Codice QR per i pagamenti: come creare e accettare pagamenti tramite QR nel 2026
Nel solo dicembre 2025, i brasiliani hanno scansionato circa 7,87 miliardi di codici QR per pagamenti: un singolo Paese, in un solo mese, un numero di transazioni superiore a quello registrato da Visa e Mastercard messe insieme nello stesso periodo. L'UPI indiano ha registrato 21,63 miliardi di scansioni di codici QR nello stesso mese. Il valore globale dei pagamenti tramite QR ha raggiunto circa 5,4 trilioni di dollari nel 2025 e Juniper Research prevede che arriverà a 8 trilioni di dollari entro il 2029. Qualunque cosa rappresenti, il codice QR per pagamenti non è più il semplice quadrato bianco e nero appeso sopra il bancone di un bar. È diventato uno dei principali sistemi di pagamento al mondo e imparare a emetterne uno è ormai una competenza operativa fondamentale per qualsiasi azienda che opera a livello internazionale.
Questa guida spiega cosa codifica effettivamente un codice QR di pagamento, come funziona il livello di specifica, quali formati saranno importanti nel 2026, come generarne uno (con una procedura passo passo utilizzando Plisio per i pagamenti in criptovalute), il mercato in tempo reale, i rischi per la sicurezza legati al quishing e le domande da porsi prima di scegliere un fornitore.
Cos'è un codice QR di pagamento e cosa codifica
Un codice QR di pagamento è un codice a barre a matrice 2D che codifica le informazioni di pagamento, leggibili e utilizzabili da un portafoglio digitale o da un'app bancaria. Lo standard ISO/IEC 18004:2024 è l'edizione corrente dello standard QR (formalmente denominato "quick response code"). Il codice in sé non contiene denaro. Si tratta semplicemente di una breve stringa URI riconosciuta dall'app di pagamento. L'URI può essere un identificativo di conto bancario, un tag di un sistema di pagamento istantaneo o un indirizzo di criptovaluta con l'importo incorporato.
Un po' di storia. Masahiro Hara inventò il codice QR nel 1994 presso Denso Wave, una filiale di Toyota, per tracciare i componenti delle auto sulla catena di montaggio. Denso Wave decise di non far valere il brevetto. Quella singola decisione è il motivo per cui i codici QR sono ora presenti nei bar, nelle pagine di pagamento e nei parchimetri. Alipay ha iniziato a utilizzare il codice QR per il commercio al dettaglio offline in Cina nel 2011; i consumatori cinesi ora scansionano semplicemente il codice QR per pagare, senza bisogno di carte di credito.
Come funziona un codice QR per i pagamenti
Ogni codice QR di pagamento condivide la stessa struttura fisica. Tre grandi quadrati agli angoli fungono da marcatori di posizione. Marcatori di allineamento più piccoli sono utili quando la fotocamera è inclinata. I codici utilizzano la correzione degli errori Reed-Solomon a uno dei quattro livelli: L (~7% di recupero), M (~15%), Q (~25%), H (~30%). Ecco perché un adesivo parzialmente sbavato viene comunque scansionato. Le versioni vanno da 1 (21×21 moduli) fino a 40 (177×177 moduli, fino a 7.089 caratteri numerici). Un URI di pagamento raramente necessita di più di 300 caratteri.
Nel mondo dei pagamenti, ciò che conta è il contenuto utile. Nel 2026, è fondamentale conoscere cinque formati.
Iniziate con la modalità EMVCo Merchant-Presented Mode (MPM, v1.1). Si tratta del formato con codifica TLV utilizzato dalla maggior parte dei circuiti QR nazionali: PIX in Brasile, PromptPay in Thailandia, DuitNow in Malesia, PayNow a Singapore, BharatQR in India e HKQR a Hong Kong. EMVCo ha inoltre definito una modalità Consumer-Presented Mode, in cui il portafoglio del cliente mostra il codice e il commerciante lo scansiona.
BIP21 è lo schema URI di Bitcoin: `bitcoin:
?amount=&label=`. È stato formalmente sostituito da BIP321, ma BIP21 rimane il formato dominante per le transazioni on-the-wire nel 2026.
