Pagamento por QR Code: Como Criar e Aceitar Pagamentos por QR Code em 2026
Só em dezembro de 2025, os brasileiros escanearam aproximadamente 7,87 bilhões de códigos QR de pagamento — um único país, em um único mês, com mais transações do que a Visa e a Mastercard juntas nesse período no Brasil. O sistema UPI da Índia processou 21,63 bilhões de leituras de QR Code no mesmo mês. O valor global dos pagamentos por QR Code atingiu cerca de US$ 5,4 trilhões em 2025, e a Juniper Research projeta US$ 8 trilhões até 2029. Seja lá o que o código QR de pagamento represente hoje, ele não é mais apenas um quadrado preto e branco colado acima do balcão de uma cafeteria. É uma das principais plataformas de pagamento do planeta, e aprender a emitir um tornou-se uma habilidade operacional básica para qualquer empresa que venda internacionalmente.
Este guia explica o que um código QR de pagamento realmente codifica, como funciona a camada de especificação, quais formatos são importantes em 2026, como gerar um (com um passo a passo usando o Plisio para pagamentos em criptomoedas), o mercado em tempo real, os riscos de segurança por trás do quishing e as perguntas a serem feitas antes de escolher um provedor.
O que é um código QR de pagamento e o que ele codifica?
Um código QR de pagamento é um código de barras matricial 2D que codifica informações de pagamento que um aplicativo de carteira digital ou bancário pode analisar e executar. A norma ISO/IEC 18004:2024 é a edição atual do padrão QR (formalmente um "código de resposta rápida"). O código em si não contém dinheiro. É apenas uma pequena sequência URI que um aplicativo de pagamento reconhece. A URI pode ser um identificador de conta bancária, uma tag de um esquema de pagamento instantâneo ou um endereço criptográfico com o valor embutido.
Um pouco de história. Masahiro Hara inventou o QR Code em 1994 na Denso Wave, uma subsidiária da Toyota, para rastrear peças de carros na linha de montagem. A Denso Wave decidiu não exercer a patente. Essa única decisão é o motivo pelo qual os códigos QR agora estão presentes em cafeterias, páginas de pagamento e parquímetros. O Alipay começou a usar QR Code para o varejo físico na China em 2011; os consumidores agora simplesmente escaneiam o código QR para pagar, em vez de carregar cartões.
Como funciona, na prática, um código QR de pagamento
Todos os códigos QR de pagamento compartilham a mesma estrutura física. Três grandes quadrados nos cantos servem como marcadores de posição. Marcadores de alinhamento menores auxiliam quando a câmera está em um ângulo. Os códigos utilizam a correção de erros Reed-Solomon em um dos quatro níveis: L (recuperação de aproximadamente 7%), M (recuperação de aproximadamente 15%), Q (recuperação de aproximadamente 25%) e H (recuperação de aproximadamente 30%). É por isso que um adesivo parcialmente borrado ainda é lido. As versões variam de 1 (módulos de 21x21) até 40 (módulos de 177x177, até 7.089 caracteres numéricos). Um URI de pagamento raramente precisa de mais de 300 caracteres.
O que importa nos pagamentos é a carga útil. Cinco formatos que vale a pena conhecer em 2026.
Comece com o Modo Apresentado pelo Comerciante (MPM, v1.1) da EMVCo. Trata-se do formato codificado em TLV que está por trás da maioria dos sistemas nacionais de QR Code — PIX no Brasil, PromptPay na Tailândia, DuitNow na Malásia, PayNow em Singapura, BharatQR na Índia e HKQR em Hong Kong. A EMVCo também definiu um Modo Apresentado pelo Consumidor, no qual a carteira do cliente exibe o código e o comerciante o escaneia.
BIP21 é o esquema URI do Bitcoin: `bitcoin:
?amount=&label=`. Ele foi formalmente substituído pelo BIP321, mas o BIP21 continua sendo o formato dominante em transmissão em 2026.
