Quishing: dietro ogni QR code si nasconde una decisione da prendere

In sintesi: - Il quishing utilizza QR code falsi per rubare le tue credenziali — aggira tutti i filtri antispam perché un QR code viene trattato come un'immagine innocua. - Le campagne sono aumentate del +331% in un anno (Cofense, 2025); dirigenti e quadri di PMI sono 42 volte più presi di mira rispetto agli altri collaboratori. - Tre riflessi sono sufficienti a sventare la maggior parte degli attacchi: verificare l'URL prima di aprire, non inserire mai le proprie credenziali dopo una scansione, attivare l'autenticazione a due fattori (2FA). - Una compromissione riuscita può impegnare la responsabilità della tua azienda ai sensi della LPD svizzera.

Dalla pandemia, i QR code fanno parte della vita quotidiana. Li scansioniamo nei ristoranti per consultare il menu, all'aeroporto per imbarcarci, sulle fatture per accedere a un portale di pagamento. Questo piccolo quadrato di pixel è diventato un riflesso, una comodità naturale che nessuno mette in discussione. Ed è precisamente ciò che i criminali informatici hanno capito.

Il quishing — contrazione di QR e di phishing — è una tecnica di attacco che consiste nell'integrare un URL dannoso in un QR code per ingannare le sue vittime. Sta progredendo rapidamente: le campagne di quishing sono aumentate del 331% in un anno secondo Cofense (2025), e il QR code rappresenta ormai il 26% di tutti i link dannosi diffusi nella messaggistica professionale. In questo articolo, ti spieghiamo come funziona questa minaccia, perché colpisce particolarmente le PMI svizzere, e soprattutto come proteggerti concretamente.

Il QR code, nuovo angolo cieco dei filtri di sicurezza

Per un filtro anti-phishing classico, un QR code è un'immagine come un'altra: nessun link visibile, nessun testo analizzabile, niente di sospetto. Il messaggio passa senza problemi nelle caselle di posta.

Per anni, le soluzioni di sicurezza della messaggistica hanno imparato ad analizzare i testi e i link ipertestuali nelle e-mail. Riconoscono gli URL sospetti, i mittenti sconosciuti, le espressioni caratteristiche delle e-mail fraudolente. Un QR code cortocircuita interamente queste difese. Una volta che l'utente lo scansiona con il suo smartphone — spesso un dispositivo personale, al di fuori di qualsiasi sistema di protezione aziendale —, viene reindirizzato verso una pagina Web dannosa prima ancora di rendersi conto di cosa sta succedendo. È qui tutta la sottigliezza di questo attacco: sfrutta sia una lacuna tecnologica che un comportamento umano diventato automatico.

Perché le PMI svizzere sono particolarmente esposte?

Le PMI cumulano diversi fattori di vulnerabilità che le rendono bersagli privilegiati — e i criminali informatici lo sanno.

Raramente dispongono di un'équipe informatica dedicata. La gestione della messaggistica, la sicurezza delle postazioni di lavoro e la formazione dei collaboratori si basano spesso su una sola persona, o addirittura su nessuno. In questo contesto, le nuove minacce come il quishing impiegano tempo per essere conosciute e prese in considerazione. Un audit di sicurezza della rete permette appunto di identificare questi angoli ciechi prima che un attacco li sfrutti.

Le PMI si fidano anche dei loro partner e fornitori. Un'e-mail che sembra provenire da un prestatore abituale, con un QR code che chiede di confermare una consegna o di consultare una fattura, ha tutte le probabilità di essere scansionata senza diffidenza. È questa fiducia che gli attaccanti sfruttano sistematicamente.

C'è infine un dettaglio statistico che merita attenzione: i quadri e i dirigenti sono 42 volte più presi di mira dagli attacchi tramite QR code rispetto ai collaboratori ordinari (WatchGuard, 2024). In altre parole, le persone che hanno accesso alle informazioni più sensibili — contabilità, dati clienti, accesso ai sistemi — sono precisamente quelle che gli attaccanti prendono di mira in priorità. In una PMI, si tratta spesso del dirigente stesso, che cumula diversi accessi critici.

A ciò si aggiunge la questione della conformità alla LPD: una compromissione di dati clienti o collaboratori tramite un attacco di quishing può impegnare la responsabilità dell'azienda e richiedere una notifica all'Incaricato federale della protezione dei dati, con le conseguenze giuridiche e reputazionali che ciò implica.

