Padrões

Cada padrão QR que reconhecemos, explicado

Um QR é um contêiner. O que está dentro pode ser um pagamento, um registro de vacina, uma carteira de motorista, um eSIM, um login por chave de acesso, um emparelhamento de casa inteligente — cada um regido por seu próprio padrão internacional, com seu próprio modelo de ameaça. Esta é a referência oficial para cada padrão que nosso scanner identifica, o que realmente há dentro quando você o escaneia, e exatamente o que exibimos versus o que mascaramos deliberadamente.

Experimente o scanner → Ver cobertura completa →

Padrões de pagamento

Todo QR que você escaneou para pagar um comerciante nos últimos cinco anos usa o enquadramento TLV da EMVCo, mas o conteúdo é específico do país. Identificamos o esquema específico, decodificamos os campos do comerciante que você precisa verificar antes de pagar e validamos o checksum CRC que atacantes de troca de etiqueta não podem falsificar.

EMVCo MPM / CPM

O padrão base para todo pagamento QR apresentado por comerciantes globalmente. Estrutura Tag-Length-Value com nome do comerciante, cidade, país, moeda, valor, dados da conta do destinatário e um checksum CRC-16/CCITT-FALSE.

Exibimos: nome do comerciante, cidade, país, moeda ISO 4217 (tabela completa, 169 códigos), categoria MCC, valor, dinâmico vs. estático, indicador de gorjeta, subcampos de dados adicionais (rótulo de referência, número de fatura, rótulo do cliente, rótulo do terminal, finalidade).

Pontuação de ameaça: CRC inválido → suspeito (o QR foi alterado ou corrompido; é o sinal mais confiável de troca de etiqueta).

Análise aprofundada da troca de etiquetas → · Referência do gerador →

Pix (Brazil)

O esquema de pagamento instantâneo do Banco Central do Brasil. Líder mundial em volume de transações. Dois tipos: estático (QR que pode ser reutilizado) e dinâmico (QR de uso único com ID de transação incorporado).

Exibimos: chave Pix do destinatário (CPF / CNPJ / e-mail / telefone / UUID EVP), descrição do pagamento, URL do QR dinâmico quando presente.

Como criar um →

UPI (India)

Interface de Pagamentos Unificados da Índia, a maior em número de usuários. O Endereço Virtual de Pagamento UPI (VPA) encaminha pagamentos entre bancos em tempo real.

Exibimos: VPA do beneficiário, nome do beneficiário, valor, moeda, referência de transação, MCC, nota da transação.

Como criar um →

Swiss QR-bill

ISO 20022 SPC v2.2, não EMVCo. Substitui o boleto de pagamento suíço laranja/vermelho. 33 campos delimitados por linha cobrindo credor, credor final, devedor final, tipo de referência (QRR / SCOR / NON), informações de fatura e procedimentos alternativos.

Exibimos: IBAN do credor, endereço completo do credor, devedor final, valor, moeda, tipo de referência formatado, referência estruturada, mensagem não estruturada, URL de procedimento alternativo eBill.

Como criar um →

EPC Girocode (SEPA)

QR de transferência de crédito do Conselho Europeu de Pagamentos. Amplamente utilizado na Alemanha, Áustria, Países Baixos e nos países nórdicos para pagamento de faturas.

Exibimos: nome do beneficiário, IBAN, BIC, valor, informações de remessa, código de finalidade.

Como criar um →

ZATCA Fatoora (Saudi Arabia)

Faturamento assinado criptograficamente, obrigatório em toda transação comercial no Reino. Codificado em TLV com cinco tags obrigatórias (nome do vendedor, número de IVA, timestamp, total, valor de IVA) mais uma assinatura ECDSA.

Exibimos: nome do vendedor, número de registro de IVA, timestamp ISO 8601, total da fatura, valor de IVA.

Como criar um →

E muitos mais: identificamos esquemas de pagamento nacionais de 54 países, PromptPay (Tailândia), PayNow (Singapura), DuitNow (Malásia), QRIS (Indonésia), Bizum (Espanha), Swish (Suécia), MB WAY (Portugal), BLIK (Polônia), Wero (UE) e dezenas de outros cobertos no catálogo de analisadores.

