What is a merchant payment QR?

The QR on a restaurant table, market stall, parking meter, or invoice that you scan to pay. Globally, almost every one of these uses EMVCo's MPM (Merchant-Presented Mode) or CPM (Consumer-Presented Mode) format, a Tag-Length-Value text payload that carries the merchant name, city, country, currency, amount, recipient account, and a 4-character CRC checksum.

What is the sticker-swap attack?

The highest-volume QR fraud globally. An attacker covers a legitimate merchant's QR (on a parking meter, a restaurant table, a market stall, a charity collection box) with a sticker carrying their own QR. Every customer who scans the sticker pays the attacker. The display in the customer's wallet usually says the merchant name encoded in the swapped QR, which the attacker controls, so the user has no easy way to tell it's not the real merchant.

How does the CRC checksum help?

EMVCo MPM payloads carry a CRC-16/CCITT-FALSE checksum in the last 4 characters (tag 63). When the QR is altered, the checksum no longer matches. Our scanner validates the CRC and flags the verdict as suspicious when it fails, a strong indicator that the QR was tampered with or printed incorrectly. Note that an attacker can recompute the CRC after substituting their own merchant info, so a valid CRC doesn't prove authenticity; an invalid one definitely proves tampering or corruption.

What's the safest way to pay a merchant QR?

Verify the merchant name and city our scanner extracts MATCH the storefront you're physically standing in. Use a payment app that shows the recipient's name BEFORE confirming the transfer. Look at the QR's physical integrity, is the sticker peeling, freshly applied, on top of another sticker? If anything is off, pay another way (card, cash, or the merchant's app directly).

Standards · EMVCo merchant payment QR

Questo QR di pagamento merchant è sicuro da pagare?

Il QR sul tavolo di un ristorante, su un parcometro o in un mercato funziona quasi sempre sul formato TLV di EMVCo. Contiene il nome del commerciante, città, paese, valuta, importo facoltativo e un checksum CRC-16 che fallisce se il payload è stato alterato. L'attacco con scambio di adesivi, che consiste nel coprire il QR reale del commerciante con quello dell'attaccante, è la frode QR più comune al mondo. Decodificare il QR prima di pagare ti mostra chi stai pagando davvero.

Scansiona un QR merchant → Tutti gli standard →

Qual è il formato

Lo standard è la specifica QR Code di EMVCo, pubblicata dallo stesso consorzio EMVCo che ha definito le carte chip-and-pin. Due varianti condividono la maggior parte del formato:

MPM (Merchant-Presented Mode): il commerciante mostra il QR, tu scansioni e paghi. Questo è quello che vedi nei ristoranti, nei mercati e ai parcometri.
CPM (Consumer-Presented Mode): il tuo portafoglio mostra il QR, il commerciante lo scansiona. Meno comune; usato in alcune casse presidiate e nei cancelli dei trasporti.

Quasi ogni schema di pagamento istantaneo nazionale è costruito sopra EMVCo MPM con alcuni tag specifici per paese:

Pix (Brasile), il più grande per volume di transazioni nel mondo
UPI (India), il più grande per numero di utenti nel mondo
PromptPay (Tailandia) · PayNow (Singapore) · DuitNow (Malaysia) · QRIS (Indonesia)
Bizum (Spagna) · Swish (Svezia) · BLIK (Polonia) · MB WAY (Portogallo)
Wero (UE multistato) e molti altri, schemi di 54 paesi nel nostro catalogo analizzatore

Il formato è testo Tag-Length-Value, senza crittografia, decodificabile da qualsiasi scanner QR. L'identità del commerciante è codificata in testo semplice ed è ciò che l'app del tuo portafoglio visualizza.

Anatomia di un QR di pagamento merchant

Ogni payload EMVCo inizia con 000201 (indicatore di formato payload). Quello che segue è una sequenza di record TLV: tag a due caratteri, lunghezza a due cifre, valore di quella lunghezza, ripetuto.

Tag 01, Punto di Inizializzazione

11 = QR statico (riutilizzabile, inserisci tu l'importo).
12 = QR dinamico (monouso, importo pre-compilato dal POS del commerciante).

Tag 26-51, Merchant Account Info

Identificatore del destinatario specifico per paese. Chiave Pix (CPF / CNPJ / email / telefono / EVP UUID), Virtual Payment Address UPI, PromptPay telefono o ID nazionale, ecc.

Tag 52, Codice Categoria Esercente (MCC)

Categoria ISO 18245 a 4 cifre. 5812 = ristorante, 5411 = alimentari, 7011 = alloggio, 5541 = stazione di servizio, ecc.

Tag 53, Valuta

Codice numerico ISO 4217. 840 = USD, 978 = EUR, 826 = GBP, 986 = BRL (real brasiliano), 356 = INR (rupia indiana).

Tag 54, Importo

Facoltativo. Presente nei QR dinamici (il commerciante lo ha pre-compilato), assente nei QR statici (lo inserisci tu).

