Salta al contingut principal

Formularis d'autorització de targeta de crèdit: Una guia sobre la facturació recurrent, el compliment PCI i la defensa contra els contracàrrecs

· 15 minuts de lectura
Mike Thrift
Mike Thrift
Marketing Manager

Un client impugna un càrrec de 4.800 enunatargetaquehasestatfacturantcadamesdurantdosanys.Elbancetdoˊnadeudiesperdemostrarqueelcaˋrrecvaserautoritzat.Busquesalatevabuˊstiadentrada,alteuCRMienunaunitatcompartidainotrobesresmeˊsqueunacordverbaldungestordecomptesquevamarxarfatemps.Elcontracaˋrrec(chargeback)esmanteˊ.Elprocessadorrecuperaelsdiners,hiafegeixunacomissioˊde25en una targeta que has estat facturant cada mes durant dos anys. El banc et dóna deu dies per demostrar que el càrrec va ser autoritzat. Busques a la teva bústia d'entrada, al teu CRM i en una unitat compartida — i no trobes res més que un acord verbal d'un gestor de comptes que va marxar fa temps. El contracàrrec (chargeback) es manté. El processador recupera els diners, hi afegeix una comissió de 25 i t'apropa al llindar d'alt risc que duplica les teves tarifes de processament.

Aquest és exactament l'escenari que un formulari d'autorització de targeta de crèdit està dissenyat per prevenir. És un document petit, gairebé rutinari, que realitza silenciosament part de la feina més important en la teva estructura de facturació: capta el consentiment, serveix d'ancoratge per a la teva defensa contra disputes i dóna permís a la resta de la teva operació per funcionar en pilot automàtic.

2026-04-23-credit-card-authorization-form-complete-guide

Ben utilitzat, et permet facturar amb confiança iguales, subscripcions, dipòsits i comandes telefòniques. Mal utilitzat —o emmagatzemat en un arxivador al costat de les declaracions de la renda de l'any passat— es converteix en una bomba de compliment normatiu esperant per detonar. Aquesta guia cobreix què són aquests formularis, quan en necessites realment un, quins camps han de contenir i com gestionar-los sense exposar-te a una multa de PCI o a una filtració de dades.

Què és un formulari d'autorització de targeta de crèdit?

Un formulari d'autorització de targeta de crèdit és un document escrit, signat pel titular de la targeta, que dóna permís a un comerciant per carregar la seva targeta sota unes circumstàncies específiques. Pensa-hi com un permís per al teu sistema de facturació: t'indica què pots carregar, quan ho pots fer, per quin import i durant quant de temps.

El formulari omple el buit que solien cobrir els pagaments físics amb targeta. Quan un client lliura una targeta i signa un rebut en un terminal de caixa, el consentiment és implícit i instantani. Quan carregues una targeta tres setmanes més tard per un servei que el client encara no ha vist, aquest consentiment ha de venir d'algun lloc — i "ho vam parlar per telèfon" no és una defensa que el banc acceptarà.

Un formulari d'autorització signat és una prova documentada de consentiment. No garanteix que guanyis cada contracàrrec (en parlarem més endavant), però inclina la balança dràsticament al teu favor en les disputes que depenen de si el client va acceptar el càrrec originalment.

Quan realment en necessites un

No totes les transaccions requereixen un formulari d'autorització separat. Si passes la targeta per un terminal de punt de venda, el rebut i la signatura (o el xip i el PIN) gestionen el consentiment. El formulari esdevé essencial en tres situacions específiques.

1. Transaccions de targeta no present (CNP)

Sempre que la targeta física no estigui davant teu, et trobes en territori de targeta no present (Card-Not-Present). Això inclou:

  • Comandes telefòniques on el client llegeix el número de la targeta en veu alta
  • Comandes de serveis per correu electrònic o fax
  • Pagaments enviats per correu postal
  • Càrrecs iniciats pel personal de la teva oficina contra una targeta que tens arxivada

Les transaccions CNP comporten taxes d'intercanvi entre 30 i 60 punts bàsics més altes que les transaccions amb targeta present, i tenen moltes més probabilitats de ser disputades. Un formulari d'autorització és la documentació que la xarxa espera veure quan s'impugna un càrrec CNP.

2. Facturació recurrent o de targeta arxivada (Card-on-File)

Si factures la mateixa targeta de forma periòdica —una iguala mensual, una subscripció trimestral, una renovació anual— les xarxes de targetes requereixen específicament que obtinguis i conservis l'autorització del titular de la targeta per a la relació recurrent. Visa, Mastercard i American Express tenen les seves pròpies regles sobre què ha de contenir l'autorització (arribarem a la llista de camps de seguida), però totes exigeixen que sigui per escrit o mitjançant un acord digital verificable.

Això s'aplica fins i tot quan el càrrec recurrent és variable. Una empresa de comptabilitat que factura a un client en funció del volum mensual de transaccions encara necessita una autorització que cobreixi explícitament els imports variables, amb un límit establert o un avís de notificació.

3. Dipòsits, retencions i preautoritzacions

Hotels que recullen retencions per a imprevistos, contractistes que cobren dipòsits de projecte, clíniques dentals que reserven torns de visita — en qualsevol lloc on els diners es moguin abans que es presti el servei, un formulari d'autorització documenta que el client ha acceptat la retenció o el càrrec sota unes condicions específiques.

Això és important perquè molts clients no s'adonen que una retenció per "dipòsit" pot convertir-se en un càrrec real sota determinades condicions. Posar aquesta conversió per escrit evita la conversa que comença amb "però jo mai vaig acceptar això".

Camps obligatoris: L'anatomia d'un formulari útil

Un formulari al qual li falten camps és pitjor que no tenir formulari. Crea la il·lusió de protecció mentre et deixa exposat. Com a mínim, tot formulari d'autorització de targeta de crèdit hauria de capturar:

Identificació del titular de la targeta:

  • Nom legal complet tal com apareix a la targeta
  • Adreça de facturació (ha de coincidir amb la que té l'emissor)
  • Número de telèfon i correu electrònic per al seguiment
  • Últims quatre dígits del número de la targeta (mai guardis el número complet — consulta la secció de compliment a continuació)
  • Tipus de targeta (Visa, Mastercard, etc.)
  • Data de caducitat

Àmbit de l'autorització:

  • Tipus de càrrec: puntual, recurrent o variable
  • Import específic en dòlars/euros (o import màxim per a càrrecs variables)
  • Freqüència per als càrrecs recurrents (mensual, trimestral, etc.)
  • Data d'inici i data de finalització o condicions de terminació
  • Una descripció clara del que s'està comprant

Llenguatge de consentiment i revocació:

  • Una declaració en llenguatge senzill que el titular autoritza els càrrecs descrits
  • Una clàusula que expliqui com el titular pot revocar l'autorització (normalment amb un avís per escrit de 30 dies)
  • Signatura i data

Identificació del comerciant:

  • El nom del teu negoci tal com apareix en l'extracte del client
  • Informació de contacte per a preguntes sobre la facturació

El descriptor que apareix en l'extracte del titular de la targeta mereix una atenció especial. Els descriptors vagues o desconeguts són la causa principal dels contracàrrecs del tipus "no reconec aquest càrrec", fins i tot quan el càrrec subjacent és totalment legítim. Assegura't que el formulari digui al client exactament què ha d'esperar veure en el seu extracte.

Compliment amb PCI: La part que la majoria de petites empreses fan malament

L'Estàndard de Seguretat de Dades de la Indústria de Targetes de Pagament (PCI DSS) s'aplica a totes les empreses que accepten pagaments amb targeta. No hi ha cap exempció per a les petites empreses. La majoria dels petits operadors pertanyen al Nivell 4 —menys de 20.000 transaccions de comerç electrònic o 1 milió de transaccions totals amb targeta a l'any—, cosa que significa que poden avaluar el seu compliment mitjançant un Qüestionari d'Autoavaluació en lloc de sotmetre's a una auditoria formal. L'autoavaluació no és opcional; simplement és menys feixuga que l'alternativa.

La regla PCI més important per als formularis d'autorització és aquesta: no hauríeu d'emmagatzemar números de targeta complets enlloc, de cap manera, després que l'autorització inicial hagi estat capturada i tokenitzada pel vostre processador.

Això vol dir:

  • Res de formularis en paper amb números de targeta complets en arxivadors
  • Res de PDFs amb números de targeta complets en unitats compartides o correu electrònic
  • Res de fulls de càlcul per fer el seguiment de les targetes dels clients
  • Res de camps personalitzats de CRM que continguin dades de targetes
  • Res de missatges de Slack, pàgines de Notion o notes adhesives

Si el vostre formulari d'autorització és un PDF en paper que captura el número complet de la targeta, en el moment que un membre del personal en guarda una còpia o l'envia per correu electrònic, és probable que hàgiu vulnerat la PCI DSS —i la vostra responsabilitat en cas d'una bretxa de seguretat és substancial. Les sancions oscil·len entre els 5.000 i els 100.000 dòlars mensuals per incompliment, a més de la possible pèrdua total dels privilegis d'acceptació de targetes.

El camí correcte per complir la normativa és utilitzar un processador de pagaments que tokenitzi les dades de la targeta en el moment de la captura. El formulari (en paper o digital) recull el número de la targeta una vegada, el processador l'emmagatzema com un token opac i els vostres sistemes només veuen i fan referència a aquest token a partir d'aleshores. Stripe, Square, Braintree, Adyen i la majoria de processadors moderns gestionen això de manera nativa.

Per a les petites empreses, la regla pràctica és: deixeu que el vostre processador guardi les dades de la targeta i que el vostre formulari d'autorització guardi el consentiment. Són dos elements diferents amb dos perfils de seguretat diferents.

Defensa contra els "chargebacks": De què us protegeix realment el formulari

Un formulari d'autorització signat és la vostra millor defensa en una categoria específica de disputes —aquelles en què el titular de la targeta afirma que mai no va autoritzar el càrrec. Els codis de motiu varien segons la xarxa, però els més comuns inclouen:

  • "Transacció no autoritzada"
  • "Transacció recurrent no cancel·lada"
  • "Manca d'autorització per a l'import carregat"

Per a aquestes disputes, presentar una autorització signada que cobreixi clarament la transacció disputada trasllada la càrrega de la prova al titular de la targeta. Els bancs solen posar-se del costat del comerciant quan la documentació és clara.

El que el formulari no us protegeix:

  • Disputes de qualitat — "el servei no era com es descrivia"
  • Disputes per falta de lliurament — "mai no vaig rebre el que vaig pagar"
  • Disputes per producte defectuós
  • Frau amistós on el client simplement menteix

Per a aquestes categories, necessitareu proves diferents: confirmació de lliurament, documents d'abast del treball signats, registres de comunicació, etc. El formulari d'autorització és necessari però no suficient. Considereu-lo com una capa més en un conjunt de documentació.

També val la pena assenyalar que les autoritzacions tenen límits temporals. Una autorització signada el 2020 pot no considerar-se una prova vàlida per a un càrrec facturat el 2026 —les xarxes generalment esperen que les autoritzacions es renovin periòdicament, especialment després que una targeta s'hagi tornat a emetre o que la relació hagi canviat substancialment.

Digital vs. Paper: Què és millor?

Els formularis en paper semblen familiars i no requereixen cap inversió tecnològica. També són un malson de seguretat i compliment per a gairebé totes les empreses que els utilitzen. Els formularis en paper es fotocopien, s'escanegen, s'envien per correu electrònic, es perden, s'envien a la persona equivocada i s'emmagatzemen en calaixos als quals qualsevol persona amb una clau pot accedir.

Els fluxos de treball d'autorització digital —implementats correctament— resolen gairebé tots aquests problemes:

  • Les signatures electròniques són legalment vinculants. La Llei ESIGN i la UETA dels EUA donen a les signatures electròniques el mateix pes legal que a les signatures de tinta, i les traces d'auditoria digitals (marques de temps, adreces IP, hash de la signatura) sovint les fan més defensables que el paper.
  • Les dades de la targeta es tokenitzen en la captura. El client introdueix la seva targeta directament en un camp compatible amb PCI allotjat pel processador de pagaments, de manera que el document d'autorització en si mai conté dades sensibles.
  • L'emmagatzematge està xifrat i l'accés controlat. En comparació amb un arxivador, un magatzem de documents al núvol correctament configurat és radicalment més segur.
  • La revocació és auditable. Els clients poden revocar l'autorització mitjançant un canal documentat, i la marca de temps crea una prova clara de quan va finalitzar l'autorització.

Si encara utilitzeu formularis d'autorització en paper el 2026, l'actualització a un flux de treball digital és una de les millores de seguretat amb més impacte que podeu fer.

Errors comuns que creen una responsabilitat real

Alguns patrons apareixen repetidament en les disputes de càrrecs i en les investigacions de PCI. Eviteu-los:

Emmagatzemar el CVV. El codi de seguretat de tres o quatre dígits de la part posterior de la targeta mai es pot emmagatzemar després que la transacció hagi estat autoritzada —ni tan sols per un moment, ni tan sols xifrat. Si el vostre formulari d'autorització té un camp CVV que es conserva en algun lloc, teniu un problema greu de compliment.

Llenguatge d'autorització vague. Un formulari que diu "Autoritzo a Acme Corp. a carregar la meva targeta" sense especificar l'import, la freqüència o la durada és essencialment inútil en una disputa. El banc preguntarà: "els autoritza a què?".

Sense data de caducitat en l'autorització. Un client que va signar una autorització fa tres anys pot tenir un argument de pes dient que mai no va esperar que la relació continués indefinidament. Establiu una cadència de renovació —anualment és raonable per a la majoria de relacions.

Utilitzar formularis d'autorització com a substitut d'un contracte. El formulari documenta el consentiment del pagament. No documenta l'abast del treball, els lliurables o les condicions del servei. Aquests elements pertanyen a un acord separat al qual el formulari d'autorització fa referència.

