Loading theme
·12 min di lettura

La verità sulle truffe con i codici QR: come i generatori "gratuiti" estorcono gli utenti

I QR dinamici permettono ai fornitori di tracciare, modificare, disattivare e monetizzare i tuoi codici dopo che li hai stampati. Ecco come funziona lo schema e come evitarlo.

Da qualche parte tra il 2015 e oggi, i codici QR sono passati da curiosità giapponese a infrastruttura globale. Sono stampati su tavoli di ristorante, pareti di musei, confezioni di prodotti e moduli fiscali. Praticamente ogni telefono sulla Terra sa leggerli.

E attorno a essi è cresciuta in silenzio un'industria costruita su un'unica premessa disonesta: che un codice QR dovrebbe avere un intermediario.

Questo articolo spiega il meccanismo dello schema di estorsione con i QR: perché funziona, chi ci guadagna e come non diventare una delle sue milioni di vittime.

Lo schema tipico

Digiti "free QR code generator" su Google. Il primo risultato ha un'interfaccia simpatica. Incolli una URL, personalizzi i colori, vedi apparire un bel QR code. Clicchi "scarica".

Ora accade una di queste tre cose:

  1. Ti viene chiesto di creare un account — "solo per scaricare"
  2. Ti dicono che la versione gratuita produce un'immagine a bassa risoluzione o con filigrana, e il download "premium" è a pagamento
  3. Ottieni un download pulito — e nulla ti avverte che il QR appena salvato passa attraverso i server del generatore

Il caso 3 è il più insidioso. L'utente lascia il sito convinto di avere un QR funzionante. Lo stampa su biglietti da visita, menu di ristoranti, cartellonistica di eventi, etichette di prodotti. Migliaia di copie entrano in circolazione. E per settimane, mesi, a volte anni, i codici funzionano.

Poi, un giorno, in silenzio, smettono di funzionare. Perché l'azienda ha deciso che era ora di monetizzare.

Cosa c'è davvero dentro un codice QR

Un codice QR è un disegno di quadrati neri e bianchi che codifica dati binari. Gli scanner decodificano il disegno e passano il risultato al sistema operativo, che lo interpreta come URL, testo, credenziali Wi-Fi o altri formati.

Il punto cruciale: il codice QR è il dato. Nessun server coinvolto. Nessuna query. Una volta stampato un QR, nessuno può cambiare ciò che contiene.

Un QR statico per https://example.com/menu contiene, letteralmente, i byte ASCII di quell'URL. Quando chiunque lo scansiona, ovunque nel mondo, per sempre, viene indirizzato esattamente a quell'URL. Nessuno può spegnerlo. Nessuno può cambiarlo. Nessuno può tracciare chi lo scansiona.

È così che i codici QR sono stati progettati e per questo sono diventati infrastruttura universale.

La deviazione

I QR dinamici rompono questo disegno. Invece di codificare l'URL reale, codificano una URL corta di reindirizzamento sul server del fornitore — qualcosa tipo https://short.qr-co/abc123.

Alla scansione, lo scanner richiede short.qr-co/abc123. Il server del fornitore cerca abc123 in un database, trova la destinazione reale ed emette un reindirizzamento HTTP. Lo scanner lo segue e arriva alla pagina vera.

Dal punto di vista dell'utente, identico. Dal punto di vista del fornitore, una miniera d'oro:

  • Ogni scansione genera una voce nel log del server: timestamp, IP, user-agent, a volte geolocalizzazione
  • L'URL di destinazione può essere cambiata in qualsiasi momento, senza ristampa
  • Il codice può essere disattivato, eliminato o tenuto in ostaggio dal fornitore
  • I dati di scansione possono essere rivenduti
  • Soprattutto: il fornitore può riscuotere un affitto

Approfondiamo la meccanica in Dirottamento tramite reindirizzamento QR.

Come spillano i soldi

Il modello dei QR dinamici abilita quattro strategie distinte di estrazione:

Abbonamento

Il QR funziona finché paghi una mensilità. Se smetti, il fornitore disattiva il reindirizzamento — ogni copia stampata diventa peso morto. Viene venduto esplicitamente come funzionalità ("traccia le scansioni! modifica il tuo QR quando vuoi!"), ma il business è l'effetto di lock-in. Analisi dettagliata in La trappola dell'abbonamento QR.

