, clicca e si affida alla sorte.

Come difendersi in pratica

La regola d’oro è: non fidarsi mai ciecamente di un QR Code trovato per strada o in un contesto sospetto.

Ecco un piccolo kit di strumenti utili per verificare i link prima di aprirli:

  1. App dedicate per QR Code
    • Al posto della fotocamera nativa, installare un’app che permetta di copiare il link invece che aprirlo subito: un esempio affidabile è QR Code Reader (di TinyLab), oppure QR Scanner Safe (di Trend Micro).
    • Così si può esaminare l’URL con calma e scegliere come procedere.
  2. Nel caso in cui volessimo isolare il rischio dai nostri dispositivi è anche possibile disattivare la scansione diretta del codice QR sul tuo telefono.
    • Android: vai nelle impostazioni dell’app della fotocamera (cerca l’icona a forma di ingranaggio) e disattiva Google Lens, che troverai nelle impostazioni dell’intelligenza artificiale.
    • Samsung: vai nelle impostazioni dell’app della fotocamera (cerca l’icona a forma di ingranaggio) e deseleziona Scansiona codici QR.
    • Apple: vai alle impostazioni generali (cerca l’icona a forma di ingranaggio) e poi cerca Fotocamera. Seleziona Fotocamera e deseleziona Scansiona codici QR.
  3. Servizi di unshortening
    • Se il link è accorciato (bit.ly, tinyurl, ecc.), prima di aprirlo si può usare:
    • Questi servizi mostrano la destinazione reale senza cliccarci.
  4. Analisi delle URL sospette
    • VirusTotal – Scansione del link con decine di antivirus e motori di reputazione.
    • urlquery.net – Analisi dinamica: simula l’apertura del sito e mostra eventuali comportamenti malevoli.
    • Hybrid Analysis – Per chi vuole un controllo più tecnico e dettagliato.
  5. Navigazione anonima e sicura
    • In casi dubbi, meglio aprire i link solo tramite Tor Browser o in una sandbox virtuale (per utenti più esperti).
    • Evitare di collegare lo smartphone personale a siti potenzialmente pericolosi.

Buone abitudini quotidiane

In generale, sempre meglio diffidare dei QR Code trovati su foglietti improvvisati, volantini anonimi o adesivi attaccati sopra cartelloni ufficiali.

Preferire sempre i QR provenienti da fonti affidabili e riconoscibili (come biglietti digitali, schermi di servizi noti o proiettati dentro i monitor degli ATM).

I QR Code non sono il male in sé: sono uno strumento utile e pratico. Ma come sempre in cyber security, è la superficialità dell’utente a trasformare un gesto banale in un potenziale disastro.

La prossima volta che vedete un QR Code “di strada”, ricordate: non basta inquadrare e cliccare. Serve un minuto in più per verificare – ed è quel minuto che può salvarvi da un malware o da una truffa dietro l’angolo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Dario Fadda
Research Infosec, fondatore Insicurezzadigitale.com

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • L'AI generativa aiuta lo spionaggio ai danni dell'esercito USA

  • sperimentazioni

    L'AI generativa aiuta lo spionaggio a favore dell'esercito USA

    22 Apr 2025

    di Marco Santarelli

    Condividi
  • Cnil: i vantaggi di avere un Dpo in azienda, leva strategica del business

  • lo studio

    CNIL: i vantaggi di avere un DPO in azienda, leva strategica del business

    24 Lug 2025

    di Chiara Ponti

    Condividi
  • Malware estensioni Chrome

  • L'ANALISI TECNICA

    Malware nascosto in oltre 100 popolari estensioni per Chrome: come proteggersi

    22 Mag 2025

    di Salvatore Lombardo

    Condividi
  • Metadati email e log di navigazione sanzione Regione Lombardia

  • garante privacy

    Metadati di e-mail e internet: regole operative sui tempi di conservazione

    25 Giu 2025

    di Riccardo Berti

    Condividi