Mã QR thanh toán: Cách tạo và chấp nhận thanh toán bằng mã QR vào năm 2026

Chỉ riêng trong tháng 12 năm 2025, người dân Brazil đã quét khoảng 7,87 tỷ mã QR thanh toán – chỉ riêng một quốc gia, một tháng, con số này đã nhiều hơn tổng số giao dịch của Visa và Mastercard cộng lại trong cùng kỳ năm đó tại Brazil. Hệ thống UPI của Ấn Độ đã xử lý 21,63 tỷ lượt quét mã QR trong cùng tháng. Giá trị thanh toán QR toàn cầu đạt khoảng 5,4 nghìn tỷ đô la vào năm 2025 và Juniper Research dự báo con số này sẽ đạt 8 nghìn tỷ đô la vào năm 2029. Dù mã QR thanh toán là gì đi nữa, nó không còn chỉ là một hình vuông đen trắng dán trên quầy cà phê nữa. Nó là một trong những phương thức thanh toán thống trị trên thế giới, và việc học cách tạo ra mã QR giờ đây là một kỹ năng vận hành cơ bản đối với bất kỳ doanh nghiệp nào bán hàng xuyên biên giới.

Hướng dẫn này giải thích mã QR thanh toán thực sự mã hóa những gì, lớp đặc tả hoạt động như thế nào, những định dạng nào quan trọng vào năm 2026, cách tạo mã QR (với hướng dẫn từng bước sử dụng Plisio cho thanh toán tiền điện tử), thị trường hiện tại, rủi ro bảo mật đằng sau việc gian lận mã QR, và những câu hỏi cần đặt ra trước khi chọn nhà cung cấp.

Mã QR thanh toán là gì và nó mã hóa những thông tin gì?

Mã QR thanh toán là mã vạch ma trận 2D mã hóa thông tin thanh toán mà ví điện tử hoặc ứng dụng ngân hàng có thể phân tích và thực thi. ISO/IEC 18004:2024 là phiên bản hiện hành của tiêu chuẩn QR (chính thức được gọi là "mã phản hồi nhanh"). Bản thân mã này không chứa tiền. Nó chỉ là một chuỗi URI ngắn mà ứng dụng thanh toán nhận dạng được. URI có thể là mã định danh tài khoản ngân hàng, thẻ của chương trình thanh toán tức thời hoặc địa chỉ tiền điện tử có chứa số tiền.

Một chút lịch sử. Masahiro Hara đã phát minh ra mã QR vào năm 1994 tại Denso Wave, một công ty con của Toyota, để theo dõi các bộ phận ô tô trên dây chuyền lắp ráp. Denso Wave đã quyết định không gia hạn bằng sáng chế. Chính quyết định đó là lý do tại sao mã QR hiện nay xuất hiện ở các quán cà phê, trang thanh toán và máy tính tiền đỗ xe. Alipay bắt đầu sử dụng mã QR cho bán lẻ ngoại tuyến tại Trung Quốc vào năm 2011; người tiêu dùng ở đó hiện chỉ cần quét mã QR để thanh toán thay vì mang theo thẻ.

Mã QR thanh toán hoạt động như thế nào?

Mọi mã QR thanh toán đều có cấu trúc vật lý giống nhau. Ba hình vuông lớn ở ba góc đóng vai trò là điểm đánh dấu vị trí. Các điểm đánh dấu căn chỉnh nhỏ hơn giúp nhận diện khi máy ảnh ở góc nghiêng. Mã sử dụng thuật toán sửa lỗi Reed–Solomon ở một trong bốn cấp độ: L (khôi phục khoảng 7%), M (khoảng 15%), Q (khoảng 25%), H (khoảng 30%). Đó là lý do tại sao một nhãn dán bị nhòe một phần vẫn có thể quét được. Các phiên bản có số lượng từ 1 (21×21 mô-đun) đến 40 (177×177 mô-đun, tối đa 7.089 ký tự số). Một URI thanh toán hiếm khi cần nhiều hơn 300 mô-đun.

Dữ liệu gửi đi là yếu tố quan trọng trong thanh toán. Có năm định dạng đáng chú ý trong năm 2026.

Hãy bắt đầu với Chế độ hiển thị mã QR do người bán cung cấp (EMVCo Merchant-Presented Mode, MPM, v1.1). Đây là định dạng được mã hóa TLV nằm bên dưới hầu hết các hệ thống mã QR quốc gia — PIX ở Brazil, PromptPay ở Thái Lan, DuitNow ở Malaysia, PayNow ở Singapore, BharatQR ở Ấn Độ, HKQR ở Hồng Kông. EMVCo cũng định nghĩa Chế độ hiển thị mã QR do người tiêu dùng cung cấp, trong đó ví của khách hàng hiển thị mã và người bán quét mã đó.

