Statistiche allarmanti sul phishing tramite codice QR che devi conoscere nel 2026

Da: Ashley P.Aggiornamento: May 06, 2026

Questa raccolta di statistiche sul phishing dei codici QR getta luce sulle preoccupanti minacce alla sicurezza che il quishing impone alle imprese e ai singoli individui.

Nessuno può negare i benefici dell'utilizzo di un codice QR (Quick Response), e per quanto odiamo ammetterlo, anche i criminali online lo sanno.

Ma, se ti familiarizzi con le minacce alla cybersecurity e adotti misure di sicurezza di conseguenza, puoi ostacolarne il successo.

Con questo in mente, abbiamo raccolto fatti chiave e tendenze sul phishing tramite codice QR di cui tutti dovrebbero rimanere vigili nel 2026.

Scopri cosa dicono queste statistiche, i casi reali, le azioni che puoi intraprendere e il miglior generatore di codici QR per aiutarti a creare codici QR a prova di errore.

Indice

Cosa rende il quishing (phishing con codice QR) così pericoloso?
Le ultime statistiche e tendenze sul phishing con codice QR
Esempi di codice di phishing nella vita reale utilizzando i codici QR
I codici QR sono sicuri?
Cosa devi fare per evitare gli attacchi di phishing
Crea codici QR sicuri e affidabili con QR TIGER

Cosa rende il quishing (phishing con codice QR) così pericoloso?

Il phishing è un attacco informatico malevolo che mira a rubare informazioni personali, come nomi utente online, password e persino informazioni finanziarie, per scopi malintenzionati.

Questo tipo di attacco si basa sulla menzogna, che fa sì che la vittima fornisca volontariamente ma inconsapevolmente questi dettagli da sola.

Oggi è emersa una nuova tecnica per questi criminali informatici: il quishing.

Quishing è l'atto di phishing tramite codici QR che sono codici a barre bidimensionali che una persona può facilmente scansionare utilizzando uno smartphone.

I codici QR possono essere pericolosi? Per niente. Tuttavia, a seconda del motivo del creatore, il link o il contenuto incorporato potrebbero essere dannosi per gli altri.

È anche ancora più difficile da identificare. Truffa del codice QR può essere trasmesso tramite email, portando i destinatari a un documento con un codice QR che reindirizza a un sito maligno che alla fine ruba le loro informazioni.

Questo è il motivo per cui il quishing è così pericoloso. I cattivi attori possono semplicemente coprire i codici QR legittimi con quelli falsi, e potrebbero persino mirare ad ansie come... i prestiti influenzano il punteggio di creditoper convincere i destinatari a scannerizzarli.

Secondo Hoxhunt, gli incidenti di phishing stanno aumentando del 25% anno dopo anno.

Le ultime statistiche e tendenze sul phishing con codice QR

I codici QR sono strumenti pratici per condividere informazioni, ma con attacchi informatici come il quishing, un codice QR maligno minaccia seriamente la persona media.

Per le aziende, il phishing è una preoccupazione principale che può costare loro migliaia o addirittura milioni per risolvere. Per contestualizzare, i dati di IBM indicano che le violazioni a seguito di phishing con codici QR possono costare in media 4,45 milioni di dollari (USD).

Se vuoi evitare di diventare un bersaglio, è importante familiarizzati con la cybersecurity e capire come di solito si sviluppano questi attacchi.

Esaminiamo le ultime statistiche che lo dimostrano.

Quishing è il vettore di attacco in più rapida crescita all'inizio del 2026

Durante il primo trimestre del 2026, Microsoft Threat Intelligence e il team di ricerca sulla sicurezza di Microsoft Defender hanno scoperto che le email di phishing rappresentavano il 78% dell'attività email totale, con i codici QR di phishing che vedevano un aumento nell'uso malintenzionato.

A gennaio, 7,6 milioni di questi attacchi hanno utilizzato i codici QR per compromettere le email. Questo numero sarebbe cresciuto a 18,7 milioni a marzo, segnando un aumento del 146% nell'utilizzo.

Molti di questi codici QR si trovano nei file allegati alle email. Secondo i dati, il 65% delle email con allegati a gennaio utilizza file PDF per consegnare codici QR maligni. D'altra parte, i file DOC e DOCX sono stati utilizzati nel 31% delle email di phishing nello stesso mese.

Questi numeri cambierebbero a marzo, poiché i file PDF con codici QR hanno registrato un aumento del 70% nell'uso, mentre l'uso dei file DOC e DOCX è sceso al 24%.

Gli attaccanti hanno anche ricorso ad allegare codici QR direttamente nel corpo dell'email, un metodo che ha registrato un aumento del 336% a marzo. Tuttavia, i dati mostrano anche che questo vettore rappresenta solo il 5% di tutti i tentativi di phishing rilevati.

Il aumento dei tentativi di phishing mette in luce una sfida nei sistemi di sicurezza email attuali. Sebbene siano efficaci nel rilevare minacce da testo e link, gli attaccanti hanno capito che non sono altrettanto affidabili nel rilevare link di phishing nei contenuti basati su immagini come i codici QR.

Gli attacchi di phishing tramite codice QR sono aumentati del 51%

Secondo uno studio di ReliaQuest, gli attacchi di phishing tramite codice QR sono aumentati al 51% a settembre 2023. Questo è stato un aumento significativo rispetto alla cifra cumulativa per gennaio-agosto 2023.

Inoltre, il 12% degli incidenti di quishing osservati coinvolgeva il nascondere il codice QR in un file PDF o JPEG allegato a una email.

Questi attacchi sono riusciti a sfuggire ai filtri delle email perché l'email malevola spesso non conteneva elementi cliccabili nel corpo del messaggio, cosa che di solito i filtri permettono.

Ci sono stati oltre 8.000 incidenti di phishing in 3 mesi nel 2023

Sottolineando la dipendenza dai codici QR da parte dei criminali informatici e degli truffatori, Keepnet ha scoperto che sono stati segnalati 8.878 incidenti di phishing nel giro di 3 mesi nel 2023.

Osservato da giugno ad agosto, il primo mese è stato quello in cui la tendenza ha raggiunto il picco con un totale di 5.063 casi segnalati.

Quasi il 2% di tutti i codici QR scansionati sono dannosi

Un'analisi recente di Keepnet ha rivelato che quasi il 2% di tutti i codici QR scannerizzati sono considerati dannosi. Questo include codici QR di phishing così come quelli incorporati con collegamenti a malware e virus.

Chiediti: "Quanti codici QR sono possibili da creare?" e potresti arrivare a un numero di milioni. La verità è molto di più, tanto che il numero non potrebbe entrare in una calcolatrice.

Non siamo nemmeno vicini a raggiungere quel numero, quindi il 2% è insignificante nel grande schema delle cose.

Ancora, gli effetti di QR code maligni sono troppo dannosi da ignorare. Poiché questa forma di codice a barre diventa sempre più popolare in diverse applicazioni, possiamo aspettarci che questo numero aumenti anche.

Solo il 36% degli incidenti di phishing con codice QR è stato identificato e segnalato correttamente.

Nonostante un numero impressionante di incidenti di phishing con codici QR nelle ultime statistiche, i report indicano che solo il 36% di essi viene identificato e segnalato correttamente.

Questo basso tasso di rilevamento e segnalazione è una lacuna nella sicurezza che qualsiasi azienda dovrebbe affrontare.

Il 26% delle campagne di phishing utilizza link maligni incorporati nei codici QR

Ci sono diversi tipi di attacchi di phishing, ma il metodo più popolare avviene tramite email. Secondo ulteriori dati di Keepnet, il 26% dei link dannosi nelle campagne di phishing via email erano incorporati in un codice QR.

Con così tanti collegamenti incorporati nei codici QR, è ovvio che i cattivi attori stiano sfruttando la loro efficacia per arrecare danni agli altri.

Questo è supportato da un aumento del 587% negli incidenti di phishing risalenti al 2023. Durante questo periodo, il 22% di tutti gli attacchi di phishing ha utilizzato i codici QR.

