La trappola dei quattro tocchi: i falsi codici QR sono tra le truffe di viaggio in più rapida crescita di quest’estate

Il quishing, cioè il phishing tramite codici QR, è aumentato del 146% nel primo trimestre del 2026, con circa 18,7 milioni di incidenti registrati solo a marzo, secondo dati di threat intelligence pubblicati all’inizio di giugno. I codici QR compaiono ormai in circa il 12% di tutti gli attacchi di phishing, rispetto a meno dell’1% nel 2021.

Le perdite sono reali e continuano a crescere. Nel Regno Unito, il centro nazionale antifrode ha registrato più di 780 segnalazioni di quishing e circa 3,5 milioni di GBP rubati in un solo anno. In cinque anni, le segnalazioni sono aumentate di circa 14 volte - una crescita che gli investigatori collegano alla criminalità organizzata.

Anche le autorità statunitensi hanno lanciato lo stesso allarme: la FTC avverte i consumatori sulle truffe legate ai codici scansionati e, secondo una stima, oltre 26 milioni di americani sarebbero già stati indirizzati verso un sito malevolo tramite un codice QR.

Il motivo per cui questa truffa funziona non è tecnico, ma umano: i sondaggi suggeriscono che circa tre persone su quattro scansionano un codice senza controllare dove porti, e la maggior parte degli attacchi prende di mira direttamente gli smartphone, dove un link abbreviato e uno schermo piccolo nascondono più facilmente i segnali d’allarme.

Dove vengono piazzate le trappole

La tecnica classica è un falso adesivo con codice QR applicato sopra un codice autentico in un luogo affollato e considerato affidabile. I parchimetri sono stati tra i primi bersagli: l’FBI ha pubblicato un avviso dopo che alcuni codici manomessi ad Austin, San Antonio e Houston reindirizzavano silenziosamente gli automobilisti verso una falsa pagina di pagamento.

Da allora la tecnica si è diffusa ai menu dei ristoranti, alla segnaletica degli aeroporti, alle hall degli hotel, alle etichette dei pacchi e persino alle lettere stampate. La variante legata ai viaggi che circola ora è la “truffa dei quattro tocchi”:

1. Scansioni il codice
2. Apri una pagina dall’aspetto credibile
3. Inserisci i dati di pagamento
4. Approvi l’addebito - e prima che qualcosa sembri sospetto, è già tutto successo.

Parallelamente arriva anche una nuova ondata via e-mail, con false conferme di prenotazione abbastanza curate da convincere un viaggiatore stanco per il jet lag a “verificare” una carta o una prenotazione.

Perché chi viaggia con una eSIM è particolarmente esposto

Configurare una eSIM da viaggio di solito significa scansionare un codice QR del proprio fornitore, quindi scansionare un codice per andare online sembra del tutto normale. Ed è proprio questo che permette a un codice falso di passare inosservato. Ci sono due cose da sapere:

1. La prima punta al portafoglio: falsi codici per “WiFi gratuito in aeroporto” o “dati economici”, false pagine di accesso a reti WiFi pubbliche che raccolgono i tuoi dati e siti eSIM simili a quelli reali che promuovono piani illimitati irrealistici o chiedono pagamenti in criptovalute. Se non sai bene di chi fidarti fin dall’inizio, vale la pena capire come i siti di recensioni su cui fai affidamento scelgono davvero i loro vincitori.
2. La seconda punta al tuo numero di telefono: i truffatori si fingono il tuo operatore mobile, sostengono che tu debba “passare” a una eSIM o aggiornare i dati KYC e cercano di farti consegnare un codice di attivazione o un codice QR. Con quello possono trasferire il tuo numero sul proprio dispositivo e intercettare i codici monouso che proteggono banca ed e-mail - è il cosiddetto SIM swap.

Le unità di polizia informatica, anche in India, hanno documentato esattamente questo schema: un solo codice condiviso ha dato ai criminali il pieno controllo dell’home banking della vittima.

Come riconoscere un codice falso e proteggerti

Bastano alcune semplici abitudini per bloccare quasi tutti questi attacchi:

• Ottieni sempre il codice eSIM dall’app o dal sito ufficiale del tuo fornitore, mai da un codice esposto in pubblico o inviato senza che tu lo abbia richiesto.
• Prima di toccare un link scansionato, controlla l’URL: se contiene errori, ti sembra sconosciuto o ti spinge ad agire in fretta, chiudi la pagina.
• Tratta i “dati gratis con una scansione” come un’esca. Su qualsiasi codice fisico, passa un dito sulla superficie: un adesivo applicato sopra l’originale è uno dei segnali più comuni. Se il codice sembra manomesso, segnalalo al personale del luogo.
• Impara anche a riconoscere lo schema più ampio delle truffe stagionali: molti degli stessi gruppi organizzano truffe legate agli acquisti online e ai biglietti durante i grandi eventi, quindi l’abitudine di rallentare e verificare torna utile ben oltre i codici QR.

Proteggi il tuo numero, non solo la tua carta

La variante del SIM swap è quella che può svuotare i conti, quindi bisogna proteggere il numero stesso. Imposta un PIN o una password sul tuo account mobile, così non potrà essere trasferito con una semplice telefonata. Sposta i codici di autenticazione a due fattori dagli SMS a un’app di autenticazione, in modo che un numero rubato non apra l’accesso alla tua banca. E non leggere mai ad alta voce un codice di attivazione o verifica a qualcuno che ti ha chiamato: un vero operatore non te lo chiederà mai.

Se pensi di essere stato colpito

Agisci in fretta, in quest’ordine:

• Contatta la banca per bloccare le carte e segnalare la frode
• Chiama il tuo operatore se il segnale sparisce all’improvviso: può essere il primo segnale di un SIM swap
• Cambia le password di e-mail e servizi bancari
• Presenta una segnalazione all’ente competente per le frodi o alla polizia locale, oltre che alla tua ambasciata se ti trovi all’estero.

Qui la rapidità conta più di tutto: la maggior parte dei danni avviene nella prima ora.

La difesa più semplice

La soluzione migliore è non avere affatto bisogno di un codice QR in aeroporto. Acquista e installa la tua eSIM da un fornitore affidabile e testato prima di partire da casa: si attiverà all’arrivo, così scenderai dall’aereo già connesso, senza dover scansionare nulla e senza inseguire il “WiFi gratuito”.

Se non sai quale opzione scegliere, la nostra classifica delle migliori eSIM da viaggio per il 2026 confronta i fornitori che abbiamo testato davvero per prezzo, copertura e velocità.