Non tutto ciò che si scansiona merita fiducia: a volte il pericolo è nascosto nel quadrato perfetto.
I QR code sono entrati nella nostra vita senza far rumore. Menu nei ristoranti, biglietti elettronici, documenti scaricabili, pagamenti veloci. È tutto immediato: si apre la fotocamera, si inquadra il codice e si aspetta che lo smartphone faccia il resto. Proprio questa abitudine, però, è diventata il terreno ideale per una nuova tecnica di attacco informatico che nel 2026 rischia di diffondersi rapidamente.
Il problema nasce dal fatto che un QR code non è leggibile a occhio nudo. A differenza di un link tradizionale, non possiamo anticipare dove porta. Ci fidiamo del contesto: un bar, un pacco in arrivo, un post-it sul citofono, un volantino. Gli hacker sfruttano proprio questo meccanismo, sostituendo QR legittimi con codici falsi che rimandano a pagine pericolose.
Una volta scansionato un QR malevolo, lo smartphone può aprire un sito creato per rubare dati, richiedere credenziali o installare software dannosi. È una trappola silenziosa, perché non c’è alcun clic sospetto: basta una semplice inquadratura. In alcuni casi il QR avvia automaticamente l’installazione di app non autorizzate, soprattutto su dispositivi che non hanno attivato tutte le protezioni.
Questi attacchi avvengono soprattutto nei luoghi più comuni. I criminali sovrappongono adesivi con nuovi QR sopra quelli originali. È successo su cartelli stradali, parcometri, biciclette a noleggio, volantini condominiali. Chi scansiona il codice crede di pagare il parcheggio o richiedere un servizio, ma finisce su un sito fasullo che raccoglie informazioni sensibili.
QR tramite messaggi e mail: qual è la difesa giusta
Il 2026 introduce anche un altro rischio: i QR generati tramite messaggi o email. Sono mascherati da avvisi di consegna, promozioni o richieste urgenti. Una persona che non cliccherebbe su un link sospetto potrebbe invece fidarsi di un QR, proprio perché sembra un elemento “fisico”.
La difesa più efficace è rallentare. Prima di scansionare un QR, bisogna controllare che non sia un adesivo applicato sopra un codice originale. Se è fuori posto, di colore diverso o mal allineato, meglio evitarlo. Nei ristoranti e nei luoghi pubblici è consigliabile chiedere conferma al personale.
Un altro accorgimento utile è disattivare l’apertura automatica dei link. Molti smartphone permettono di visualizzare l’indirizzo web prima di aprirlo: un dettaglio semplice che può evitare grossi problemi. Anche limitare le autorizzazioni delle app di scansione riduce la possibilità di installazioni indesiderate.
I QR code resteranno uno strumento utile, ma il loro utilizzo richiede maggiore consapevolezza. Non bisogna diffidare di tutto, ma nemmeno considerare ogni codice come innocuo. Gli hacker hanno capito che è più facile sfruttare le nostre abitudini che aggirare i sistemi di sicurezza.
La tecnologia ci semplifica la vita, ma non sostituisce il buon senso. Prima di inquadrare un QR, chiediamoci sempre: “Ha senso che sia qui? Lo riconosco? Mi fido della fonte?”. Nel 2026 queste domande faranno la differenza tra un gesto sicuro e un rischio serio.