Credenciais de saúde

Registros de vacinas, prescrições, resultados de laboratório e certificados de viagem. Assinados criptograficamente por autoridades nacionais de saúde. Identificamos a credencial e exibimos o emissor e o tipo, mas deliberadamente nunca decodificamos o nome do paciente, data de nascimento ou histórico médico. Seu aplicativo de carteira é o lugar certo para visualizá-los.

SMART Health Cards

JWS com codificação numérica envolvendo um payload JSON comprimido com DEFLATE contendo recursos FHIR. Usado pela Apple Wallet, pela Common Trust Network, por estados dos EUA, províncias canadenses e várias redes de farmácias para registros de vacinas e laboratório.

Exibimos: URL do emissor, timestamp ISO de emissão, tipo de credencial (covid19 / imunização / laboratório / etc.), versão FHIR, contagem de recursos e tipos.

Nunca decodificamos: nome do paciente, data de nascimento, datas de vacinação/teste, corpos individuais de recursos FHIR. Com restrição de teste no conjunto de analisadores.

EU Digital COVID Certificate (HC1)

O prefixo HC1: envolve uma cadeia base45 → DEFLATE → COSE_Sign1 → CBOR → CWT terminando em uma reivindicação HCERT definida pela UE. Ainda usado para documentos de viagem não relacionados à COVID em alguns Estados-Membros após o encerramento da emergência sanitária.

Exibimos: país emissor (ISO 3166-1), timestamp de emissão-não-antes, timestamp de expiração, versão do esquema, tipo de credencial (vacinação / teste / recuperação), doença-alvo (SNOMED-CT, renderizado como "COVID-19", não o código bruto 840539006), país de vacinação/teste, organização emissora, número de dose / total, tipo de teste, resultado do teste.

Nunca decodificamos: nome do paciente, data de nascimento, datas de dose, ID único do certificado (UVCI). Com restrição de teste.

Documentos de identidade

Carteiras de motorista, IDs móveis e carteiras de identidade digital. O código de barras no verso de uma carteira de motorista dos EUA contém todos os campos da frente. O QR de carteira de motorista móvel transmite um handshake de conexão para que um verificador possa se conectar via NFC / BLE para ler atributos.

AAMVA driver license

O código de barras PDF417 no verso de cada carteira de motorista dos EUA e do Canadá. Formato de subelemento por subfile conforme o apêndice D.12.5 do Padrão de Design de Cartão AAMVA.

Exibimos (~17 campos): nome, nome do meio e sobrenome; data de nascimento no formato ISO; sexo; altura; cor dos olhos; número da habilitação (mascarado); categoria; restrições; endossos; vencimento; data de emissão; endereço completo; país; indicador de doador de órgãos; indicador de veterano; limite de menor de 21 anos.

Sensível por padrão: número da habilitação e data de nascimento são exibidos como campos mascarados que requerem toque para revelar, para que uma captura de tela do veredicto não seja em si uma exposição de identidade. O aviso de privacidade destaca que bares e casas noturnas que escaneiam documentos recebem TODOS esses dados, não apenas a idade do portador.

Anatomia completa → · Referência do gerador →

Mobile Driver License (ISO 18013-5)

O QR mdoc: que sua carteira de motorista móvel iOS / Android exibe ao ser apresentada a um verificador. CBOR DeviceEngagement com um seletor de suite de cifra, a chave pública efêmera do portador e a lista de métodos de transferência que o verificador pode usar para se conectar.

Exibimos: versão do protocolo, suite de cifra (P-256 ECDH-ES + A256KW é a obrigatória atualmente), métodos de transferência suportados (NFC / BLE / Wi-Fi Aware), host de recuperação pelo servidor (quando presente).

Nunca decodificamos: os bytes da chave pública efêmera do portador (exibimos apenas o comprimento). Os atributos reais do mDL fluem pelo canal negociado após a conexão do verificador, nunca por este scanner.

Guia completo de mDL →

EU Digital ID Wallet (eIDAS 2.0)

Esquemas OpenID4VP e eudi-openid4vp para apresentação de identidade transfronteiriça. Implantações dos Estados-Membros se intensificando entre 2024 e 2026.

