Standard

Ogni standard QR che riconosciamo, spiegato

Un QR è un contenitore. Il suo contenuto può essere un pagamento, un certificato vaccinale, una patente di guida, una eSIM, un accesso con passkey, un abbinamento di dispositivo smart home: ognuno regolato dal proprio standard internazionale, con il proprio modello di minaccia. Questo è il riferimento autorevole per ogni standard che il nostro scanner identifica, cosa c'è effettivamente dentro uno di essi quando lo scansioni e cosa mostriamo rispetto a cosa mascheriamo deliberatamente.

Prova lo scanner → Vedi la copertura completa →

Standard di pagamento

Ogni QR che hai scansionato per pagare un commerciante negli ultimi cinque anni funziona sul framing TLV di EMVCo, ma il contenuto è specifico per paese. Identifichiamo lo schema specifico, decodifichiamo i campi del commerciante che devi verificare prima di pagare e convalidiamo il checksum CRC che gli attaccanti che scambiano gli adesivi non possono falsificare.

EMVCo MPM / CPM

Lo standard di base per ogni pagamento QR merchant a livello globale. Framing Tag-Length-Value con nome del commerciante, città, paese, valuta, importo, info conto destinatario e checksum CRC-16/CCITT-FALSE.

Mostriamo: nome del commerciante, città, paese, valuta ISO 4217 (tabella completa, 169 codici), categoria MCC, importo, dinamico vs statico, indicatore mancia, sottocampi dati aggiuntivi (etichetta di riferimento, numero fattura, etichetta cliente, etichetta terminale, scopo).

Punteggio di minaccia: CRC non valido → sospetto (il QR è stato alterato o danneggiato, il segnale più affidabile di uno scambio di adesivi).

Analisi approfondita sullo scambio di adesivi → · Riferimento generatore →

Pix (Brazil)

Lo schema di pagamento istantaneo della Banca Centrale del Brasile. Leader mondiale per volume di transazioni. Due varianti: statico (QR riutilizzabile) e dinamico (QR monouso con ID transazione incorporato).

Mostriamo: chiave Pix del destinatario (CPF / CNPJ / email / telefono / EVP UUID), descrizione del pagamento, URL QR dinamico quando presente.

Come crearne uno →

UPI (India)

Il sistema di pagamento unificato dell'India, il più grande per numero di utenti. L'indirizzo virtuale di pagamento UPI (VPA) instrada i pagamenti tra banche in tempo reale.

Mostriamo: VPA del beneficiario, nome del beneficiario, importo, valuta, riferimento transazione, MCC, nota transazione.

Come crearne uno →

Swiss QR-bill

ISO 20022 SPC v2.2, non EMVCo. Sostituisce la bolletta di pagamento svizzera arancione/rossa. 33 campi delimitati da riga che coprono creditore, creditore finale, debitore finale, tipo di riferimento (QRR / SCOR / NON), informazioni sulla fattura e procedure alternative.

Mostriamo: IBAN creditore, indirizzo completo creditore, debitore finale, importo, valuta, tipo di riferimento formattato, riferimento strutturato, messaggio non strutturato, URL procedura alternativa eBill.

Come crearne uno →

EPC Girocode (SEPA)

QR di bonifico del Consiglio Europeo dei Pagamenti. Ampiamente utilizzato in Germania, Austria, Paesi Bassi e nei Paesi Nordici per il pagamento delle fatture.

Mostriamo: nome del beneficiario, IBAN, BIC, importo, informazioni sulla causale, codice scopo.

Come crearne uno →

ZATCA Fatoora (Saudi Arabia)

Fatturazione firmata crittograficamente, obbligatoria su ogni transazione commerciale nel Regno. Codificata in TLV con cinque tag obbligatori (venditore, numero IVA, timestamp, totale, importo IVA) più una firma ECDSA.

Mostriamo: nome del venditore, numero di registrazione IVA, timestamp ISO 8601, totale fattura, importo IVA.

Come crearne uno →

E molti altri: identifichiamo schemi di pagamento nazionali per 54 paesi, PromptPay (Tailandia), PayNow (Singapore), DuitNow (Malaysia), QRIS (Indonesia), Bizum (Spagna), Swish (Svezia), MB WAY (Portogallo), BLIK (Polonia), Wero (UE) e decine di altri coperti nel catalogo dell'analizzatore.