A EIP-681 faz o mesmo para o Ethereum: `ethereum:0xabc...?value=2.5e18` para ETH nativo, com uma forma mais rica para tokens ERC-20 como USDC e USDT. O padrão também permite chamadas de contrato arbitrárias, não apenas transferências.
Solana Pay é a especificação usada pelas carteiras e comerciantes Solana: `solana:?amount=&spl-token=&reference=&memo=`. O campo de referência é uma chave pública que o comerciante usa como um ID de correlação. O comerciante consulta `getSignaturesForAddress` para detectar o pagamento antes mesmo de ver a assinatura da transação. Finalidade em menos de um segundo, taxas em frações de centavo.
O LNURL-pay é o que torna o Bitcoin Lightning viável para o varejo. Uma fatura Lightning bruta é longa, de uso único e com valor fixo. O LNURL-pay codifica uma URL bech32 apontando para um endpoint de servidor; a carteira acessa o endpoint, recupera uma fatura Lightning e efetua o pagamento. BTCPay Server, Blink, Breez e LNURLPoS utilizam esse padrão.
A carteira digital realiza todo o processo: lê o URI, preenche o formulário, assina com a chave ou PIN do usuário e envia o pagamento. O processo de pagamento é mais rápido do que usar um cartão, e é por isso que os clientes em mercados onde o uso de QR Codes é comum simplesmente escaneiam os códigos em vez de carregar um cartão físico.
Códigos QR estáticos versus dinâmicos para pagamentos
Existem dois tipos. Os códigos QR estáticos contêm uma carga útil fixa (um endereço de carteira, um ID do comerciante) e solicitam que o cliente digite o valor manualmente. Os códigos QR dinâmicos são gerados para cada transação. O valor já está incluído, o ID da fatura está anexado e o tempo de vida útil é curto. Ambas as formas funcionam na prática com códigos QR, mas apenas os códigos dinâmicos oferecem um link de pagamento revogável. A maioria das empresas inverte a lógica. Os códigos dinâmicos são a escolha certa em praticamente todos os contextos comerciais. Os códigos estáticos só devem ser usados quando a segurança for devidamente considerada e aceita.
| Tipo | Contente | Ideal para | Segurança |
|---|---|---|---|
| Estático | Carga útil fixa (endereço da carteira, ID do comerciante); o cliente insere o valor. | Caixas de gorjetas, botões de doação, quiosques de baixo volume | Na parte inferior, o mesmo código pode ser fotografado e reproduzido; adesivos sobrepostos visam códigos estáticos. |
| Dinâmico | Gerado por transação, inclui valor e ID da fatura, geralmente com prazo de validade. | Finalização de compra em comércio eletrônico, terminais de ponto de venda (PDV), faturas | Maior — uso único, revogável, mais difícil de falsificar. |
A outra parte importante é a análise de dados. Os códigos dinâmicos são roteados por um servidor, o que significa que o lojista recebe registros de leitura, dicas de geolocalização e dados de conversão. Os códigos estáticos não fornecem nada disso.
Como criar um código QR de pagamento com o Plisio
A Plisio é uma plataforma de pagamento em criptomoedas sem custódia, sendo o exemplo mais simples e concreto para demonstrar o processo. Os fundos são enviados diretamente para a carteira do comerciante, sem que a Plisio os retenha. A taxa é fixa em 0,5% no plano Gateway API, 1,5% no plano White Label e gratuita no plano Carteira Pessoal. Não há verificação KYC no plano padrão. As criptomoedas suportadas incluem BTC, ETH, USDT, USDC, LTC, BCH, DOGE, DASH, XMR, ZEC, TUSD, BTT, TRX, BNB, BUSD e ETC. A cobertura de USDT em múltiplas cadeias (TRC-20 e ERC-20) é padrão.
Existem quatro caminhos para um código QR de pagamento Plisio, e o comerciante escolherá o que melhor se adapta à sua situação.
