Condividi:
Cybersecurity Phishing Lettura: 6 min Aggiornato al 10 luglio 2026

Truffa QR Code a nome Idealista: come funziona il phishing segnalato dalla Polizia Postale

In sintesi

La Polizia Postale ha segnalato una truffa via email a nome del portale immobiliare Idealista.it. Il messaggio contiene un QR code che, se scansionato, reindirizza a un sito clone identico all'originale, dove vengono richiesti dati personali e bancari. La tecnica si chiama quishing, phishing tramite QR code, e sfrutta il fatto che i filtri di sicurezza email analizzano testo e link ma non sempre riconoscono un URL malevolo nascosto in un'immagine.

Cercare casa in affitto oggi significa quasi sempre passare da un portale immobiliare online, controllare la mail, aprire link, a volte scansionare un QR code. È proprio su quest'ultimo gesto, ormai automatico, che si sta concentrando una nuova ondata di truffe segnalata dalla Polizia Postale: email che imitano le comunicazioni ufficiali di Idealista.it e che, invece di un link cliccabile, contengono un codice QR da inquadrare con lo smartphone.

Il meccanismo non è nuovo nella sostanza, il furto di credenziali personali e bancarie tramite siti clone è una delle tecniche di phishing più diffuse nel settore immobiliare, ma lo è nella forma. L'uso del QR code al posto del link testuale è una scelta precisa degli attaccanti, e vale la pena capire perché.

Come funziona la truffa segnalata dalla Polizia Postale

Il meccanismo, secondo la segnalazione ufficiale:

Chi sta cercando casa o vuole affittarne una riceve un'email che sembra provenire ufficialmente da Idealista. All'interno del messaggio è presente un QR code da scansionare. Chi lo scansiona viene reindirizzato verso un sito web identico a quello originale, ma falso, che richiede l'inserimento di dati personali e bancari. Questi dati finiscono direttamente nelle mani dei cybercriminali.

1

Ricevi l'email falsa a nome Idealista

2

Scansioni il QR code con lo smartphone

3

Atterri sul sito clone identico all'originale

4

Inserisci dati personali e bancari

5

I dati finiscono ai cybercriminali

Il punto debole sfruttato non è tecnico, è comportamentale. Un link testuale in un'email può essere controllato passandoci sopra il puntatore del mouse, un QR code invece nasconde l'indirizzo di destinazione fino al momento in cui il telefono ha già aperto la pagina. E soprattutto, quando si scansiona un codice con lo smartphone, si esce quasi sempre dal perimetro di protezione aziendale o dai filtri antiphishing installati sul computer o sulla casella di posta.

Perché il QR code funziona meglio di un link per i truffatori

Le indicazioni raccolte nelle segnalazioni più recenti sul quishing confermano un pattern preciso: i filtri di sicurezza email sono progettati per analizzare testo e link, non immagini. Un URL malevolo incorporato in un codice grafico passa più facilmente inosservato ai controlli automatici, mentre l'utente lo scansiona con un dispositivo mobile che spesso non ha lo stesso livello di protezione del computer di lavoro. A questo si aggiunge un elemento psicologico: chi cerca casa è sotto pressione, vuole rispondere in fretta a un annuncio prima che lo prenda qualcun altro, ed è quindi più propenso ad agire senza verificare.

Il quishing in numeri

Segnalazioni di phishing tramite QR code, confronto indicativo
Quishing (Action Fraud UK, 2024-2025)
784 segnalazioni
Perdite economiche stimate
~3,5 mln £
Crescita phishing/social engineering in Italia
+27%

Dati indicativi rielaborati da Action Fraud (Regno Unito, periodo aprile 2024-aprile 2025) e Rapporto Clusit sulla crescita di phishing e social engineering in Italia. Le barre non sono in scala tra loro, ogni indicatore ha un'unità di misura diversa ed è riportato a scopo illustrativo.