Mezzo milione di email con codici QR di phishing sono incorporati in documenti PDF

Questa sorprendente scoperta è stata fatta dai ricercatori di minacce di Barracuda. I file PDF di solito avevano una o due pagine, e le email stesse non contenevano altri collegamenti esterni o documenti incorporati.

Quasi il 90% degli attacchi ai codici QR mira a rubare le informazioni di accesso e altri dati sensibili.

Mentre ci sono molti modi creativi per infliggere danni con i codici QR, Keepnet afferma che circa l'89,3% degli attacchi rilevati sono fatti per catturare dati personali.

Il motivo di ciò può risiedere nel fatto che i codici QR sono facili e comodi da utilizzare. Molte persone possono dimenticare di controllare il link prima di essere reindirizzate.

Con la maggior parte degli attacchi QR code che sono tentativi di phishing, questo sottolinea la necessità di una maggiore conoscenza e consapevolezza della sicurezza dei QR code e dell'istituzione di misure di sicurezza migliorate.

Le pagine di home banking online sono anche soggette agli attacchi di phishing

La spesa globale con i codici QR è prevista superare i 3 trilioni di dollari entro il 2025, il che significa che possiamo aspettarci un aumento nei tentativi di frode utilizzando i pagamenti con codice QR.

Questo è supportato dallo stesso studio ReliaQuest, che ha scoperto che il 18% degli incidenti di phishing coinvolgeva ladri che utilizzavano pagine di banche online per rubare informazioni.

Se stai utilizzando i codici QR per pagare nei negozi fisici e online, controlla eventuali segni di manomissione sul codice QR. Se hai l'opzione, chiedi al negozio di fornirti direttamente il numero di conto e il nome completo del titolare del conto per transazioni sicure.

I dirigenti d'azienda subiscono attacchi di phishing 42 volte più spesso rispetto ai dipendenti

Secondo i dati del 2023 di Abnormal Security, gli executive sono 42 volte più suscettibili di essere presi di mira da email di phishing rispetto ai loro dipendenti.

Questo ci dice che i criminali informatici sanno che mirare agli esecutivi può dar loro accesso a informazioni sensibili e redditizie e molto potere all'interno delle aziende.

Significa anche che potrebbero esserci vulnerabilità nella sicurezza di un'organizzazione che i dirigenti dovrebbero individuare e risolvere.

Microsoft e Adobe sono tra i marchi che vengono impersonati per il phishing

I ricercatori di minacce di Barracuda Intelligence hanno anche scoperto che nella maggior parte degli incidenti analizzati, i criminali informatici si sono impersonati come aziende ben note come Microsoft e Adobe.

Più della metà degli attacchi coinvolgevano l'impersonificazione di Microsoft. Gli aggressori imitano il branding dell'azienda utilizzando il suo logo, il font e le note legali.

Altri incidenti hanno coinvolto truffatori che si fingevano il dipartimento delle risorse umane dell'attuale azienda della vittima.

27% degli attacchi di phishing sono notifiche fraudolente relative all'autenticazione a più fattori (MFA)

L'autenticazione a più fattori può essere lo standard d'oro per proteggere le identità digitali, ma un singolo errore nel cliccare su un'email e scannerizzare un codice QR di un avviso MFA fraudolento consente agli attaccanti di aggirare questa protezione.

Secondo Abnormal, un significativo 27% dei tentativi di phishing utilizza falsi avvisi MFA per ingannare gli utenti a scansionare un codice QR per la ri-autenticazione.

Il 56% delle email di phishing coinvolgeva il ripristino dell'autenticazione a due fattori (2FA) di Microsoft

Secondo uno studio di ReliaQuest nel settembre 2023, la forma più popolare di quishing coinvolgeva l'invio di email per reimpostare o abilitare l'autenticazione a due fattori (2FA) di Microsoft.

Questo attacco era così diffuso che costituiva più della metà di tutti i metodi utilizzati nel corso di un anno.

Le notifiche false di autenticazione a due fattori possono rappresentare una seria minaccia per la tua sicurezza. Pertanto, se ricevi email sospette di questo tipo, contatta immediatamente Microsoft o altri fornitori di servizi a cui sei iscritto.

