Blog

Auto-cualificación CE 3.0: qué cambió el 17 de octubre de 2025 y qué hacer

Visa auto-cualifica transacciones para Compelling Evidence 3.0 vía Visa Secure y Data Only. Qué cambió, quién se beneficia y la brecha de evidencia.

May 01, 2026 • 9 min read

Mike Kutlu Author

Auto-cualificación CE 3.0: qué cambió el 17 de octubre de 2025 y qué hacer

El 17 de octubre de 2025, Visa comenzó a cualificar automáticamente las transacciones sin tarjeta presente para Compelling Evidence 3.0 (CE 3.0) cuando la autenticación se ejecuta a través de Visa Secure (3-D Secure 2) o Visa Data Only en todas las principales regiones. cside, la plataforma de seguridad de capa de navegador, ayuda a los comercios a producir el device ID determinístico y la IP real del cliente que fortalecen un caso auto-cualificado hasta convertirlo en un representment ganador. La auto-cualificación traslada la carga administrativa hacia el proceso previo, pero no garantiza una reversión; la calidad de la evidencia sigue decidiendo el resultado.

Visa cambió discretamente el flujo de Compelling Evidence 3.0 el 17 de octubre de 2025. Las transacciones aseguradas mediante Visa Secure o Visa Data Only en todas las principales regiones ahora se cualifican automáticamente para la presentación de evidencia CE 3.0. Los comercios ya no necesitan ensamblar manualmente el paquete de dos transacciones previas para cada disputa elegible.

Eso suena como una victoria, y para algunos comercios lo es. También es una señal sobre hacia dónde cree Visa que se dirige la cadena de evidencia. La auto-cualificación traslada la carga del papeleo de representment hacia la calidad de autenticación en el proceso previo. Los comercios que más se benefician son aquellos cuya sesión de checkout captura la evidencia que Visa ahora espera leer automáticamente.

Este artículo cubre qué cambió, quién se beneficia y dónde sigue estando la brecha de evidencia de capa de navegador después de la auto-cualificación.

¿Qué cambió el 17 de octubre de 2025?

Flujo del proceso de auto-cualificación

Visa comenzó a auto-cualificar las transacciones sin tarjeta presente para CE 3.0 cuando la autenticación se ejecuta a través de Visa Secure (3-D Secure 2) o Visa Data Only. El cambio aplica en todas las principales regiones. Las transacciones que cualifican heredan la elegibilidad CE 3.0 sin que el comercio tenga que construir manualmente el paquete de evidencia de dos transacciones previas.

Antes del cambio, la elegibilidad CE 3.0 requería que el comercio o su adquirente identificara dos transacciones previas no disputadas con una antigüedad de entre 120 y 365 días y coincidiera en al menos dos de cuatro elementos de datos (User ID, dirección de envío, dirección IP, device ID) entre las transacciones previas y la disputada. Esa búsqueda y coincidencia se realizaba dentro del proceso de representment.

Después del cambio, las transacciones autenticadas mediante Visa Secure o Visa Data Only llevan los metadatos de autenticación directamente a la evaluación CE 3.0. Cuando una disputa recae sobre esas transacciones bajo el código de motivo 10.4, el caso entra al representment pre-cualificado. El comercio sigue enviando el paquete de refutación, pero los elementos de datos necesarios para la cualificación ya están adjuntos.

Quién realmente se beneficia

Quién realmente se beneficia de la auto-cualificación

Los comercios con alta adopción de 3-D Secure en su checkout, con descriptores de facturación estables e identidad de dispositivo limpia, se benefician de inmediato. Los comercios que omiten 3DS en flujos móviles, usan descriptores inconsistentes o no pueden producir datos de sesión a nivel de dispositivo en el momento del representment se benefician menos de lo que sugiere el titular.

Tres condiciones se combinan para decidir el valor real.

Penetración de 3DS

Visa Secure es la marca de Visa para 3-D Secure 2, por lo que la auto-cualificación solo se adjunta a transacciones que realmente pasan por la autenticación 3DS. Los comercios en regiones donde 3DS es obligatorio (por ejemplo, mercados PSD2) son los que más se benefician. Los comercios que eximen la mayor parte del tráfico de 3DS por razones de conversión ven menos beneficio.

Para los comercios de suscripción, los cargos con credenciales almacenadas típicamente omiten el step-up de 3DS, por lo que el beneficio de la auto-cualificación es limitado en el volumen de renovaciones.

Limpieza de datos

La auto-cualificación adjunta la evidencia, pero no sobreescribe la calidad de los datos del comercio. Los descriptores con los primeros seis caracteres no coincidentes entre ciclos de facturación siguen rompiendo la cualificación en la etapa de representment. La identidad inconsistente del titular entre flujos de invitado y autenticados deja al adquirente sin una coincidencia limpia.