Exibimos: família de protocolo (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, hostname do response_uri, hostname do request_uri para fluxos de solicitação assinada, response_mode.

DID URIs

Identificadores Descentralizados: did:web, did:key, did:ion, did:ebsi e outros métodos.

Exibimos: método DID, identificador específico do método, parâmetro de serviço, referência relativa, fragmento de verificação.

Autenticação e chaves de acesso

Os fluxos de login por QR que protegem (ou comprometem) cada conta que você possui. Identificamos cada tipo e alertamos claramente quando um QR está pedindo para você concluir o login de outra pessoa em vez do seu.

FIDO CTAP 2.2 hybrid

O QR de chave de acesso entre dispositivos que seu laptop exibe quando você faz login com uma chave de acesso no celular. Mapa CBOR codificado em base10 com a chave pública do par, o segredo QR, a dica de operação, o domínio do servidor de túnel, o timestamp e o indicador de assistência de estado.

Exibimos: operação (make-credential / get-assertion / discoverable), domínio do servidor de túnel (ex.: cable.ua5v.com), timestamp ISO, suporte a estado assistido, comprimento da chave pública do par, comprimento do segredo QR.

Aviso importante: escanear este QR conclui um login que alguém INICIOU EM OUTRO DISPOSITIVO. Se você não acabou de iniciar um login com chave de acesso, recuse: você estaria autenticando na sua conta quem gerou este QR.

Leia: devo escanear este QR de login com chave de acesso? →

HOTP / TOTP (2FA setup)

QRs de configuração de senha de uso único RFC 4226 / RFC 6238. O URI otpauth:// que seu banco ou aplicativo de trabalho exibe ao cadastrar um autenticador.

Exibimos: emissor, conta, algoritmo (SHA1 / SHA256 / SHA512), dígitos (6 / 8), período (TOTP) ou contador (HOTP), URL do ícone do emissor.

Sensível por padrão: o segredo em Base32 é exibido como campo de toque para revelar. Também validamos o Base32 do segredo e avisamos claramente quando está malformado; aplicativos autenticadores aceitam segredos malformados silenciosamente e depois geram códigos que nunca verificam.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

O QR de exportação em massa do Google Authenticator. Carrega todos os segredos de 2FA do autenticador de uma vez; um pacote protobuf com N entradas OtpParameters.

Exibimos (por entrada): emissor, conta, tipo (HOTP / TOTP), algoritmo, dígitos, contador, mais metadados de versão / lote. A divulgação enumera "Concessões neste pacote: ACME / alice@acme; GitHub / bob@github; …" para que um usuário em migração possa auditar antes de importar.

Nunca decodificamos: os bytes reais do segredo seed. Verificado por teste com strings canárias que nunca devem aparecer em nenhuma saída de veredicto.

Aviso importante: a classe de ameaça é provável_perigoso, a menos que o usuário esteja LITERALMENTE no meio de uma migração entre seus próprios dispositivos.

Anatomia completa + guia de segurança →

Sign-In with Ethereum (SIWE / EIP-4361)

A mensagem de texto simples que sua carteira assina para provar o controle de um endereço de carteira a um site.

Exibimos: domínio do site, endereço da carteira, ID da rede, nonce, tempo de expiração.

Aviso: leia o site e a declaração com atenção; um site malicioso pode usar uma mensagem SIWE assinada para se passar por você naquele domínio.

Viagem e bilhetes

IATA boarding pass (Resolution 792)

O QR / Aztec / PDF417 do seu cartão de embarque aéreo. Cabeçalho de largura fixa (60 caracteres) mais 37 caracteres de dados obrigatórios por segmento.

Exibimos (por segmento): código da companhia + número do voo (sem zeros à esquerda), rota (DE → PARA), data (dia juliano → ISO com avanço inteligente de ano), assento, classe da cabine, número de sequência, status (Embarcado / Acesso à sala VIP / Bypass de segurança / etc.). Passes com múltiplos segmentos recebem prefixos de linha por segmento.

Sensível por padrão: PNR / referência de reserva é exibida como campo de toque para revelar; seu nome mais o PNR é suficiente para acessar a reserva na maioria dos sites de companhias aéreas. Não publique fotos de cartões de embarque.

