Il QRishing è una forma di attacco informatico che fonde due elementi apparentemente innocui: i QR code, quei quadratini bianchi e neri che scannerizziamo quotidianamente al ristorante o al supermercato, e il phishing, quella tecnica di truffa digitale dove qualcuno si finge un’entità affidabile per rubarti dati sensibili. Il termine nasce dall’unione di “QR” (Quick Response, il nome tecnico dei codici a barre bidimensionali) e “phishing” (che significa letteralmente “pescare”, nel senso di pescare vittime ingenue).
Prima di addentrarci nei dettagli tecnici e nei pericoli concreti di questa minaccia, è importante capire perché il QRishing rappresenta un’evoluzione particolarmente insidiosa rispetto alle truffe digitali tradizionali. La ragione è semplice ma preoccupante: un QR code è come una scatola chiusa che non puoi aprire finché non l’hai già aperta. Lascia che ti spieghi meglio questa apparente contraddizione, perché è proprio qui che si nasconde il pericolo.
Quando ricevi un’email sospetta, puoi vedere immediatamente che il mittente è strano, che ci sono errori di grammatica, che il testo non ha senso. Il tuo cervello ha il tempo di elaborare questi segnali d’allarme prima che tu faccia clic su qualsiasi cosa. Con un QR code, invece, tutto questo processo di valutazione viene bypassato. Tu punti la fotocamera, il telefono legge il codice, e in una frazione di secondo vieni portato su un sito web. Solo a quel punto, se sei molto attento, potresti accorgerti che qualcosa non va. Ma spesso è già troppo tardi: hai già inserito le tue credenziali, o il tuo telefono ha già scaricato qualcosa di pericoloso.
Il QRishing ha registrato una crescita esplosiva negli ultimi due anni. Le statistiche parlano chiaro: secondo i dati di Perception Point, una delle principali aziende di cybersecurity, gli attacchi di QRishing sono aumentati del 427% tra agosto e settembre 2023. Check Point Software ha registrato nello stesso periodo un incremento ancora più impressionante del 587%. Non stiamo parlando di una minaccia teorica o futuribile: stiamo parlando di un fenomeno che nel 2024 rappresenta già il 22% di tutti gli attacchi phishing a livello mondiale. Microsoft ha dichiarato di bloccare quotidianamente 1,5 milioni di tentativi di QRishing. Ripeto: un milione e mezzo di tentativi ogni singolo giorno.
In Italia, il fenomeno sta assumendo proporzioni preoccupanti. Il CERT-AGID, l’organismo governativo che monitora le minacce informatiche nel nostro paese, ha identificato nella settimana del 12-18 luglio 2025 ben 94 campagne malevole, di cui 61 mirate specificamente contro utenti italiani. Molte di queste campagne utilizzavano tecniche di QRishing per aggirare i filtri antispam tradizionali e raggiungere le vittime in modo più diretto ed efficace.
In questo articolo ti guiderò attraverso tutti gli aspetti del QRishing: dalla sua storia alla sua meccanica interna, dai casi reali italiani alle tecniche per riconoscerlo e difenderti. Il mio obiettivo non è spaventarti, ma darti gli strumenti per comprendere a fondo questa minaccia e trasformarti da potenziale vittima a osservatore consapevole e protetto.
L’Etimologia e la Storia del Termine QRishing
Per capire veramente cos’è il QRishing, dobbiamo prima fare un passo indietro e comprendere le sue radici linguistiche e storiche. Questo ci aiuterà a vedere il quadro completo e a capire perché questa forma di attacco è così efficace.
Il termine “phishing” viene dall’inglese “fishing”, che significa pescare. I criminali informatici “pescano” vittime usando esche digitali, proprio come un pescatore usa un’esca per catturare un pesce. La “ph” al posto della “f” è un omaggio alla cultura hacker degli anni Settanta e Ottanta, quando i cosiddetti “phreakers” (da “phone” e “freakers”) violavano i sistemi telefonici. Questa grafia alternativa con “ph” è diventata un marchio distintivo della terminologia hacker.
Il phishing tradizionale esiste dalla metà degli anni Novanta. I primi attacchi documentati risalgono al 1995-1996, quando alcuni criminali informatici iniziarono a inviare email che sembravano provenire da America Online (AOL, all’epoca il principale provider internet) chiedendo agli utenti di “verificare” i loro account inserendo username e password. Da allora, il phishing si è evoluto in centinaia di varianti: spear phishing (attacchi mirati contro persone specifiche), whaling (attacchi contro dirigenti aziendali), smishing (phishing via SMS), vishing (phishing via chiamate vocali), e molte altre.
Il QRishing è l’ultima evoluzione di questa famiglia di attacchi. Il termine ha iniziato a diffondersi nel mondo della cybersecurity intorno al 2021-2022, quando gli esperti hanno notato un aumento significativo di tentativi di phishing veicolati attraverso QR code. La pandemia da COVID-19 ha involontariamente accelerato questo fenomeno: durante i lockdown, l’uso dei QR code è esploso per limitare i contatti fisici. Ristoranti che passavano ai menu digitali, negozi che implementavano pagamenti contactless, uffici pubblici che digitalizzavano i servizi: tutto si è spostato sui QR code. E dove c’è una tecnologia di massa, ci sono sempre criminali pronti a sfruttarla.
Il nome “QRishing” è un portmanteau, una parola-valigia che fonde “QR code” e “phishing”. È importante notare che in italiano il termine viene spesso scritto anche come “QRishing”, “quishing” o “QR phishing”, ma il concetto rimane identico. Io userò principalmente “QRishing” perché è la forma più immediata e riconoscibile.
La differenza fondamentale tra il phishing tradizionale e il QRishing sta nel vettore di attacco, cioè nel mezzo attraverso cui la truffa arriva alla vittima. Nel phishing classico, ricevi un’email o un SMS con un link sospetto. Nel QRishing, il “link” è nascosto dentro un’immagine che devi scansionare. Questo apparente dettaglio tecnico ha conseguenze profonde sulla psicologia dell’attacco e sulla sua efficacia, come vedremo tra poco.
Come Funziona il QRishing: La Meccanica dell’Inganno Spiegata Passo per Passo
Per comprendere veramente come proteggerti dal QRishing, devi capire esattamente come funziona l’attacco dall’inizio alla fine. Ti guiderò attraverso ogni singolo passaggio, spiegando non solo cosa succede, ma anche perché succede e quali sono i punti critici dove potresti accorgerti dell’inganno.
