· 7 min

Generatoarele de QR Te Urmăresc? Cum să Verifici în 30 de Secunde

Ce date pot colecta generatoarele de coduri QR, cum să verifici dacă al tău procesează în browser și cum să alegi unul cu adevărat privat și fără trackere.

Generatoarele de QR Te Urmăresc? Cum să Verifici în 30 de Secunde

Crearea unui cod QR pare inofensivă: completezi un formular, primești o imagine. Ce nu vezi este ce se întâmplă cu datele pe care le-ai introdus — dacă rămân în browserul tău sau călătoresc spre serverul furnizorului.

Pentru WiFi, vCard, plăți și orice date personale, această diferență contează.

Răspuns rapid

  • Generatoarele online de QR pot urmări două lucruri distincte: datele pe care le introduci (parolă, contact, URL) și cine scanează QR-ul ulterior.
  • Urmărirea datelor introduse depinde de dacă generarea este server-side (datele călătoresc la un server) sau client-side (totul se întâmplă în browserul tău).
  • Urmărirea scanărilor este posibilă doar cu QR-uri dinamice: QR-ul pointează spre un URL al furnizorului care înregistrează fiecare vizită.
  • Poți verifica în 30 de secunde cu DevTools al browserului (tab-ul Rețea) în timp ce generezi QR-ul.
  • Dacă introduci date sensibile (WiFi, vCard, plăți), folosește generatoare client-side, fără înregistrare, de preferință open source.

Ce tipuri de tracking există într-un generator QR

Trei straturi distincte:

1. Tracking-ul datelor pe care le introduci

Când completezi formularul (SSID, parolă, contact, URL), acea informație poate:

  • Rămâne în browserul tău și să nu fie trimisă nicăieri (generare client-side).
  • Călători spre serverul furnizorului pentru a construi imaginea și a o returna (generare server-side). Poate sta apoi în loguri, analitica sau baze de date.

Cele mai multe generatoare online sunt server-side în mod implicit, deoarece aceasta este implementarea cea mai ușoară. Nu înseamnă că furnizorul este malițios, dar înseamnă că datele tale trec prin infrastructura lor.

2. Tracking-ul utilizatorului care generează QR-ul

Ca orice site web, generatorul poate avea:

  • Analitica (Google Analytics, Plausible, Matomo etc.).
  • Cookie-uri terțe și pixeli de publicitate (Meta, TikTok, Google Ads).
  • Fingerprinting de browser pentru a te identifica fără cookie-uri.
  • Cont obligatoriu care leagă fiecare QR generat de identitatea ta.

Aceasta este independentă de generarea QR-ului în sine, dar face parte din pachet.

3. Tracking-ul cine scanează QR-ul

Se aplică doar la QR-urile dinamice: codul pointează spre un URL scurt al furnizorului (qr.xx/abc123) care redirecționează spre destinația reală. Fiecare redirecționare este înregistrată cu:

  • Ora exactă a scanării.
  • IP-ul utilizatorului (deci locația aproximativă).
  • Tipul de dispozitiv, OS, browser.
  • Referer dacă există.

Într-un QR dinamic, tracking-ul scanărilor nu este accidental — este rațiunea de existență a produsului.

Cum să detectezi dacă generatorul tău te urmărește (fără programare)

Trei minute cu orice browser modern:

  1. Deschide generatorul pe care plănuiești să îl folosești.
  2. Apasă F12 (sau click dreapta → Inspectează) și mergi la tab-ul Rețea.
  3. Apasă butonul roșu de înregistrare / menține tab-ul deschis și curăță-l (butonul ⌀).
  4. Completează formularul QR cu orice date și apasă „generează".
  5. Uită-te la cererile care apar în listă.

Ce să cauți:

  • Dacă nu apar cereri noi în timpul generării: QR-ul este construit 100% în browserul tău. Client-side. ✅
  • Dacă apare o cerere POST la un URL al furnizorului chiar când apeși generate, cu câmpurile tale (SSID, parolă etc.) în payload: datele tale călătoresc la server. Server-side. ❌ pentru date sensibile
  • Dacă răspunsul este imaginea QR (PNG sau SVG) generată de backend: aceasta confirmă că serverul construiește codul.

Verifică și dacă pagina încarcă Google Analytics, Meta Pixel sau alte scripturi de tracking (vei vedea cereri la google-analytics.com, googletagmanager.com, connect.facebook.net etc.).