Gli attori di Quishing imitano le email relative a HR e IT

Un rapporto di phishing di KnowBe4 ha scoperto che il 48,6% delle email di phishing relative a HR e IT sono le più pericolose per i professionisti.

La maggior parte di queste email che imitano quelle provenienti da HR e amministratori utilizzano codici QR.

Ad esempio, gli attori minacciosi li utilizzano per indirizzare i destinatari a firmare urgentemente un documento, invitarli a una riunione su Zoom o scaricare un file per revisioni delle politiche.

I codici QR che contengono link dannosi possono portare a cyberattacchi come la compromissione dell'email aziendale (BEC), l'hacking di sistema e il ransomware.

Il settore dell'energia riceve il 29% delle email di phishing, mentre il settore al dettaglio rimane il più vulnerabile

Mentre qualsiasi settore industriale può essere a rischio di attacchi di phishing, due sembrano essere bersagli frequenti.

Il primo è l'industria dell'energia. Secondo i dati, il settore dell'energia riceve il 29% di oltre 1.000 email di phishing infette da malware.

Il secondo settore vulnerabile al quishing è il settore al dettaglio. L'analisi mostra che questo settore presenta il tasso di errore più alto, il che significa che i dipendenti del settore al dettaglio spesso non riescono a individuare e segnalare i codici QR maligni alle autorità.

Altri settori che sono bersagli popolari per le campagne di phishing sono la produzione, l'assicurazione, la tecnologia e i servizi finanziari.

Un elevato numero di incidenti all'interno di questi settori indica che il mirare a essi si è dimostrato redditizio per molti criminali informatici.

Esempi di codice di phishing nella vita reale utilizzando codici QR

Nonostante un basso tasso di rilevamento e segnalazione, migliaia di incidenti vengono comunque scoperti. Tuttavia, non sapere come possano avvenire queste truffe aiuta solo i criminali a ottenere più informazioni personali dalle vittime innocenti.

Abbiamo raccolto importanti esempi di phishing tramite codici QR da cui puoi imparare e evitare quando ne incontri uno tu stesso.

Falsi biglietti per il parcheggio a San Francisco

Nel secondo trimestre del 2023, i cittadini di San Francisco hanno ricevuto multe per il parcheggio sulle loro auto.

Questi biglietti presentavano un codice QR che indirizzava i lettori a una pagina dell'Agenzia dei Trasporti Municipali di San Francisco (SFMTA) dove i conducenti potevano saldare immediatamente le loro multe.

Sfortunatamente, la SFMTA non ha utilizzato i codici QR in questo modo.

Peggio, gli truffatori hanno replicato il sito web ufficiale della SFMTA, rendendo quello falso sembrare legittimo.

Mentre l'agenzia non poteva confermare il numero di segnalazioni ricevute, ha comunque esortato i conducenti a verificare se un biglietto è autentico controllandolo sul loro sito web ufficiale.

Codice QR infetto da malware del negozio di tè

Un altro tentativo di phishing utilizzando un codice QR è stato un caso a Singapore in cui una donna di 60 anni ha perso $20.000 dopo aver compilato un falso sondaggio online.

Secondo la vittima, questo sondaggio doveva essere per una tazza di tè al latte gratuita in un negozio locale di bubble tea. Il codice era attaccato alla vetrina del negozio, facendolo sembrare una promozione del negozio stesso.

Ciò che rende unica questa truffa è che scarica un'app di terze parti sul telefono dopo aver scansionato il codice QR. Questa app richiederà l'accesso al microfono e alla fotocamera del telefono.

L'applicazione maligna ha anche richiesto l'accesso al Servizio di accessibilità di Android, un'applicazione Android dedicata ad assistere gli utenti con disabilità. L'accesso a questa app consente all'autore dell'inganno di visualizzare e controllare lo schermo della vittima.

Secondo il signor Beaver Chua, responsabile del dipartimento antifrode della banca OCBC, il truffatore aspetterebbe che la vittima utilizzi l'app di mobile banking e annoti le proprie credenziali di accesso e password.

Con queste informazioni, il truffatore deve solo prendere il controllo del telefono al momento giusto e trasferire denaro dal conto della vittima.

QR code per rubare le credenziali presso l'Università di Washington

A settembre 2023, studenti e docenti dell'Università di Washington a St. Louis (WUSTL) sono diventati bersagli di criminali informatici che utilizzavano codici QR di phishing.

Secondo un post del blog, la campagna di phishing ha utilizzato email con un codice QR maligno allegato. Quando scansionato, il codice QR ha indirizzato i membri della comunità a una falsa pagina di accesso WUSTL Key.

Ma come convincerebbe l'imbroglione gli utenti a scannerizzare il codice? Facendogli credere che i loro account verrebbero terminati se non lo fanno.

Poiché sembrava una email ufficiale, è piuttosto facile ingannare docenti e studenti di WUSTL non sospettosi a mantenere i loro account scansionando il codice.

Fortunatamente, il team di sicurezza informatica dell'università ha informato la comunità dell'inganno, impedendo a più persone di cadere nella trappola.

Codice QR maligno che copre uno legittimo a Teesside, Inghilterra

Nel novembre dello stesso anno, è stato lanciato un altro esempio di codice di phishing presso la stazione di Thronaby a Teesside, in Inghilterra. Proprio come il codice QR del sondaggio del negozio di tè, ha portato almeno una vittima a perdere migliaia dei suoi sudati soldi.

Il codice QR è stato posizionato sopra uno genuino nel parcheggio della stazione. Quando la vittima, una donna di 71 anni che desiderava rimanere anonima, ha scansionato uno di questi QR code falsi per pagare il parcheggio, ha involontariamente offerto le sue informazioni bancarie ai truffatori.

La sua banca ha bloccato la transazione. Purtroppo, i criminali si sono spacciati per il personale della banca e l'hanno convinta a prendere un prestito di £7,500.

Successivamente, hanno modificato le sue informazioni bancarie, ordinato nuove carte, accumulato debiti che avrebbero comportato una perdita totale di £13.000 per la vittima e creato un account bancario online.

Secondo VirginMoney, il prestito della vittima sarebbe stato alla fine cancellato mentre tutte le transazioni fraudolente sarebbero state rimborsate.

Il codice QR dell'email fasulla di scadenza del 2FA di Microsoft

Questo scandalo è un esempio lampante di come l'industria dell'energia sia presa di mira dagli attacchi di phishing.

Nello stesso mese del falso codice QR di Teesside, Microsoft ha inviato un'email a un'azienda del settore industriale ed energetico. Nell'email si affermava che l'autenticazione a due fattori (2FA) del destinatario stava per scadere.

Secondo l'email, il rinnovo di questa misura di sicurezza avrebbe richiesto la scansione del codice QR allegato. Poiché Microsoft non invia questo tipo di email, era chiaro che questa email era destinata a raccogliere le credenziali aziendali.

La natura fraudolenta dell'email era anche ovvia per i dipendenti attenti grazie ai vari errori grammaticali trovati nel testo. Nemmeno un generatore di codici QR con integrazione del logo può salvare la situazione.

Codici QR di DocuSign non legittimi

DocuSign è la piattaforma numero 1 per le firme elettroniche. Purtroppo, questo l'ha resa anche una delle preferite tra i cybercriminali, specialmente coloro che preferiscono usarla per condurre truffe di phishing.

Quando un attore malintenzionato imita la piattaforma di DocuSign per lanciare attacchi di phishing, di solito copiano le comunicazioni ufficiali dell'azienda per rendere autentiche le loro email fraudolente.

E poiché le email di DocuSign possono essere personalizzate per adattarsi al marchio che utilizza i loro servizi, diventa più facile mascherare le vere intenzioni dei truffatori.

I codici QR possono ulteriormente ingannare "concedendo" l'accesso al documento che deve essere firmato. In realtà, il codice QR invia gli scanner a un sito web maligno che cattura qualsiasi informazione personale inserita.

Questo metodo può seriamente influenzare la fiducia delle persone nei codici QR, portandole a chiedersi: "I codici QR sono sicuri?"

Codice QR Malicious OneService Lite a Singapore

All'inizio del 2023, l'Ufficio dei Servizi Municipali di Singapore (MSO) ha iniziato a ricevere segnalazioni di un codice QR falso che imita il legittimo codice QR di OneService Lite.

