What is a QR code scam (quishing)?

A QR code scam is any attack that uses a QR code as the delivery vehicle. The QR can be on a sticker, a flyer, an email, a hijacked dynamic QR, a screen at a kiosk, or printed on physical merchandise. The attacker's goal is usually one of three things: take you to a phishing site, join your phone to a malicious network, or get you to approve a transaction (crypto, payment, credential release) that benefits them. The term 'quishing' (QR phishing) is industry shorthand; the FBI and FTC have issued public advisories about it since 2024.

Are QR codes themselves dangerous?

No. A QR code is just an encoding of text, like a really compact way to type a URL. The danger is in what the text instructs your phone to do: open a URL, join a network, approve a transaction. The same scams are possible with a typed URL or a tap-to-pay terminal; QR just makes the attack faster because you scan without reading. The defense is the same defense as for any URL or terminal: read what's there before you act.

How do I check a QR before scanning?

Use a scanner that decodes the QR and shows you the destination BEFORE opening it. That's what our scanner at check.qr.abundera.ai does, drop the QR (image, paste, or camera), and it shows you the decoded payload, the redirect chain, who controls the destination, and reputation flags. Then you decide whether to open the URL or take the action. Most built-in phone scanners just open the URL; you want one that pauses first.

Which QR scams should I worry about most in 2026?

The biggest-volume scam is still sticker-swap on parking meters, restaurant menus, and EV chargers, physical sticker over the legitimate QR, link to a fake payment page. After that: evil-twin Wi-Fi at airports and conference centres; passkey-QR phishing where an attacker tricks you into pairing a passkey to their device; authenticator-export theft (someone borrowing your phone for 'a quick photo' to export your Google Authenticator codes); and crypto drainer QRs at NFT events. Boarding-pass photo posting on social media is also surprisingly common, IATA's barcode encodes the booking reference that lets attackers cancel or modify the trip.

Guida sul campo

Truffe con codici QR da tenere d'occhio nel 2026

Un codice QR è solo una stringa codificata. Il pericolo non è il formato, ma ciò che la stringa dice al tuo telefono di fare, e di solito lo scansioni senza leggere. Ecco i dieci attacchi che avvengono proprio ora, come si presentano nella realtà e come individuarli prima di toccare.

Controlla un QR ora → Standard QR che decodifichiamo →

1. Sostituzione con adesivi su parchimetri, menu e caricatori per veicoli elettrici

Come si presenta: Un piccolo adesivo posizionato ordinatamente sopra il QR legittimo su un parchimetro, un menu di ristorante, una stazione di ricarica per veicoli elettrici o un terminale self-checkout. Il QR dell'adesivo è identico a quello originale. Scansionalo e attatterai su una pagina di pagamento che sembra quella della città o del ristorante. Paga e il denaro va all'attaccante. Diverse grandi città statunitensi ne sono state colpite nel 2023-2024 (San Antonio, Austin, Houston); gli adesivi sui caricatori per veicoli elettrici sono esplosi nel 2024-2025.

Come individuarlo: Guarda il QR. È stampato direttamente sulla superficie (inciso, dipinto, incorporato sotto laminato)? Oppure è un adesivo? Fai scorrere un'unghia lungo un bordo: se si solleva, è un adesivo. I QR su parchimetri e caricatori per veicoli elettrici sono quasi sempre permanenti. Per i menu, chiedi al cameriere quale pagina di pagamento è quella vera; gli operatori legittimi sono felici di confermarlo. E inserisci il QR nel nostro scanner prima di toccare per pagare: la destinazione decodificata è la prova.

Approfondisci: QR di pagamento EMVCo per esercenti →

2. Wi-Fi evil-twin in aeroporti, hotel e centri congressi

Come si presenta: Un cartello o un adesivo pubblicizza il Wi-Fi gratuito: "Airport_Free_WiFi", "Starbucks_Guest_2", "ConferenceGuest". Scansioni il QR, il tuo telefono si connette alla rete, hai internet. Ma la rete è l'hotspot di un attaccante che gira nella stessa stanza. Fa passare il tuo traffico attraverso internet reale così tutto sembra normale, ma vede le query DNS, i nomi host SNI, qualsiasi traffico HTTP in chiaro e può servire falsi portali captive che chiedono credenziali.

Come individuarlo: Verifica che l'SSID corrisponda a quello pubblicato ufficialmente dalla struttura. Gli aeroporti elencano il nome del Wi-Fi ospite sul sito ufficiale; gli hotel lo indicano alla reception. I nomi simili (caratteri extra, lettere scambiate, "Free" aggiunto) sono la firma dell'attacco. Il nostro scanner segnala gli SSID simili rispetto a un elenco di brand ad alto rischio di imitazione. In caso di dubbio, usa semplicemente i dati mobili.