Semnale de alarmă evidente

Fără DevTools, câțiva indicatori rapizi:

  • Necesită înregistrare sau cont pentru a genera un QR de bază.
  • Au un plan „PRO" cu tracking detaliat al scanărilor: dacă acesta este modelul lor de afaceri, tracking-ul este în ADN-ul produsului.
  • QR-ul descărcat conține URL-ul lor în loc de al tău (qr.xx/abc123 în loc de domeniultau.com): este un QR dinamic, urmărit automat.
  • Politica de confidențialitate menționează partajarea datelor cu terți, parteneri de marketing sau utilizare publicitară.
  • Nu publică codul sursă și instrumentul este gratuit fără un model de afaceri clar: cineva plătește pentru el, de obicei cu datele tale.

Cum să verifici că un generator este client-side

Listă de verificare rapidă:

  • Funcționează offline: deconectează WiFi-ul, reîncarcă pagina și încearcă să generezi. Dacă funcționează, este client-side. Dacă nu poate încărca sau nu te lasă să generezi, depinde de server.
  • Nicio cerere de rețea la generare (verificabil cu DevTools cum am descris).
  • Niciun cont necesar, niciun email.
  • Codul sursă este inspectabil (open source sau JavaScript nemangluit).
  • Destinația QR-ului este exact ceea ce tastezi, nu un URL scurt al furnizorului.

Dacă toate cinci se confirmă, generatorul nu te poate urmări pe tine sau pe cel care scanează codul.

De ce contează mai mult pentru WiFi, vCard și plăți

Pentru un URL public (site-ul afacerii tale, un PDF public), generatorul care „vede" URL-ul tău nu adaugă niciun risc: oricum urma să fie public.

Dar există trei tipuri de QR unde tracking-ul este critic:

  • WiFi: parola rețelei tale. Dacă ajunge pe serverul furnizorului, este în afara controlului tău.
  • vCard: telefon personal, email, adresă. Date personale acoperite de GDPR, aplicat în România de ANSPDCP.
  • Plăți / Bitcoin: portofel, IBAN, date bancare. Cel mai înalt nivel de sensibilitate.

Pentru aceste cazuri, folosirea unui generator client-side nu este paranoie — este igienă de bază.

Open source vs proprietar

Faptul că un generator este open source nu garantează în sine mai multă confidențialitate, dar îți permite să:

  • Auditezi codul și să verifici că nu există tracking ascuns.
  • Confirmi logica client-side fără a lua cuvântul furnizorului.
  • Îl găzduiești singur dacă vrei control total.

Un generator proprietar poate fi la fel de privat, dar necesită să ai încredere în ce afirmă furnizorul. Fără cod auditabil, nu există nicio modalitate de verificare.

În practică: open source + fără cont + fără rețea în timpul generării = cel mai înalt standard rezonabil de confidențialitate.

Concluzie

Aproape fiecare generator online de QR procesează datele tale pe serverul său. Asta e în regulă pentru un URL public, dar riscant pentru WiFi, vCard sau plăți. Pentru a verifica în 30 de secunde, deschide DevTools, mergi la Rețea și verifică dacă browserul tău trimite cereri când generezi QR-ul. Dacă nu trimite, este client-side și conținutul nu îți părăsește niciodată dispozitivul.

QRcito generează fiecare QR complet în browserul tău, fără cont, fără rețea în timpul generării și fără trackere terțe. Poți verifica deschizând DevTools înainte de a apăsa generate.

Întrebări frecvente

Ce înseamnă „client-side" la un generator QR? Înseamnă că JavaScript-ul care construiește imaginea QR rulează în browserul tău. Datele pe care le introduci nu sunt niciodată trimise vreunui server. Generarea este locală, instantanee și capabilă să funcționeze offline.

Este legal pentru un generator QR să stocheze datele mele? Dacă politica lor de confidențialitate o declară și tu o accepți, da. Problema este că multe politici sunt vagi sau nu acoperă datele specifice QR. Dacă ești în dubiu, presupune că stochează ceva și alege alt instrument dacă datele tale sunt sensibile.

Poate un QR static să urmărească cine îl scanează? Nu. Un QR static nu trece prin niciun server: informațiile merg direct de la cod la cititor. Doar QR-urile dinamice (cu un URL de redirecționare intermediar) pot urmări scanările.

Cum se aplică GDPR la generatoarele QR? Dacă introduci date personale (nume, email, telefon într-un vCard) într-un instrument server-side bazat în UE sau care servește utilizatori europeni, furnizorul este responsabil pentru prelucrare conform GDPR. Organismul de supraveghere în România este ANSPDCP. Pentru a minimiza riscul, calea simplă este folosirea generatoarelor client-side.

De ce QRcito poate oferi totul gratuit fără tracking? Deoarece generarea codurilor QR este un proces ușor care nu necesită infrastructură costisitoare. Faptul că este client-side înseamnă niciun cost de server per utilizator; fără tracking sau conturi, nu există niciun produs de vânzat. Site-ul rulează la cost foarte scăzut, fără nevoie de a monetiza utilizatorii.

← Înapoi la blog