I segnali per riconoscere l'email falsa

  • Mittente: verifica sempre l'indirizzo completo del mittente, non solo il nome visualizzato, i domini falsi spesso contengono variazioni minime rispetto a quello ufficiale.
  • Urgenza: diffida da comunicazioni che richiedono un'azione immediata su dati personali o bancari legati a un annuncio o a una pratica di affitto.
  • QR code nel corpo dell'email: è un elemento raro nelle comunicazioni legittime di un portale immobiliare, la sua presenza da sola è un campanello d'allarme.
  • Richiesta di dati bancari: nessun portale immobiliare richiede coordinate bancarie o dati di pagamento per la sola consultazione di un annuncio o per un primo contatto.
  • Dominio della pagina di destinazione: dopo la scansione, controlla sempre l'indirizzo mostrato nella barra del browser prima di inserire qualsiasi informazione.

Cosa fare prima di scansionare un QR code ricevuto via email

SituazioneComportamento corretto
Email con QR code da un portale immobiliareNon scansionare, accedere al portale digitando l'indirizzo ufficiale nel browser
Pagina che chiede dati bancari dopo scansioneChiudere immediatamente, non inserire alcun dato
Dubbio sull'autenticità della comunicazioneContattare il portale tramite i canali ufficiali indicati sul sito, non tramite i recapiti presenti nell'email sospetta
Dati già inseriti su un sito sospettoContattare subito la propria banca per bloccare carte e conti, e sporgere denuncia

Domande frequenti

Ho scansionato il QR code ma non ho inserito nessun dato, sono al sicuro?

Nella maggior parte dei casi sì, se ti sei fermato prima di inserire dati personali o bancari nella pagina di destinazione, il rischio concreto non si è concretizzato. Per stare tranquillo, chiudi subito la pagina senza interagire oltre, non scaricare eventuali file proposti dal sito, e verifica nei giorni successivi che non arrivino altre comunicazioni sospette collegate a quell'indirizzo. Se hai dubbi su cosa sia successo esattamente sul dispositivo, un controllo tecnico dello smartphone toglie ogni incertezza.

Cosa rischio se scansiono un QR code sospetto senza inserire dati?

La sola scansione apre una pagina web nel browser del telefono, il rischio concreto si concretizza quando si inseriscono dati personali o bancari nella pagina di destinazione. Restano comunque validi i principi generali di prudenza: verificare sempre l'URL mostrato dal browser prima di procedere oltre.

Come faccio a segnalare una truffa di questo tipo alle autorità?

La segnalazione va fatta scrivendo direttamente al Commissariato di PS online, il servizio della Polizia Postale dedicato alle truffe informatiche, raggiungibile dal sito ufficiale della Polizia di Stato.

Idealista è responsabile di questa truffa?

No, si tratta di un caso di impersonificazione, i truffatori utilizzano il nome e la grafica del portale a sua insaputa per apparire credibili. Il portale stesso è vittima dell'uso improprio del proprio brand, così come già accaduto in passato con altre forme di phishing a suo nome.

Ho già inserito i miei dati bancari sul sito falso, cosa devo fare subito?

Contattare immediatamente la propria banca per bloccare carte di credito e conti correnti, monitorare i movimenti nei giorni successivi, e presentare denuncia al Commissariato di PS online o alla Polizia Postale territorialmente competente.

Il tuo smartphone potrebbe essere già stato compromesso da un link o QR code malevolo?

I nostri periti digitali eseguono controlli tecnici approfonditi sui dispositivi per verificare la presenza di software spia, accessi non autorizzati o compromissioni, con perizie utilizzabili anche in sede legale.

Richiedi un controllo del tuo smartphone
PD

Redazione Periti Digitali — Team di consulenti in informatica forense e cybersecurity, specializzato nell'analisi tecnica di frodi digitali, compromissioni di dispositivi mobili e perizie utilizzabili in sede legale.

Fonte della segnalazione: pagina LinkedIn ufficiale della Polizia Postale. Contesto tecnico sul quishing verificato tramite avviso Google Trust & Safety dell'8 giugno 2026 sulla crescita del phishing tramite QR code.

Condividi: