Lo que necesita saber
- EFM y ECP pueden ejecutarse simultáneamente. EFM se dirige a contracargos codificados como fraude; ECP captura todos los contracargos. Salir de cualquiera de los dos requiere tres meses limpios consecutivos.
- Visa estima que el fraude amistoso representó hasta el 75% de todos los contracargos en 2022. Estas disputas se registran bajo códigos de razón de fraude e inflan tanto su ratio EFM como ECP.
- First-Party Trust desvía el fraude amistoso antes de que se registre como contracargo formal, utilizando evidencia de dispositivo, entrega e identidad que usted ya posee.
- Device fingerprinting es la opción más persistente de las tres señales de Categoría 1 de FPT: identifica al mismo titular de tarjeta entre sesiones con mayor fiabilidad que una dirección IP o un ID de dispositivo básico.
- La misma captura de evidencia que gana casos de Visa CE 3.0 proporciona la señal de Categoría 1 para Mastercard FPT. Los datos capturados por herramientas de fingerprinting como cside se integran en las vías de envío de ambas redes.
Si su ratio de fraude sobre ventas supera el 0,50% en transacciones Mastercard sin presencia de tarjeta, el programa Excessive Fraud Merchant (EFM) comenzará a multarle con $500 en el segundo mes. Para el mes 19, esa multa alcanza los $100.000 mensuales.
El Excessive Chargeback Program (ECP) rastrea todos los contracargos, no solo los de fraude. En el nivel más alto, las multas de ECP alcanzan los $200.000 mensuales. La única salida de cualquiera de los dos programas son tres meses consecutivos por debajo del umbral.
La conexión con el fraude amistoso
La principal fuente de presión sobre el ratio EFM es el fraude amistoso: titulares de tarjeta que disputan transacciones legítimas bajo el código de razón de fraude 4837 (No Cardholder Authorization). Mastercard retiró el código de razón 4863 (Cardholder Does Not Recognize) y consolidó esas disputas en categorías de fraude actualizadas, pero el patrón es el mismo.
La respuesta de Mastercard es First-Party Trust (FPT), un programa estructurado de desvío de disputas que utiliza device fingerprinting y otras señales de transacción para resolver estas disputas antes de que se conviertan en contracargos formales.
Qué penalizan realmente EFM y ECP
EFM se dirige a los contracargos por fraude en transacciones sin presencia de tarjeta. ECP rastrea todos los contracargos independientemente del código de razón. Ambos escalan las multas a partir del segundo mes de incumplimiento. (Las reglas completas del programa se encuentran en el Capítulo 8 del Security Rules and Procedures Merchant Edition de Mastercard.)
| Programa | Nivel | Activación mensual | Umbral de ratio | Condición adicional |
|---|---|---|---|---|
| EFM | n/a | 1.000+ transacciones e-commerce | 0,50%+ fraude sobre ventas | $50k+ en contracargos por fraude; 3DS <50% en mercados regulados |
| ECP | ECM | 100-299 contracargos | 1,50%-2,99% | n/a |
| ECP | HECM | 300+ contracargos | 3,00%+ | n/a |
Condiciones de inscripción en EFM
Los cuatro umbrales deben superarse simultáneamente en el mismo mes:
- 1.000 o más transacciones e-commerce de Mastercard
- $50.000 o más en contracargos por fraude
- Un ratio de fraude sobre ventas del 0,50% o superior
- Utilización de 3DS inferior al 50% en mercados regulados
Su actividad no fraudulenta no ofrece protección porque los contracargos por fraude amistoso se registran bajo códigos de razón de fraude.
Niveles de ECP
El nivel Excessive Chargeback Merchant (ECM) se activa con 100-299 contracargos mensuales y un ratio del 1,5%-2,99%. El nivel High Excessive Chargeback Merchant (HECM) se activa con 300+ contracargos y un ratio del 3%+. A diferencia de EFM, ECP captura cada contracargo: disputas de servicio, reclamaciones por no recepción y fraude amistoso por igual.
Salir de los programas
Ambos programas requieren tres meses consecutivos por debajo del umbral. Las multas no se condonan al salir, a menos que califique para la opción de extensión única y cumpla los requisitos del umbral antes de la fecha límite de la extensión.
El umbral de 3DS que la mayoría de los equipos pasan por alto
El umbral que más sorprende a los Heads of Payments con los que trabajo es el piso de utilización de 3DS. Muchos equipos se centran en el ratio de fraude y no tienen en cuenta que las cuatro condiciones de EFM deben activarse simultáneamente. Su decisión sobre la cobertura de autenticación 3DS afecta directamente a si entra en el programa, no solo a la rapidez con la que sale.
Riesgo de inscripción dual
Un comercio puede estar inscrito en EFM y ECP simultáneamente. Las multas se calculan de forma independiente. En el nivel HECM, las multas de ECP por sí solas alcanzan los $200.000 mensuales, aparte de cualquier multa de EFM que se ejecute en paralelo.
Abordar el fraude amistoso a través de FPT reduce la exposición en ambos programas: las disputas desviadas reducen los contracargos codificados como fraude que impulsan EFM y el recuento total de contracargos que impulsa ECP.
Por qué device fingerprinting es la señal de Categoría 1 más fuerte
El problema con las IPs y los IDs de dispositivo
Las direcciones IP cambian entre redes, se ocultan detrás de VPNs y varían según la ubicación. Los IDs de dispositivo básicos (números IMEI, identificadores basados en cookies) pueden restablecerse o simplemente no están disponibles en todas las plataformas.
Cómo lo resuelve el fingerprinting
Device fingerprinting combina 50 o más señales de hardware y software del navegador en un hash persistente. Resolución de pantalla, zona horaria, configuración de idioma, fuentes instaladas, plugins del navegador, identificadores de hardware. El hash resultante se mantiene incluso cuando cambian la dirección IP, la red o la versión del navegador.
La IA de Mastercard responde a una pregunta: ¿es el titular de tarjeta que presentó esta disputa la misma persona que completó la transacción original? Una huella digital de dispositivo responde a eso con mayor fiabilidad que una IP o una cookie.
¿Ya ejecuta Visa CE 3.0?
Si ya utiliza la evidencia a nivel de navegador de cside para casos de Visa Compelling Evidence 3.0, los mismos datos de device fingerprinting que satisfacen el requisito de elemento de datos de CE 3.0 son la señal de Categoría 1 para Mastercard FPT. Una captura de evidencia. Ambas redes de tarjetas cubiertas, con la vía de envío de cada red mapeada de forma independiente.
Ejemplo práctico de un comercio que usa FPT para salir de EFM
Un retailer online de tamaño medio que procesa $5.000.000/mes en volumen e-commerce de Mastercard recibe una notificación de EFM. Su ratio de fraude sobre ventas ha alcanzado el 0,54%, impulsado por contracargos con código de razón 4837, y su utilización de 3DS está en el 42% en un mercado regulado. Las cuatro condiciones de EFM se cumplen.
Captura y envío
El comercio integra fingerprinting a nivel de navegador en su flujo de checkout, recopilando más de 50 señales por sesión (resolución de pantalla, zona horaria, fuentes instaladas, identificadores de hardware, hashes de canvas) y combinándolas en un hash de dispositivo persistente almacenado con cada transacción.
En el checkout, la huella digital del dispositivo, el email y la dirección de facturación se envían a través del payload de 3DS Identity Check Insights. Cuando un titular de tarjeta presenta una disputa posteriormente, la huella almacenada, la confirmación de envío y el historial de inicio de sesión se envían automáticamente a la API de Ethoca Consumer Clarity.
Desvío
El emisor presenta la evidencia al titular de la tarjeta. La huella digital del dispositivo coincide con sus compras previas no disputadas, la dirección de envío coincide con su cuenta y el historial de inicio de sesión confirma actividad en el momento de la transacción. El titular reconoce la compra y retira la disputa. Como se retiró antes de convertirse en un contracargo formal, no cuenta para los ratios EFM o ECP.
El resultado
En 60 días, la tasa de desvío de FPT del comercio alcanza el 3,8%. Combinado con elevar la utilización de 3DS del 42% al 55%, su ratio de fraude baja al 0,47% y rompen la condición de 3DS del activador EFM de cuatro partes. Tras tres meses limpios consecutivos, salen del programa.
Los mismos datos de fingerprinting alimentan simultáneamente su flujo de evidencia de Visa CE 3.0, protegiendo su ratio VAMP sin instrumentación adicional.
Por qué el fraude amistoso infla sus ratios de Mastercard
Visa estima que el fraude amistoso representó hasta el 75% de todos los contracargos en 2022. Dado que EFM rastrea específicamente el código de razón de fraude 4837, no puede reducir su ratio EFM sin abordar directamente el fraude amistoso que genera esos códigos.
La investigación conjunta de Mastercard y Stripe en su conferencia de 2025 lo plantea de forma más directa: uno de cada ocho estadounidenses admite haber presentado una disputa de contracargo fraudulenta. Esto no es un caso aislado. Es un patrón estructural en el sistema de disputas de pago.
Por qué la representación no es suficiente
La gestión tradicional de disputas responde a los contracargos después de que se presentan. En ese punto, la disputa ya se ha registrado en su ventana de cálculo de EFM. La representación puede recuperar los fondos, pero el daño al ratio ya está hecho.
Usted reduce su ratio EFM desviando el fraude amistoso antes de que se convierta en un contracargo formal. Eso es exactamente lo que Mastercard construyó con First-Party Trust.
Qué es Mastercard First-Party Trust
First-Party Trust es el programa de Mastercard para desviar disputas de fraude amistoso utilizando evidencia del momento de la transacción. Usted comparte datos de dispositivo, entrega e identidad en el checkout o en el punto de la disputa. La IA de Mastercard compara esa evidencia con transacciones previas no disputadas y, cuando la coincidencia es fuerte, resuelve la disputa antes de que se convierta en un contracargo formal.
Cronología del programa
- 2023: Lanzamiento piloto en EE. UU., Canadá y Brasil
- Octubre 2024: Disponibilidad completa en EE. UU.
- Junio 2025: Expansión global (Latinoamérica, el Caribe, Asia Pacífico)
FPT opera a través de dos vías técnicas: una vía en el momento de la autorización a través de la interfaz 3DS Identity Check Insights de Mastercard, y una vía post-disputa a través de la API de Ethoca Consumer Clarity Merchant Transactions.
Cómo se compara FPT con Visa CE 3.0
El programa es el equivalente directo de Mastercard al Compelling Evidence 3.0 de Visa. Mientras que Visa CE 3.0 requiere que coincidan dos transacciones previas no disputadas utilizando ID de dispositivo, dirección IP, datos de cuenta y detalles de transacción, FPT aplica la IA de Mastercard a un conjunto de evidencia de tres categorías para alcanzar el mismo resultado.
| Visa CE 3.0 | Mastercard First-Party Trust | |
|---|---|---|
| Propósito | Defensa de representación post-disputa | Desvío preautorización + revisión post-disputa |
| Estructura de evidencia | 4 elementos de 2 transacciones previas no disputadas | 1 elemento de cada una de 3 categorías (Dispositivo, Entrega, Identidad) |
| Historial de transacciones previas | Requerido (120-365 días previos) | Requerido para vía post-disputa; no requerido para vía preautorización |
| Señal de dispositivo | ID de dispositivo + dirección IP (2 de 4 elementos requeridos) | Dirección IP, ID de dispositivo o device fingerprint (elija uno) |
| Resultado | Victoria traslada responsabilidad al emisor | Disputa desviada: no se presenta contracargo formal |
| Programa de monitoreo | VAMP | EFM + ECP |
| Herramienta de red | Visa Resolve Online | 3DS Identity Check Insights + Ethoca Consumer Clarity |
Cuándo FPT activa un traslado de responsabilidad
Cuando la evidencia cumple los estándares de FPT, la responsabilidad se traslada de usted al banco emisor. Una disputa desviada no se convierte en un contracargo formal. No cuenta en sus ratios EFM o ECP.
El marco de evidencia de tres categorías
FPT requiere un elemento de datos de cada una de tres categorías. Necesita las tres cubiertas en el momento de la transacción para calificar para la protección de FPT en esa transacción.
Categoría 1 - Dispositivo. Uno de: dirección IP, ID de dispositivo o device fingerprint. Vincula la transacción disputada con el entorno real de hardware y software del titular de la tarjeta.