BIP21 là lược đồ URI của Bitcoin: `bitcoin:

?amount=&label=`. Nó đã chính thức được thay thế bởi BIP321, nhưng BIP21 vẫn là định dạng truyền tải chiếm ưu thế vào năm 2026.

EIP-681 thực hiện công việc tương tự cho Ethereum: `ethereum:0xabc...?value=2.5e18` cho ETH gốc, với dạng đầy đủ hơn cho các token ERC-20 như USDC và USDT. Tiêu chuẩn này cũng cho phép các lệnh gọi hợp đồng tùy ý, không chỉ chuyển khoản.

Solana Pay là định dạng được sử dụng bởi ví Solana và các nhà bán lẻ: `solana:?amount=&spl-token=&reference=&memo=`. Trường tham chiếu là khóa công khai mà nhà bán lẻ sử dụng làm ID tương quan. Nhà bán lẻ sẽ truy vấn `getSignaturesForAddress` để phát hiện khoản thanh toán trước khi nhận được chữ ký giao dịch. Giao dịch được hoàn tất trong chưa đến một giây, phí chỉ bằng một phần nhỏ của một xu.

LNURL-pay là yếu tố giúp Bitcoin Lightning trở nên thiết thực đối với người dùng cá nhân. Một hóa đơn Lightning thông thường rất dài, chỉ sử dụng một lần và bị khóa số tiền. LNURL-pay mã hóa một URL bech32 trỏ đến điểm cuối của máy chủ; ví truy cập điểm cuối, lấy hóa đơn Lightning và thanh toán. BTCPay Server, Blink, Breez và LNURLPoS đều sử dụng mô hình này.

Ví điện tử thực hiện toàn bộ quy trình: đọc URI, điền thông tin vào biểu mẫu, ký bằng khóa hoặc mã PIN của người dùng và gửi thông báo thanh toán. Quá trình thanh toán ngắn hơn so với việc quẹt thẻ, đó là lý do tại sao khách hàng ở các thị trường sử dụng mã QR phổ biến chỉ cần quét mã QR thay vì mang theo thẻ.

Mã QR tĩnh so với mã QR động dành cho thanh toán

Có hai loại mã QR. Mã QR tĩnh mang một dữ liệu cố định (địa chỉ ví, ID người bán) và yêu cầu khách hàng nhập số tiền thủ công. Mã QR động được tạo ra cho mỗi giao dịch. Số tiền được tích hợp sẵn, ID hóa đơn được đính kèm, thời gian tồn tại ngắn. Cả hai dạng đều hoạt động như mã QR trong thực tế, nhưng chỉ mã động mới cung cấp liên kết thanh toán có thể thu hồi. Hầu hết các doanh nghiệp đều hiểu sai về mặc định này. Mã QR động là lựa chọn đúng đắn trong hầu hết mọi môi trường kinh doanh. Mã QR tĩnh chỉ phù hợp khi sự đánh đổi về bảo mật đã được cân nhắc kỹ lưỡng và chấp nhận.

Yếu tố còn lại là phân tích dữ liệu. Mã động được xử lý qua máy chủ, điều này có nghĩa là người bán nhận được nhật ký quét, thông tin định vị địa lý và dữ liệu chuyển đổi. Mã tĩnh thì không cung cấp gì cả.

Hướng dẫn cách tạo mã QR thanh toán bằng Plisio

Plisio là một cổng thanh toán tiền điện tử không lưu giữ tài sản của người bán, và đây là ví dụ cụ thể dễ hiểu nhất để bạn nắm bắt các bước hoạt động. Tiền được chuyển thẳng đến ví của người bán và Plisio không bao giờ giữ chúng. Phí dịch vụ là 0,5% cố định cho gói Gateway API, 1,5% cho gói White Label và miễn phí cho gói Ví cá nhân. Không yêu cầu KYC ở gói tiêu chuẩn. Các loại tiền điện tử được hỗ trợ bao gồm BTC, ETH, USDT, USDC, LTC, BCH, DOGE, DASH, XMR, ZEC, TUSD, BTT, TRX, BNB, BUSD và ETC. Hỗ trợ USDT đa chuỗi (TRC-20 và ERC-20) là tiêu chuẩn.

Có bốn cách để tạo mã QR thanh toán Plisio, và người bán sẽ lựa chọn cách phù hợp dựa trên mức độ tích hợp.