Autenticidad de la coincidencia de dispositivo

Visa Data Only utiliza el intercambio de datos 3DS sin el paso de autenticación del titular. Eso le da al emisor un paquete de datos, pero no garantiza que el dispositivo que completó la transacción previa sea el mismo que ahora completa la disputada. Si el comercio no captura datos de sesión a nivel de dispositivo en el checkout mediante captura en la capa de navegador, el caso auto-cualificado aún puede decidirse en su contra si el emisor quiere una revisión más profunda.

Lo que la auto-cualificación no hace

La auto-cualificación no produce la evidencia en sí. Adjunta metadatos de autenticación que cualifican el caso para la evaluación CE 3.0. Si la evidencia subyacente es débil (coincidencia de dispositivo inconsistente, descriptores desviados, contexto de sesión ausente), el caso sigue siendo frágil por sus méritos.

Las reglas de cualificación de CE 3.0 no han cambiado. Dos transacciones previas no disputadas, con antigüedad de 120 a 365 días, con al menos dos de cuatro elementos de datos coincidentes incluyendo IP o device ID. Lo que cambió es quién realiza la búsqueda. La auto-cualificación permite que la infraestructura de Visa lo haga en línea con el registro de autenticación. No cambia el estándar de calidad que un emisor aplica al evaluar la evidencia.

Aquí es donde los comercios se sorprenden. Un caso puede estar auto-cualificado y aun así perder. Los emisores observan la continuidad del dispositivo entre las transacciones previas y la disputada. Si el device ID de la transacción previa provino de un fingerprint JavaScript capturado de forma oportunista y el device ID de la transacción disputada provino de una fuente diferente, la coincidencia puede fallar probatoriamente aunque la casilla de cualificación esté marcada.

La brecha de evidencia de capa de navegador después de la auto-cualificación

Qué hace que un caso auto-cualificado realmente gane

La auto-cualificación eleva el valor de una identidad de dispositivo consistente y entre sesiones capturada en la capa de navegador. Los comercios que pueden producir una sesión de checkout reproducible tanto para las transacciones previas como para la disputada convierten un caso auto-cualificado en una victoria automática. Los que no pueden siguen perdiendo los casos que deberían haber ganado.

Datos de cside: el análisis de cside muestra que los casos CE 3.0 auto-cualificados aún se pierden a una tasa significativa cuando la coincidencia de device ID subyacente proviene de una fuente de captura inconsistente u oportunista. cside mide esto comparando los resultados de casos para disputas auto-cualificadas donde el device ID de capa de navegador fue y no fue capturado determinísticamente en el checkout.

cside captura evidencia de capa de navegador en el checkout: datos de sesión a nivel de dispositivo, fingerprint de red, contexto de transacción verificado por script. La misma identidad de dispositivo se ejecuta en cada sesión del mismo comercio, lo que significa que la coincidencia que CE 3.0 ahora auto-cualifica también es producible determinísticamente por el comercio cuando el emisor lo solicita. Para un caso de representment, el efecto práctico es simple: el paquete auto-cualificado más un artefacto de sesión de capa de navegador coincidente le da al emisor una base sólida para revertir el chargeback en un solo paso. Sin la capa de navegador, el paquete auto-cualificado es un boleto a la siguiente cola, no un resultado garantizado.

Para un desglose completo de los cuatro elementos de datos principales que Visa evalúa, consulte la guía de requisitos CE 3.0. Para el contexto de la ratio VAMP que hace urgente ganar esos casos, consulte el playbook VAMP 2026 para comercios.

Qué hacer esta semana

Confirme la penetración de 3DS / Visa Secure en su tráfico Visa sin tarjeta presente. Audite la consistencia de los primeros seis caracteres del descriptor. Instrumente evidencia de capa de navegador en el checkout. Re-evalúe las disputas de código de motivo 10.4 de los últimos 30 días bajo las nuevas reglas de auto-cualificación para ver cuáles casos se volvieron ganables.

Para un Head of Payments, la acción operativa es una verificación en tres pasos:

Obtenga la tasa actual de autenticación Visa Secure en su volumen CNP. Si está por debajo de lo que su adquirente considera adecuado para beneficiarse de la auto-cualificación, hay margen para aumentar la proporción de casos auto-cualificados enrutando más tráfico a través de 3DS en puntos de baja fricción.
Confirme que los primeros seis caracteres de su descriptor de facturación son idénticos en cada método de pago y cada ciclo de facturación. Esta es la corrección más económica en todo el pipeline CE 3.0 y es la razón más común por la que los casos cualificados fallan en el representment.
Verifique que su stack de chargebacks captura datos de sesión a nivel de dispositivo en el checkout, no solo datos de pedido del lado del servidor; si no lo hace, el valor de la auto-cualificación está limitado.