Fase Uno: La Preparazione dell’Attacco
Tutto inizia con i criminali informatici che preparano la loro trappola. Immagina un pescatore che prepara la sua canna: deve scegliere l’esca giusta, il posto giusto, il momento giusto. I truffatori digitali fanno esattamente lo stesso, ma nel mondo virtuale.
Il primo passo è decidere quale “personaggio” impersonare. Questo processo si chiama in gergo tecnico “spoofing”, che significa fingere di essere qualcun altro. I criminali potrebbero scegliere di impersonare una banca nota (come Intesa Sanpaolo o UniCredit), un ente pubblico (come l’Agenzia delle Entrate o PagoPA), un servizio molto usato (come Amazon o Poste Italiane), o persino un’azienda per cui lavori. La scelta dipende dal tipo di vittima che vogliono colpire e dal tipo di informazione che vogliono rubare.
Una volta scelto il personaggio, creano un sito web falso che imita perfettamente quello originale. Questo sito clone viene ospitato su un server controllato dai criminali, spesso in paesi con legislazioni poco rigide sulla criminalità informatica. Il livello di sofisticazione di questi siti può essere impressionante: grafica identica all’originale, stesso logo, stessi colori, stesso layout. L’unica differenza è l’indirizzo web, e anche quello viene scelto per essere il più simile possibile all’originale.
A questo punto, i criminali generano un QR code che punta a questo sito falso. Generare un QR code è tecnicamente semplicissimo: esistono centinaia di servizi online gratuiti dove inserisci un URL e ottieni immediatamente il codice corrispondente. Il QR code prodotto è un’immagine, solitamente in formato PNG o SVG, che può essere stampata, inviata via email, inserita in un PDF, o distribuita in qualsiasi altro modo.
Fase Due: La Distribuzione del QR Code Malevolo
Questa è la fase in cui il QR code falso arriva fino a te. I metodi di distribuzione sono molteplici e sempre più creativi.
Il metodo più comune è l’email phishing con QR code allegato. Ricevi un messaggio che sembra provenire dalla tua banca o da un ente ufficiale. L’oggetto è allarmante: “Azione richiesta: verifica il tuo account entro 24 ore” o “Notifica di pagamento in sospeso”. Nel corpo dell’email c’è un QR code con l’invito a scansionarlo per “risolvere rapidamente il problema”. Spesso il QR code è inserito dentro un’immagine o un PDF allegato, perché questo rende più difficile per i filtri antispam rilevare la minaccia. I filtri tradizionali sono programmati per scansionare il testo delle email e identificare link sospetti, ma un QR code è solo un’immagine: per il filtro è invisibile.
Un altro metodo sempre più diffuso è il QRishing fisico. I criminali stampano QR code falsi su adesivi e li applicano sopra QR code legittimi in luoghi pubblici. Questo può succedere sui parchimetri (dove il QR code serve per pagare la sosta), sui menu dei ristoranti (dove il QR code mostra il menu digitale), sui poster pubblicitari (dove il QR code porta a promozioni), persino su documenti ufficiali contraffatti come verbali di multa falsi lasciati sui parabrezza delle auto. Questa tecnica è particolarmente insidiosa perché sfrutta la fiducia che riponiamo negli oggetti fisici: se vediamo un QR code stampato su un parcometro comunale, pensiamo automaticamente che sia legittimo.
Esistono poi metodi più sofisticati come il QRishing via SMS, dove ricevi un messaggio di testo apparentemente da un corriere (“Il tuo pacco è in giacenza, scansiona il QR code per riprogrammare la consegna”) con un’immagine del QR code allegata o accessibile tramite un link. Oppure il QRishing via WhatsApp, dove il messaggio arriva da un numero sconosciuto che si finge un’azienda o un servizio clienti.
Fase Tre: La Scansione e il Reindirizzamento
Ecco il momento cruciale, quello in cui tu diventi parte dell’attacco senza saperlo. Vedi il QR code, che sembra innocuo e ufficiale. Apri la fotocamera del telefono, inquadri il codice. Il tuo smartphone legge il pattern di quadratini bianchi e neri e lo decodifica istantaneamente. Quello che il telefono estrae è semplicemente un indirizzo web, un URL.
A questo punto, sul tuo schermo appare una notifica: “Apri questo link in Safari” o “Vuoi visitare questo sito?”. Questa è la tua ultima occasione per accorgerti che qualcosa non va, ma è anche il momento in cui la maggior parte delle persone fallisce. Perché? Primo, l’URL è spesso lungo e criptico, difficile da leggere su uno schermo piccolo. Secondo, sei mentalmente già proiettato verso l’azione (vedere il menu, pagare il parcheggio, verificare l’account), quindi tendi a cliccare senza riflettere. Terzo, i criminali usano tecniche di accorciamento URL o domini confusingly-similar (domini molto simili all’originale) che rendono difficile distinguere il falso dal vero a colpo d’occhio.
Clicchi, e il browser del telefono si apre sulla pagina controllata dai criminali. Da questo momento, sei entrato nella loro trappola. Ma l’attacco non è ancora completo: devono ancora indurti a fare qualcosa.
Fase Quattro: L’Inganno e il Furto dei Dati
Il sito falso su cui sei atterrato è stato progettato con un unico obiettivo: convincerti a inserire informazioni sensibili. La pagina può assumere molte forme diverse a seconda del tipo di attacco.
Nel caso di un QRishing bancario, il sito clone ti mostra una schermata di login identica a quella della tua banca. “Per motivi di sicurezza, inserisci le tue credenziali” recita il messaggio. Tu digiti username e password, pensando di essere sul sito vero. Non appena premi “Invio”, quei dati vengono inviati ai server dei criminali. A questo punto, spesso il sito ti mostra un messaggio di errore generico (“Servizio temporaneamente non disponibile, riprova più tardi”) e ti reindirizza al sito vero della banca. Tu pensi che ci sia stato un problema tecnico temporaneo e riprovi più tardi direttamente sul sito ufficiale, quindi non ti accorgi immediatamente che qualcosa è andato storto. Nel frattempo, i criminali hanno le tue credenziali e possono accedere al tuo conto reale.