A opção A é o painel de controle. Cadastre-se em plisio.net com seu e-mail e senha. Abra o painel de controle, acesse Faturas e clique em Nova Fatura. Insira o valor em USD ou EUR, selecione as criptomoedas que deseja aceitar como pagamento e clique em Criar. O Plisio retorna um URL de fatura com um QR Code dinâmico incorporado. O cliente pode escanear o QR Code com qualquer aplicativo de carteira digital para efetuar o pagamento. Imprima, cole em um e-mail ou exiba no caixa.
A opção B é a API REST. O endpoint base é `https://api.plisio.net/api/v1/`. As chamadas são HTTP GET e as respostas são JSON. O endpoint de criação de faturas pode gerar códigos QR sob demanda e retorna uma página hospedada contendo o QR dinâmico e um `wallet_hash` bruto que você pode usar para renderizar sua própria interface de usuário. Webhooks disparam atualizações de status (`novo`, `pendente`, `concluído`), de modo que o fluxo de pedidos seja atualizado automaticamente.
A opção C é o PDV de marca branca. Um comerciante que não deseja a marca Plisio escolhe o plano de marca branca (taxa de 1,5% em vez de 0,5%). A página de pagamento é exibida com a marca do comerciante, o QR Code é gerado no servidor para cada pedido e o cliente nunca vê o logotipo da Plisio. Cafés, quiosques e terminais em lojas geralmente se enquadram nessa categoria.
A opção D é a instalação de um plugin. Existem plugins para WooCommerce, Magento, PrestaShop, OpenCart, BigCommerce, Ecwid e Shopware, com widgets de doação para Twitch, YouTube, TikTok, Twitter, Instagram e Facebook. Instale o plugin, cole a chave da API, defina as moedas aceitas e a página de finalização da compra exibirá a opção "Pagar com Criptomoedas", que renderiza um código QR.
O que o cliente vê é o mesmo, independentemente da rota: um código QR, um cronômetro regressivo para a taxa de câmbio fixada e uma tela de confirmação assim que o pagamento atinge sua primeira confirmação de bloco. O comerciante recebe os fundos em seu endereço de carteira; a Plisio retém sua taxa de 0,5% antes da liquidação.
O mercado de pagamentos por QR Code em 2026: PIX, UPI e infraestrutura de criptomoedas.
Três ferrovias transportarão a maior parte do volume previsto para 2026: Brasil, Índia e China. Qualquer pessoa que planeje uma estratégia de QR precisa ter uma visão abrangente das três.
O sistema PIX do Brasil processou aproximadamente 7,87 bilhões de transações em dezembro de 2025. Um mês. Um país. O volume total de transações em 2025 chegou a cerca de US$ 6,7 trilhões, um aumento de 34% em relação ao ano anterior (EBANX, CEIC). O PIX ultrapassou o volume total de transações com cartões no Brasil no primeiro trimestre de 2023 (a PCMI contabilizou 8,1 bilhões de transações com PIX contra 8 bilhões de transações com crédito e débito).
O sistema UPI da Índia está em uma trajetória de crescimento ainda mais acelerado. Os totais para o ano civil de 2025 chegam a 228,3 bilhões de transações e ₹299,7 trilhões (cerca de US$ 3,5 trilhões), com 21,63 bilhões somente em dezembro de 2025. O UPI agora processa aproximadamente metade de todos os pagamentos em tempo real no mundo.
A China é maior, só que mais difícil de contabilizar com precisão. O Alipay e o WeChat Pay, juntos, processam mais de 90% dos pagamentos móveis do país, e mais de 90% desses pagamentos são feitos por meio de leitura de QR Code. Só o Alipay registrou 726 milhões de usuários ativos mensais em fevereiro de 2026.