Phương án A là sử dụng bảng điều khiển. Đăng ký tại plisio.net bằng email và mật khẩu. Mở bảng điều khiển, vào mục Hóa đơn, nhấp vào Tạo hóa đơn mới. Nhập số tiền bằng USD hoặc EUR, chọn loại tiền điện tử bạn muốn chấp nhận thanh toán và nhấp vào Tạo. Plisio sẽ trả về một URL hóa đơn có mã QR động được nhúng. Khách hàng có thể quét mã QR bằng bất kỳ ứng dụng ví nào để thanh toán. In hóa đơn, dán vào email hoặc hiển thị mã QR tại quầy.

Phương án B là API REST. Điểm cuối cơ sở là `https://api.plisio.net/api/v1/`. Các cuộc gọi là HTTP GET, phản hồi là JSON. Điểm cuối tạo hóa đơn có thể tạo mã QR theo yêu cầu và trả về một trang được lưu trữ chứa mã QR động cùng với một `wallet_hash` thô mà bạn có thể sử dụng để hiển thị giao diện người dùng của riêng mình. Webhook gửi các bản cập nhật trạng thái (`mới`, `đang chờ xử lý`, `đã hoàn thành`) để quy trình xử lý đơn hàng được cập nhật tự động.

Phương án C là hệ thống POS nhãn trắng. Người bán không muốn sử dụng thương hiệu Plisio sẽ chọn gói Nhãn trắng (phí 1,5% thay vì 0,5%). Trang thanh toán sẽ hiển thị với thương hiệu riêng của người bán, mã QR được tạo ở phía máy chủ cho mỗi đơn hàng và khách hàng sẽ không bao giờ nhìn thấy logo Plisio. Các quán cà phê, ki-ốt và thiết bị đầu cuối trong cửa hàng thường được lựa chọn ở đây.

Phương án D là cài đặt plugin. Các plugin này dành cho WooCommerce, Magento, PrestaShop, OpenCart, BigCommerce, Ecwid và Shopware, cùng với các widget quyên góp cho Twitch, YouTube, TikTok, Twitter, Instagram và Facebook. Cài đặt, dán khóa API, thiết lập các loại tiền điện tử được chấp nhận, và trang thanh toán sẽ thêm tùy chọn "Thanh toán bằng tiền điện tử" hiển thị mã QR.

Những gì khách hàng nhìn thấy là giống nhau bất kể phương thức nào: mã QR, bộ đếm ngược thời gian cho tỷ giá hối đoái đã được cố định và màn hình xác nhận khi giao dịch thanh toán đạt được xác nhận khối đầu tiên. Người bán nhận được tiền vào địa chỉ ví của họ; Plisio lấy 0,5% phí trước khi thanh toán hoàn tất.

Thị trường thanh toán QR năm 2026: PIX, UPI và các hệ thống thanh toán tiền điện tử.

Ba tuyến đường sắt chính chiếm phần lớn khối lượng hàng hóa vận chuyển năm 2026: Brazil, Ấn Độ và Trung Quốc. Bất kỳ ai lên kế hoạch cho chiến lược QR đều cần nắm rõ tình hình của cả ba tuyến đường này.

Thẻ PIX của Brazil đã xử lý khoảng 7,87 tỷ giao dịch trong tháng 12 năm 2025. Chỉ một tháng. Một quốc gia. Cả năm 2025 đạt khoảng 6,7 nghìn tỷ đô la, tăng 34% so với cùng kỳ năm trước (EBANX, CEIC). PIX đã vượt qua tổng khối lượng giao dịch thẻ tại Brazil trong quý 1 năm 2023 (PCMI thống kê được 8,1 tỷ giao dịch PIX so với 8 tỷ giao dịch thẻ tín dụng và thẻ ghi nợ).

Hệ thống UPI của Ấn Độ đang phát triển mạnh mẽ hơn nữa. Tính đến năm 2025, tổng số giao dịch đạt 228,3 tỷ và trị giá 299,7 nghìn tỷ rupee (khoảng 3,5 nghìn tỷ đô la), riêng tháng 12 năm 2025 đã có 21,63 tỷ giao dịch. Hiện nay, UPI xử lý khoảng một nửa tổng số giao dịch thanh toán tức thời trên toàn thế giới.

Trung Quốc rộng lớn hơn, chỉ là khó thống kê chính xác hơn. Alipay và WeChat Pay chiếm hơn 90% tổng số giao dịch thanh toán di động của cả nước, và hơn 90% trong số đó được thực hiện thông qua quét mã QR. Riêng Alipay đã báo cáo 726 triệu người dùng hoạt động hàng tháng (MAU) vào tháng 2 năm 2026.