Nel caso di un QRishing con richiesta di pagamento, il sito falso ti chiede di inserire i dati della carta di credito per “completare un pagamento” o “verificare la tua identità”. Numero della carta, data di scadenza, CVV (quel codice di tre cifre sul retro), nome del titolare: tutto viene raccolto e inviato ai truffatori. Anche qui, dopo l’inserimento, il sito potrebbe mostrarti un messaggio tipo “Pagamento in elaborazione” o “Errore nella transazione”, per darti l’impressione che il processo non sia andato a buon fine. Tu pensi di dover riprovare, mentre i criminali hanno già tutto ciò che serve per clonare la tua carta e fare acquisti fraudolenti.
Esistono anche varianti più sofisticate dove il sito falso ti chiede di installare un “certificato di sicurezza” o una “app di verifica” per procedere. Quello che in realtà stai installando è un malware, un software dannoso che una volta sul tuo telefono può fare praticamente qualsiasi cosa: leggere i tuoi SMS (compresi i codici di autenticazione a due fattori), registrare tutto ciò che digiti (incluse password di altri servizi), accedere alle tue foto e ai tuoi contatti, persino controllare la fotocamera e il microfono. Questo tipo di QRishing è particolarmente pericoloso perché il danno non si limita a un singolo account: compromette l’intero dispositivo.
Fase Cinque: Lo Sfruttamento e il Danno
Una volta che i criminali hanno ottenuto ciò che volevano, inizia la fase di sfruttamento. Questo può avvenire in tempi e modi molto diversi a seconda del tipo di informazione rubata.
Se hanno ottenuto le credenziali di accesso alla tua banca, potrebbero usarle immediatamente per trasferire denaro dal tuo conto ai loro, spesso attraverso una catena di transazioni che rendono difficile il tracciamento. Oppure potrebbero aspettare giorni o settimane prima di agire, per evitare che tu colleghi immediatamente il furto al momento in cui hai scansionato il QR code. In casi più sofisticati, vendono le credenziali rubate su mercati del dark web dove altri criminali le acquistano per usarle in schemi di riciclaggio di denaro.
Se hanno clonato la tua carta di credito, il danno può manifestarsi come addebiti non autorizzati che appaiono sull’estratto conto nei giorni o settimane successive. Spesso si tratta di piccoli importi iniziali (cinque o dieci euro) per testare se la carta funziona, seguiti da acquisti più sostanziosi. I criminali preferiscono acquistare beni facilmente rivendibili come elettronica, buoni regalo, ricariche telefoniche.
Se hanno installato malware sul tuo dispositivo, il danno è continuativo e potenzialmente devastante. Il malware può intercettare i codici di autenticazione a due fattori che ricevi via SMS, permettendo ai criminali di accedere anche agli account protetti da questa misura di sicurezza. Può monitorare le tue attività online per capire quali servizi usi e quali dati potrebbero essere più preziosi. Può trasformare il tuo telefono in parte di una botnet, una rete di dispositivi infetti usati per attacchi informatici su larga scala.
Perché il QRishing È Così Pericoloso: La Psicologia dell’Attacco
Adesso che hai capito la meccanica tecnica del QRishing, è importante comprendere perché questa forma di attacco è particolarmente efficace rispetto al phishing tradizionale. La risposta sta nella psicologia umana e in come il nostro cervello elabora le informazioni in contesti diversi.
Il Bypass del Pensiero Critico
Quando ricevi un’email sospetta, il tuo cervello ha il tempo di analizzarla. Leggi il mittente, valuti il tono del messaggio, noti eventuali errori grammaticali, osservi il link prima di cliccarlo. Questo processo, anche se dura solo pochi secondi, è sufficiente per attivare il tuo pensiero critico. Molti tentativi di phishing tradizionale falliscono proprio in questa fase: l’utente si accorge che qualcosa non quadra e cancella l’email.
Con un QR code, questo processo di valutazione è drasticamente accorciato. Vedi il codice, lo scannerizzi, e in una frazione di secondo sei già sul sito. Non c’è tempo per riflettere, analizzare, dubitare. Il tuo cervello passa direttamente dalla percezione visiva (“c’è un QR code”) all’azione (“scannerizzalo”) senza attraversare la fase intermedia del ragionamento critico (“dovrei fidarmi?”).
Questo fenomeno è amplificato dal contesto in cui incontri i QR code. Se lo vedi al ristorante sul porta-menu, il tuo cervello assume automaticamente che sia legittimo perché è in un contesto fisico, tangibile. La logica inconscia è: “Il ristorante ha stampato questo menu con questo QR code, quindi deve essere sicuro”. Non ti viene nemmeno in mente che qualcuno potrebbe aver applicato un adesivo con un QR code falso sopra quello originale durante la notte.
L’Illusione della Sicurezza Fisica
C’è una differenza psicologica profonda tra qualcosa che arriva via internet e qualcosa che incontri nel mondo fisico. Un’email può venire da qualsiasi parte del mondo, da chiunque si nasconda dietro uno schermo. Ma un QR code stampato su un parcometro comunale, su un menu di ristorante, su un poster pubblicitario? Quello sembra reale, affidabile, ufficiale.
Questa illusione è esattamente ciò su cui contano i criminali. Sanno che abbassiamo la guardia quando un attacco avviene attraverso un canale fisico invece che digitale. Un verbale di multa lasciato sul parabrezza ha un’autorità psicologica che un’email non avrà mai, anche se entrambi potrebbero essere falsi.
La Velocità Come Nemica della Sicurezza
I QR code sono stati progettati per essere veloci. Quick Response Code, risposta rapida: è nel nome stesso. Questa velocità è fantastica per l’esperienza utente, ma terribile per la sicurezza. Più veloce è un processo, meno tempo hai per notare anomalie o segnali d’allarme.
Pensa a come scansionizzi un QR code al ristorante. Apri la fotocamera, inquadri, click, ecco il menu. L’intera operazione richiede tre secondi. Tre secondi in cui il tuo cervello non ha il tempo materiale di chiedersi “Ma questo QR code è davvero del ristorante?” o “Come faccio a sapere che questo è sicuro?”. La velocità diventa un complice involontario dei truffatori.
L’Invisibilità del Contenuto
Ecco forse l’aspetto più insidioso del QRishing: un QR code è fondamentalmente illeggibile per gli esseri umani. Quando guardi un link scritto in un’email, puoi leggerlo e valutarlo: “Questo dice microsoft.com ma è scritto micr0soft.com con uno zero, sospetto”. Quando guardi un QR code, vedi solo un pattern di quadratini. Non hai modo di sapere cosa c’è dentro finché non l’hai già scansionato.