Le forme più comuni di attacchi tramite quishing

Nella messaggistica professionale

È il vettore più frequente. Ricevi un'e-mail che assomiglia a una notifica del tuo strumento di archiviazione cloud, del tuo prestatore di servizi HR o del tuo servizio di pagamento. Il corpo del messaggio è sobrio, rassicurante, e contiene un QR code accompagnato da un'istruzione semplice: «Scansiona per accedere al tuo documento» o «Conferma la tua identità per continuare». La pagina che si visualizza dopo la scansione è una copia quasi perfetta del portale di connessione Microsoft 365, Google Workspace o del tuo e-banking. Inserisci le tue credenziali, e vengono catturate istantaneamente. Quasi il 90% di questi attacchi mira a rubare le credenziali di connessione professionali — una cifra confermata da Barracuda Networks sull'insieme delle campagne analizzate nel 2025.

Nei documenti stampati e negli spazi fisici

Gli attacchi non si limitano al mondo digitale. False fatture cartacee con QR code fraudolenti sono state inserite nei pacchi delle aziende. Adesivi dannosi sono stati incollati sopra QR code legittimi in ristoranti, hotel o sale conferenze. In questi casi, anche un collaboratore vigile può essere ingannato, perché nulla nell'ambiente fisico tradisce l'inganno.

Negli SMS e nelle notifiche di consegna

La notifica di pacco non consegnato con un QR code da scansionare per «riprogrammare la consegna» è diventata una truffa molto diffusa. Prende di mira indifferentemente gli smartphone personali e professionali, e funziona tanto meglio quanto più le consegne sono diventate una realtà quotidiana per molte équipe.

Uno scenario che potrebbe riguardare la tua PMI

Immaginiamo che Sophie, responsabile delle finanze in una PMI di venti persone, riceva una mattina un'e-mail che sembra provenire dal suo software di contabilità. L'oggetto: «Il tuo rapporto mensile è disponibile.» Il messaggio contiene un QR code, che lei scansiona con il suo telefono durante la sua pausa caffè. Inserisce le sue credenziali sulla pagina che appare, pensando di accedere ai suoi dati abituali.

Due ore più tardi, gli attaccanti utilizzano queste credenziali per connettersi alla messaggistica dell'azienda, estrarre le coordinate bancarie dei clienti e inviare false fatture usurpando l'identità della società.

Questo scenario non è una finzione. Situazioni simili sono documentate ogni settimana in Europa. E nella grande maggioranza dei casi, la vittima non ha commesso alcun errore grossolano: si è semplicemente fidata di un'e-mail che sembrava del tutto normale. Il vero problema è che nessuno le aveva spiegato cos'è il quishing.

Cosa puoi fare concretamente per proteggere la tua PMI

Proteggersi dal quishing non richiede né un budget astronomico né un'expertise tecnica avanzata. In Bexxo, lo osserviamo regolarmente sul campo: le PMI che resistono meglio non sono quelle che hanno gli strumenti migliori, ma quelle i cui collaboratori sono stati sensibilizzati. La tecnologia da sola non è sufficiente — e questa convinzione è al cuore del nostro approccio.

Sensibilizzare le tue équipe — è la misura più efficace

Un collaboratore che sa che i QR code possono essere fraudolenti si prenderà il tempo di interrogarsi prima di scansionare. Questa sensibilizzazione può avvenire durante una riunione di équipe, attraverso una newsletter interna, o tramite simulazioni di attacchi. L'obiettivo non è di creare una diffidenza generalizzata, ma di sviluppare un riflesso: «Da dove viene questo QR code? Mi aspettavo questo messaggio?»

Bexxo propone delle simulazioni di phishing e di quishing con PhishTrainer, concepite per le PMI svizzere. In dieci minuti, i tuoi collaboratori imparano a identificare questi attacchi in condizioni reali, senza rischi.

Verificare l'URL prima di aprire

La maggior parte degli smartphone moderni visualizza un'anteprima dell'URL di destinazione quando si scansiona un QR code, prima di aprire il browser. Questa fase dura due secondi e può evitare molte disavventure. Insegna ai tuoi collaboratori a leggere questo URL: è coerente con il mittente presunto? Contiene caratteri sospetti, variazioni ortografiche? Se il dubbio persiste, meglio non aprire.

Non inserire mai le proprie credenziali dopo una scansione

Questa regola è semplice e assoluta: se una pagina chiede un nome utente e una password dopo la scansione di un QR code ricevuto via e-mail o SMS, fermati. Apri il tuo browser e accedi al servizio direttamente digitando l'indirizzo che conosci. È l'unico modo per assicurarsi di essere sul vero sito.

Attivare l'autenticazione a due fattori (2FA)

Anche se le credenziali vengono rubate, l'autenticazione a due fattori costituisce una rete di sicurezza preziosa. Senza il secondo fattore — codice inviato tramite un'applicazione di autenticazione, chiave fisica —, il criminale informatico non può accedere all'account. È una protezione indispensabile per tutti i servizi critici della tua PMI: messaggistica, contabilità, CRM, archiviazione cloud.

