Egidio
Dossier · 2026

Falsi QR code e quishing

Un QR code non ha un indirizzo visibile — è esattamente ciò che lo rende uno strumento di frode pratico. Ecco cosa documentano FBI e FTC su questo vettore in espansione.

Un allarme ufficiale, non una voce di corridoio

FBI — Internet Crime Complaint Center (IC3), avviso PSA250731

Pubblicato il 31 luglio 2025, questo avviso descrive uno schema preciso: pacchi non richiesti consegnati a privati, contenenti un biglietto con un QR code che invita a scansionarlo "per maggiori informazioni" — un modo per avviare schemi di frode tramite un intermediario fisico inatteso.

FTC (Federal Trade Commission) — avvisi ai consumatori

La FTC ha pubblicato due avvisi distinti su questo tema: nel dicembre 2023, sui truffatori che nascondono link malevoli in QR code; nel gennaio 2025, un avviso specifico sui QR code ricevuti insieme a pacchi inattesi, che reindirizzano verso siti di phishing progettati per rubare credenziali o numeri di carta di credito.

82,6%
Delle email di phishing analizzate utilizzavano l'IA generativa, un aumento del 53,5% su base annua — il contesto più ampio in cui si inserisce la crescita del quishing.
KnowBe4, 2025 Phishing Threat Trends Report. Consultato il 14/07/2026.

Perché questo vettore funziona

Un link classico in un'email può essere passato in rassegna al volo per verificarne l'indirizzo prima di cliccare. Un QR code no: bisogna scansionarlo per scoprire dove porta, e la fotocamera del telefono nasconde il passaggio di verifica che molte persone hanno imparato a fare con i link testuali. È esattamente per questo che FTC e FBI puntano specificamente su questo vettore nei loro avvisi recenti — pacchi, colonnine del parcheggio, manifesti in spazi pubblici: il supporto fisico dà una legittimità che il solo link non avrebbe.

🔒 Un link nascosto dietro un QR code reindirizza quasi sempre poi verso un SMS di conferma o una chiamata di "verifica" — è lì che interviene Egidio, collegando ciò che accade dopo la scansione agli altri canali. Vedi il rapporto mondiale sulle truffe.

Domande frequenti

Cos'è il quishing?

Una contrazione di «QR code» e «phishing»: una truffa in cui un falso QR code, spesso incollato su un supporto reale (pacco, colonnina del parcheggio, manifesto), reindirizza la vittima verso un sito fraudolento anziché quello legittimo.

L'FBI ha davvero lanciato un allarme su questo tema?

Sì. Il centro denunce dell'FBI (IC3) ha pubblicato il 31 luglio 2025 un avviso specifico su pacchi non richiesti contenenti QR code usati per avviare schemi di frode.

Come riconoscere un falso QR code?

Diffidenza sistematica verso un QR code ricevuto per posta, incollato su un supporto esistente, o accompagnato da un messaggio che crea urgenza. Il gesto più sicuro: non scansionare mai un QR code inatteso, e verificare l'indirizzo mostrato prima di proseguire se lo si scansiona comunque.

Per approfondire