O QR Code criptográfico é o mais recente a entrar nesta lista. O projeto piloto de liquidação USDC-on-Solana da Visa atingiu uma taxa de execução anualizada de US$ 3,5 bilhões em novembro de 2025, e 2026 traz a expansão para o Cross River Bank e o Lead Bank. A Juniper Research estima o valor global dos pagamentos por QR Code em US$ 5,4 trilhões em 2025 e projeta US$ 8 trilhões até 2029 em 61 países. A metodologia é generosa: o QR Code é tratado como uma única categoria contábil, apesar das infraestruturas subjacentes serem radicalmente diferentes. O crescimento, no entanto, é real.
| Ferrovia | Emissor | Taxa para o comerciante | Velocidade | Finalidade | Geografia |
|---|---|---|---|---|---|
| PIX | Banco Central do Brasil | 0 a ~0,2% | <10 s | Reversível para o banco (casos de fraude) | Brasil |
| UPI | NPCI | ~0% (P2M MDR limitado) | <5 s | Reversível | Índia |
| Visa / Mastercard QR | Visa / MC | 1,5–2,5% | <30 s | Estorno em até 180 dias | Global |
| WeChat Pay / Alipay | Tencent / Ant | ~0,6% | <5 s | Plataforma reversível | China |
| Plisio (cripto) | Plisio (não custodial) | 0,5% | 1 confirmação (aproximadamente 10 min BTC, aproximadamente 30 s TRX) | Irreversível | Global |
| Solana Pay | Ecossistema Solana | Taxa de rede de aproximadamente US$ 0,0001 | <1 s | Irreversível | Global |
| Lightning / LNURL | Rede Lightning | <0,1% | <1 s | Irreversível | Global |
Onde as empresas usam códigos QR para pagamento
Seis padrões concretos de implantação são visíveis em 2026.
O varejo em pontos de venda é o maior exemplo: adesivos PIX QR nos balcões de padarias brasileiras, tags UPI QR fixadas ao lado de lojas de telefonia em Mumbai, códigos Lightning QR em cafés em El Salvador e Lugano. Restaurantes usam códigos QR estáticos para combinar cardápio e pagamento da conta em uma única leitura. Fluxos de checkout de e-commerce geram um QR dinâmico por carrinho por meio de plugins do Shopify ou WooCommerce, eliminando o formulário de cartão para clientes que priorizam o uso de dispositivos móveis. Faturamento internacional é um dos casos de uso mais fortes de QR criptográficos: um fornecedor de SaaS em Tallinn envia um link de fatura por e-mail para um cliente em Lagos, o cliente escaneia, paga em USDT-TRC20 e o fornecedor recebe os fundos em minutos por 0,5%. Doações são fáceis: uma organização sem fins lucrativos cola um QR BIP21 estático em um folheto, um criador de conteúdo adiciona um widget Plisio à sua transmissão na Twitch. Transferências ponto a ponto usam QRs de identificadores UPI na Índia e QRs Pix Key (CPF, telefone, e-mail) no Brasil para dividir contas de restaurantes.
Segurança e contra-ataque: o que os comerciantes precisam saber
A maior ameaça individual não é técnica. Trata-se de um golpista que imprime um adesivo com um link de phishing dentro do QR Code e o cola sobre o QR Code legítimo. A polícia de Redondo Beach encontrou cerca de 150 adesivos falsos com QR Codes nos parquímetros da cidade em 2024, e o padrão se repetiu em Austin, Atlanta, San Antonio e diversas cidades litorâneas da região de Los Angeles. Restaurantes, carregadores de veículos elétricos e cardápios de TV em quartos de hotel também relataram o mesmo vetor de ataque.
O phishing com QR Code também cresceu rapidamente no ambiente digital. A atualização de 2026 da Keepnet constatou que cerca de 12% de todos os e-mails de phishing continham um QR Code em 2025. O volume de e-mails de phishing saltou de aproximadamente 47.000 em agosto de 2025 para 249.000 em novembro, um aumento de cinco vezes em três meses. Cerca de 90% desses ataques visavam o roubo de credenciais. Executivos tinham cerca de 40 vezes mais chances de serem alvos do que funcionários de nível operacional. Apenas cerca de 36% das tentativas de phishing com QR Code foram detectadas por usuários ou filtros. O IC3 do FBI emitiu um alerta FLASH para 2026 sobre o grupo Kimsuky da Coreia do Norte, que estava inserindo QR Codes maliciosos em e-mails de spearphishing. As denúncias de phishing registradas no IC3 chegaram a 300.487 em 2024, cerca de dez vezes o número de 2018.