Categoría 2 - Entrega. Uno de: dirección de envío, dirección de email o número de teléfono. Vincula la transacción con la identidad de entrega conocida del titular en su cuenta del emisor.
Categoría 3 - Identidad. Uno de: ID de cuenta o historial de inicio de sesión, nombre del dispositivo, ubicación del dispositivo o dirección de facturación. Vincula la transacción con la identidad a nivel de cuenta del titular en lugar de solo la credencial de pago.
Donde la mayoría de los comercios se quedan cortos
Es probable que ya tenga cubiertas la Categoría 2 y la Categoría 3 a través de datos estándar de transacción y cuenta. La brecha suele estar en la Categoría 1.
Las direcciones IP y los IDs de dispositivo básicos aparecen en muchos registros de transacciones, pero ninguno proporciona la durabilidad de identidad entre sesiones que la IA de Mastercard necesita para establecer una coincidencia sólida con transacciones previas no disputadas.
Cómo FPT evita que las disputas cuenten en sus ratios
Cuando FPT intercepta una disputa antes de que se convierta en un contracargo formal, la disputa no se registra en sus cálculos de ratio EFM o ECP. Los datos de Consumer Clarity de 2025 muestran una reducción de la tasa de disputas del 1-4% en esta vía, lo que a niveles de umbral de EFM representa un margen de ratio significativo.
Vía de preautorización: 3DS Identity Check Insights
Usted envía los datos de FPT en el checkout a través del flujo 3DS Identity Check Insights de Mastercard. La huella digital del dispositivo, la dirección de email y la dirección de facturación viajan con la transacción en el payload de datos 3DS.
La IA de Mastercard evalúa el perfil de riesgo en tiempo real. Las transacciones legítimas de mayor confianza reciben un tratamiento de disputa más ligero por parte de los emisores, lo que reduce la probabilidad de que el titular reciba la notificación de disputa que precede a una presentación fraudulenta. Una disputa que nunca se presenta no afecta sus ratios EFM o ECP.
Vía post-disputa: Ethoca Consumer Clarity
Cuando se presenta una disputa, la API de Ethoca Consumer Clarity Merchant Transactions le permite enviar evidencia de transacción que el emisor utiliza para reevaluar antes de procesar el ciclo formal de contracargo. Si el titular reconoce la transacción y la retira, la disputa no se convierte en un contracargo formal.
Este es el equivalente en Mastercard de lo que hace la eliminación de TC40 a través de CE 3.0 en la red Visa: resolver la disputa a nivel de programa para que no cuente en su ratio de monitoreo.
Cómo se ven los números en el umbral
Considere un comercio con $4.000.000 en GMV e-commerce de Mastercard por mes y un ratio de fraude sobre ventas del 0,52%. Han superado el activador de EFM.
| Tasa de desvío | Contracargos por fraude desviados | Nuevo ratio de fraude | Resultado EFM |
|---|---|---|---|
| 0% (sin FPT) | n/a | 0,52% | Advertencia, multa del mes 1 pendiente |
| 2% (piso Consumer Clarity) | $416 | 0,510% | Aún por encima del activador |
| 4% (techo Consumer Clarity) | $832 | 0,499% | Por debajo del activador 0,50%, sin multa |
Con ratios iniciales más altos (0,55% y superiores), FPT por sí solo puede no ser suficiente. La salida más rápida combina el desvío de disputas con elevar la utilización de 3DS por encima del 50%, lo que rompe el activador EFM de cuatro condiciones simultáneamente.
La vía de preautorización de FPT a través de 3DS Identity Check Insights hace ambas cosas: mejora su tasa de cobertura 3DS y proporciona la señal de dispositivo que desvía disputas antes de que se presenten.
Cómo cside proporciona la evidencia a nivel de navegador que FPT requiere
Qué captura cside
cside captura huellas digitales de dispositivo a nivel de navegador, el mismo entorno donde se originan las transacciones sin presencia de tarjeta. Cada sesión en su sitio genera un hash de dispositivo persistente.
Ese hash alimenta tanto la vía de preautorización de FPT (a través de 3DS / Identity Check Insights) como su vía de evidencia post-disputa (a través de Ethoca Consumer Clarity). La misma evidencia que gana casos de Visa CE 3.0 también potencia Mastercard FPT.