EIP-681 svolge la stessa funzione per Ethereum: `ethereum:0xabc...?value=2.5e18` per ETH nativo, con una forma più ricca per i token ERC-20 come USDC e USDT. Lo standard consente anche chiamate di contratto arbitrarie, non solo trasferimenti.
Solana Pay è la specifica utilizzata dai wallet e dai commercianti Solana: `solana:?amount=&spl-token=&reference=&memo=`. Il campo di riferimento è una chiave pubblica che il commerciante utilizza come ID di correlazione. Il commerciante interroga `getSignaturesForAddress` per rilevare il pagamento prima ancora di vedere la firma della transazione. Finalità in meno di un secondo, commissioni frazioni di centesimo.
LNURL-pay è ciò che rende Bitcoin Lightning pratico per i clienti al dettaglio. Una fattura Lightning grezza è lunga, monouso e con un importo vincolato. LNURL-pay codifica un URL bech32 che punta a un endpoint del server; il wallet si connette all'endpoint, recupera una fattura Lightning ed effettua il pagamento. BTCPay Server, Blink, Breez e LNURLPoS utilizzano tutti questo schema.
Il portafoglio gestisce l'intero processo dall'inizio alla fine: legge l'URI, compila il modulo, firma con la chiave o il PIN dell'utente e trasmette il pagamento. Il processo di pagamento è più rapido rispetto al pagamento contactless con carta, motivo per cui nei mercati in cui i codici QR sono molto diffusi i clienti preferiscono scansionarli anziché portarsi dietro una carta fisica.
Codici QR statici e dinamici per i pagamenti
Esistono due tipologie di codici QR. I codici QR statici contengono un payload fisso (un indirizzo di portafoglio, un ID commerciante) e richiedono al cliente di inserire manualmente l'importo. I codici QR dinamici, invece, vengono generati per ogni singola transazione. L'importo è già precompilato, l'ID della fattura è associato e la validità è limitata. Entrambe le tipologie rappresentano il funzionamento pratico dei codici QR, ma solo i codici dinamici offrono un link di pagamento revocabile. Molte aziende commettono l'errore di scegliere la soluzione predefinita. I codici dinamici sono la scelta giusta in quasi tutti i contesti commerciali. I codici statici sono adatti solo quando il compromesso in termini di sicurezza è stato attentamente valutato e accettato.
| Tipo | Contenuto | Ideale per | Sicurezza |
|---|---|---|---|
| Statico | Payload fisso (indirizzo del portafoglio, ID del commerciante); il cliente inserisce l'importo | Barattoli per le mance, pulsanti per le donazioni, chioschi a basso volume | In basso: lo stesso codice può essere fotografato e riprodotto; gli adesivi sovrapposti prendono di mira i codici statici. |
| Dinamico | Generato per transazione, include importo e ID fattura, spesso a tempo limitato | Pagamento e-commerce, terminali POS, fatture | Più elevato: monouso, revocabile, più difficile da falsificare |
L'altro aspetto riguarda l'analisi dei dati. I codici dinamici vengono instradati attraverso un server, il che significa che il commerciante riceve registri delle scansioni, informazioni sulla geolocalizzazione e dati sulle conversioni. I codici statici non forniscono alcuna informazione.
Come creare un codice QR di pagamento con Plisio
Plisio è un gateway di pagamento in criptovalute non custodial ed è l'esempio concreto più semplice per illustrare i vari passaggi. I fondi vengono trasferiti direttamente al portafoglio del commerciante e Plisio non li detiene mai. La commissione è fissa allo 0,5% per il piano Gateway API, all'1,5% per il piano White Label e gratuita per il piano Portafoglio personale. Non è richiesto il KYC (Know Your Customer) per il piano standard. Le criptovalute supportate includono BTC, ETH, USDT, USDC, LTC, BCH, DOGE, DASH, XMR, ZEC, TUSD, BTT, TRX, BNB, BUSD e ETC. La copertura multi-chain di USDT (TRC-20 ed ERC-20) è standard.
Esistono quattro percorsi per ottenere un codice QR di pagamento Plisio, e il commerciante sceglierà quello più adatto in base al livello di integrazione.