Deixar que les autoritzacions visquin només a la bústia d'entrada d'algú. Quan la persona que va recollir l'autorització marxa de l'empresa, la documentació sovint marxa amb ella. Centralitzeu l'emmagatzematge en un sistema al qual pugui accedir tota la funció de facturació.

Implicacions comptables: Seguiment dels càrrecs autoritzats

Els càrrecs recurrents autoritzats creen fluxos d'ingressos previsibles, la qual cosa és bona per a la previsió del flux de caixa — però només si els vostres llibres reflecteixen les autoritzacions subjacents en lloc de només els dipòsits bancaris.

Quan es factura una llista d'autoritzacions recurrents, hi ha tres aspectes clau per a una comptabilitat neta:

  1. Concilieu els dipòsits amb les factures, no a l'inrevés. Cada càrrec amb targeta arxivada hauria de generar una factura en el vostre sistema comptable que estigui vinculada a una autorització específica. Quan el dipòsit arriba al vostre compte bancari (normalment entre 1 i 3 dies hàbils més tard, nets de comissions de processament), feu la conciliació contra la factura — no contra l'import brut de l'autorització.

  2. Feu un seguiment de les comissions de processament com una despesa separada. Les xarxes de targetes cobren entre un 1,5% i un 3,5% per transacció, i desglossar aquestes comissions dels ingressos us ofereix una imatge més clara dels vostres unit economics. Un sistema de comptabilitat que separi automàticament les vendes brutes, les comissions del processador i els dipòsits nets estalvia hores de neteja mensual.

  3. Detecteu les caducitats de les autoritzacions abans que siguin un problema. Si una targeta arxivada caduca i el client no l'actualitza, el següent cicle de facturació fallarà — i és possible que hàgiu ofert setmanes de servei sense cobrar en el moment que algú se n'adoni. Incorporeu una revisió mensual al tancament comptable que marqui els càrrecs recurrents fallits.

Per a empreses de serveis, comptables i operadors de SaaS amb ingressos recurrents significatius, tractar els càrrecs autoritzats com una categoria independent en el pla de comptes (separada de les vendes puntuals) fa que la conciliació de tancament mensual sigui dràsticament més ràpida.

Una llista de verificació ràpida per a la implementació

Si esteu implementant formularis d'autorització o auditant els que ja teniu, seguiu aquests passos per ordre:

  1. Trieu un processador de pagaments que compleixi la normativa PCI i que gestioni la tokenització per vosaltres. No recopileu dades de targetes en infraestructures que controleu vosaltres mateixos.
  2. Adopteu un flux de treball d'autorització digital, ja sigui mitjançant els formularis allotjats del vostre processador o a través d'una eina específica que s'integri amb ell.
  3. Estandarditzeu una única plantilla d'autorització amb tots els camps obligatoris descrits anteriorment. Una sola plantilla per a tot arreu.
  4. Auditeu i destruïu qualsevol formulari en paper existent que contingui números de targeta complets. Tritureu els originals; no us limiteu a arxivar-los.
  5. Formeu tots els membres del personal que interactuïn amb dades de targetes sobre la regla: "Capturar una vegada, al processador. Mai l'anoteu. Mai la repetiu en veu alta."
  6. Establiu un recordatori al calendari per renovar anualment les autoritzacions de llarga durada i per verificar mensualment les dates de caducitat de les targetes.
  7. Documenteu el vostre procés de resposta a disputes perquè, quan arribi una reclamació de pagament (chargeback), l'equip sàpiga on trobar l'autorització pertinent dins del termini de resposta (normalment de 7 a 14 dies).

Mantingueu els vostres registres de facturació nets des del primer dia

Un formulari d'autorització de targeta de crèdit és la meitat de l'equació. L'altra meitat és el que passa després del càrrec — cada pagament autoritzat es converteix en una transacció als vostres llibres, i la manera com feu el seguiment d'aquestes transaccions determina si el tancament del mes triga una hora o una setmana. Beancount.io ofereix comptabilitat en text pla que us proporciona una transparència total sobre cada càrrec recurrent, comissió de processament i conciliació — amb control de versions, preparada per a IA i sense dependència de cap proveïdor (vendor lock-in). Comenceu de franc i descobriu per què els professionals de les finances s'estan passant a la comptabilitat en text pla per als seus fluxos de treball de facturació i conciliació.

Share on TwitterFollow @beancount_io

Comença amb Beancount.io

Pren el control de les teves finances amb el nostre sistema de comptabilitat per partida doble de codi obert. Comença el teu llibre comptable avui mateix.

Comença gratisVeure preus

Primers passos

Funcions

Comunitat

Legal

Beancount.io© 2019 - 2026 Beancount.io
Descarrega a l'App StoreDisponible a Google Play
Creat amb transparència • Controlat per versions • Impulsat per IA