Scegliere strumenti di messaggistica con filtraggio avanzato

Le messaggerie professionali basate in Svizzera come Infomaniak Mail o Proton Mail integrano meccanismi di sicurezza robusti: autenticazione SPF, DKIM e DMARC, marcatura automatica delle e-mail esterne sospette e rilevamento dei link dannosi. Optando per queste soluzioni conformi alla LPD e ospitate su suolo svizzero, benefici di una prima linea di difesa solida — senza dipendere da infrastrutture straniere.

Definire una politica chiara per i dispositivi personali

Se i tuoi collaboratori utilizzano il loro smartphone personale per scansionare QR code legati al lavoro — cosa che è frequente —, definisci regole semplici: non inserire mai credenziali professionali su un dispositivo non sicuro, segnalare immediatamente qualsiasi comportamento sospetto alla persona responsabile dell'informatica. Una politica BYOD chiara è un complemento indispensabile a qualsiasi strategia di cybersicurezza.

Conclusione

Il quishing illustra perfettamente una realtà che le PMI devono integrare: i cyberattacchi evolvono costantemente per aggirare le difese esistenti. Laddove i filtri antispam bloccano i link sospetti, gli attaccanti utilizzano immagini. Laddove i collaboratori diffidano degli allegati, i truffatori passano attraverso i QR code fisici.

Di fronte a questa evoluzione, due cose rimangono vere: la sensibilizzazione delle équipe è sempre l'investimento più redditizio, e le azioni semplici — verificare l'URL, non inserire le proprie credenziali dopo una scansione, attivare l'autenticazione a due fattori (2FA) — sono sufficienti a sventare la grande maggioranza dei tentativi.

Desideri valutare concretamente la resistenza dei tuoi collaboratori di fronte a queste nuove forme di attacchi? Contatta Bexxo per scoprire le nostre simulazioni adatte alle PMI svizzere. Puoi anche iniziare con un audit di sicurezza per identificare rapidamente i tuoi punti di esposizione.

Domande frequenti

Cos'è il quishing e in cosa è diverso dal phishing classico? Il quishing è una forma di phishing che utilizza un QR code al posto di un link cliccabile. La sua particolarità: laddove un filtro antispam può analizzare e bloccare un link sospetto, un QR code viene trattato come una semplice immagine. Passa quindi senza alcun controllo nella messaggistica, il che lo rende molto più difficile da rilevare automaticamente.

Come riconoscere un QR code potenzialmente fraudolento prima di scansionarlo? La principale precauzione è di chiederti da dove viene questo QR code. Se ti viene inviato via e-mail o SMS senza che tu l'abbia richiesto, diffida. Dopo la scansione, verifica sempre l'URL visualizzato dal tuo smartphone prima di aprire la pagina: un URL legittimo di un servizio conosciuto non contiene caratteri strani né un dominio insolito.

Cosa fare se un collaboratore ha scansionato un QR code sospetto e inserito le sue credenziali? Agisci immediatamente: cambia la password dell'account interessato da un dispositivo sicuro, attiva l'autenticazione a due fattori (2FA) se non è ancora stato fatto, e avvisa la persona responsabile dell'informatica. Se dei dati personali di clienti o di collaboratori hanno potuto essere esposti, verifica con il tuo legale se una notifica all'Incaricato federale della protezione dei dati (IFPDT) è necessaria secondo la LPD.

Una PMI svizzera senza équipe IT dedicata può davvero proteggersi dal quishing? Sì, ed è anche una delle minacce per le quali la protezione umana è più efficace della protezione tecnica. Formare i tuoi collaboratori a riconoscere questo attacco — in un'ora di sensibilizzazione — riduce drasticamente il rischio. Strumenti come PhishTrainer di Bexxo sono precisamente concepiti per le PMI senza dipartimento IT.

Il quishing può esporre la nostra azienda a sanzioni legate alla LPD? Se un attacco riesce e dei dati personali di clienti o di collaboratori vengono compromessi, sì. La LPD svizzera obbliga le aziende a notificare l'IFPDT in caso di violazione di dati a rischio elevato. Una PMI che non ha preso misure di protezione ragionevoli può vedere la sua responsabilità civile e penale impegnata.

I nostri dispositivi mobili professionali sono meglio protetti degli smartphone personali? In linea di principio, sì — se la tua azienda ha messo in atto una soluzione di gestione dei dispositivi mobili (MDM) e una VPN professionale. Nella realtà di molte PMI svizzere, i collaboratori utilizzano il loro smartphone personale, non soggetto ad alcuna politica di sicurezza. È precisamente per questo che una politica BYOD chiara è tanto importante quanto gli strumenti tecnici.

Fonti: Cofense, 2025 · Barracuda Networks, 2025 · QR Code Tiger, 2025 · WatchGuard