Crypto QR là cái tên mới hơn trong danh sách này. Chương trình thí điểm thanh toán USDC trên Solana của Visa đã đạt tốc độ doanh thu hàng năm 3,5 tỷ đô la vào tháng 11 năm 2025, và năm 2026 sẽ mở rộng sang Cross River Bank và Lead Bank. Juniper Research ước tính giá trị thanh toán QR toàn cầu đạt 5,4 nghìn tỷ đô la vào năm 2025 và dự kiến đạt 8 nghìn tỷ đô la vào năm 2029 tại 61 quốc gia. Phương pháp tính toán khá lạc quan: QR được coi là một hạng mục kế toán duy nhất mặc dù nền tảng cơ bản hoàn toàn khác biệt. Tuy nhiên, sự tăng trưởng vẫn là có thật.

Nơi các doanh nghiệp sử dụng mã QR thanh toán

Sáu mô hình triển khai cụ thể có thể thấy rõ vào năm 2026.

Ứng dụng POS bán lẻ là lớn nhất: nhãn dán PIX QR trên quầy của các tiệm bánh mì ở Brazil, thẻ UPI QR được dán cạnh các cửa hàng điện thoại ở Mumbai, mã Lightning QR trong các quán cà phê trên khắp El Salvador và Lugano. Các nhà hàng sử dụng mã QR tĩnh cho thực đơn và thanh toán hóa đơn được kết hợp thành một lần quét. Quy trình thanh toán thương mại điện tử tạo ra mã QR động cho mỗi giỏ hàng thông qua các plugin Shopify hoặc WooCommerce, loại bỏ biểu mẫu thẻ cho khách hàng ưu tiên sử dụng thiết bị di động. Lập hóa đơn xuyên biên giới là một trong những trường hợp sử dụng mã QR tiền điện tử mạnh mẽ nhất: một nhà cung cấp SaaS ở Tallinn gửi URL hóa đơn qua email cho khách hàng ở Lagos, khách hàng quét, thanh toán bằng USDT-TRC20, và nhà cung cấp nhận được tiền trong vài phút với mức phí 0,5%. Quyên góp cũng dễ dàng: một tổ chức phi lợi nhuận dán mã QR BIP21 tĩnh lên tờ rơi, người tạo nội dung đặt tiện ích Plisio bên dưới luồng Twitch của họ. Chuyển khoản ngang hàng sử dụng mã QR UPI ở Ấn Độ và mã QR Pix Key (CPF, số điện thoại, email) ở Brazil để chia hóa đơn nhà hàng.

Bảo mật và chống gian lận: những điều mà các nhà buôn cần biết

Mối đe dọa lớn nhất không phải là vấn đề kỹ thuật. Đó là những kẻ lừa đảo in một nhãn dán có chứa URL giả mạo bên trong mã QR và dán đè lên mã QR hợp lệ. Cảnh sát Redondo Beach đã phát hiện khoảng 150 nhãn dán mã QR giả trên các máy thu phí đỗ xe của thành phố vào năm 2024, và mô hình này lặp lại ở Austin, Atlanta, San Antonio và một số thành phố ven biển thuộc khu vực Los Angeles. Các nhà hàng, trạm sạc xe điện và thực đơn trên TV trong phòng khách sạn đều báo cáo về cùng một hình thức lừa đảo này.

Tấn công lừa đảo bằng mã QR cũng đang phát triển nhanh chóng trên không gian mạng. Bản cập nhật năm 2026 của Keepnet cho thấy khoảng 12% tổng số email lừa đảo có chứa mã QR vào năm 2025. Số lượng email lừa đảo bằng mã QR đã tăng từ khoảng 47.000 vào tháng 8 năm 2025 lên 249.000 vào tháng 11. Tăng gấp năm lần chỉ trong ba tháng. Khoảng 90% các cuộc tấn công đó nhằm mục đích đánh cắp thông tin đăng nhập. Các giám đốc điều hành có nguy cơ trở thành mục tiêu cao gấp khoảng 40 lần so với nhân viên cấp dưới. Chỉ khoảng 36% các nỗ lực lừa đảo bằng mã QR bị người dùng hoặc bộ lọc phát hiện. IC3 của FBI đã đưa ra cảnh báo FLASH năm 2026 về nhóm Kimsuky của Triều Tiên, nhóm này đã nhúng các mã QR độc hại vào email lừa đảo có chủ đích. Số lượng khiếu nại về lừa đảo được báo cáo cho IC3 đạt 300.487 vào năm 2024, gấp khoảng mười lần so với năm 2018.