Guia campo por campo completo →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Exibimos: FQDN do SM-DP+ (o servidor da operadora que vai se comunicar com seu telefone), código de ativação, indicador de código de confirmação obrigatório.

Aviso: um perfil eSIM instalado pode interceptar SMS, incluindo códigos de 2FA por SMS. Verifique se o SM-DP+ corresponde à sua operadora real (Airalo, Saily, Truphone, Google Fi, etc.) em uma lista de permissões antes de instalar.

Como funcionam os QR de ativação de eSIM →

Casa inteligente e IoT

Matter onboarding

Código binário compactado base38 com prefixo MT:- da Connectivity Standards Alliance. Emparelhamento de casa inteligente entre fabricantes; funciona no Apple Home, Google Home, Amazon Alexa e Samsung SmartThings.

Exibimos: ID do fornecedor, ID do produto, discriminador, código de configuração de 8 dígitos (mascarado por sensibilidade), fluxo de comissionamento, flags de capacidade de descoberta (Soft-AP / BLE / rede IP existente), versão da especificação.

Guia completo do Matter →

Apple HomeKit (X-HM://)

URI de configuração de acessório HAP da Apple. Anterior ao Matter; ainda presente em muitos acessórios que ainda não suportam Matter.

Wi-Fi Easy Connect (DPP)

Protocolo de Provisionamento de Dispositivo Wi-Fi Alliance, o substituto moderno do WPS. Usado em roteadores de 2025 para integração de dispositivos por QR.

Bluetooth Auracast (BAU v1.0)

Esquema QR do Bluetooth SIG para transmissões LE Audio. O UUID de serviço 184F identifica o Auracast; exibimos o nome da transmissão (decodificado em base64) e o estado de criptografia.

Cripto e Lightning

Bitcoin (BIP-21)

O URI padrão de pagamento Bitcoin. Exibimos endereço, valor (com unidade BTC/sat), rótulo, mensagem, endpoint PayJoin (pj=), URL de solicitação de pagamento BIP-72 (r=), parâmetros obrigatórios (req-*), fallback Lightning.

Ethereum (EIP-681)

URI de solicitação de pagamento Ethereum com seleção de rede. Decodificamos destinatário vs. contrato, ID da rede com rótulo legível (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), valor (wei → ETH/Gwei formatado), nome da função chamada, argumentos de transferência ERC-20.

Aviso: uma chamada de contrato não é o mesmo que um envio simples; os drainers de carteiras dependem de os usuários não perceberem a diferença.

WalletConnect (ERC-1328)

O URI de emparelhamento dApp↔carteira. Exibimos versão (v2 é atual; v1 está obsoleto e é mais fraco), tópico, protocolo de retransmissão, chave simétrica de sessão (mascarada por sensibilidade).

Solana Pay

URI de solicitação de transferência da Solana Foundation. Exibimos destinatário, valor, mint do token SPL, rótulo, referência, mensagem, memo.

Lightning Network (BOLT-12, LNURL)

As ofertas BOLT-12 (lno1…) são solicitações de pagamento Lightning reutilizáveis. LNURL (lnurl1…) codifica em bech32 um endpoint HTTPS que sua carteira chama para buscar uma fatura, sacar, abrir canal ou autenticar.

Cashu ecash

Token de ecash ao portador. Diferente de todos os outros formatos cripto porque o QR literalmente É o dinheiro: qualquer pessoa que o fotografe pode gastá-lo.

Sensível por padrão: string do token mascarada; o veredicto avisa claramente que o QR contém valor não gasto.

Nostr (NIP-19)

Identificadores Nostr codificados em Bech32. Reconhecemos npub (chave pública), nsec (chave privada, com aviso severo), note, nevent, nprofile, naddr, nrelay.

nsec sensível: uma chave privada Nostr em um QR significa que a identidade do portador foi capturada. Sinalizamos como vazamento de credencial.

Industrial e regulatório

GS1 Digital Link

O padrão que substituirá os códigos de barras 1D para produtos de consumo. Os Identificadores de Aplicação no caminho da URL codificam GTIN, lote, data de produção/vencimento, número de série e mais.

