¿Qué es una Preautorización?

¿Qué es una Preautorización?

La preautorización (también llamada pre-auth o retención de autorización) es una retención temporal aplicada sobre la tarjeta del cliente por un importe estimado de la transacción antes de que se confirme el cargo final. Verifica que la tarjeta es válida y que hay fondos o crédito suficientes, sin completar realmente el pago.

Te encuentras con preautorizaciones a menudo, aunque no reconozcas el término. Cuando haces el check-in en un hotel y «toman tus datos de tarjeta para extras», eso es una pre-auth. Cuando una gasolinera autoriza tu tarjeta antes de que pongas combustible, eso es una pre-auth. Cuando alquilas un coche y aparece una retención de depósito en tu extracto, eso es una pre-auth.

Cómo funciona la Preautorización

La mecánica de una preautorización es parecida a la de una autorización estándar, con una diferencia crucial: la transacción no se captura inmediatamente para liquidación.

• Solicitud de retención: el comercio envía una solicitud de preautorización al procesador de pagos por un importe estimado.
• El emisor aplica una retención: el banco del cliente reserva el importe preautorizado, reduciendo el saldo disponible en la tarjeta.
• Servicio prestado: el cliente usa el servicio (se aloja en el hotel, reposta combustible, completa el periodo de alquiler del coche, etc.).
• Se determina el importe final: una vez conocido el cargo real, el comercio captura la transacción por el importe final, que puede ser mayor, menor o igual a la pre-auth.
• Liquidación: el importe capturado final se liquida por el proceso de pago habitual.

Si el comercio no captura la preautorización dentro del plazo permitido, la retención caduca y los fondos se devuelven al saldo disponible del cliente.

Plazos de la Pre-Auth

Las retenciones de preautorización no duran indefinidamente. El plazo depende de la red de tarjetas, del código de categoría del comercio (MCC) y del banco emisor:

• Comercios estándar: las retenciones pre-auth suelen caducar a los 7 días si no se capturan.
• Hoteles: se permiten periodos de retención ampliados de hasta 31 días para cubrir toda la estancia del huésped.
• Alquiler de coches: periodos ampliados similares a los de los hoteles.
• Gasolineras: periodos de retención muy cortos, a menudo de solo unas horas.

Conviene tener en cuenta que, incluso después de que una pre-auth caduque del lado del comercio, la retención sobre la tarjeta del cliente puede tardar más en liberarse, según los sistemas del banco emisor.

Pre-Auth frente a autorización estándar

Una autorización estándar va seguida de una captura automática: el comercio tiene la intención de cobrar exactamente el importe autorizado, y la transacción avanza hasta la liquidación sin más intervención. Una preautorización separa deliberadamente los pasos de autorización y captura, dando al comercio flexibilidad para ajustar el importe final.

• Autorización estándar: autorizar 50 GBP, capturar 50 GBP, liquidar 50 GBP. Sencillo y automático.
• Preautorización: preautorizar 200 GBP, prestar el servicio, capturar 175 GBP (el coste real), liquidar 175 GBP. La diferencia de 25 GBP se libera de la retención.

Preautorización en pagos telefónicos

Las preautorizaciones son habituales en escenarios de pago telefónico, sobre todo en negocios de servicios donde el cargo final no se conoce en el momento de la reserva. Algunos ejemplos:

• Empresas de viajes: preautorizar un coste estimado del viaje en el momento de la reserva, capturando el importe final tras el viaje.
• Servicios de reparación: tomar una pre-auth por teléfono cuando se reserva un trabajo, capturando luego el coste real una vez completado el trabajo.
• Consultas médicas y dentales: preautorizar un coste estimado del tratamiento, ajustando el importe final según los procedimientos realmente realizados.
• Reservas de eventos: mantener una pre-auth como depósito, capturando el saldo más cerca de la fecha del evento.

En cualquiera de estos escenarios, la seguridad de la captura inicial de los datos de tarjeta es esencial. Si la pre-auth se toma por teléfono, se aplican los mismos requisitos de PCI DSS que a cualquier otro pago telefónico.

Comunicación con el cliente

Las preautorizaciones pueden generar confusión a los clientes. Ven un cargo «pendiente» en su cuenta que puede ser por un importe distinto al cargo final, o ven temporalmente tanto la retención pre-auth como el cargo final. Una comunicación clara es fundamental:

• Explica que aparecerá una retención temporal en su cuenta.
• Indica el importe de la retención y cuánto puede tardar en liberarse.
• Aclara que el cargo final puede diferir del importe de la retención.
• Facilita un número de contacto para cualquier consulta sobre la retención.

Importes de preautorización: acertar con la cifra

Fijar el importe correcto de preautorización requiere criterio. Demasiado bajo, y el comercio puede no tener cobertura suficiente para el cargo final, lo que potencialmente exigirá una segunda autorización o una transacción aparte. Demasiado alto, y el saldo disponible del cliente se reduce innecesariamente, lo que puede hacer que se rechacen otros pagos suyos o generar quejas.

Las normas del sector ayudan a orientar esta decisión. Los hoteles suelen preautorizar la tarifa de la habitación más un porcentaje para extras (a menudo entre el 10 % y el 15 %). Las empresas de alquiler de coches preautorizan el coste del alquiler más un depósito por franquicia. Las gasolineras suelen preautorizar un importe estándar (como 1 GBP o 100 GBP) antes de que el cliente reposte.

Para los negocios de servicios telefónicos, el importe de la pre-auth debe basarse en una estimación razonable del coste final. Si la estimación es incierta, es mejor comunicar claramente al cliente el importe de la retención y explicarle que el cargo final puede diferir.

Preautorización y seguridad sin presencia de tarjeta

Las preautorizaciones tomadas por teléfono tienen los mismos requisitos de seguridad que cualquier transacción sin presencia de tarjeta. Los datos de la tarjeta deben capturarse de forma segura, transmitirse por canales cifrados y no almacenarse nunca en sistemas desprotegidos. PCI DSS se aplica íntegramente a la captura de la pre-auth, independientemente de si el pago final se captura más tarde mediante un proceso distinto.

Esto es especialmente importante porque los escenarios de preautorización suelen implicar transacciones de mayor importe —estancias de hotel, alquiler de vehículos, depósitos de servicios— donde la exposición financiera ante una brecha de datos sería mayor. Las soluciones de pago telefónico seguras que evitan que los datos de tarjeta lleguen al entorno del agente son imprescindibles para los negocios que procesan preautorizaciones por teléfono con regularidad.