Dando continuidade à obrigatoriedade do uso de tokens em Webhooks, implementamos a validação de força para o campo authToken(Token de autenticação).

O que mudou?

Não serão mais aceitos tokens curtos ou previsíveis. Um token seguro agora deve ter:

• Entre 32 e 255 caracteres;
• Nenhum espaço em branco;
• Ausência de sequências numéricas (ex: 12345) ou 4 letras repetidas.
• Não pode ser uma chave de API Asaas.

Para simplificar sua integração, adicionamos o botão "Gerar token aleatório" na interface e mantivemos a auto-geração via API caso o campo não seja enviado no momento da criação.

Webhooks legados permanecem funcionais, mas recomendamos a atualização para tokens fortes.

Agora, ao decodificar um QR Code para pagamento via API, você pode utilizar o campo opcional expectedPaymentDate (Data Prevista de Pagamento).

Para que serve?

• Garante que o valor retornado na decodificação já considere cálculos automáticos de juros, multas, descontos ou abatimentos para a data em que o pagamento será efetivamente realizado.

Comportamento padrão (se não enviado):

• Se decodificado até o vencimento:
  • Utiliza a data de vencimento como referência.
• Se decodificado após o vencimento:
  • Utiliza a data atual da consulta.

Este recurso é fundamental para garantir a transparência de valores em cobranças dinâmicas antes da liquidação.

Confira os detalhes técnicos no endpoint de Decodificar um QRCode para pagamento.

Para garantir que todas as notificações enviadas para o seu servidor sejam verificadas com segurança, o campo authToken passa a ser obrigatório na configuração de qualquer Webhook.

Como funciona?

• Via API: Caso você realize um POST /v3/webhooks e não envie o campo authToken, o Asaas irá gerar automaticamente um token de alta segurança para você. Assim como acontece com as Chaves de API, o token gerado automaticamente será exibido apenas uma vez no corpo da resposta (campo authToken). Certifique-se de armazená-lo com segurança.
• Via WEB: Ao criar ou editar um Webhook, será necessário preencher o campo “Token de autenticação” ou utilizar a opção de gerar um token seguro automaticamente pelo Asaas.

Essa atualização elimina a existência de Webhooks sem autenticação, mitigando riscos de ataques. É mais proteção para os dados da sua operação com o mínimo de esforço de implementação

Agora sua aplicação pode ser notificada automaticamente pelo evento PAYMENT_BANK_SLIP_CANCELLED sempre que um boleto vencido tiver seu registro cancelado.

O disparo ocorre de forma assíncrona na data em que o cancelamento é efetivado, conforme o prazo configurado para pagamento após o vencimento da cobrança.

Esta automação elimina falhas de comunicação e oferece rastreabilidade completa do cancelamento de boletos vencidos.

Agora é possível configurar prazos personalizados de pré-autorização para cobranças no cartão de crédito — flexibilizando o período de bloqueio do valor como garantia para setores específicos, como locadoras de veículos e hospedagem.

Atenção: Os prazos de pré-autorização não são totalmente flexíveis para todos os setores de atuação de mercado. A configuração de períodos superiores a 3 dias e de até 25 dias é restrita a segmentos elegíveis, desde que a conta emissora esteja enquadrada em um dos MCCs listados abaixo:

• 4121 - LIMUSINES E TÁXIS (TAXICABS AND LIMOUSINES)
• 7011 - HOTEIS (HOTELS/MOTELS/RESORTS)
• 4411 - LINHAS DE CRUZEIROS (CRUISE LINES)

Os recursos do Pix automático estão oficialmente no ar através da nossa API.

Agora, você pode criar e controlar o recebimento automático de suas cobranças via Pix, usando uma solução robusta, segura e aderente a todas as regulações do Bacen, mas com aquele toque de inovação que só o AsaaS tem.

Confira nossa documentação técnica e os guias de implementação para maiores detalhes.

Agora é possível filtrar as listagens de cobranças (GET /v3/payments e GET /v3/lean/payments) utilizando o identificador da sessão de checkout(checkoutSession).

Benefício: Facilita a conciliação de vendas, permitindo que sua aplicação localize rapidamente a cobrança exata gerada a partir de uma sessão específica de checkout.

Agora é possível configurar sua Whitelist de IPs para processar saques automaticamente, isentando determinadas origens da aprovação manual.

Benefício: Ideal para operações de alto volume que buscam automação total. Ao ativar o recurso, requisições de Pix, TED, Pagamento de Contas e Recargas vindas de IPs confiáveis serão executadas imediatamente, sem gerar pendências no painel.

Confira o guia completo de configuração

Para facilitar a conciliação de eventos em ecossistemas de subcontas, adicionamos o objeto account no payload de todos os eventos de webhooks da API V3. Anteriormente, a identificação da subconta de origem dependia de parametrização manual da URL de destino. Com esta atualização, o ID da conta que gerou o evento passa a ser enviado nativamente no corpo do JSON.

O que mudou:

• Adição da propriedade raiz account.
• Propriedade account.id: Identificador único da conta que disparou o evento.
• Propriedade account.ownerId: Identificador único da conta pai (retorna null para contas raízes).

Exemplo de Payload:

{
   "id": "evt_05b708f961d739ea7eba7e4db318f621&368604920",
   "event": "PAYMENT_RECEIVED",
   "dateCreated": "2026-01-05 16:45:03",
   "account": {
      "id": "1fcc491f-96d9-4efe-8ec5-b8b09de750dd",
      "ownerId": "034edb54-d54f-4fd9-9258-afa5491b906a"
   },
   "payment": { ... }
}

Visando otimizar a gestão de inadimplência e processos de renegociação, disponibilizamos um novo endpoint que permite a exclusão em massa de cobranças vinculadas a um parcelamento.

Agora, é possível remover todas as parcelas com status Pendente ou Vencida em uma única requisição, mantendo inalteradas as parcelas que já foram confirmadas (pagas).

Confira a referência completa desse endpoint