Credenziali sanitarie

Registri vaccinali, prescrizioni, risultati di laboratorio e certificati di viaggio. Firmati crittograficamente dalle autorità sanitarie nazionali. Identifichiamo la credenziale e mostriamo l'emittente e il tipo, ma non decodifichiamo mai il nome del paziente, la data di nascita o la storia medica. La tua app per il portafoglio è il posto giusto per visualizzarle.

SMART Health Cards

JWS con codifica numerica che racchiude un payload JSON compresso con DEFLATE e risorse FHIR. Usato da Apple Wallet, la Common Trust Network, stati USA, province canadesi e diverse catene di farmacie per registri vaccinali e di laboratorio.

Mostriamo: URL dell'emittente, timestamp ISO dell'emissione, tipo di credenziale (covid19 / immunization / lab / ecc.), versione FHIR, conteggio risorse + tipi.

Non decodifichiamo mai: nome del paziente, data di nascita, date di vaccinazione/test, corpi delle singole risorse FHIR. Verificato da test nella suite dell'analizzatore.

EU Digital COVID Certificate (HC1)

Il prefisso HC1: racchiude una catena base45 → DEFLATE → COSE_Sign1 → CBOR → CWT che termina con un'attestazione HCERT definita dall'UE. Ancora utilizzato per documenti di viaggio non COVID in alcuni stati membri dopo la fine dell'emergenza COVID.

Mostriamo: paese emittente (ISO 3166-1), timestamp issued-not-before, timestamp di scadenza, versione dello schema, tipo di credenziale (vaccinazione / test / guarigione), malattia target (SNOMED-CT, resa come "COVID-19" e non come codice grezzo 840539006), paese di vaccinazione/test, organizzazione emittente, numero dose / totale, tipo di test, risultato del test.

Non decodifichiamo mai: nome del paziente, data di nascita, date delle dosi, ID univoco del certificato (UVCI). Verificato da test.

Documenti d'identità

Patenti di guida, ID digitali e portafogli di identità digitale. Il codice a barre sul retro di una patente di guida statunitense contiene ogni campo sul fronte. Il QR della patente di guida mobile trasmette un handshake di connessione per consentire a un verificatore di connettersi via NFC/BLE per leggere gli attributi.

AAMVA driver license

Il codice a barre PDF417 sul retro di ogni patente di guida statunitense e canadese. Formato subfile-element secondo l'appendice D.12.5 dello AAMVA Card Design Standard.

Mostriamo (~17 campi): nome/secondo nome/cognome, data di nascita in formato ISO, sesso, altezza, colore degli occhi, numero di licenza (mascherato), categoria della licenza, restrizioni, indorsamenti, scadenza, data di rilascio, indirizzo completo, paese, flag donatore di organi, flag veterano, soglia under-21.

Sensibile per impostazione predefinita: numero di licenza + data di nascita visualizzati come campi mascherati con tocco per rivelare, in modo che uno screenshot del verdetto non costituisca di per sé una fuga di dati d'identità. L'avviso sulla privacy segnala che i bar e i club che scansionano i documenti ricevono TUTTI questi dati, non solo l'età del titolare.

Anatomia completa → · Riferimento generatore →

Mobile Driver License (ISO 18013-5)

Il QR mdoc: che la tua patente di guida mobile su iOS/Android mostra quando viene presentata a un verificatore. CBOR DeviceEngagement con selettore cipher-suite, chiave pubblica effimera del titolare ed elenco dei metodi di trasferimento che il verificatore può usare per connettersi.

Mostriamo: versione del protocollo, cipher suite (P-256 ECDH-ES + A256KW è quella obbligatoria oggi), metodi di trasferimento supportati (NFC / BLE / Wi-Fi Aware), host di recupero server (quando presente).

Non decodifichiamo mai: i byte della chiave pubblica effimera del titolare (mostrata solo come lunghezza). Gli attributi mDL effettivi scorrono sul canale negoziato dopo che il verificatore si connette, mai attraverso questo scanner.

Guida completa su mDL →

EU Digital ID Wallet (eIDAS 2.0)

Schemi OpenID4VP e eudi-openid4vp per la presentazione dell'identità transfrontaliera. Implementazioni negli stati membri in crescita 2024-2026.