È come se qualcuno ti desse una busta chiusa dicendoti “Dentro c’è qualcosa, aprila”. Non puoi sapere se dentro c’è una lettera innocua o una trappola finché non l’hai aperta. E una volta aperta, potrebbe essere troppo tardi.
Questa opacità fondamentale del QR code è ciò che lo rende un vettore perfetto per il phishing. I criminali nascondono il loro attacco dietro un’interfaccia che, per sua natura, non può essere ispezionata prima di essere attivata.
QRishing in Italia: I Casi Reali che Devi Conoscere
Per rendere concreta la minaccia del QRishing, è essenziale guardare a cosa è già successo realmente in Italia. I casi che sto per raccontarti non sono scenari ipotetici o paure infondate: sono truffe documentate che hanno colpito centinaia di cittadini italiani negli ultimi due anni, causando danni economici significativi e violazioni della privacy.
La Campagna PagoPA: Quando l’Ente Pubblico Viene Impersonato
Tra marzo e luglio 2025, l’Italia è stata bersagliata da una delle campagne di QRishing più sofisticate mai viste nel nostro paese. Il CERT-AGID, l’organismo governativo preposto alla sicurezza informatica della Pubblica Amministrazione, ha documentato 13 campagne distinte che impersonavano PagoPA, il sistema ufficiale di pagamento elettronico per enti pubblici.
Il funzionamento era tanto semplice quanto efficace. Le vittime ricevevano email o SMS che sembravano provenire da PagoPA o da enti collegati come l’Agenzia delle Entrate-Riscossione. Il messaggio comunicava l’esistenza di una multa non pagata o di un debito con la pubblica amministrazione, spesso per importi credibili tra i 50 e i 200 euro. Il testo creava un senso di urgenza (“Paga entro 5 giorni per evitare maggiorazioni”) e invitava a scansionare un QR code allegato per procedere al pagamento immediato.
Il QR code portava a siti clone perfetti di PagoPA. Ogni dettaglio era curato: il logo ufficiale, i colori istituzionali azzurri, persino il layout delle pagine era identico a quello originale. L’unica differenza, difficilmente percepibile su uno schermo di smartphone, era il dominio: invece di “pagopa.it”, si trattava di varianti come “pagopa-pagamenti.com” o “mypagopa.it” o “pagamenti-pa.gov” (notare il “.gov” invece di “.gov.it”, un trucco per sembrare ufficiali agli occhi poco attenti).
Una volta sul sito falso, alle vittime veniva chiesto di inserire i dati completi della carta di credito per “effettuare il pagamento”. Dopo l’inserimento, il sito mostrava un messaggio di errore tecnico (“Il servizio è temporaneamente non disponibile, riprova tra qualche ora”) e la vittima veniva reindirizzata al sito vero di PagoPA, dove naturalmente non risultava nessuna posizione debitoria. La vittima, confusa, pensava a un malfunzionamento temporaneo e magari riprovava più tardi, non realizzando immediatamente di essere stata truffata.
I criminali, però, avevano già ottenuto tutti i dati necessari per clonare la carta. Nelle 24-48 ore successive, le vittime iniziavano a vedere addebiti non autorizzati: ricariche Postepay, acquisti su Amazon, ordini su siti di elettronica. Quando finalmente si accorgevano della truffa e bloccavano la carta, il danno medio era già di diverse centinaia di euro per vittima.
La scala di questa campagna è stata impressionante. Il CERT-AGID ha rilevato nella sola settimana del 12-18 luglio 2025 ben 860 indicatori di compromissione legati a queste campagne: domini falsi, indirizzi email mittenti, server utilizzati per ospitare i siti clone. Questo significa che i criminali avevano costruito un’infrastruttura complessa e ridondante, pronta a sostituire immediatamente ogni dominio che veniva bloccato dalle autorità.
Il QRishing delle False Assicurazioni: Il Trucco del Pagamento in Ricevitoria
Questa truffa, documentata dalla Polizia Postale nel marzo 2024, rappresenta un esempio perfetto di come il QRishing possa essere combinato con tecniche di social engineering per creare schemi di frode particolarmente convincenti.
I truffatori contattavano le vittime tramite chiamate telefoniche, messaggi WhatsApp o inserzioni su Facebook, proponendo polizze RC auto a prezzi incredibilmente vantaggiosi: 180-200 euro invece dei 400-600 euro di media nazionale. L’offerta sembrava legittima perché gli interlocutori si presentavano come agenti di agenzie assicurative note o come intermediari di comparatori online affidabili.
Una volta catturata l’attenzione della vittima, i truffatori mandavano un QR code via WhatsApp o email, spiegando che per attivare la polizza bisognava recarsi in una ricevitoria Sisal o Lottomatica e pagare scansionando quel codice. Questo dettaglio era geniale: la ricevitoria è un circuito di pagamento legittimo e regolamentato, quindi la vittima pensava “Se posso pagare in una ricevitoria ufficiale, allora è sicuro”.
Il trucco stava nel beneficiario del pagamento. Il QR code conteneva i dati di un bollettino dove il destinatario non era un’azienda assicurativa ma un privato, un “prestanome” dei truffatori. Il sistema di pagamento della ricevitoria non aveva modo di verificare se quello fosse un pagamento legittimo per una polizza vera o un trasferimento di denaro a un truffatore: vedeva solo un normale pagamento tra soggetti.
Dopo il pagamento, le vittime ricevevano via email documenti contraffatti che sembravano polizze autentiche: certificati di assicurazione con loghi di compagnie note, numeri di polizza apparentemente validi, clausole e condizioni copiate da contratti veri. La truffa veniva scoperta solo settimane o mesi dopo, quando la vittima aveva un incidente e chiamava l’assicurazione per il sinistro (scoprendo che quella polizza non esisteva), oppure quando veniva fermata per un controllo stradale e risultava priva di copertura assicurativa.
Le conseguenze erano devastanti: oltre ai 180-200 euro persi per la falsa polizza, le vittime si trovavano esposte a multe salate (866 euro per guida senza assicurazione), sequestro del veicolo, e nei casi di incidenti dovevano pagare di tasca propria tutti i danni. Il danno economico medio per vittima superava facilmente i mille euro, senza contare lo stress e le complicazioni legali.
La Polizia Postale ha parlato di “centinaia di vittime in tutta Italia” e “decine di migliaia di euro sottratti”. Il fenomeno è continuato per mesi prima che le autorità riuscissero a bloccare i canali di pagamento utilizzati e a identificare alcuni dei prestanomi che incassavano i pagamenti.
I Verbali Fantasma: Il QRishing Fisico Contro i Turisti
Questa tipologia di QRishing rappresenta l’evoluzione fisica della truffa, dove il codice malevolo non arriva via internet ma viene distribuito materialmente nel mondo reale. I casi più documentati provengono dalla Sicilia, in particolare dalle località turistiche di Taormina, Catania e provincia, durante l’estate 2024.
Il meccanismo era semplice ma efficacissimo. I truffatori stampavano verbali di multa contraffatti su carta comune, cercando di imitare il più possibile l’aspetto dei verbali ufficiali: intestazione “Comune di Taormina – Polizia Locale”, stemma comunale (spesso copiato male o pixelato, ma sulla carta questo era meno evidente), importo della sanzione credibile (tra 30 e 80 euro), motivazione plausibile (divieto di sosta, sosta su marciapiede, fermata davanti a passo carrabile).
Sul verbale, ben visibile, c’era un QR code con l’indicazione “Scansiona per pagamento immediato con sconto del 30%”. La logica psicologica era perfetta: se paghi subito, risparmi soldi (creando un incentivo economico) e chiudi velocemente una pratica fastidiosa (creando un incentivo emotivo). Per un turista che sta per ripartire e non vuole lasciare pendenze, l’offerta era irresistibile.
Il QR code portava a un sito che imitava il portale dei pagamenti del Comune, completo di logo, colori ufficiali, persino riferimenti a normative reali. Il sito chiedeva di inserire i dati della carta di credito per procedere al pagamento della sanzione ridotta. Una volta inseriti i dati, il pagamento apparentemente non andava a buon fine (messaggio di errore generico), ma intanto i criminali avevano clonato la carta.
La vittima, confusa per il malfunzionamento, spesso non collegava immediatamente gli addebiti fraudolenti successivi con quel tentativo di pagamento della multa. Quando finalmente controllava sul sito ufficiale del Comune, scopriva che quella multa non era mai esistita. Ma ormai la carta era stata usata per acquisti online e il danno era fatto.
Questa truffa era particolarmente subdola perché colpiva un target vulnerabile: i turisti. Persone che non conoscono le procedure locali, che hanno fretta di ripartire, che preferiscono risolvere rapidamente un problema piuttosto che verificarne l’autenticità. La Polizia Locale di Catania ha confermato decine di casi nell’estate 2024, ma il numero reale delle vittime è probabilmente molto più alto perché molti turisti, tornati a casa o addirittura all’estero, non hanno sporto denuncia.
Come Riconoscere un Attacco di QRishing: I Segnali d’Allarme
Riconoscere un tentativo di QRishing prima che faccia danni richiede un’attenzione particolare a certi segnali che, presi singolarmente, potrebbero sembrare innocui, ma combinati insieme formano un pattern riconoscibile di tentativo di truffa. Lascia che ti guidi attraverso i principali indicatori che dovrebbero far scattare immediatamente il tuo campanello d’allarme.
Segnali nel Canale di Distribuzione
Il primo posto dove cercare indizi è il mezzo attraverso cui il QR code arriva fino a te. Se ricevi un’email inaspettata con un QR code allegato, fermati e rifletti. Le aziende serie, soprattutto banche ed enti pubblici, raramente mandano email con QR code per questioni importanti come verifiche di sicurezza o pagamenti urgenti. Se l’email arriva da un mittente che non conosci, o se il mittente sembra strano (un indirizzo email lungo e confuso invece di uno breve e ufficiale), considera l’email sospetta.
Presta particolare attenzione al tono del messaggio. I truffatori usano quasi sempre un linguaggio che crea urgenza o paura: “Il tuo account verrà sospeso entro 24 ore se non verifichi”, “Multa non pagata: rischi maggiorazioni”, “Azione richiesta immediatamente”. Questo senso di urgenza artificiale è progettato per bypassare il tuo pensiero razionale e spingerti ad agire d’impulso. Le comunicazioni ufficiali serie, invece, ti danno sempre tempo adeguato e non usano mai minacce così immediate.
Un altro segnale importante è la qualità del messaggio stesso. Gli attacchi di QRishing sofisticati possono avere una grammatica perfetta, ma molti tentativi contengono errori di ortografia, punteggiatura strana, formattazione inconsistente. Questo non è necessariamente perché i truffatori sono incompetenti: a volte è una scelta deliberata per filtrare le vittime più attente e concentrarsi su quelle più ingenue.
Segnali nel QR Code Fisico
Quando il QR code si trova su un supporto fisico come un menu, un parcometro, un poster, ci sono verifiche visive e tattili che puoi fare in pochi secondi per valutarne l’autenticità.
Il test più importante è il test del tatto. Prima di scansionare qualsiasi QR code su una superficie fisica, toccalo con il dito. Passa delicatamente il polpastrello o l’unghia sui bordi del codice. Se senti uno spessore, un bordo rialzato, una discontinuità nella superficie, significa che c’è qualcosa applicato sopra. Questo “qualcosa” è quasi sempre un adesivo con un QR code contraffatto. I QR code legittimi sono stampati direttamente sul supporto (menu plastificato, pannello del parcometro, carta del manifesto), quindi la superficie dovrebbe essere perfettamente uniforme.
Valuta anche la qualità visiva del QR code. I codici ufficiali stampati da aziende o enti pubblici hanno una qualità professionale: bordi netti, contrasto elevato tra il nero e il bianco, quadratini perfettamente definiti. Se vedi sfocature, pixelazione, colori sbiaditi o irregolari, è un segnale che qualcuno ha ristampato quel codice con una stampante casalinga o di bassa qualità.
Osserva il contesto intorno al QR code. È integrato in una grafica professionale con il logo del ristorante o dell’ente? Oppure è un codice isolato, senza branding, magari stampato su un foglio bianco attaccato con lo scotch? La mancanza di contesto professionale è un forte indicatore di potenziale truffa.
Segnali nell’URL Dopo la Scansione
Questo è il momento più critico e la tua ultima vera opportunità per evitare di cadere nella trappola. Quando scannerizzi un QR code, prima che il browser si apra, il telefono ti mostra un’anteprima dell’URL che sta per visitare. È qui che devi fermarti e analizzare con attenzione.