Prova e trappola

Gli utenti gratuiti ottengono un QR dinamico "di prova". Funziona 14 giorni, 30 giorni, a volte di più. Quando scade, è già in circolazione. Per tenerlo vivo, ora bisogna pagare. In silenzio, uno strumento gratuito diventa una spesa continua.

Download dietro paywall

Genera il codice gratis. Paga per scaricare in alta risoluzione. Paga di più per togliere la filigrana. Paga di più per SVG. Paga di più per motivi "premium". Niente di tutto questo riflette un costo reale — un QR è un calcolo da 100 byte — ma ogni frizione converte una quota di utenti in clienti paganti.

Registrazione obbligatoria

Il QR è gratuito e statico, ma per scaricare devi creare un account. Ora hanno la tua email, e il prodotto pivota su email di upsell, nurturing dei lead e servizi collaterali.

Le quattro strategie contano sullo stesso trucco: l'utente non sa che generare un QR costa praticamente niente. La maggior parte presume che se chiedono soldi ci sia un motivo. Non c'è.

Il danno reale

Non è teoria. Lo schema ha conseguenze visibili:

  • Ristoranti i cui QR stampati sui menu smettono di colpo di funzionare dopo un cambio di policy del fornitore
  • Organizzatori di eventi con pile di materiale promozionale che puntano a un reindirizzamento morto
  • Piccole aziende con biglietti da visita che diventano invalidi a metà campagna
  • Non profit con QR per donazioni che si rompono quando decade l'abbonamento
  • Chiese, musei, scuole — chiunque senza un team IT dedicato — con materiale stampato inservibile

Nella maggior parte dei casi la vittima non capisce mai cosa sia successo. Suppone che i QR siano sempre stati fragili, o di aver sbagliato qualcosa. Il modello di business del fornitore vive di questa confusione. Se il tuo codice ha smesso di funzionare, leggi Perché il tuo QR ha smesso di funzionare.

Perché continua a funzionare

Alcuni fattori rendono l'estorsione via QR inusualmente efficace:

La parola "QR" è opaca per la maggior parte delle persone. Per l'utente medio, un QR è una scatoletta bianca e nera che apre link per magia. Non sanno che esiste una differenza tra statico e dinamico — l'interfaccia del generatore non glielo dice mai. Abbiamo scritto un confronto completo per rimediare.

Il danno è ritardato. Quando un QR dinamico si rompe, la vittima di solito ha già dimenticato quale servizio l'ha creato. Riscaricare, ristampare o recuperare diventa difficile.

Il danno è silenzioso. Un QR rotto non dà errore. Semplicemente non funziona — sembra un normale problema di scansione. La maggior parte degli utenti incolperà il proprio telefono.

I risultati di ricerca favoriscono i predatori. Le aziende con fatturato lo spendono in SEO, pubblicità e content farm. Gli strumenti onesti di QR statico raramente si posizionano sopra. Risultato: le ricerche "free QR code generator" portano prevalentemente a prodotti dinamici per default.

Come identificare un servizio QR predatorio

Prima di usare un generatore di QR, controlla questi segnali:

  1. Richiede un account? Un generatore statico non ne ha bisogno — codificare una URL in un disegno è pura matematica lato client. Ogni richiesta di registrazione è uno schema di estrazione.
  2. Offre "tracciamento" o "analisi"? Funzioni che contano le scansioni provano che il codice è dinamico. Un QR statico non può tracciare nulla.
  3. C'è un "piano" o un "abbonamento"? Codificare un QR costa praticamente nulla. Un prezzo ad abbonamento ha senso solo se il servizio tiene in ostaggio il tuo codice.
  4. La pagina prezzi cita "scadenza", "limite di scansioni" o "QR modificabili"? Tutto questo implica codici dinamici sui server del fornitore.
  5. L'URL di anteprima assomiglia a `qrco.de/xyz`? È una URL di reindirizzamento — stai creando un codice dinamico.
  6. Il sito ha molta pubblicità o script di tracciamento? I servizi gratuiti con sorveglianza estraggono valore in un altro modo.