Mostriamo: famiglia di protocollo (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, hostname response_uri, hostname request_uri per i flussi con richiesta firmata, response_mode.

DID URIs

Decentralized Identifiers: did:web, did:key, did:ion, did:ebsi e altri metodi.

Mostriamo: metodo DID, identificatore specifico del metodo, parametro di servizio, riferimento relativo, frammento di verifica.

Autenticazione e passkey

I flussi di accesso QR che proteggono (o compromettono) ogni account che hai. Identifichiamo ogni tipo e segnaliamo chiaramente quando un QR ti chiede di completare l'accesso di qualcun altro invece del tuo.

FIDO CTAP 2.2 hybrid

Il QR di passkey cross-device che il tuo laptop mostra quando accedi con una passkey dal telefono. Mappa CBOR codificata in base10 con la chiave pubblica del peer, il segreto QR, il suggerimento operazione, il dominio del tunnel-server, il timestamp e il flag di supporto assistito.

Mostriamo: operazione (make-credential / get-assertion / discoverable), dominio del tunnel-server (es. cable.ua5v.com), timestamp ISO, supporto assistito, lunghezza peer-pubkey, lunghezza QR-secret.

Avviso rigido: scansionare questo QR completa un accesso avviato da QUALCUN ALTRO SU UN ALTRO DISPOSITIVO. Se non hai appena avviato tu stesso un accesso con passkey, rifiuta: autenticheresti chiunque abbia generato questo QR nel tuo account.

Leggi: devo scansionare questo QR di accesso con passkey? →

HOTP / TOTP (2FA setup)

QR di configurazione one-time-password RFC 4226 / RFC 6238. L'URI otpauth:// che la tua banca o l'app aziendale mostra quando si registra un autenticatore.

Mostriamo: emittente, account, algoritmo (SHA1 / SHA256 / SHA512), cifre (6 / 8), periodo (TOTP) o contatore (HOTP), URL icona emittente.

Sensibile per impostazione predefinita: il segreto Base32 viene mostrato con tocco per rivelare. Eseguiamo anche la validazione Base32 del segreto e avvisiamo chiaramente quando è malformato; le app autenticatore accettano segreti malformati in silenzio e poi generano codici che non si verificano mai.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

Il QR di esportazione bulk di Google Authenticator. Contiene ogni segreto 2FA nell'autenticatore in una volta sola, un bundle protobuf con N voci OtpParameters.

Mostriamo (per voce): emittente, account, tipo (HOTP / TOTP), algoritmo, cifre, contatore, più metadati di versione / batch. La divulgazione elenca "Autorizzazioni in questo bundle: ACME / alice@acme; GitHub / bob@github; …" così un utente che sta effettuando una migrazione può verificare prima di importare.

Non decodifichiamo mai: i byte del seed segreto effettivo. Verificato da test con stringhe canarie che non devono mai apparire in alcun output del verdetto.

Avviso rigido: la classe di minaccia è likely_dangerous a meno che l'utente non stia LETTERALMENTE eseguendo una migrazione tra i propri dispositivi.

Anatomia completa + guida alla sicurezza →

Sign-In with Ethereum (SIWE / EIP-4361)

Il messaggio di accesso in testo semplice che il tuo portafoglio firma per dimostrare il controllo di un indirizzo wallet a un sito web.

Mostriamo: dominio del sito, indirizzo wallet, chain ID, nonce, orario di scadenza.

Attenzione: leggi attentamente il sito e la dichiarazione; un sito malevolo può usare un messaggio SIWE firmato per impersonarti su quel dominio.

Viaggi e biglietti

IATA boarding pass (Resolution 792)

Il QR / Aztec / PDF417 sulla carta d'imbarco aerea. Intestazione a larghezza fissa (60 caratteri) più 37 caratteri di dati obbligatori per segmento.

Mostriamo (per segmento): codice vettore + numero di volo (senza zero iniziale), rotta (DA → A), data (giorno giuliano → ISO con anticipo intelligente dell'anno), posto, classe, numero di sequenza, stato (Imbarco / Accesso lounge / Bypass sicurezza / ecc.). I biglietti a più segmenti riportano prefissi di riga per ogni segmento.

Sensibile per impostazione predefinita: PNR / codice di prenotazione visualizzato con tocco per rivelare: nome più PNR è sufficiente per accedere alla prenotazione sulla maggior parte dei siti delle compagnie aeree. Non pubblicare foto della carta d'imbarco.

