Quanto tempo demora para o limite da pré-autorização voltar ao cartão?

Depende do banco emissor e da rapidez com que o lojista envia o comando de captura ou cancelamento. Após o lojista enviar a instrução, grandes bancos como Itaú e Nubank costumam liberar o limite em poucas horas. No entanto, se o lojista não enviar o comando de cancelamento, o bloqueio cairá automaticamente após o prazo estipulado pela bandeira, que varia de 7 a 30 dias.

Posso fazer pré-autorização útilizando cartão de débito?

Tecnicamente sim, algumas adquirentes suportam, mas a prática é altamente desencorajada pelo mercado. Diferente do cartão de crédito, onde bloqueamos um limite virtual, a pré-autorização no débito congela o dinheiro real na conta corrente do cliente. Isso causa transtornos gigantescos e pode deixar o usuário sem fundos para despesas básicas até o desbloqueio.

O que acontece se o valor final do consumo for maior que a pré-autorização?

O lojista não pode capturar um valor superior ao que foi autorizado inicialmente usando o mesmo AuthCode. Nesse cenário, o estabelecimento deve fazer a captura total do valor bloqueado e realizar uma nova transação (passar o cartão novamente) para cobrar a diferença excedente.

Qual a diferença entre uma pré-autorização e uma compra parcelada?

A compra parcelada compromete o limite do cartão imediatamente e os valores são lançados definitivamente nas faturas futuras. A pré-autorização apenas reserva o limite temporariamente, sem gerar cobrança na fatura. O cliente não paga nada até que a captura seja efetivada.

Pré-autorização e Captura: Como Gateways Garantem o Caixa de Hotéis e Locadoras

Você entrega as chaves do carro alugado no balcão da Localiza no aeroporto de Congonhas. A atendente sorri, confere o tanque cheio e diz que está tudo certo. No seu aplicativo do Nubank, aquele bloqueio de R$ 2.000, que estava pendente desde a retirada, desaparece misteriosamente horas depois. Apenas o valor exato das diárias é efetivamente cobrado na fatura. Mágica? Não. Apenas o funcionamento impecável da dupla pré-autorização e captura rodando nos bastidores do sistema financeiro.

Nós cobrimos a evolução da infraestrutura de pagamentos no Brasil há quase duas décadas. Vimos o mercado sair das antigas máquinas de decupagem em papel carbono para APIs ultrarrápidas que processam milhares de transações por segundo. Para o varejo tradicional, a lógica é simples: você escolhe um tênis de R$ 500, passa o cartão, a compra é autorizada e capturada no mesmo milissegundo. Chamamos isso de transação 'Single Message'.

Mas se você opera um hotel de luxo, uma locadora de veículos ou até mesmo um aplicativo de mobilidade como a Uber, a realidade é brutalmente diferente. Você não sabe quanto o cliente vai gastar no frigobar. Você não sabe se ele vai rasgar o estofado do carro ou tomar uma multa na Dutra. Existe uma assimetria de risco colossal no momento do check-in. É exatamente para resolver essa incerteza que a indústria de cartões desenhou o fluxo de 'Dual Message', separando a autorização (hold) da captura (settlement).

A engenharia por trás da incerteza

Para entender o peso dessa operação, precisamos olhar para os números. Uma rede hoteleira de médio porte no Brasil, como a Atlantica Hotels ou a Accor, movimenta milhões de reais mensalmente apenas em depósitos de garantia. Se eles cobrassem esse valor antecipadamente como uma venda normal, teriam que lidar com uma avalanche de estornos manuais no check-out. Isso geraria custos operacionais absurdos e taxas de processamento (MDR) cobradas à toa pelas adquirentes.

A pré-autorização resolve isso. Quando o recepcionista insere o cartão na maquininha da Stone ou da Cielo, o gateway envia um comando específico para o banco emissor (Itaú, Bradesco, etc.). A mensagem técnica diz, básicamente: 'Este cliente é bom para R$ 1.500? Se sim, congele esse valor, mas não cobre ainda'.

O banco emissor responde afirmativamente, reduzindo o limite disponível do portador, mas a transação não vai para a fatura fechada. Ela fica num limbo técnico conhecido como 'pending' ou 'hold'. A empresa garantiu seu colchão de liquidez para cobrir eventuais danos. O cliente não desembolsou dinheiro real.

O fluxo técnico: Authorization, Capture e Void

Na nossa análise das integrações de grandes players como Adyen, Stripe e Pagar.me, o fluxo de desenvolvimento para hospitalidade e mobilidade exige um tratamento de estado rigoroso nos servidores dos lojistas. Vamos quebrar esse motor em três peças fundamentais.

Passo 1: A Pré-autorização (Authorization)

Tudo começa com a chamada de API. O sistema de gestão do hotel (PMS) ou da locadora (ERP) aciona o gateway. O detalhe crítico aqui é o parâmetro de captura. O lojista envia o payload com a flag capture: false. Isso avisa a bandeira (Visa, Mastercard) que se trata de uma reserva de fundos.

Nesse momento, o gateway repassa a requisição para a adquirente (Rede, Getnet), que consulta a bandeira, que por sua vez aciona o banco emissor. Se o cartão tiver limite, o emissor devolve um código de autorização único (AuthCode). Esse código é o recibo dourado da operação. O lojista deve guardá-lo a sete chaves em seu banco de dados, pois precisará dele dias depois.