Per prima cosa, verifica che l’URL inizi con “https://” e non solo “http://”. La “s” finale sta per “secure” e indica che la connessione è crittografata. Tutti i siti legittimi di banche, enti pubblici, e qualsiasi sito che gestisce dati sensibili usano HTTPS. Se vedi solo HTTP, chiudi immediatamente.
Esamina attentamente il dominio, cioè la parte principale dell’indirizzo web. Se hai scansionato un QR code che dovrebbe portarti al sito della tua banca, il dominio deve corrispondere esattamente al nome della banca. Per esempio, se la tua banca è Intesa Sanpaolo, il dominio dovrebbe essere qualcosa come “intesasanpaolo.com”. Fai attenzione a queste varianti truffaldine: “intesa-sanpaolo-sicurezza.com” (aggiungono parole per sembrare ufficiali), “intesasanpa0lo.com” (sostituiscono la lettera O con lo zero), “intesasanpaolo.co” (usano un’estensione diversa).
Un trucco particolarmente insidioso riguarda i sottodomini. L’URL “intesasanpaolo.sito-truffa.com” non è un sito di Intesa Sanpaolo: è un sito chiamato “sito-truffa.com” che ha creato un sottodominio per ingannare. Il dominio vero è sempre l’ultima parte prima dell’estensione (.com, .it, .org). Tutto ciò che viene prima del dominio vero sono sottodomini, e chiunque può creare sottodomini con qualsiasi nome su un dominio che controlla.
Diffida degli URL accorciati (bit.ly, tinyurl, ow.ly) quando non te li aspetti. Questi servizi sono legittimi e usati da molte aziende per scopi di marketing, ma rendono impossibile vedere dove stai realmente andando. Un ente serio, quando ti chiede di scansionare un QR code per questioni importanti come pagamenti o verifiche di sicurezza, userà sempre un URL completo e chiaro.
Segnali nel Comportamento del Sito
Una volta aperta la pagina, continua a mantenere alto il livello di attenzione. Ci sono comportamenti del sito che dovrebbero farti scattare immediatamente l’allarme rosso.
Se il sito ti chiede di inserire più informazioni di quelle strettamente necessarie per il servizio dichiarato, fermati. Un menu di ristorante digitale non ha bisogno di nessuna informazione da te: è solo testo e immagini. Se dopo aver scansionato il QR code del menu ti viene chiesto di registrarti, inserire un’email, o peggio ancora fornire dati di pagamento, è sicuramente un tentativo di QRishing.
Anche per servizi che legittimamente richiedono dati, valuta la ragionevolezza della richiesta. Un pagamento di parcheggio potrebbe ragionevolmente chiedere i dati della carta di credito, ma non ha bisogno del tuo indirizzo completo, del tuo codice fiscale, della tua data di nascita. Se il sito chiede molto più del necessario, probabilmente vuole raccogliere dati da rivendere o usare per future truffe.
Fai attenzione ai popup o alle richieste di installazione. Se il sito ti chiede di scaricare un’app, installare un certificato, o permettere l’esecuzione di script, chiudi immediatamente. I siti web moderni non hanno bisogno che tu installi nulla per funzionare. Una richiesta di installazione è quasi sempre un tentativo di metterti un malware sul dispositivo.
Osserva eventuali errori o incongruenze nel design. Anche i siti clone più sofisticati spesso hanno piccoli difetti: loghi leggermente sfocati, spaziature strane, testi che non sono perfettamente allineati, colori che non corrispondono esattamente all’originale. Questi dettagli sono difficili da notare se stai procedendo velocemente, ma se ti fermi e guardi con attenzione, spesso saltano all’occhio.
Come Proteggersi dal QRishing: Strategie Pratiche e Strumenti
Comprendere la minaccia è il primo passo, ma non è sufficiente. Quello che serve sono strategie concrete e strumenti pratici che puoi implementare immediatamente nella tua vita quotidiana per ridurre drasticamente il rischio di cadere vittima di un attacco di QRishing. Lascia che ti guidi attraverso un sistema di difesa a più livelli, dal più semplice al più sofisticato.
La Regola d’Oro: Rallenta e Rifletti
La prima e più importante strategia è anche la più semplice: rallentare. I truffatori contano sulla fretta, sull’automatismo, sulla tendenza umana a fare le cose velocemente senza pensarci troppo. Ogni volta che stai per scansionare un QR code, fermati mentalmente per tre secondi e chiediti: “Mi aspetto di trovare un QR code qui? Ha senso che questo servizio usi un QR code? Mi sto sentendo pressato a fare questa cosa velocemente?”.
Questo breve momento di riflessione, che sembra banale, è in realtà incredibilmente efficace. La maggior parte degli attacchi di QRishing fallisce proprio quando la vittima si ferma a pensare invece di agire d’impulso. Tre secondi possono salvare il tuo conto in banca.
Verifica Fisica Prima di Scansionare
Se il QR code si trova su un supporto fisico, implementa una routine di verifica in tre passi prima di scansionarlo. Primo, guarda il contesto: il QR code è integrato in una grafica professionale o sembra appiccicato lì? Secondo, tocca il codice con il dito: senti uno spessore o bordi rialzati? Terzo, valuta la qualità: il codice è nitido e ben stampato o sembra una fotocopia scadente?
Questa routine richiede letteralmente cinque secondi ma elimina la grande maggioranza dei QR code fisici contraffatti, che quasi sempre sono adesivi applicati sopra codici legittimi. Nei casi documentati di QRishing fisico (parchimetri di Austin, verbali di Taormina), il cento percento degli attacchi usava adesivi applicati sopra. Un semplice test tattile li avrebbe rilevati tutti.
Lettura Attenta dell’URL
Quando scannerizzi un QR code, il tuo smartphone ti mostra l’URL prima di aprirlo. Questo è il checkpoint di sicurezza più importante, e devi usarlo sempre. Non premere mai “Apri” o “Visita” senza aver letto attentamente l’intero indirizzo.
Se l’URL è molto lungo o complicato e hai difficoltà a valutarlo sullo schermo piccolo del telefono, ecco una strategia alternativa: invece di aprirlo direttamente, copia l’URL (tenendo premuto su di esso) e incollalo in un’app di note o in un messaggio a te stesso. In questo modo puoi leggerlo con più calma e in formato più grande. Sì, richiede dieci secondi in più, ma dieci secondi sono un prezzo ridicolo per la sicurezza dei tuoi dati.