Approfondisci: QR per credenziali Wi-Fi →

3. Phishing tramite QR passkey

Come si presenta: Stai accedendo a un sito dal desktop. Il sito mostra un QR per abbinare la passkey del tuo telefono. Un attaccante che ti ha ingannato portandoti sul sito sbagliato ti mostra il suo QR, abbinando la tua passkey al SUO accesso attivo sul sito reale. Ora è connesso al tuo account. Il trasporto ibrido CTAP 2.2 (lo standard dietro i QR passkey) è crittograficamente solido; l'attacco è puramente sul lato umano: farti scansionare un QR da uno schermo che non è davvero il sito che pensi.

Come individuarlo: Prima di scansionare un QR passkey, controlla l'URL della pagina nella barra degli indirizzi del browser. I siti di phishing usano spesso un typosquat (trattino extra, lettere scambiate, .co invece di .com). Il QR passkey in sé è sicuro; la domanda è se la pagina che lo mostra è reale. Inoltre: i QR passkey hanno breve durata (in genere meno di un minuto); un QR che rimane su una pagina statica della guida per ore è sospetto.

Approfondisci: QR passkey FIDO2 →

4. Furto tramite esportazione dell'autenticatore

Come si presenta: Qualcuno prende in prestito il tuo telefono sbloccato per "una foto veloce". Apre Google Authenticator, tocca Trasferisci account → Esporta, genera un QR e lo fotografa con il suo telefono. Poi ti restituisce il tuo. Quel QR contiene ogni seed dell'autenticatore (Google, AWS, GitHub, la tua banca, il tuo exchange di criptovalute) codificato in base64 in un protobuf. Ora può generare i tuoi codici a 6 cifre per ogni account, per sempre, finché non li reimposti tutti.

Come individuarlo: La difesa non è individuare il QR, ma non permettere mai che venga generato. Non cedere un telefono sbloccato. Se devi condividere qualcosa, fallo tu stesso. Inoltre: la maggior parte delle app di autenticazione richiede ora lo sblocco biometrico nel flusso di esportazione, ma quella di Google non lo richiedeva fino alla fine del 2023 e i telefoni vecchi potrebbero ancora saltarlo. Se sospetti che sia successo, trattalo come una violazione completa e reimposta il 2FA su ogni account che hai nell'autenticatore.

Approfondisci: QR otpauth-migration →

5. Pubblicazione di foto delle carte d'imbarco

Come si presenta: Un viaggiatore pubblica la foto della carta d'imbarco su Instagram o LinkedIn, "in partenza per Tokyo!". Il codice a barre PDF417 (o QR) sulla carta codifica il riferimento di prenotazione (PNR) e il numero del biglietto in chiaro. Un attaccante che fa uno screenshot della foto decodifica il codice a barre, cerca la prenotazione sul sito della compagnia aerea (PNR + cognome di solito basta) e può cancellare il viaggio, cambiare il posto, visualizzare l'intero itinerario o avviare flussi di rimborso.

Come individuarlo: Non pubblicare foto di carte d'imbarco. Se devi farlo, oscura o ritaglia il codice a barre E il riferimento di prenotazione (di solito stampato come codice alfanumerico a 6 caratteri). Il QR/codice a barre è un bersaglio perfetto perché è leggibile da qualsiasi screenshot del telefono.

Approfondisci: QR carta d'imbarco IATA BCBP →

6. Raccolta di dati dal codice a barre della patente di guida

Come si presenta: Un bar, un club, un negozio di sigarette elettroniche, un dispensario o un rivenditore con restrizione di età scansiona il codice a barre PDF417 sul retro della tua patente di guida per "verificare la tua età". Quel codice a barre codifica OGNI attributo della patente in chiaro: nome, indirizzo, data di nascita, numero di patente, altezza, peso, colore degli occhi. Alcuni operatori conservano questi dati, li vendono ad aggregatori di marketing o li perdono in violazioni. Un vero addetto alla sicurezza ha bisogno di sapere una cosa sola: hai l'età legale. Non ha bisogno del tuo indirizzo.

Come individuarlo: Chiedi cosa viene scansionato e perché. Alcuni locali devono solo confermare l'età; altri (grandi club in alcune giurisdizioni) sono legalmente obbligati a conservare i dati. Insisti se il locale è piccolo e informale. Se hai una patente di guida mobile, usala: le mDL supportano la divulgazione selettiva (il bar può chiedere solo "maggiore di 21 anni? sì/no" senza vedere la tua data di nascita).

Approfondisci: PDF417 della patente di guida AAMVA →

7. QR drainer crypto agli eventi NFT e nell'arte fisica

Come si presenta: Un QR a un meetup NFT, all'inaugurazione di una galleria, a uno stand in fiera o stampato all'interno di un'opera d'arte fisica afferma di regalarti un NFT gratuito o di permetterti di reclamare un airdrop. Scansionalo e il QR apre una sessione WalletConnect o un deep-link all'app del tuo wallet, e ti viene chiesto di firmare una transazione. La transazione approva un contratto malevolo a drenare ogni token nel tuo wallet. I kit drainer sono software commodity; il QR è solo il meccanismo di consegna.

