Os menus com QR codes nos restaurantes são práticos, baratos e higiénicos. E é precisamente por isso que se tornaram um alvo perfeito. A técnica é tão simples que assusta: alguém imprime um autocolante com um QR muito parecido ao do restaurante, cola por cima do original e redireciona para um site “gémeo” que pede o que um menu nunca pede. Ou seja, login, dados pessoais ou até cartão para “ver a ementa completa”, “reservar mesa” ou pagar uma suposta “taxa de serviço”. Em minutos, tens dados capturados, cartões cobrados e um jantar com final amargo.

Como funciona o esquema dos QR Codes nos restaurantes

Imagina uma esplanada com 20 mesas e um porta-menus acrílico. Um burlão precisa de 30 segundos por mesa para colar o autocolante novo. O site para onde o QR aponta é construído com um template barato: tem as mesmas fotos do Instagram do restaurante, o mesmo logótipo descarregado, um URL que, à primeira vista, parece legítimo. Lá dentro, pede “login com email” para “guardar preferências” ou mostra um botão de “pagar couvert online”. Tudo falso e é impressionante como, num jantar com amigos, ninguém desconfia.

Os 3 sinais que denunciam o QR falso

Não precisas de ser perito para te proteger. Assim procura três pistas antes de apontar a câmara:

Autocolante por cima do original. O QR está ligeiramente torto, com cola a sair nas pontas, margens irregulares ou papel diferente do resto do porta-menus? Sinal forte de troca.

Domínio estranho na barra do browser. Menus verdadeiros vivem em domínios com o nome do restaurante (ex.: casadoazeite.pt/menu). Desconfia de URLs longos, com números, subdomínios gratuitos (restaurantexyz.wixsite.com/menu) ou domínios que nada têm a ver com o nome.

Pedidos que um menu nunca faz. Se pedem NIF, email, palavra-passe ou dados de cartão para “ver o PDF” ou “reservar acesso ao menu”, fecha já. Um menu mostra informação, não pede nada.

A verificação em 30 segundos (sem estragar o jantar)

Aponta a câmara, abre a página e olha logo para a barra de endereço. Se o domínio te soa a improviso, não interajas. Procura um link de contacto com morada e número fixo; confere se bate com o que está na montra ou no Google Maps. Em caso de dúvida, pede o menu físico e não é vergonha nenhuma dizer ao staff: “Olhe, este QR parece estar colado por cima, podem confirmar?” Mitiga o risco para ti e para a mesa seguinte.

“Caí no link”. O que fazer agora

Se já inseriste dados num site suspeito, o tempo é tudo. Para cartões, bloqueia temporariamente na app do banco e pede substituição se viste movimentos. Abre contestação nesse dia. Quanto mais cedo, melhor. Para palavras-passe, muda de imediato nas contas onde repetiste a mesma (email primeiro, depois redes e tudo o resto). Ativa alertas de login e transações. Se forneceste NIF, morada ou telefone, fica atento a phishing subsequente (SMS e chamadas “do banco”) e considera um filtro anti-spam mais agressivo pelo menos nas semanas seguintes.

Restaurantes: como blindar o vosso QR sem matar a experiência

Entretanto esta parte interessa a quem está do outro lado da mesa. A solução não é “acabar com o QR”, é torná-lo difícil de falsificar. Três medidas com impacto:

Integração física: em vez de um autocolante solto, grava o QR no próprio acrílico do porta-menus ou imprime diretamente no cartão plastificado.

Selo visível: um holograma, micro-texto ou assinatura gráfica ao lado do QR desincentiva trocas. Quem cola por cima não consegue imitar isso.

Por exemplo, o Forno de Carnaxide, criou um QR Code personalizado para tornar mais difícil este tipo de esquemas.

Mensagem clara: uma linha no topo, “Nunca pedimos cartão ou login para ver a ementa”, educa clientes e afasta tentativas.

Entretanto atualiza também o site oficial para que o menu esteja num caminho lógico (/menu, /ementa), fácil de reconhecer. E, se possível, coloca um atalho no Google Business que leve ao mesmo ficheiro é outra forma rápida de validação para quem desconfia.

Sinais de segurança que inspiram confiança

Entretanto quando o QR é legítimo, há pequenas coisas que passam a sensação certa: cadeado HTTPS ativo, domínio curto e profissional, link visível para a página inicial do restaurante e para as redes oficiais. Nada de pop-ups intrusivos, formulários obrigatórios para ver o menu ou pedidos de dados sem contexto. Um bom menu digital abre, mostra, fecha.

O lado psicológico: porque é que tanta gente cai

O QR “pede” automatismo: abrimos, tocamos, seguimos. À mesa, distraídos pela conversa, não paramos 3 segundos para olhar para o URL. Os burlões exploram isso. Ou seja, urgência (“taxa de serviço válida por 10 minutos”), escassez (“últimos lugares”), autoridade (logos e fotos reais). Entretanto a tua melhor defesa é desacelerar: olhar para o endereço, procurar um contacto, pedir o menu físico. É simples e funciona.