Quando valuti l’URL, concentrati sul dominio (la parte tra “https://” e il primo “/”). Corrisponde esattamente all’entità che ti aspetti? Nel dubbio, apri il browser e vai manualmente sul sito ufficiale dell’azienda o ente per confrontare il dominio.
Usa App di Scansione con Protezione Integrata
La fotocamera standard del tuo smartphone scansiona i QR code ma non offre alcuna protezione. Per aumentare la sicurezza, considera l’uso di app dedicate che controllano automaticamente se l’URL estratto dal QR code è presente in database di siti malevoli noti.
Le due app più raccomandate sono Kaspersky QR Scanner e Trend Micro QR Scanner, entrambe gratuite e disponibili per iOS e Android. Queste app funzionano confrontando l’URL estratto dal QR code con enormi database di minacce aggiornati continuamente. Se il sito è noto per phishing, malware o truffe, l’app lo blocca immediatamente e ti avvisa.
È importante capire i limiti di questo approccio: le app possono bloccare solo minacce già conosciute e catalogate nei loro database. Se un attacco è nuovissimo e usa un dominio appena registrato, l’app potrebbe non rilevarlo. Per questo motivo, l’app di sicurezza è una protezione aggiuntiva, non una sostituzione della tua attenzione e del tuo giudizio critico.
Verifica Sempre Attraverso Canali Alternativi
Questa è forse la strategia più sicura, anche se richiede un po’ più di tempo. Se ricevi una comunicazione con un QR code che ti chiede di fare qualcosa di importante (pagare, verificare l’account, aggiornare dati), non fidarti mai solo del QR code. Verifica sempre attraverso un canale completamente indipendente.
Per esempio, se ricevi un’email che sembra venire dalla tua banca con un QR code per “verificare le tue informazioni di sicurezza”, non scansionare quel QR code. Invece, apri il browser, vai manualmente sul sito ufficiale della banca digitando tu stesso l’indirizzo, accedi al tuo account, e controlla se c’è davvero una richiesta di verifica. Se sul sito ufficiale non c’è nulla, significa che l’email era un tentativo di QRishing.
Questa strategia funziona anche per i QR code fisici. Hai trovato un verbale sul parabrezza con QR code per pagare una multa? Non scansionarlo. Vai sul sito del Comune digitando manualmente l’indirizzo ufficiale, cerca la sezione multe e verifiche, e controlla se quella multa esiste davvero. Oppure chiama il numero di telefono della Polizia Locale che trovi sul sito ufficiale (non quello scritto sul verbale) e chiedi conferma.
Sì, questo approccio è più lento e meno comodo. Ma la sicurezza e la comodità sono spesso in trade-off: più vuoi essere sicuro, più devi essere disposto a sacrificare un po’ di velocità.
Mantieni Aggiornato il Sistema Operativo
Questa raccomandazione può sembrare scollegata dal QRishing, ma in realtà è fondamentale. Molti attacchi di QRishing più avanzati sfruttano vulnerabilità del sistema operativo del telefono per installare malware o eseguire codice malevolo. Gli aggiornamenti di iOS e Android includono regolarmente patch di sicurezza che chiudono queste vulnerabilità.
Un telefono con sistema operativo aggiornato è semplicemente più difficile da compromettere. Non ti proteggerà dal dare volontariamente le tue credenziali a un sito di phishing, ma ti proteggerà dagli attacchi che cercano di installarti malware sfruttando bug del sistema. Abilita gli aggiornamenti automatici nelle impostazioni del telefono e assicurati che il tuo dispositivo abbia sempre l’ultima versione disponibile del sistema operativo.
Educazione Continua e Condivisione delle Conoscenze
La tua ultima linea di difesa è la consapevolezza continua. Il QRishing è una minaccia in evoluzione: i criminali sviluppano costantemente nuove tecniche, nuovi modi di distribuire i QR code malevoli, nuove strategie per aggirare le difese. Quello che funziona oggi potrebbe non essere sufficiente domani.
Resta informato sui nuovi sviluppi nel campo della sicurezza informatica. Segui i comunicati della Polizia Postale e del CERT-AGID, che pubblicano regolarmente avvisi su campagne di truffa in corso. Quando scopri un nuovo tipo di attacco o una nuova tecnica difensiva, condividi l’informazione con amici e familiari, specialmente con le persone più vulnerabili come anziani o chi ha meno familiarità con la tecnologia.
La sicurezza informatica non è una responsabilità solo individuale: è una responsabilità collettiva. Più persone sono informate e attente, più difficile diventa per i truffatori trovare vittime, e meno redditizie diventano queste truffe. In un certo senso, educando gli altri stai proteggendo anche te stesso, perché stai contribuendo a rendere il QRishing meno conveniente per i criminali.
QRishing vs Phishing Tradizionale: Capire le Differenze per Difendersi Meglio
Per costruire una difesa davvero efficace contro il QRishing, è utile capire come si differenzia dal phishing tradizionale e perché queste differenze lo rendono in alcuni modi più pericoloso e in altri modi più facile da contrastare. Questa comprensione ti permetterà di adattare le tue strategie difensive al tipo specifico di minaccia che stai affrontando.
Il Vettore: Email vs Immagine
Nel phishing tradizionale, l’attacco arriva sotto forma di testo o link cliccabile in un’email, un SMS, o un messaggio su social media. Nel QRishing, l’attacco arriva nascosto dentro un’immagine bidimensionale che devi scansionare. Questa differenza nel vettore ha conseguenze profonde.
Il phishing via email può essere analizzato dai filtri antispam e antiphishing automatici. Questi sistemi leggono il testo del messaggio, identificano parole chiave sospette, analizzano i link per vedere se puntano a siti noti per phishing, controllano se il mittente corrisponde al dominio che afferma di rappresentare. È per questo che la tua casella email blocca automaticamente la maggior parte dei tentativi di phishing prima ancora che tu li veda.
Il QRishing invece è quasi invisibile a questi filtri. Un QR code è solo un’immagine: il filtro antispam vede pixel, non testo. Non può “leggere” dove punta il QR code senza scansionarlo attivamente, cosa che la maggior parte dei filtri non fa. Risultato: i messaggi contenenti QR code malevoli passano molto più facilmente attraverso le difese automatiche e arrivano fino a te.
Questo rende il QRishing più pericoloso dal punto di vista della distribuzione, ma anche più rilevabile per un utente attento. Un’email di phishing può sembrare testualmente perfetta, ma un QR code richiede per sua natura uno step aggiuntivo (la scansione) che ti dà un’opportunità di riflessione che non avresti con un link cliccabile immediatamente visibile.