L'opzione A è la dashboard. Registrati su plisio.net con email e password. Apri la dashboard, vai su Fatture, clicca su Nuova fattura. Inserisci l'importo in USD o EUR, seleziona le criptovalute in cui desideri accettare pagamenti e clicca su Crea. Plisio ti restituirà un URL della fattura con un codice QR dinamico incorporato. Il cliente può scansionare il codice QR con qualsiasi app di portafoglio per effettuare il pagamento. Puoi stamparlo, incollarlo in un'email o mostrarlo alla cassa.
L'opzione B è l'API REST. L'endpoint di base è `https://api.plisio.net/api/v1/`. Le chiamate sono HTTP GET, le risposte sono in formato JSON. L'endpoint per la creazione di fatture può generare codici QR su richiesta e restituisce una pagina ospitata contenente il codice QR dinamico più un `wallet_hash` grezzo che è possibile utilizzare per visualizzare la propria interfaccia utente. I webhook inviano aggiornamenti di stato (`nuovo`, `in sospeso`, `completato`) in modo che la pipeline degli ordini si aggiorni automaticamente.
L'opzione C è il POS white label. Un commerciante che non desidera il marchio Plisio sceglie il livello White Label (commissione dell'1,5% anziché dello 0,5%). La pagina di pagamento viene visualizzata con il marchio del commerciante, il codice QR viene generato lato server per ogni ordine e il cliente non vede mai il logo Plisio. Bar, chioschi e terminali in negozio tendono a rientrare in questa categoria.
L'opzione D prevede l'installazione di un plugin. Sono disponibili plugin per WooCommerce, Magento, PrestaShop, OpenCart, BigCommerce, Ecwid e Shopware, con widget per le donazioni per Twitch, YouTube, TikTok, Twitter, Instagram e Facebook. Basta installarlo, incollare la chiave API, impostare le criptovalute accettate e al momento del pagamento comparirà l'opzione "Paga con criptovalute" che visualizzerà un codice QR.
Ciò che il cliente vede è sempre lo stesso, indipendentemente dal metodo di pagamento: un codice QR, un conto alla rovescia per il tasso di cambio bloccato e una schermata di conferma una volta che il pagamento raggiunge la prima conferma di blocco. Il commerciante riceve i fondi al proprio indirizzo di portafoglio; Plisio trattiene la sua commissione dello 0,5% prima del regolamento.
Il mercato dei pagamenti tramite codice QR nel 2026: PIX, UPI e le infrastrutture crittografiche.
Tre linee ferroviarie trasportano la maggior parte del volume previsto per il 2026: Brasile, India e Cina. Chiunque pianifichi una strategia di ottimizzazione del traffico merci ha bisogno di un quadro completo di tutte e tre.
In Brasile, il sistema PIX ha registrato circa 7,87 miliardi di transazioni nel dicembre 2025. Un solo mese. Un solo Paese. L'intero anno 2025 ha raggiunto circa 6,7 trilioni di dollari, con un aumento del 34% su base annua (EBANX, CEIC). Nel primo trimestre del 2023, il sistema PIX ha superato il volume complessivo delle transazioni con carta in Brasile (PCMI ha contato 8,1 miliardi di transazioni PIX contro 8 miliardi di transazioni con carte di credito e di debito).
Il sistema UPI indiano sta registrando una crescita ancora più rapida. I dati per il 2025 indicano 228,3 miliardi di transazioni per un valore di 299,7 trilioni di rupie (circa 3,5 trilioni di dollari), di cui 21,63 miliardi solo nel mese di dicembre 2025. UPI gestisce ormai circa la metà di tutti i pagamenti in tempo reale a livello globale.
La Cina è più grande, ma è più difficile da quantificare con precisione. Alipay e WeChat Pay insieme gestiscono oltre il 90% dei pagamenti mobili del paese, e oltre il 90% di questi pagamenti avviene tramite scansione di codici QR. Solo Alipay ha registrato 726 milioni di utenti attivi mensili a febbraio 2026.