Các biện pháp phòng vệ rất đơn giản và ít được sử dụng. Hãy sử dụng mã QR động cho mọi giao dịch thanh toán thương mại để mã có thể bị thu hồi. Xác minh bản xem trước URL trước khi nhấn xác nhận — mọi ví điện tử uy tín đều hiển thị đích đến. Luôn sử dụng HTTPS, tránh chuyển hướng chuỗi và ký dữ liệu bằng trường EMVCo MPM MAC khi cần thiết. Đối với tiền điện tử, địa chỉ kèm số tiền trong URI sẽ ngăn chặn lỗi sai số tiền. Rủi ro còn lại là sự không khớp chuỗi: khách hàng quét URI USDC và gửi USDC trên chuỗi sai. Các ví như Trust Wallet và MetaMask hiện đã cảnh báo về điều này, nhưng người bán vẫn nên tránh trộn lẫn các định danh chuỗi trong một mã QR.

Lợi ích của mã QR thanh toán đối với người bán

Lợi ích của thanh toán bằng mã QR được chứng minh rõ ràng trên bốn khía cạnh. Chi phí: không cần phần cứng chuyên dụng, chỉ cần máy in hoặc màn hình, đó là lý do tại sao các doanh nghiệp có lợi nhuận thấp thường áp dụng thanh toán không tiếp xúc qua mã QR trước khi cân nhắc sử dụng thiết bị đầu cuối thẻ. Tốc độ: PIX và UPI được xử lý trong vòng chưa đầy năm giây, và thanh toán kỹ thuật số qua mã QR thường nhanh hơn so với việc quẹt thẻ. Phạm vi địa lý: QR hoạt động ở bất cứ nơi nào điện thoại thông minh có kết nối internet, hiện nay phạm vi phủ sóng rộng hơn trên toàn thế giới so với mạng lưới chấp nhận thẻ. Tính linh hoạt: một mã QR duy nhất có thể dẫn đến PIX, UPI, mã QR của mạng Visa hoặc URI stablecoin, hỗ trợ nhiều phương thức thanh toán thông qua một mã duy nhất, tùy thuộc vào những gì ví của khách hàng hỗ trợ. Luồng thanh toán an toàn được hưởng lợi từ xác thực sinh trắc học được tích hợp trong ví.

Lựa chọn giải pháp thanh toán QR

Sáu câu hỏi. Hãy trả lời chúng theo thứ tự trước khi chọn giải pháp mã QR.

Một: Khách hàng của bạn thực sự sử dụng phương thức thanh toán nào? PIX, UPI, Visa QR, Alipay, tiền điện tử. Hai: Tĩnh hay động, và bạn có cân nhắc đến sự đánh đổi về bảo mật nếu chọn tĩnh không? Ba: Tổng phí là bao nhiêu, bao gồm phí mạng, phí xử lý và phí ngoại hối, chứ không chỉ là phần trăm phí hiển thị? Bốn: Loại tiền tệ thanh toán. Tiền pháp định sang ngân hàng, stablecoin sang ví, hay kết hợp? Năm: Xử lý hoàn tiền trên một hệ thống không thể đảo ngược. Giải pháp thanh toán có thực hiện việc này cho bạn không, hay bạn phải tự quản lý? Sáu: Tích hợp. Shopify, WooCommerce, Magento, REST API, chợ plugin.

Điều tôi luôn quay lại là không có câu trả lời chung cho tất cả mọi trường hợp. Đối với mã QR tiền điện tử, các lựa chọn khả thi vào năm 2026 bao gồm Plisio (0,5%, không lưu ký, không yêu cầu KYC tiêu chuẩn), BitPay (1%, yêu cầu KYC cao), CoinGate (1%, tùy chọn thanh toán bằng tiền pháp định), NOWPayments (0,5% với tùy chọn lưu ký), BTCPay Server (miễn phí, tự lưu trữ, yêu cầu kỹ thuật vận hành) và OpenNode (chuyên về Bitcoin/Lightning). Đối với các hệ thống thanh toán tức thời bằng tiền pháp định, sự lựa chọn phụ thuộc vào từng quốc gia. Các trung gian PIX ở Brazil. Các ứng dụng được cấp phép NPCI ở Ấn Độ. Ví điện tử của các tập đoàn công nghệ lớn ở Trung Quốc. Sự kết hợp phù hợp phụ thuộc vào việc hai trong số sáu câu hỏi đó có tầm quan trọng lớn nhất đối với doanh nghiệp của bạn.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.