Od 1. mája 2026 platí na Slovensku povinnosť umožniť zákazníkovi bezhotovostnú platbu pri každej transakcii nad 1 euro. Zákon o evidencii tržieb otvára dvere kartovým platbám, bankovým prevodom, ale aj QR kódom ako plnohodnotnému spôsobu platby. Práve QR kódy sa v súvislosti s novou legislatívou čoraz častejšie objavujú v prevádzkach, reštauráciách, parkovacích automatoch a na stánkoch naprieč celým Slovenskom. S týmto “novým” spôsobom platby však prichádza aj riziko.
Nová legislatíva
Zákon o evidencii tržieb, účinný od 1. januára 2026, zaviedol povinnosť každého podnikateľa, ktorý eviduje tržby v eKase, umožniť bezhotovostnú platbu pri tržbe nad 1 euro. Povinnosť akceptovať tieto platby nadobudla platnosť od 1. mája 2026, pričom predajca si sám môže vybrať konkrétnu formu, ako legislatívnu požiadavku splní. Môže to byť platobný terminál, bankový prevod alebo QR kód. Pochopiteľne, za nesplnenie povinnosti hrozí celkom mastná pokuta
Pre menších podnikateľov bez terminálu je práve QR kód skvelým riešením, pretože je lacné a pomerne jednoduché. Stačí vytlačiť papier s kódom, zákazník naskenuje a zaplatí prevodom. Tento model však má aj svoje slabé miesta. QR kódy bývajú terčom podvodníkov častejšie, než by ste si mysleli. Operujú potichu, bez povšimnutia, pričom obeť ani často nevie, že sa stala obeťou, teda až kým si nenájde prázdny bankový účet.
Quishing: krádež namiesto platenia
Quishing je spojenie slov „QR kód“ a „phishing“. Ide o podvod, pri ktorom útočník vymení legitímny QR kód za vlastný, teda falošný. Po naskenovaní vás presmeruje na podvodnú stránku, ktorá vyzerá de facto rovnako ako platobná brána banky alebo obchodu, no v skutočnosti kradne vaše platobné údaje, prihlasovacie údaje do internet bankingu, alebo prevedie platbu priamo útočníkovi.
MIRRI pritom len v apríli upozornilo na novú vlnu quishingových útokov, ktoré sa začali šíriť v Bratislave. Objavili sa tu falošné nálepky na autách a letáky vo verejných priestoroch s QR kódmi, ktoré sa tvárili sa ako platobné pokyny od bánk alebo štátnych inštitúcií. Polícia SR ešte začiatkom roka vydala varovanie, že falošné QR kódy „zaplavili Slovensko“ a šíria sa najmä e-mailom, kde správy imitujú komunikáciu bánk a vyzývajú adresátov na „overenie účtu“ alebo „potvrdenie transakcie“.
Pri klasickom phishingovom e-maile vidíte aspoň URL adresu odkazu. Skúsenejší používateľ si všimne, že adresa nevyzerá správne (znaky či čísla navyše, neznáme koncovky). Pri QR kóde URL nevidíte vopred. Kód je totiž pre ľudské oko v podstate nečitateľný. Nevieme ho dekódovať pohľadom a nevieme odlíšiť originál od falzifikátu.
Problém sa ešte násobí pri skenovaní mobilom. URL adresa sa na menšej obrazovke zobrazuje len čiastočne alebo ju telefón pred presmerovaním vôbec nezobrazí.
Najčastejšie techniky
Ako sme už spomenuli, quishing funguje na pomerne jednotnom princípe, no spôsobov realizácie je doslova kopa. Tu sú tie najčastejšie:
- Prelepenie QR kódu na parkovacom automate: Útočník prelepí pôvodný kód vlastnou nálepkou, zákazník zaplatí, peniaze idú útočníkovi. Tento scenár sa opakuje takmer všade.
- Falošné zľavy a akcie: Letáky alebo e-maily s QR kódom, ktoré sľubujú veľkú zľavu. Po naskenovaní stránka žiada platobné údaje, zľava ale nikdy nepríde.
- Falošné vstupenky a lístky: QR kód sa tvári ako nákup vstupenky na udalosť. Zákazník zaplatí, udalosť však neexistuje alebo lístok nie je platný.
- Quishing v e-mailoch od „bánk“: Podvodný e-mail s QR kódom na „overenie účtu“ vedie na falošnú stránku banky. MIRRI aj polícia SR varujú: slovenské banky takýmto spôsobom nekomunikujú.
- QR kódy v PDF prílohách: Útočník pošle e-mail s PDF dokumentom obsahujúcim QR kód. Príloha prejde antivírusovými filtrami, ktoré skenujú súbory, nie vizuálny obsah.
- QR kódy za stieračom auta: Na auto vám niekto položí „upozornenie“ alebo „výzvu na zaplatenie pokuty“ s QR kódom. Tento “trik” sa na Slovensku šíri vo väčšej miere od začiatku roka.
Neprehliadnite
Ako sa chrániť?
Dobrou správou je, že ochrana pred quishingom nevyžaduje technické znalosti, len zmenu návykov.
Pred skenovaním skontrolujte fyzický stav kódu. Ak je na automate nálepka viditeľne prelepená ďalšou nálepkou, radšej nič neskenujte. Dôveryhodný QR kód je vytlačený priamo na zariadení, nie dodatočne nalepený.
Po naskenovaní vždy skontrolujte URL adresu (pred zadaním akýchkoľvek údajov). Falošné stránky často mávajú adresy ako „slovenska-banka.sk.payments-verify.com“, legitímna banka má krátku a jednoduchú doménu.)
Neplaťte cez QR kódy z e-mailov od neznámych subjektov. Banky ani štátne inštitúcie nevkladajú QR kódy do e-mailov ako výzvu na platbu. Ide o okamžitý varovný signál.
Používajte aplikáciu na skenovanie, ktorá zobrazuje URL pred otvorením. Natívna aplikácia fotoaparátu na to často nestačí.
A napokon, ak si nie ste istí pôvodom QR kódu v prevádzke alebo reštaurácii, opýtajte sa priamo obsluhy. Poctivý podnikateľ vie potvrdiť, kde je ten správny QR kód a na čo presne slúži.