Crypto QR è l'ultimo arrivato in questa lista. Il progetto pilota di Visa per i pagamenti in USDC su Solara ha raggiunto un tasso di transazione annuale di 3,5 miliardi di dollari entro novembre 2025, e il 2026 vedrà l'espansione a Cross River Bank e Lead Bank. Juniper Research stima il valore globale dei pagamenti QR a 5,4 trilioni di dollari nel 2025 e prevede 8 trilioni di dollari entro il 2029 in 61 paesi. La metodologia è generosa: QR viene trattato come un'unica categoria contabile, nonostante i meccanismi sottostanti siano radicalmente diversi. La crescita è comunque reale.
| Sbarra | Emittente | Commissione al commerciante | Velocità | Finalità | Geografia |
|---|---|---|---|---|---|
| FOTO | Banco Central do Brasil | Da 0 a circa lo 0,2% | <10 s | Reversibile a livello bancario (casi di frode) | Brasile |
| UPI | NPCI | ~0% (P2M MDR limitato) | <5 s | Reversibile | India |
| Codice QR Visa/Mastercard | Visa/Mastercard | 1,5–2,5% | <30 s | Richiesta di storno entro 180 giorni | Globale |
| WeChat Pay / Alipay | Tencent / Ant | ~0,6% | <5 s | Piattaforma reversibile | Cina |
| Plisio (criptovaluta) | Plisio (non custodiale) | 0,5% | 1 conferma (~10 min BTC, ~30 s TRX) | Irreversibile | Globale |
| Solana Pay | Ecosistema di Solana | Tassa di rete di circa 0,0001 dollari | <1 s | Irreversibile | Globale |
| Lightning / LNURL | Rete Lightning | <0,1% | <1 s | Irreversibile | Globale |
Dove le aziende utilizzano i codici QR di pagamento
Nel 2026 si delineano sei modelli di implementazione concreti.
Il settore più diffuso è quello dei POS per la vendita al dettaglio: adesivi QR PIX sui banconi delle padarias brasiliane, tag QR UPI appuntati vicino ai negozi di telefonia a Mumbai, codici QR Lightning nei caffè di El Salvador e Lugano. I ristoranti utilizzano codici QR statici per combinare menu e pagamento del conto in un'unica scansione. I flussi di checkout dell'e-commerce generano un QR dinamico per ogni carrello tramite plugin di Shopify o WooCommerce, eliminando il modulo di carta per i clienti che utilizzano principalmente dispositivi mobili. La fatturazione transfrontaliera è uno dei casi d'uso più efficaci dei QR crittografici: un fornitore SaaS di Tallinn invia via email l'URL della fattura a un cliente di Lagos, il cliente scansiona, paga in USDT-TRC20 e il fornitore riceve i fondi in pochi minuti, pagando una commissione dello 0,5%. Le donazioni sono semplici: un'organizzazione no-profit incolla un QR BIP21 statico su un volantino, un creatore di contenuti inserisce un widget Plisio sotto il suo stream su Twitch. I trasferimenti peer-to-peer utilizzano i QR handle UPI in India e i QR Pix Key (CPF, telefono, email) in Brasile per dividere il conto al ristorante.
Sicurezza e gestione delle perdite: cosa devono sapere i commercianti
La minaccia più grave non è di natura tecnica. Si tratta di un truffatore che stampa un adesivo con un URL di phishing all'interno del codice QR e lo incolla sopra quello legittimo. La polizia di Redondo Beach ha trovato circa 150 adesivi con codici QR falsi sui parchimetri della città nel 2024, e lo stesso schema si è ripetuto ad Austin, Atlanta, San Antonio e in diverse città costiere dell'area di Los Angeles. Ristoranti, colonnine di ricarica per veicoli elettrici e menù sui televisori delle camere d'albergo hanno tutti segnalato lo stesso tipo di truffa.