Para los operadores de iGaming, tenga en cuenta que los flujos de depósito con credenciales almacenadas generalmente no activan la auto-cualificación y el representment manual CE 3.0 sigue siendo la ruta principal.

Lectura adicional en cside

Este artículo refleja el análisis de cside sobre VAMP y las regulaciones de fraude amistoso a fecha de 2026-05-01. Los valores de umbral, plazos y reglas de los programas están sujetos a cambios por parte de Visa, Mastercard y contratos específicos de cada adquirente. Verifique con fuentes primarias antes de tomar decisiones operativas.

Sobre el autor

Mike Kutlu es Head of GTM en cside, donde trabaja con responsables de Pagos, Riesgo y Finanzas en la instrumentación de evidencia de chargeback de capa de navegador para el representment de Compelling Evidence 3.0. Escribe sobre VAMP, fraude amistoso y la mecánica de evidencia de disputas para comercios empresariales.

Más información sobre cside Chargeback Evidence →

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Table of Contents

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La auto-cualificación es un cambio de Visa vigente desde el 17 de octubre de 2025. Las transacciones aseguradas mediante Visa Secure o Visa Data Only heredan la elegibilidad CE 3.0 automáticamente, sin que el comercio tenga que construir manualmente el paquete de evidencia de dos transacciones previas en el momento del representment. Las reglas de cualificación en sí no han cambiado.

No por sí sola. La auto-cualificación adjunta metadatos de elegibilidad, pero la calidad de la evidencia subyacente sigue decidiendo el caso. Los comercios con descriptores inconsistentes o sin evidencia de capa de navegador pueden seguir perdiendo casos auto-cualificados por sus méritos.

Sí. Tanto Visa Secure (autenticación completa 3-D Secure 2) como Visa Data Only (intercambio de datos sin el paso del titular de la tarjeta) activan la auto-cualificación. Visa Data Only tiene un peso probatorio ligeramente menor porque no se realizó autenticación del titular.

La auto-cualificación está activa en todas las principales regiones de Visa desde el 17 de octubre de 2025. Los despliegues regionales específicos pueden variar según la implementación del adquirente.

Solo si el representment gana. El mecanismo de eliminación del TC40 está vinculado a un resultado exitoso de CE 3.0, no a la cualificación en sí. La auto-cualificación facilita ganar, pero el TC40 solo se retira del conteo de fraude cuando el chargeback se revierte.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Auto-cualificación CE 3.0: qué cambió el 17 de octubre de 2025 y qué hacer

Visa auto-cualifica transacciones para Compelling Evidence 3.0 vía Visa Secure y Data Only. Qué cambió, quién se beneficia y la brecha de evidencia.

Fraude amistoso en gaming e iGaming: el playbook de contracargos 2026

Los operadores de iGaming registran los ratios de contracargo más altos de cualquier vertical. VAMP 2026 endureció el umbral. Cómo CE 3.0 y la evidencia en capa de navegador reequilibran la balanza.

VAMP 2026: los nuevos umbrales de Visa y cómo sobrevivirlos

El ratio VAMP de Visa endureció el umbral Excessive al 1,5% el 1 de abril de 2026 con multas de 8 USD por transacción. Guía para comercios que quieren mantenerse bajo el techo usando CE 3.0.

Requisitos de Compelling Evidence 3.0: lo que Visa exige y lo que realmente gana el caso

Los cuatro elementos de datos que Visa exige para CE 3.0, y lo que separa los representments ganadores de los perdedores.

Como los agentes OpenClaw evaden la deteccion de bots (y como detenerlos)

Los agentes OpenClaw combinados con herramientas de navegador sigiloso pueden evadir la deteccion de bots heredada. Aprende como funciona el fraude agentico y como el fingerprinting del navegador ayuda a detenerlo.

Como se ve CTEM en la capa del navegador: un script de tercero, cinco hallazgos

Un analisis en vivo de un widget de Skeepers en un gran banco internacional encontro una cookie de 360 dias en subdominios de autenticacion, una brecha de CSP y un sub-script controlado por servidor. Asi se ve CTEM aplicado a la capa del navegador.

Friendly fraud en SaaS y negocios de suscripcion: guia 2026

Los negocios SaaS y de suscripcion tienen un perfil especifico de friendly fraud: cambios de descriptor, facturacion recurrente y clientes elegibles para CE 3.0. Asi puedes combatirlo.

Comparing account sharing prevention tools (for businesses)

SaaS companies lose revenue to account sharing every day. See a comparison of features, pricing, and reviews of popular tools used by fraud teams.

How to prevent account sharing fraud (full guide for businesses)

Account sharing costs organizations billions in revenue loss. This guide covers prevention methods like device and session limits, as well as strategic tips.

7 steps to stop account takeover fraud (for Travel businesses)

MFA is bypassed by advanced phishing kits. See the best practices, fingerprint signals, and tools that Travel fraud teams actually use to stop ATO.