Guida campo per campo completa →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Mostriamo: FQDN SM-DP+ (il server del gestore che comunicherà con il tuo telefono), codice di attivazione, flag codice di conferma richiesto.

Attenzione: un profilo eSIM installato può intercettare gli SMS, inclusi i codici 2FA via SMS. Verifica che il SM-DP+ corrisponda al tuo gestore reale (Airalo, Saily, Truphone, Google Fi, ecc.) rispetto a una lista consentita prima di installarlo.

Come funzionano i QR di attivazione eSIM →

Smart home e IoT

Matter onboarding

Codice binario compresso in base38 con prefisso MT:- dalla Connectivity Standards Alliance. Abbinamento smart home cross-vendor, funziona con Apple Home, Google Home, Amazon Alexa, Samsung SmartThings.

Mostriamo: Vendor ID, Product ID, discriminatore, passcode a 8 cifre (mascherato come sensibile), flusso di commissioning, flag di capacità di discovery (Soft-AP / BLE / rete IP esistente), versione delle specifiche.

Guida completa su Matter →

Apple HomeKit (X-HM://)

URI di configurazione accessori Apple HAP. Precede Matter; ancora presente su molti accessori che non supportano ancora Matter.

Wi-Fi Easy Connect (DPP)

Wi-Fi Alliance Device Provisioning Protocol, il moderno sostituto di WPS. Usato nei router del 2025 per l'onboarding dei dispositivi tramite QR.

Bluetooth Auracast (BAU v1.0)

Schema QR di Bluetooth SIG per trasmissioni LE Audio. Il Service UUID 184F identifica Auracast; mostriamo il nome della trasmissione (decodificato in base64) e lo stato della crittografia.

Crypto e Lightning

Bitcoin (BIP-21)

L'URI di pagamento Bitcoin standard. Mostriamo indirizzo, importo (con unità BTC/sat), etichetta, messaggio, endpoint PayJoin (pj=), URL della richiesta di pagamento BIP-72 (r=), parametri obbligatori (req-*), fallback Lightning.

Ethereum (EIP-681)

URI della richiesta di pagamento Ethereum con selezione della chain. Decodifichiamo destinatario vs contratto, chain ID con etichetta leggibile (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), valore (wei → ETH/Gwei formattato), nome della funzione chiamata, argomenti ERC-20 transfer.

Attenzione: una chiamata a contratto non equivale a un semplice invio; i wallet drainer fanno leva sul fatto che gli utenti non notino la differenza.

WalletConnect (ERC-1328)

URI di abbinamento dApp↔wallet. Mostriamo versione (v2 è quella attuale; v1 è deprecata e più debole), topic, protocollo relay, chiave di sessione simmetrica (mascherata come sensibile).

Solana Pay

URI della richiesta di trasferimento della Solana Foundation. Mostriamo destinatario, importo, mint del token SPL, etichetta, riferimento, messaggio, memo.

Lightning Network (BOLT-12, LNURL)

Le offerte BOLT-12 (lno1…) sono richieste di pagamento Lightning riutilizzabili. LNURL (lnurl1…) codifica in bech32 un endpoint HTTPS che il tuo portafoglio chiama per ottenere una fattura, un prelievo, l'apertura di un canale o l'autenticazione.

Cashu ecash

Token di e-cash al portatore. Distinto da ogni altro formato crypto perché il QR È letteralmente il denaro: chiunque lo fotografi può spenderlo.

Sensibile per impostazione predefinita: stringa del token mascherata; il verdetto avverte esplicitamente che il QR contiene valore non speso.

Nostr (NIP-19)

Identificatori Nostr codificati in bech32. Riconosciamo npub (chiave pubblica), nsec (chiave privata, avviso forte), note, nevent, nprofile, naddr, nrelay.

nsec sensibile: una chiave privata Nostr in un QR significa che l'identità del titolare è stata catturata. La segnaliamo come fuga di credenziali.

Industriale e normativo

GS1 Digital Link

Lo standard che sostituirà i codici a barre 1-D per i prodotti di consumo. Gli Application Identifier nel percorso URL codificano GTIN, lotto, data di produzione/scadenza, numero seriale e altro.