Anche sul fronte digitale il phishing tramite codici QR si è diffuso rapidamente. L'aggiornamento del 2026 di Keepnet ha rilevato che circa il 12% di tutte le email di phishing conteneva un codice QR nel 2025. Il volume delle email di phishing è balzato da circa 47.000 nell'agosto 2025 a 249.000 entro novembre, un aumento di cinque volte in tre mesi. Circa il 90% di questi attacchi mirava al furto di credenziali. I dirigenti avevano circa 40 volte più probabilità di essere presi di mira rispetto al personale di livello inferiore. Solo circa il 36% dei tentativi di phishing tramite codici QR è stato intercettato dagli utenti o dai filtri. L'IC3 dell'FBI ha emesso un avviso FLASH nel 2026 riguardante il gruppo nordcoreano Kimsuky, che aveva incorporato codici QR dannosi nelle email di spear phishing. Le segnalazioni di phishing all'IC3 hanno raggiunto quota 300.487 nel 2024, circa dieci volte il dato del 2018.
Le misure di sicurezza sono semplici e poco utilizzate. Utilizzate codici QR dinamici per qualsiasi pagamento commerciale, in modo che il codice possa essere revocato. Verificate l'anteprima dell'URL prima di confermare: ogni wallet affidabile mostra la destinazione. Rimanete su HTTPS, evitate i reindirizzamenti a catena e firmate il payload con il campo MAC MPM di EMVCo, ove applicabile. Per le criptovalute, l'indirizzo più l'importo nell'URI blocca gli errori di importo errato. Il rischio reale rimanente è la mancata corrispondenza tra le blockchain: un cliente scansiona un URI USDC e invia USDC sulla blockchain sbagliata. Wallet come Trust Wallet e MetaMask ora avvertono di questo rischio, ma un commerciante dovrebbe comunque evitare di mescolare identificatori di blockchain in un unico codice QR.
Vantaggi dei codici QR di pagamento per i commercianti
I vantaggi dei pagamenti tramite codice QR resistono a un'analisi approfondita su quattro fronti. Costo: non è richiesto hardware specializzato, basta una stampante o uno schermo, motivo per cui le aziende con margini di profitto ridotti adottano i pagamenti contactless tramite QR prima ancora di prendere in considerazione un terminale POS. Velocità: PIX e UPI vengono elaborati in meno di cinque secondi e un pagamento digitale tramite codice QR viene generalmente elaborato più velocemente rispetto al pagamento contactless con carta. Copertura geografica: il QR funziona ovunque uno smartphone abbia una connessione internet, che ora copre una porzione di mondo più ampia rispetto alle reti degli emittenti di carte. Flessibilità: un singolo QR può essere indirizzato a PIX, UPI, un QR del circuito Visa o un URI di stablecoin, supportando più metodi di pagamento tramite un unico codice, a seconda di ciò che il portafoglio del cliente supporta. I flussi di pagamento sicuri beneficiano della conferma biometrica integrata nel portafoglio.
Scegliere una soluzione di pagamento tramite QR
Sei domande. Ponitele in quest'ordine prima di scegliere una soluzione con codice QR.
Uno: quale metodo di pagamento utilizzano effettivamente i vostri clienti? PIX, UPI, Visa QR, Alipay, criptovalute? Due: statico o dinamico? E il compromesso in termini di sicurezza è giustificato se si sceglie un metodo statico? Tre: qual è la commissione totale, inclusi rete, processore e cambio valuta, non solo la percentuale nominale? Quattro: valuta di regolamento. Valuta fiat verso banca, stablecoin verso portafoglio, mista? Cinque: gestione dei rimborsi su un sistema irreversibile. La soluzione di pagamento se ne occupa o è a carico della vostra contabilità? Sei: integrazioni. Shopify, WooCommerce, Magento, API REST, marketplace di plugin.
Il punto su cui continuo a tornare è che non esiste una risposta universale. Per i codici QR per criptovalute, le opzioni disponibili nel 2026 sono Plisio (0,5%, non custodial, senza requisiti KYC standard), BitPay (1%, con requisiti KYC complessi), CoinGate (1%, con opzione di regolamento in valuta fiat), NOWPayments (0,5% con opzione custodial), BTCPay Server (gratuito, self-hosted, tecnicamente complesso da gestire) e OpenNode (specializzato in Bitcoin/Lightning). Per i pagamenti istantanei in valuta fiat, la scelta è specifica per ogni paese. Intermediari PIX in Brasile. App con licenza NPCI in India. Wallet delle grandi aziende tecnologiche in Cina. La combinazione giusta dipende da quali due di queste sei domande hanno maggiore peso per la tua attività.
