Anche se il loro uso s'è diffuso solo negli ultimi dieci anni, i QR Code sono un'invenzione più antica: risalgono infatti al 1994, e sono frutto di un'idea dell'ingegnere giapponese Masahiro Hara.

Li aveva ideati perché fossero d'aiuto all'industria automobilistica, veicolando il maggior numero d'informazioni possibile in un formato che fosse rapidamente leggibile.

Come spesso accade con le buone idee, essa ebbe successo anche al di fuori del campo d'applicazione inizialmente teorizzato, e i QR Code iniziarono a essere usati per le funzioni più disparate, compresi i pagamenti.

In oriente sono particolarmente popolari: nel solo 2016, in Cina, sono stati usati per transazioni pari a oltre 1,65 miliardi di dollari, e di recente Hong Kong ha lanciato un nuovo sistema di pagamento veloce basato su di essi.

Tutto ciò ha iniziato a preoccupare Masahiro Hara: dato che all'inizio il campo d'azione di questa tecnologia era limitato, l'attenzione alla sicurezza non era stata poi altissima. «Ora che viene usata per i pagamenti» - ha dichiarato - «avverto la responsabilità di renderla più sicura».

Hasa non ha tutti i torti: alcune idee per sfruttare le debolezze dei codici QR sono già state messe in campo.

Esiste per esempio il Qrljacking, un attacco che si basa su tecniche di social engineering per carpire i dati delle sessioni utente di tutte quelle applicazioni che usano i codici QR per l'accesso agli account.

A livello basilare, questo sistema consiste nel convincere l'utente a fare la scansione di un codice manomesso anziché di quello originale, ovviamente senza che si accorga dello scambio.

Per certi versi simile è la pratica di contraffare i codici QR, sovrapponendo a quelli legittimi dei codici illeciti. Per esempio, i codici apposti sui manifesti delle offerte speciali, che rimandano a pagine dedicate e siti con le offerte stesse, possono essere coperti da codici che rimandano invece a siti di phishing o che distribuiscono malware.

Le preoccupazioni di Masahiro Hara sono quindi legittime e, in realtà, sono condivise anche dal MIT, dove è stata elaborata qualche idea per migliorare gli aspetti meno sicuri.

Una proposta prevede di utilizzare la crittografia per evitare il fenomeno del Qrljacking: quando si deve eseguire un accesso, si invia innanzitutto un codice QR crittografato a un dispositivo che abbia già effettuato il login e sia, pertanto, fidato. Quest'ultimo, il solo in grado di decifrare il codice, mostrerebbe quindi la versione decrittografata al primo, che la userebbe per l'accesso vero e proprio.

Un'altra proposta prevede l'utilizzo di una parte del codice stesso per l'inserimento di firme che permettano di verificare l'autenticità dell'autore, anche se ciò significa riservare spazio prezioso a questo solo scopo.

Quel che è certo è che, a mano a mano che i codici QR prendono piede, diventa sempre minore lo spazio di manovra per crearne una versione alternativa maggiormente sicura e sperare che essa prenda piede al posto di quella originale.