Exibimos: GTIN (01), lote (10), data de produção (11), validade de consumo (15), vencimento (17), número de série (21) e AIs adicionais como campos nomeados.

Como criar um GS1 Digital Link →

EU Digital Product Passport

A regulamentação da UE exige que todo produto de consumo tenha um passaporte digital (sustentabilidade, origem, informações de reparo) a partir de 2027. Baseado em URLs de GS1 Digital Link que resolvem para páginas de passaporte por produto.

O próprio QR é decodificado hoje pelo nosso analisador de GS1 Digital Link; o conteúdo do passaporte além da URL é publicado por cada fabricante.

Visão geral completa + o que há em um passaporte →

VPN e credenciais de desenvolvedor

WireGuard config

Configuração WireGuard VPN no formato INI. Exibimos endereço da interface, DNS, porta de escuta, endpoint do par, IPs permitidos, keepalive persistente, contagem de pares adicionais.

Sensível por padrão: a chave privada da interface e a chave pré-compartilhada são exibidas como campos de toque para revelar. Aviso quando allowed-IPs é 0.0.0.0/0 (túnel total: cada byte do seu tráfego passa pelo servidor de outra pessoa).

SSH public key

Formato authorized_keys do OpenSSH (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Exibimos algoritmo, comentário e comprimento da chave.

X.509 certificate / JWT

Certificados X.509 com armadura PEM e serializações compactas JWT brutas. Percorremos o DER do certificado para extrair CN/O do Subject, CN do Issuer, NotBefore/NotAfter e comprimento de bits da chave pública. Sinalizamos certificados expirados.

Privacidade JWT: exibimos alg + typ do cabeçalho, mas NUNCA decodificamos as claims do payload JWT — elas podem conter IDs de conta, escopos ou outros segredos que não pertencem aos resultados de escaneamento.

PGP key block

Bloco OpenPGP PUBLIC / PRIVATE KEY. Exibimos apenas o formato; o material da chave é mascarado. Blocos PRIVATE KEY recebem um aviso claro de "não compartilhe este QR".

Simbologias que decodificamos (o código visual em si)

Uma simbologia é o *contêiner*: a forma dos pontos e quadrados. Os padrões acima são o *payload*: o que está dentro. Nosso scanner lê toda simbologia de padrão aberto e passa o texto decodificado para o analisador correto acima.

QR Code (ISO/IEC 18004)

Modelo 1 (original de 1994), Modelo 2 (o padrão global atual), Micro QR (componentes pequenos) e Micro QR retangular (rMQR, ISO/IEC 23941:2022, etiquetas estreitas como tubos de ensaio).

Aztec Code (ISO/IEC 24778)

A simbologia com localizador de alvo utilizada no Eurostar, SBB e em muitos bilhetes de embarque de transporte europeu.

Mais sobre Aztec →

Data Matrix (ISO/IEC 16022)

Simbologia densa de pequeno formato. Usada pelo varejo GS1, farmácias DSCSA, defesa MIL-STD-130, aviação ATA Spec 2000 e rotulagem de produtos sanguíneos ISBT 128.

Mais sobre Data Matrix →

PDF417 (ISO/IEC 15438)

Simbologia linear empilhada usada em carteiras de motorista dos EUA/CA (AAMVA), etiquetas de envio e conhecimentos aéreos da FedEx.

Mais sobre PDF417 →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF: os códigos de barras lineares que você vê em todo caixa de supermercado e em toda etiqueta de entrega.

Por que isso importa

A segurança de um QR não é a segurança de sua URL — é a segurança do padrão que governa o que está dentro. Um QR de pagamento é perigoso porque alguém trocou a etiqueta; um QR de chave de acesso é perigoso porque alguém quer fazer login como você; um QR de registro de vacina é perigoso por causa de quem está segurando o scanner que o lê. Modelamos cada um separadamente, com base em seu próprio modelo de ameaça, com decodificação em nível de campo em vez de suposições.

Cada analisador acima é transparente sobre o que exibe e o que deliberadamente mascara, para que você possa verificar nossas afirmações lendo a saída do veredicto, sem confiar em uma caixa preta.

Ver cobertura completa → Experimente o scanner →