La lista completa è in 5 segnali d'allarme che il tuo generatore QR è una trappola.

Come sono i QR statici onesti

Un generatore statico prende il tuo contenuto, lo codifica direttamente nel disegno QR e ti consegna un file. Tutto qui. Niente reindirizzamento, niente tracciamento, niente account, niente abbonamento, niente scadenza.

Questo sito è uno di quelli. Tutto accade nel tuo browser — il nostro server non riceve mai ciò che codifichi. Puoi verificarlo nella scheda Rete del browser: quando generi un QR qui, nessun dato lascia il tuo dispositivo.

Puoi anche verificare cosa c'è dentro il QR. Scansiona qualsiasi QR generato qui con il nostro scanner e conferma che il contenuto decodificato è esattamente quello che hai inserito — nessuna URL wrapper, nessun link corto, nessun reindirizzamento.

Perché l'abbiamo fatto

Eravamo stanchi di vedere persone benintenzionate — piccoli imprenditori, volontari, artisti, insegnanti — cadere in truffe con i QR. Gli strumenti che sostenevano di aiutarli raccoglievano in silenzio i loro dati, il loro budget di stampa e i loro futuri pagamenti di abbonamento.

Così abbiamo costruito l'opposto.

Questo generatore è gratuito perché generare QR è gratuito. Non chiediamo nulla perché non c'è nulla da chiedere. Non raccogliamo dati perché non c'è nulla da raccogliere — il tuo contenuto QR non lascia mai il browser. Non offriamo tracciamento perché tracciare significa trasformare il tuo QR nella proprietà di qualcun altro.

I nostri QR sono statici. Sono tuoi. Non scadono mai. Non possono essere disattivati. Se il nostro sito sparisce domani, ogni QR che hai mai generato qui continuerà a funzionare.

Cosa puoi fare

  1. Non usare mai un QR dinamico per materiale stampato. Se ristampare non è economico, lo statico è l'unica scelta sicura.
  2. Se hai già stampato codici dinamici, trattali come di breve durata. Mettin conto che si romperanno. Tieni a portata la destinazione originale per rigenerare statico più tardi.
  3. Parlane. La maggior parte degli utenti non tecnici non sa che questa truffa esiste. Una spiegazione breve di statico vs dinamico fa risparmiare loro anni di abbonamenti.
  4. Il prossimo QR fallo statico. Inizia dai nostri generatori: URL, Wi-Fi, vCard, email, telefono o testo.

I codici QR sono infrastruttura di base. Dovrebbero comportarsi come infrastruttura di base — prevedibili, permanenti, e di proprietà di chi li crea.

Abbiamo costruito questo sito perché almeno in un angolo di internet lo siano ancora.

Pronto per un codice QR statico?

Generane uno nel browser — niente account, niente tracciamento, niente abbonamento. Ciò che crei è tuo.

Apri il generatoreQR per URLQR per Wi-Fi

Letture correlate

QR statici vs dinamici: cosa dovrebbe sapere ogni utente

Uno codifica il tuo contenuto; l'altro codifica un reindirizzamento. Quest'unica differenza decide se il tuo QR funzionerà ancora tra cinque anni.

Dirottamento tramite reindirizzamento QR: l'intermediario invisibile

Quando il tuo QR funziona, l'intermediario è invisibile. Quando si rompe, è troppo tardi. Capire il modello a reindirizzamento è il primo passo per evitarlo.

La trappola dell'abbonamento QR: come i fornitori tengono in ostaggio i tuoi link

L'esca è un QR gratis. L'amo è che funziona solo finché paghi. La trappola si chiude il giorno in cui hai stampato diecimila copie.

5 segnali d'allarme che il tuo generatore QR è una trappola

Cinque segnali che separano strumenti QR onesti dai generatori dinamici-per-default che poi ti chiederanno un affitto o disattiveranno i tuoi codici.

Perché il tuo QR ha smesso di funzionare (e di chi è la colpa)

I QR stampati non si rovinano. Gli scanner non si guastano. Se il tuo QR ha smesso di funzionare, qualcun altro l'ha spento — e questo articolo spiega chi.