Negli ultimi anni i QR Code sono spuntati ovunque: sui cartelloni pubblicitari, ai tavoli dei bar per consultare i menu, sui biglietti dei concerti e perfino su foglietti improvvisati appesi ai muri delle città.

La loro forza è la comodità: basta inquadrare e si apre un link, senza digitare nulla. Ma proprio questa immediatezza è anche la loro debolezza.

Un QR stampato e attaccato in stazione può sembrare innocuo o persino “carino”, magari frutto di una campagna di guerrilla marketing creativa. Tuttavia, chiunque può generare un QR, e dietro quell’immagine in bianco e nero si può nascondere un link malevolo.

Quali sono i rischi?

Tra le minacce note che si stanno facendo spazio mediante l’uso dei QR Code, si notano normalmente le stesse che sono sempre state attive mediante url, più o meno nascosti: il phishing – Il QR rimanda a una pagina che imita un servizio noto (banca, email, social) e ruba le credenziali.

Anche il malware – Il link scarica un’app o un file infetto, spesso su dispositivi Android meno protetti.

C’è poi il tracciamento non autorizzato. Alcuni link servono solo a profilare chi li visita, raccogliendo dati e comportamenti.

E, infine, le truffe lampo: link che spingono a inserire carta di credito o IBAN con pretesti urgenti (“offerta a tempo”, “ritira il tuo premio”).

Perché il rischio è alto?

Perché la maggior parte delle persone usa direttamente la fotocamera dello smartphone, che non mostra l’URL completo o non offre funzioni di analisi. Quindi l’utente medio scatta, clicca e si affida alla sorte.

Come difendersi in pratica

La regola d’oro è: non fidarsi mai ciecamente di un QR Code trovato per strada o in un contesto sospetto.

Ecco un piccolo kit di strumenti utili per verificare i link prima di aprirli:

1. App dedicate per QR Code
   • Al posto della fotocamera nativa, installare un’app che permetta di copiare il link invece che aprirlo subito: un esempio affidabile è QR Code Reader (di TinyLab), oppure QR Scanner Safe (di Trend Micro).
   • Così si può esaminare l’URL con calma e scegliere come procedere.
2. Nel caso in cui volessimo isolare il rischio dai nostri dispositivi è anche possibile disattivare la scansione diretta del codice QR sul tuo telefono.
   • Android: vai nelle impostazioni dell’app della fotocamera (cerca l’icona a forma di ingranaggio) e disattiva Google Lens, che troverai nelle impostazioni dell’intelligenza artificiale.
   • Samsung: vai nelle impostazioni dell’app della fotocamera (cerca l’icona a forma di ingranaggio) e deseleziona Scansiona codici QR.
   • Apple: vai alle impostazioni generali (cerca l’icona a forma di ingranaggio) e poi cerca Fotocamera. Seleziona Fotocamera e deseleziona Scansiona codici QR.
3. Servizi di unshortening
   • Se il link è accorciato (bit.ly, tinyurl, ecc.), prima di aprirlo si può usare:
     • unshorten.it
     • checkshorturl.com
   • Questi servizi mostrano la destinazione reale senza cliccarci.
4. Analisi delle URL sospette
   • VirusTotal – Scansione del link con decine di antivirus e motori di reputazione.
   • urlquery.net – Analisi dinamica: simula l’apertura del sito e mostra eventuali comportamenti malevoli.
   • Hybrid Analysis – Per chi vuole un controllo più tecnico e dettagliato.
5. Navigazione anonima e sicura
   • In casi dubbi, meglio aprire i link solo tramite Tor Browser o in una sandbox virtuale (per utenti più esperti).
   • Evitare di collegare lo smartphone personale a siti potenzialmente pericolosi.

Buone abitudini quotidiane

In generale, sempre meglio diffidare dei QR Code trovati su foglietti improvvisati, volantini anonimi o adesivi attaccati sopra cartelloni ufficiali.

Preferire sempre i QR provenienti da fonti affidabili e riconoscibili (come biglietti digitali, schermi di servizi noti o proiettati dentro i monitor degli ATM).

I QR Code non sono il male in sé: sono uno strumento utile e pratico. Ma come sempre in cyber security, è la superficialità dell’utente a trasformare un gesto banale in un potenziale disastro.

La prossima volta che vedete un QR Code “di strada”, ricordate: non basta inquadrare e cliccare. Serve un minuto in più per verificare – ed è quel minuto che può salvarvi da un malware o da una truffa dietro l’angolo.