Come individuarlo: Leggi il prompt della transazione nel tuo wallet prima di firmare. Se chiede approvazioni di token (specialmente setApprovalForAll o spesa approve illimitata) per un contratto che non riconosci, rifiuta. I QR che promettono NFT gratuiti agli stand casuali non valgono il rischio. Usa un wallet "caldo" separato con saldo minimo per qualsiasi interazione di persona; conserva i tuoi asset reali in un wallet che non colleghi mai a sessioni QR.

8. Adesivo sopra il QR di una donazione benefica

Come si presenta: Un volantino per un'associazione benefica reale viene affisso in uno spazio pubblico. Un attaccante copre il QR per le donazioni con il proprio adesivo che punta a un wallet da lui controllato o a una falsa pagina di donazione. Le donazioni vanno all'attaccante. È più comune in occasione di disastri naturali e grandi eventi di cronaca: l'associazione benefica legittima promuove attivamente, l'attaccante si aggancia.

Come individuarlo: Come nel caso n. 1: il QR è un adesivo sopra la versione stampata o fa parte della stampa originale? Inoltre, dona digitando tu stesso l'URL dell'associazione benefica nel browser o usa l'app ufficiale. I codici QR sono comodi ma non rappresentano una catena di fiducia.

9. QR falso del passaporto di prodotto contraffatto

Come si presenta: Un QR su un tessuto, una batteria, un dispositivo elettronico o un mobile afferma di essere il Passaporto digitale del prodotto EU (requisito ESPR, in fase di introduzione 2027-2030). Scansionalo e una pagina web curata mostra provenienza, contenuto riciclato e dichiarazioni di sostenibilità del prodotto. Niente di ciò è reale: il produttore del falso ha semplicemente pagato per una landing page generica in stile DPP. Con il diffondersi del DPP, aspettati che questo fenomeno cresca: i regolatori stanno ancora costruendo il registro EU che ne garantisce l'autenticità.

Come individuarlo: Verifica se il campo dell'emittente nel DPP si risolve in un operatore economico UE registrato. La Commissione UE non ha ancora pubblicato il registro consolidato a metà 2026; nel frattempo, tratta le dichiarazioni DPP come indicative piuttosto che verificate. Il nostro scanner estrae il campo dell'emittente e l'URL del server DPP così puoi effettuare quella verifica.

Approfondisci: Passaporto digitale del prodotto EU →

10. Verificatore mDL ostile che chiede troppo

Come si presenta: Mostri la tua patente di guida mobile (mDL) al bancone di un bar o di un negozio. L'app di verifica chiede nome completo, data di nascita completa, numero di patente, indirizzo E foto quando la transazione richiede solo la verifica dell'età. Approvi per abitudine. Ora una piccola impresa ha la tua identità completa in archivio, conservata per chissà quanto tempo, venduta a chissà chi. Lo standard richiede al wallet di mostrarti l'elenco delle richieste, ma non ti impedisce di approvare divulgazioni generiche.

Come individuarlo: Leggi il prompt della richiesta. Se il verificatore vuole più di quanto necessario per la transazione (un bar che chiede il tuo indirizzo, un commesso che chiede il numero di patente), rifiuta e chiedi la versione minima (solo age_over_21). Se si rifiutano, hai una decisione da prendere: fornire più del necessario o andartene. Lo standard è dalla tua parte; l'ecosistema lato verificatore non è ancora regolamentato.

Approfondisci: patente di guida mobile (ISO 18013-5) →

Cosa fare se hai già scansionato qualcosa di pericoloso

Sito di pagamento: Se hai inserito i dati della carta, contatta subito la tua banca per segnalare la transazione e richiedere una nuova carta. Non aspettare che l'addebito venga confermato.
Wi-Fi: Dimentica la rete sul tuo telefono. Controlla rapidamente le app usate di recente per vedere se ti hanno chiesto credenziali. Cambia le password di tutto ciò che hai usato mentre eri connesso, specialmente di ciò che è caduto su HTTP.
Passkey: Accedi all'account interessato, vai alle impostazioni di sicurezza, elenca le passkey attive e rimuovi quelle che non riconosci. Reimposta anche la password se il sito lo consente.
Esportazione dell'autenticatore: Trattalo come una violazione completa. Reimposta il 2FA su ogni account che era nell'autenticatore. Inizia dai più importanti (banca, email, exchange di criptovalute, GitHub, AWS).
Carta d'imbarco pubblicata: Contatta la compagnia aerea, modifica il riferimento di prenotazione se possibile e imposta un avviso sullo stato del volo così noterai se qualcuno modifica la prenotazione.
Drainer crypto firmato: Sposta immediatamente i fondi rimanenti in un nuovo wallet. Revoca le approvazioni ai contratti su ogni chain utilizzata (revoke.cash e strumenti simili coprono la maggior parte delle chain). I token drenati sono di solito irrecuperabili.

Controlla prima di scansionare

Inserisci qualsiasi QR (immagine, incolla o fotocamera) nel nostro scanner. Vedrai il payload decodificato, la catena di redirect se è un URL, chi può modificare la destinazione in futuro e i flag di reputazione. La decisione è tua; le informazioni sono sullo schermo prima che tu agisca.

Apri lo scanner →