Passo 2: A Captura (Capture)

Chega o momento do check-out. O hóspede devolve o quarto. Consumiu R$ 300 do frigobar e a diária custou R$ 700. O total devido é R$ 1.000. Lembra daqueles R$ 1.500 bloqueados? O sistema do hotel agora faz uma nova chamada de API ao gateway, referênciando o AuthCode original, mas enviando o comando de captura com o valor exato de R$ 1.000.

O gateway avisa o banco emissor: 'Pode liquidar a transação, mas apenas R$ 1.000'. A mágica acontece aqui. O emissor debita os R$ 1.000 na fatura do cliente de forma definitiva e programa a liberação automática dos R$ 500 restantes.

Passo 3: O Cancelamento (Void / Release)

E se o cliente pagou as diárias antecipadamente via Pix e não consumiu nada no frigobar? O hotel precisa liberar o limite intacto. O sistema aciona a API com um comando de Void ou Release. O gateway instrui o emissor a derrubar o bloqueio imediatamente.

O grande gargalo operacional do mercado brasileiro mora exatamente neste ponto. Muitos bancos emissores demoram para processar o comando de Void, deixando o limite do cliente preso por dias. Isso gera reclamações ferozes no Reclame Aqui e avaliações negativas no TripAdvisor.

Prazos, MCCs e as regras implacáveis das bandeiras

Você não pode simplesmente segurar o limite de um cliente para sempre. Visa e Mastercard possuem Service Level Agreements (SLAs) rigorosos sobre quanto tempo uma pré-autorização pode ficar aberta. E essas regras variam de acordo com o seu Merchant Category Code (MCC).

Se você opera um e-commerce comum (MCC genérico), uma pré-autorização costuma expirar em 7 dias. Se você não capturar nesse prazo, o emissor derruba o bloqueio automaticamente. Você perdeu a garantia.

Já os setores de mobilidade e hospitalidade possuem privilégios. Locadoras de veículos (MCC 7512) e hotéis (MCC 7011) geralmente desfrutam de prazos estendidos, que podem chegar a 30 dias de retenção. Essa janela maior é vital, considerando que aluguéis de carros e estadias podem durar semanas.

Nós monitoramos de perto como o Banco Central e a ABECS (Associação Brasileira das Empresas de Cartões de Crédito) tratam o tema. Os emissores são obrigados a liberar o saldo não capturado assim que recebem a instrução de liquidação parcial. Na prática, a comúnicação entre os sistemas legados de alguns bancos ainda patina, resultando no famigerado 'limite preso'.

A barreira contra fraudes amigáveis e chargebacks

Por que locadoras como a Movida ou a Unidas não aceitam simplesmente um pagamento em dinheiro como caução? A resposta está na segurança jurídica e financeira. A pré-autorização em cartão de crédito amarra a identidade do portador ao risco da operação.

Quando um cliente destrói um carro alugado e foge, a locadora tem o AuthCode da pré-autorização. Ela pode capturar o valor do reparo (até o limite bloqueado) sem precisar da senha do cliente novamente. A transação já foi autenticada no momento do check-in (geralmente com leitura de chip e senha ou tokenização 3DS).

Isso blinda a empresa contra o chamado 'Chargeback de Fraude Amigável', onde o cliente liga para o banco alegando que não reconhece a compra. Como a pré-autorização inicial foi feita presencialmente com senha (ou via e-commerce com autenticação forte), o risco de contestação despenca.

Otimizando a experiência do cliente (UX)

Se você gerencia pagamentos de uma empresa desses setores, preste atenção aqui. A forma como você lida com o bloqueio de limite define se o seu cliente vai virar um promotor ou um detrator da sua marca.

Implementamos e analisamos dezenas de fluxos. Os melhores players do mercado adotam práticas claras:

Transparência extrema: Avisam o cliente via WhatsApp no exato momento do bloqueio, explicando que não é uma cobrança.
Captura parcial imediata: No segundo em que o cliente devolve o carro, o sistema roda a captura parcial via API, sem depender de lote noturno.
Autorizações Incrementais: Se o hóspede decide ficar mais três dias no hotel, o sistema não cancela a pré-autorização original para fazer outra. Ele faz uma chamada de 'Incremental Auth', adicionando valor ao bloqueio existente, mantendo a prioridade do limite.

O elefante na sala: Pix Garantido e o futuro das cauções

O mercado hoje opera majoritariamente sobre trilhos de cartão de crédito. Mas o Brasil tem um motor de inovação particular chamado Banco Central. O desenvolvimento do Pix Garantido ameaça mudar completamente o jogo das cauções até 2026.

A promessa técnica é permitir que o usuário bloqueie um saldo em sua conta corrente ou útilize um limite de crédito atrelado ao Pix, operando exatamente com a mesma lógica de hold e capture, mas com liquidação instantânea e sem pagar o pedágio do MDR das bandeiras americanas.

Enquanto essa infraestrutura não atinge maturidade, dominar as APIs de pré-autorização e captura segue sendo a única linha de defesa entre o lucro operacional de um hotel e um rombo financeiro causado por clientes inadimplentes. A tecnologia já está na mesa. A diferença entre um balanço positivo e um pesadelo de chargebacks está apenas em como o seu time de engenharia configura um simples parâmetro booleano de capture: false.