Il 2025 è l’anno in cui il phishing via QR Code – ribattezzato quishing – esplode in tutta la sua pericolosità, trascinato dalla diffusione capillare dei codici nelle città e dall’abitudine a pagare, prenotare o autenticarsi con una semplice inquadratura. Secondo il Phishing Trends Report 2025 di Hoxhunt, le campagne che incorporano un QR malevolo sono cresciute del 25 % su base annua, fino a rappresentare più di un quarto di tutte le aggressioni di social engineering.
Il dato trova una conferma quasi speculare nell’analisi di Keepnet Labs, che segnala il 26 % di link fraudolenti nascosti in codici grafici e un aumento cumulato del 587 % rispetto al biennio precedente.
La ragione è intuibile: un quadrato in bianco e nero incollato su un cartellone della metro o dentro una mail fittizia passa inosservato agli occhi dell’utente medio, mentre per l’attaccante diventa un passaporto verso credenziali, wallet e dati sanitari. Le autorità finanziarie su entrambe le sponde dell’Atlantico hanno iniziato a lanciare allerte formali, avvertendo che il quishing elude molti filtri tradizionali perché usa un vettore fisico per innescare un attacco digitale.
Tampering visivo e adesivi sovrapposti
Nelle stazioni di ricarica per veicoli elettrici, nei parcometri smart o sui totem dei parcheggi, i criminali applicano micro-adesivi sopra un QR legittimo e dirottano così il traffico verso un clone del servizio, pronto a sottrarre carte di credito o credenziali OAuth. La pratica è tanto rapida quanto silenziosa: basta un colpo di phon portatile per scollare il contrassegno falso dopo l’incasso, lasciando pochi indizi investigativi.
Gli smartphone moderni mostrano un’anteprima dell’indirizzo prima di aprire il browser; se si scorgono grafie errate, protocolli http non sicuri o domini che imitano i brand sostituendo caratteri con numeri, è il momento di fermarsi. Le statistiche di QRCode-Tiger rivelano che quasi il 2 % delle scansioni globali punta a URL maligni, e solo il 36 % degli utenti riesce a riconoscere il pericolo in tempo.
Richiesta insolita e credenziali o download
Un QR destinato a un menu digitale o a un biglietto non dovrebbe mai chiedere password, multi-factor authentication o l’installazione di file. Eppure l’89 % degli incidenti documentati nel 2025 mostra proprio questa dinamica: dopo la scansione appare una pagina clone che sollecita l’utente a convalidare l’account caricando i dati d’accesso, innescando così una compromissione a cascata.
La barriera più immediata resta la consapevolezza: osservare il contesto, diffidare di codici applicati su superfici danneggiate o in luoghi dove non erano presenti il giorno prima, verificare sempre l’indirizzo che lo smartphone propone e chiudere la finestra se qualcosa stona.
Sul piano tecnico, si stanno affermando scanner evoluti che decodificano il QR in sandbox, isolano il link e ne analizzano in tempo reale la reputazione; alcuni progetti di ricerca sperimentano modelli XGBoost capaci di classificare un codice come maligno studiandone le sole caratteristiche visive, senza neppure estrarre l’URL, con tassi di accuratezza prossimi al 94 % secondo l’ultimo white paper pubblicato su arXiv nel maggio 2025. Le aziende più esposte stanno già inserendo queste API nei loro mobile wallet, così da intercettare in background ogni tentativo sospetto. Eppure la tecnologia non basta: come il guidatore controlla la pressione degli pneumatici prima di affrontare un viaggio ad alta velocità, l’utente digitale deve imparare a esercitare un controllo di routine sui codici che scansiona. Solo un mix fra vigilanza umana e difesa algoritmica può spezzare il circuito di un fenomeno che, al ritmo attuale, rischia di raddoppiare nel giro di dodici mesi e di diventare la forma di phishing più diffusa entro la fine del decennio.