OneService è una piattaforma lanciata dal governo di Singapore che aiuta i cittadini a inviare i loro feedback a un unico portale. Questo facilita il processo di feedback poiché i cittadini interessati non devono cercare a quale agenzia o consiglio comunale rivolgersi.

Purtroppo, il falso codice QR porta le persone a un modulo di feedback dove devono inserire le proprie informazioni personali.

Ciò ha spinto la MSO a avviare indagini sulla questione. Essi e vari consigli comunali hanno anche avviato controlli su ogni codice QR di OneService Lite e consigliato al pubblico di verificare l'indirizzo web del codice QR prima di inviare qualsiasi informazione.

I codici QR sono sicuri?

Con tutte queste statistiche ed esempi di vita reale di frode, è facile pensare che i codici QR siano troppo pericolosi da utilizzare. Ma questo non potrebbe essere più lontano dalla verità.

Mentre i codici QR possono fornire accesso a collegamenti dannosi, non danneggiano le persone. Proprio come una porta, il loro unico scopo è quello di farti entrare, anche se la "stanza" in cui stai entrando può essere pericolosa.

Con un generatore dinamico di codici QR online, puoi garantire codici QR sicuri e affidabili. I migliori spesso utilizzano gli strumenti di sicurezza più avanzati, come 2FA, audit interni e monitoraggio 24/7.

Come altro codice QR sicuro e stare al sicuro? Utilizzando un'altra funzionalità dinamica chiamata protezione con password. I codici QR dinamici sono più avanzati, vengono forniti con una password.

Se la password che conosci non funziona, ti verrà impedito di accedere al contenuto del codice QR. Quando si tratta di codici QR falsi, questo ti terrà al sicuro.

I lettori di codici QR mostrano anche anteprime dei collegamenti incorporati nei codici QR, che costituisce un ulteriore livello di sicurezza che puoi utilizzare per evitare attacchi maligni.

Per individuare un collegamento sicuro, cerca il simbolo del "Lucchetto" quando lo stai visualizzando in anteprima. Questo simbolo significa che il collegamento è criptato e protetto da una certificazione Secure Sockets Layer (SSL).

Cosa devi fare per evitare gli attacchi di phishing

Per evitare di cadere vittima di attacchi di quishing, tieni presente quanto segue prima di scansionare i codici QR:

Evita di scannerizzare i codici QR situati in aree casuali o sospette.
Se ti trovi in un'area pubblica, controlla se ci sono segni di manomissione del codice QR.
Cerca i segni comuni di una truffa nelle email che contengono codici QR (grammatica scadente, errori di battitura, immagini sfocate)
Se il codice QR richiede informazioni sensibili, considera se è necessario ottenere ciò che il codice dovrebbe darti.
Per coloro che gestiscono le proprie finanze, capire l'importanza del bilancio è essenziale, e puoi trovare utile suggerimenti per il budgeting per aiutare a navigare attraverso le sfide finanziarie.
Controlla sempre l'indirizzo URL che la tua fotocamera o scanner di codici QR ti mostra dopo aver scansionato un codice QR. Se il link sembra sospetto, non accedervi.

Crea codici QR sicuri e affidabili con QR TIGER

Se stai considerando di utilizzare i codici QR nella tua vita personale o professionale, assicurati sempre che i codici che generi siano sicuri e protetti.

Abbiamo visto come fare quello. Quello che devi fare ora è trovare una piattaforma QR code sicura, protetta e affidabile.

Il sistema di QR TIGER è conforme ai regolamenti GDPR e CCPA e agli standard di sicurezza della norma ISO-27001, offrendo codici QR sicuri, modificabili e tracciabili.

Offriamo anche una serie di altre funzionalità: protezione con password per i tuoi codici QR e autenticazione a due fattori per il tuo account. Con queste, puoi stare tranquillo che le tue scansioni sono al sicuro con noi.

Armato di statistiche e esempi chiave sul phishing dei codici QR, i tuoi codici QR saranno sicuri da utilizzare e fidati da tutti.