As defesas são simples e subutilizadas. Use códigos QR dinâmicos para qualquer pagamento comercial, para que o código possa ser revogado. Verifique a pré-visualização da URL antes de tocar em confirmar — toda carteira confiável mostra o destino. Mantenha-se em HTTPS, evite redirecionamentos em cadeia e assine o payload com o campo MAC MPM da EMVCo, quando aplicável. Para criptomoedas, o endereço mais o valor no URI impede erros de valor incorreto. O risco remanescente é a incompatibilidade de cadeia: um cliente escanear um URI de USDC e enviar USDC na cadeia errada. Carteiras como Trust Wallet e MetaMask já alertam sobre isso, mas um comerciante ainda deve evitar misturar identificadores de cadeia em um mesmo QR.
Benefícios dos códigos QR de pagamento para comerciantes
As vantagens dos pagamentos por código QR resistem a uma análise minuciosa em quatro aspectos. Custo: não requer hardware especializado, apenas uma impressora ou uma tela, razão pela qual empresas com margens de lucro apertadas adotam o pagamento sem contato via QR antes mesmo de considerarem um terminal de cartão. Velocidade: PIX e UPI processam as transações em menos de cinco segundos, e um pagamento digital via código QR geralmente é processado mais rapidamente do que aproximar um cartão. Abrangência geográfica: o QR funciona em qualquer lugar onde um smartphone tenha acesso à internet, que agora cobre uma área maior do mundo do que as redes de adquirentes de cartão. Opcionalidade: um único código QR pode direcionar para PIX, UPI, um código QR da rede Visa ou um URI de stablecoin, suportando múltiplos métodos de pagamento através de um único código, dependendo do que a carteira do cliente suporta. Fluxos de pagamento seguros se beneficiam da confirmação biométrica integrada à carteira.
Escolher uma solução de pagamento por QR Code
Seis perguntas. Faça-as em ordem antes de escolher uma solução com código QR.
Primeiro: qual método de pagamento seus clientes realmente utilizam? PIX, UPI, Visa QR, Alipay, criptomoedas? Segundo: pagamento estático ou dinâmico? A escolha por pagamento estático leva em consideração o custo de segurança? Terceiro: qual é a taxa total, incluindo rede, processador e câmbio, e não apenas a porcentagem anunciada? Quarto: moeda de liquidação. Moeda fiduciária para conta bancária, stablecoin para carteira digital, ou uma combinação de ambas? Quinto: como funciona o processo de reembolso irreversível? A solução de pagamento cuida disso para você ou a responsabilidade é sua? Sexto: integrações. Shopify, WooCommerce, Magento, API REST, marketplace de plugins.
O que sempre me intriga é que não existe uma resposta universal. Para códigos QR de criptomoedas, as opções disponíveis em 2026 são: Plisio (0,5%, sem custódia, sem KYC padrão), BitPay (1%, com KYC rigoroso), CoinGate (1%, com opção de liquidação em moeda fiduciária), NOWPayments (0,5% com opção de custódia), BTCPay Server (gratuito, auto-hospedado, com operação técnica complexa) e OpenNode (especializado em Bitcoin/Lightning). Para transações instantâneas em moeda fiduciária, a escolha varia de acordo com o país. Intermediários PIX no Brasil. Aplicativos licenciados pela NPCI na Índia. Carteiras de grandes empresas de tecnologia na China. A combinação ideal depende de quais duas dessas seis perguntas são mais importantes para o seu negócio.