Mostriamo: GTIN (01), lotto (10), data di produzione (11), best-before (15), scadenza (17), seriale (21) e ulteriori AI come campi nominati.

Come creare GS1 Digital Link →

EU Digital Product Passport

La normativa UE richiede che ogni prodotto di consumo porti un passaporto digitale (sostenibilità, origine, informazioni sulla riparazione) a partire dal 2027. Basato su URL GS1 Digital Link che rimandano a pagine passport per prodotto.

Il QR stesso viene oggi decodificato tramite il nostro analizzatore GS1 Digital Link; il contenuto del passaporto oltre l'URL è pubblicato da ciascun produttore.

Panoramica completa + cosa contiene un passaporto →

VPN e credenziali sviluppatore

WireGuard config

Configurazione VPN WireGuard in formato INI. Mostriamo indirizzo interfaccia, DNS, porta di ascolto, endpoint peer, IP consentiti, keepalive persistente, conteggio peer aggiuntivi.

Sensibile per impostazione predefinita: la chiave privata dell'interfaccia e la preshared key vengono mostrate con tocco per rivelare. Avviso quando allowed-IPs è 0.0.0.0/0 (tunnel completo: ogni byte del tuo traffico passa attraverso il server di qualcun altro).

SSH public key

Formato authorized_keys di OpenSSH (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Mostriamo algoritmo, commento e lunghezza della chiave.

X.509 certificate / JWT

Certificati X.509 con armatura PEM e serializzazioni compatte JWT raw. Esaminiamo il DER del certificato per estrarre Subject CN/O, Issuer CN, NotBefore/NotAfter e lunghezza in bit della chiave pubblica. Segnaliamo i certificati scaduti.

Privacy JWT: mostriamo alg + typ dall'intestazione ma NON decodifichiamo mai i claim del payload JWT, che potrebbero contenere ID account, scope o altri segreti che non appartengono ai risultati di scansione.

PGP key block

Blocco PUBLIC / PRIVATE KEY OpenPGP. Mostriamo solo il formato, il materiale chiave è mascherato. I blocchi PRIVATE KEY ricevono un avviso sonoro "non condividere questo QR".

Simbologie che decodifichiamo (il codice visivo stesso)

Una simbologia è il *contenitore*, la forma di punti e quadrati. Gli standard sopra sono il *payload*, ciò che c'è dentro. Il nostro scanner legge ogni simbologia a standard aperto e consegna il testo decodificato all'analizzatore corretto.

QR Code (ISO/IEC 18004)

Modello 1 (originale 1994), Modello 2 (lo standard globale attuale), Micro QR (componenti piccoli) e Micro QR rettangolare (rMQR, ISO/IEC 23941:2022, etichette strette come provette).

Aztec Code (ISO/IEC 24778)

La simbologia con individuatore a occhio di bue utilizzata su Eurostar, SBB e molti biglietti del trasporto europeo.

Ulteriori informazioni su Aztec →

Data Matrix (ISO/IEC 16022)

Simbologia densa in formato ridotto. Utilizzata da GS1 retail, DSCSA pharma, MIL-STD-130 difesa, ATA Spec 2000 aviazione e ISBT 128 per l'etichettatura di prodotti del sangue.

Ulteriori informazioni su Data Matrix →

PDF417 (ISO/IEC 15438)

Simbologia lineare impilata usata sulle patenti di guida statunitensi/canadesi (AAMVA), etichette di spedizione e waybill FedEx.

Ulteriori informazioni su PDF417 →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF: i codici a barre lineari visibili ad ogni cassa del supermercato e su ogni etichetta di spedizione.

Perché questo è importante

La sicurezza di un QR non è la sicurezza del suo URL, è la sicurezza dello standard che governa ciò che contiene. Un QR di pagamento è pericoloso perché qualcuno ha scambiato l'adesivo; un QR di passkey è pericoloso perché qualcuno vuole accedere come te; un QR di vaccino è pericoloso a causa di chi tiene lo scanner che lo legge. Modelliamo ciascuno separatamente, rispetto al proprio modello di minaccia, con decodifica a livello di campo invece di fare ipotesi.

Ogni analizzatore sopra è trasparente su cosa mostra e cosa maschera deliberatamente, così puoi verificare le nostre affermazioni leggendo l'output del verdetto, non fidandoti di una scatola nera.

Vedi la copertura completa → Prova lo scanner →