Tag 55-57, Mancia / Commissione

Facoltativo. Il tag 55 indica se deve apparire una richiesta di mancia; 56 / 57 contengono una commissione fissa o percentuale.

Tag 58, Paese

Codice paese ISO 3166-1 alpha-2. Utile quando le app di pagamento supportano trasferimenti transfrontalieri.

Tag 59, Nome commerciante

Fino a 25 caratteri. Questo è il campo che l'app del tuo portafoglio visualizza come "stai pagando ___". Il commerciante controlla completamente ciò che va qui. Un attaccante che crea un QR sostitutivo inserisce qualsiasi stringa voglia.

Tag 60, Città commerciante

Fino a 15 caratteri. Dove si trova il commerciante.

Tag 61, Codice postale

Facoltativo ma utile per il rilevamento delle frodi: un commerciante americano il cui codice postale non corrisponde alla città è un segnale di allarme.

Tag 62, Campo Dati Aggiuntivi

Sub-TLV. All'interno: numero fattura, numero di cellulare, etichetta negozio, numero fedeltà, etichetta riferimento, etichetta cliente, etichetta terminale, scopo della transazione.

Tag 63, Checksum CRC

CRC-16/CCITT-FALSE su tutto il precedente (inclusa l'intestazione "6304" del TLV CRC stesso). Se non corrisponde, il QR è stato alterato o danneggiato.

L'attacco con scambio di adesivi, la frode QR №1 nel mondo

La tecnica è deprimente nella sua semplicità:

L'attaccante stampa un QR che punta al proprio conto di pagamento.
Stampa il QR su un adesivo (o direttamente su carta autoadesiva).
Percorre un mercato, un quartiere di ristoranti o una zona di parcometri e incolla il QR sostitutivo sopra il QR legittimo del commerciante.
Ogni cliente che scansiona paga l'attaccante.

Il commerciante non se ne accorge fino alla riconciliazione del giorno quando vede che le entrate sono inferiori al previsto. Il cliente non se ne accorge perché il suo portafoglio dice "hai pagato", e l'attaccante può mettere il nome reale del commerciante nel tag 59. O qualcosa di simile ("Pizzeria da Giov4", "Pizzeria da Giovanni 2"): lievi variazioni che un cliente di fretta non nota.

La frode è stata documentata in ogni paese dove i pagamenti mobile sono diffusi: Brasile (scambio adesivi Pix ai parcometri), India (scambio adesivi UPI alle stazioni di servizio), Cina (scambio WeChat Pay sulle vetrine), Singapore (PayNow nei hawker centre), Regno Unito (scambio QR nelle cassette delle donazioni), USA (parcometri ad Austin, San Francisco, LA).

Come verificare un QR di pagamento prima di pagare

Cosa ti mostra il nostro scanner:

Nome + città + paese del commerciante: corrispondono all'esercizio davanti al quale sei fisicamente? Leggili con attenzione; la frode con scambio di adesivi spesso usa corrispondenze quasi esatte.
Valuta + importo: l'importo nel QR corrisponde al conto?
Statico vs dinamico: se è statico, il tuo portafoglio ti chiederà di inserire l'importo. Se è dinamico, l'importo è già fissato.
Categoria MCC: il codice categoria del commerciante è coerente con ciò che vendono? Un QR di ristorante con MCC 7995 (gioco d'azzardo) è sospetto.
Schema nazionale: Pix, UPI, PromptPay, ecc. riconosciuti dal tag paese.
Risultato della validazione CRC: se non valido, il QR è stato alterato o danneggiato. Non pagare.
Info conto destinatario: la chiave Pix, l'UPI VPA, l'ID PromptPay, ecc. verso cui andrà il denaro. Se hai già pagato questo commerciante, corrisponde?

Indizi fisici da esaminare prima di scansionare:

L'adesivo si stacca agli angoli? È recente e potrebbe essere stato aggiunto da un attaccante.
L'adesivo è posato SU un altro adesivo? Possibile scambio.
QR stampato su carta economica e incollato sopra il QR stampato del commerciante? Quasi certamente una frode.
QR affisso in un posto dove il commerciante potrebbe non controllare spesso (retro di un parcometro, dietro un bancone)? Rischio di scambio più elevato.

Schemi nazionali che identifichiamo

Il nostro analizzatore riconosce il tag paese e assegna al verdetto il nome dello schema locale quando applicabile. Attualmente copre 54 paesi inclusi tutti i principali sistemi di pagamento istantaneo. Vedi l'hub degli standard per l'elenco completo con dettagli per schema.

Correlati

Scansiona prima di pagare

Inserisci il QR nel nostro scanner. Il verdetto mostra merchant, città, paese, importo, valuta e se il checksum CRC è valido. Richiede pochi secondi. Potrebbe risparmiarti il costo di una cena, o di un intero mese di parcheggio.

Apri lo scanner →