No puedes asegurar un código de barras estático contra las copias. No es posible.
Lo que debe proteger contra este tipo de ataque es que el cliente ingrese / escanee algo dinámico. Tiene que cambiarse cada vez que se usa; tiene que cambiar de una manera impredecible, para que los clientes deshonestos no puedan recuperar un valor y engañarlo; y el sistema de back-end debe negarse a aceptar múltiples escaneos del mismo código.
Una forma de hacerlo es mostrar el código QR en una tableta montada en el mostrador. Cada vez que un cliente lo escanea y su aplicación envía un mensaje al servidor, valida el código actual y luego cambia el código QR para mostrar un nuevo número aleatorio al siguiente cliente.
Esto necesita más seguridad, por supuesto. De alguna manera, debe limitar los registros de sus clientes para que no pueda escanear 10 códigos de barras seguidos en un minuto. Puede resolver esto mostrando solo un código QR después de que la caja registradora reciba el pago. O podría limitar el registro del cliente para ignorar múltiples exploraciones dentro de una ventana de 30 minutos.
Puede hacer que la caja registradora imprima códigos de barras únicos en los recibos, pero los ladrones recogerán los recibos descartados de la basura y los escanearán. Se necesita una lógica de back-end sofisticada para detectar este tipo de fraude.