Nei prossimi mesi Google sostituirà gli SMS di verifica con i codici QR, ma questo annuncio solleva molti dubbi. Scopri perché!

Recentemente, Google ha annunciato che nei prossimi mesi smetterà di utilizzare i codici inviati tramite SMS come secondo passaggio di verifica dell’identità, e li sostituirà con i codici QR. Questo cambiamento interesserà tutti gli utenti, sia dei programmi gratuiti sia delle applicazioni a pagamento.

Gli SMS sono un canale poco sicuro e molti esperti spingono da anni per interromperne l’uso, ma i codici QR sollevano altrettanti dubbi nel settore della cybersecurity.

In questo articolo parliamo di verifica SMS, dei metodi di verifica usati da Google e di come cambieranno, per capire i vantaggi e gli svantaggi dal punto di vista della sicurezza. Buona lettura!

Google potrebbe scegliere un metodo più sicuro e più pratico per sostituire gli SMS di verifica.

Codici di verifica Google tramite SMS

Da anni, Google utilizza i messaggi di testo come secondo fattore dell’autenticazione multifattoriale: l’utente inserisce nome e password, riceve un codice tramite SMS e lo inserisce nella schermata di login per completare l’autenticazione.

Questo metodo viene impiegato per proteggere gli accessi e la creazione di account Gmail, ma ha subito molte critiche, soprattutto perché gli SMS sono un canale di comunicazione poco sicuro. Per saperne di più, scopri i casi in cui Google potrebbe inviarti un messaggio.

Perché Google vuole eliminare i codici di verifica SMS

I principali motivi indicati dal portavoce di Google – e su cui concordano molti esperti di sicurezza – sono i seguenti:

  • Attacchi di SIM swap: le reti cellulari sono suscettibili ad attacchi di swapping delle SIM, con cui un hacker può intercettare il traffico indirizzato a un’altra SIM, compresi gli SMS. In questo modo, se il cybercriminale ha già la password dell’utente, può intercettare i codici di verifica inviati tramite SMS da Google e accedere ai suoi account.
  • Debolezza intrinseca degli SMS: gli SMS non vengono crittografati e per loro stessa natura possono essere intercettati, a differenza di altri metodi come le passkey o i codici QR.
  • Vulnerabilità al phishing: Google vuole passare a un metodo che sia meno facile e immediato da utilizzare per condividere informazioni, e quindi meno sfruttabile dai truffatori.

Queste sono le limitazioni di sicurezza che hanno convinto Google a dare questo importante passo e decidere di sostituire gli SMS con i codici QR.

Verso la verifica in 2 passaggi con i codici QR

I codici QR (che sta per Quick Response, ovvero codici a risposta rapida) sono dei codici grafici dove le informazioni vengono codificate sottoforma di quadratini che formano un quadrato più ampio.

È come un codice a barre, però bidimensionale, che può essere letto facilmente da smartphone e scanner. Di fatto, uno dei punti di forza di questa tecnologia è proprio che la fotocamera dello smartphone può leggere molto rapidamente un codice QR.

Inoltre, i codici QR possono contenere molte informazioni, consentono la correzione degli errori e possono essere letti anche quando sono parzialmente danneggiati.

Google, però, non ha scelto questo metodo per queste caratteristiche, ma per un altro motivo: Google, infatti, ritiene che siano molto più sicuri e meno vulnerabili al phishing e al malware.

LEGGI ANCHE: Sicurezza codici QR, come difendersi dalle truffe

Pro e contro della verifica con codici QR

A questo punto, vogliamo condividere una rapida analisi dei vantaggi e degli svantaggi dell’abbandono dei codici di verifica tramite SMS e dell’introduzione dei codici QR.

Vantaggi dei codici QR

Effettivamente, il passaggio ai codici QR risolverà completamente la vulnerabilità degli SMS agli attacchi di SIM swapping e renderà la verifica meno esposta al phishing.

Un codice QR è meno immediato da condividere rispetto a un codice di 6 cifre, che può essere comunicato su qualsiasi canale. Inoltre, per confermare l’accesso con il codice QR, l’utente dovrà anche sbloccare il dispositivo con un dato biometrico o un PIN.

I codici QR, inoltre, consentono di eliminare la rete cellulare dai processi di autenticazione, per cui non dipenderanno più dal livello di sicurezza dell’operatore.

Infine, l’uso dei QR svincola l’accesso dalla disponibilità di un numero di telefono o di una SIM, basterà avere l’app di Google o un dispositivo collegato sicuro.

La verifica in due passaggi con gli SMS è troppo esposta a phishing e intercettazione, ma i codici QR potrebbero rendere più complessa la procedura di autenticazione.

Svantaggi dei codici QR

Il limite principale che notiamo è a livello di usabilità: l’autenticazione diventerà più complessa per gli utenti meno esperti e potrebbe essere macchinosa per chi utilizza solo il telefono.

Molte persone online si chiedono giustamente come faranno a scansionare il codice con lo stesso telefono su cui lo visualizzano. L’alternativa per questi utenti potrebbe essere una notifica push da Google che apre direttamente l’app di scansione o autenticazione.

In questo modo, inoltre, Google potrebbe creare una maggiore dipendenza dallo smartphone e dal proprio ecosistema di software e app, il che è un problema anche a livello di sicurezza, perché un solo punto di accesso consentirebbe di violare più account e informazioni.

Parlando di sicurezza, arriviamo al punto che più ci interessa:

I codici QR non sono molto sicuri

  • Sono più difficili da condividere per sbaglio o tramite inganno, ma non è impossibile: basta fare uno screenshot e inviarlo, ad esempio, tramite WhatsApp o via email.
  • Sono facili da modificare e creare, anche per chi ha poche competenze tecniche e di sicurezza.
  • Possono essere intercettati con un malware, ad esempio con gli spyware.
  • Aprono le porte a nuovi tipi di truffe, ad esempio tramite l’invio di codici QR che indirizzano a pagine di phishing o applicazioni malevole.

Insomma, i codici QR hanno dei vantaggi rispetto agli SMS, ma anche molti svantaggi, sia a livello di sicurezza che di facilità di utilizzo.

Per questo motivo, crediamo che Google avrebbe potuto scegliere un altro metodo per rendere l’autenticazione in 2 passaggi più sicura e veloce per tutti, ad esempio puntando sulle passkey, come aveva accennato mesi fa.

In questo post abbiamo parlato dell’annuncio di Google di abbandonare i codici di verifica tramite SMS, che verranno sostituiti dai codici QR. Infine, abbiamo visto quali sono i pro e i contro di questo cambiamento, con un occhio di riguardo per la sicurezza.

Per prepararti a questa e altre novità tecnologiche che ci aspettano nel 2025, inizia subito a utilizzare i programmi di sicurezza informatica, come la suite completa di Panda Dome, che ti offre antivirus, VPN, password manager e molte altre funzionalità per proteggere la tua vita online.

E tu che cosa ne pensi della decisione di Google? Sei a favore o contro l’introduzione dei codici QR? Faccelo sapere nei commenti!

CONTINUA A LEGGERE: Come entrano gli hacker? Ora con il download dei dati personali

Buona navigazione e buona transizione alla verifica con i codici QR!