Il Timing: Valutazione Pre-click vs Post-scan
Nel phishing tradizionale, hai la possibilità di valutare il link prima di cliccarlo. Puoi passarci sopra con il mouse (su computer) o tenerlo premuto (su smartphone) per vedere un’anteprima dell’URL di destinazione. Puoi leggere il testo del link stesso e notare se qualcosa sembra strano. Questo ti dà un momento di valutazione pre-azione.
Nel QRishing, il momento di valutazione arriva dopo la scansione. Devi prima scansionare il codice per vedere dove punta, e solo allora puoi decidere se aprirlo o no. Questo inverte la sequenza temporale e psicologica: invece di valutare-poi-agire, diventa agire-poi-valutare.
Questo rovesciamento temporale è problematico perché una volta che hai già fatto un’azione (scansionare), sei psicologicamente più propenso a completare il processo (cliccare). È un effetto chiamato “commitment bias”: quando hai già investito un piccolo sforzo in qualcosa, tendi a portarlo a termine anche se emergono dubbi, perché interrompersi sembra uno spreco dell’investimento iniziale.
Il Contesto: Digitale vs Fisico
Il phishing tradizionale vive nel mondo puramente digitale: email, SMS, messaggi WhatsApp. Il QRishing può vivere sia nel mondo digitale (QR code in email o messaggi) sia nel mondo fisico (QR code stampati su oggetti reali).
Quando il QRishing avviene nel mondo fisico, acquisisce un’aura di legittimità che il phishing digitale non può avere. Un QR code su un menu di ristorante, su un parcometro comunale, su un poster pubblicitario: questi hanno una presenza tangibile che il nostro cervello interpreta automaticamente come più affidabile rispetto a un’email arrivata da chissà dove.
Questa percezione di maggiore affidabilità è un’illusione, ma è un’illusione potente. I criminali lo sanno e sfruttano questa peculiarità psicologica stampando QR code falsi e distribuendoli fisicamente in luoghi dove ti aspetti di trovare QR code legittimi. È per questo che il QRishing fisico è particolarmente insidioso: combina la minaccia digitale con la fiducia che riponiamo negli oggetti tangibili.
La Rilevabilità: Firma Visibile vs Firma Invisibile
Un’email di phishing, per quanto ben fatta, lascia sempre tracce testuali che possono tradirla: errori grammaticali, tono strano, mittente sospetto, richieste inusuali. Anche gli attacchi più sofisticati hanno spesso piccoli errori o incongruenze che un occhio attento può notare.
Un QR code, invece, non ha una “firma visibile”. Due QR code possono sembrare praticamente identici all’occhio umano anche se puntano a destinazioni completamente diverse. Non puoi guardare un QR code e capire se è legittimo o malevolo: devi scansionarlo per scoprirlo.
Questa invisibilità del contenuto rende il QRishing più difficile da rilevare preventivamente per un utente medio, ma anche più facile da contrastare con strumenti tecnologici. Le app di scansione con protezione integrata, che confrontano l’URL estratto con database di minacce, sono molto efficaci proprio perché il QRishing si riduce sempre a un URL malevolo, indipendentemente da come ci sei arrivato.
Conclusione: Vivere Nell’Era del QRishing con Consapevolezza e Sicurezza
Siamo arrivati alla fine di questo viaggio attraverso il mondo del QRishing, e spero che tu ora abbia una comprensione profonda e articolata di questa minaccia emergente. Ma la conoscenza da sola non basta: quello che conta è come trasformerai questa comprensione in comportamenti concreti nella tua vita quotidiana.
Il QRishing non è un fenomeno passeggero o marginale. Con un aumento del 587% degli attacchi in un solo anno, con il 22% di tutti i tentativi di phishing mondiali che ormai usano QR code, e con 1,5 milioni di tentativi bloccati ogni giorno solo da Microsoft, stiamo parlando di una delle minacce informatiche più rilevanti del momento. In Italia, dove il 10% degli attacchi cyber globali si concentra nonostante rappresentiamo solo l’1% della popolazione mondiale, il rischio è ancora più alto.
Ma c’è una buona notizia: a differenza di molte minacce informatiche complesse e tecniche, il QRishing può essere efficacemente contrastato con strategie semplici e accessibili a tutti. Non serve essere esperti di informatica o avere strumenti costosi. Serve attenzione, un pizzico di scetticismo sano, e la volontà di rallentare di tre secondi prima di scansionare.
Ricorda le strategie fondamentali che abbiamo esplorato: tocca sempre i QR code fisici prima di scansionarli per rilevare adesivi sovrapposti, leggi attentamente l’URL dopo la scansione prima di cliccare, verifica attraverso canali alternativi quando la richiesta riguarda dati sensibili o pagamenti, usa app di scansione con protezione integrata come Kaspersky o Trend Micro, mantieni aggiornato il sistema operativo del telefono, e resta informato sulle nuove tecniche di attacco.
Il QRishing sfrutta la nostra tendenza ad agire velocemente e fidarci senza verificare. Contrasta questa tendenza con la consapevolezza e la riflessione. Ogni QR code che scannerizzi è una porta che stai aprendo: assicurati di sapere cosa c’è dall’altra parte prima di entrare.
Condividi queste conoscenze con le persone che conosci, specialmente quelle più vulnerabili. Gli anziani, i meno esperti di tecnologia, i turisti in luoghi sconosciuti: sono tutti bersagli preferiti dei criminali informatici. Educando gli altri, contribuisci a creare un ambiente digitale più sicuro per tutti.
Il futuro ci porterà probabilmente ancora più QR code nelle nostre vite: pagamenti, identificazioni, accessi a servizi. Non possiamo e non dobbiamo rinunciare alla comodità di questa tecnologia. Ma possiamo e dobbiamo usarla con intelligenza, consapevoli dei rischi e attrezzati con gli strumenti per mitigarli.
Vivi nell’era del QRishing non con paura, ma con consapevolezza. Scansiona pure quei codici, ma fallo con gli occhi aperti e il cervello acceso. Perché la differenza tra una vittima di QRishing e una persona protetta è spesso solo una questione di tre secondi di attenzione in più.
Per segnalare tentativi di QRishing:
- Polizia Postale: www.commissariatodips.it
- CERT-AGID: malware@cert-agid.gov.it
- Numero verde PagoPA: 06.4520.2323