Lo que la mayoría de herramientas antifraude y de contracargos no capturan
Muchas soluciones de contracargos y antifraude se centran en datos a nivel de transacción: el registro del pedido, la confirmación de pago y la dirección de envío. Lo que frecuentemente les falta es visibilidad profunda del entorno de dispositivo que el titular utilizó para completar la transacción.
Incluso cuando una suite de fraude incluye device fingerprinting, frecuentemente es una función secundaria en lugar de una capa de evidencia construida específicamente para ese fin. La señal puede no ser lo suficientemente persistente o detallada para la coincidencia de evidencia en disputas. cside captura esa capa como su función principal.
Una capa de evidencia, ambas redes
Para Visa, los datos de cside satisfacen el elemento de dispositivo en el requisito de evidencia de cuatro puntos de CE 3.0. Para Mastercard, satisfacen la Categoría 1 del marco de tres categorías de FPT. El estándar de evidencia es diferente en estructura; los datos subyacentes son los mismos.
La alianza con Chargebacks911
cside trabaja con Chargebacks911 en una alianza que combina la captura de evidencia a nivel de navegador con operaciones especializadas de representación de disputas. Cuando integra la evidencia de cside en su flujo de trabajo de FPT, obtiene datos de device fingerprint que enriquecen tanto la señal de preautorización de Mastercard como el envío post-disputa a Ethoca Consumer Clarity.
Camino más rápido hacia FPT
En mi experiencia trabajando con comercios de e-commerce, suscripciones y viajes, los equipos que se integran más rápido son los que ya ejecutan evidencia a nivel de navegador para Visa CE 3.0. La huella digital del dispositivo ya está capturada. Mapearla al requisito de Categoría 1 de FPT es un paso de configuración, no una nueva implementación.
La misma captura de evidencia que protege su ratio VAMP de Visa también protege sus ratios EFM y ECP de Mastercard. Una capa de evidencia. Ambas redes de tarjetas cubiertas.
Nota sobre las fuentes
Datos de umbrales y multas de EFM y ECP: obtenidos de la documentación del programa de Mastercard y corroborados con Chargebacks911, documentación para desarrolladores de Braintree/PayPal y ChargebackStop. Las cuatro condiciones de activación de EFM y la escala de multas ($500 en el mes 2 hasta $100.000 en el mes 19+) son consistentes en todas las fuentes.
Reducción de la tasa de disputas (1-4%): presentación conjunta de Mastercard y Stripe, Stripe Sessions 2025: "Mastercard: Strategies for Reducing Chargebacks". La cifra representa el rango observado en despliegues de Consumer Clarity; los comercios en verticales de bienes digitales con mayor concentración de uso indebido de primera parte suelen ver resultados hacia el extremo superior del rango.
Prevalencia del uso indebido de primera parte (hasta el 75% de los contracargos): centro de conocimiento "Fraud as a Service Trends" de Visa. La cifra se refiere al fraude amistoso como porcentaje de todos los contracargos en 2022, no exclusivamente a contracargos codificados como fraude. Los informes del sector de múltiples fuentes son consistentes con esta estimación.
Cronología del programa FPT: piloto de 2023 en EE. UU., Canadá y Brasil; disponibilidad completa en EE. UU. en octubre de 2024; expansión global en junio de 2025 (Latinoamérica, Caribe, Asia Pacífico). Obtenido de la documentación para desarrolladores de Mastercard, Mastercard Newsroom y comunicaciones corroborantes de acquirers.
Uno de cada ocho estadounidenses (admisión de fraude de primera parte): investigación conjunta de Mastercard y Stripe, citada en Stripe Sessions 2025.
Sobre el autor
Mike Kutlu es Head of GTM en cside. Trabaja directamente con Heads of Payments, Risk y Finance en comercios de e-commerce, suscripciones y bienes digitales para implementar evidencia de contracargos a nivel de navegador para Visa Compelling Evidence 3.0 y Mastercard First-Party Trust. Cubre VAMP, EFM, ECP, mecánicas de TC40 y estrategia de evidencia en disputas para comercios enterprise. Su enfoque es la brecha operativa entre cómo las redes de tarjetas definen la evidencia de disputas y lo que la mayoría de las herramientas de contracargos realmente capturan.
