Blog

Mastercard Scam Merchant Monitoring 2026: lo que los comercios deben saber antes de julio

Mastercard Scam Merchant Monitoring entra plenamente en vigor el 24 de julio de 2026. Estos son los detonantes de SMMP, en qué se diferencia de ECM y EFM, y cómo prepararse.

May 05, 2026 • 7 min read

Mike Kutlu Author

Mastercard Scam Merchant Monitoring 2026: lo que los comercios deben saber antes de julio

Respuesta rápida: Mastercard Scam Merchant Monitoring es un nuevo punto de presión para comercios card-not-present en 2026. Los análisis del sector indican que desde el 24 de julio de 2026 los adquirentes deberán investigar comercios señalados en 72 horas y detener el procesamiento Mastercard y Maestro de inmediato si se confirma actividad de estafa.

El programa Scam Merchant Monitoring de Mastercard (SMMP) cambia el perfil de riesgo de los comercios online. No es solo otro programa de ratios de contracargo. Se orienta a actividad de estafa, por lo que el detonante puede venir de reportes de emisores, documentación de disputas, inteligencia de Mastercard o una alerta de monitoreo.

Para responsables de pagos, riesgo y fraude, la fecha importa. Un comercio que parece limpio bajo un umbral tradicional de contracargos puede entrar en investigación rápida si su patrón de actividad se parece al de una operación de estafa.

Qué es Mastercard Scam Merchant Monitoring

SMMP forma parte del entorno más amplio de riesgo y monitoreo de comercios de Mastercard. El manual Security Rules and Procedures Merchant Edition de Mastercard describe el Merchant Monitoring Program (MMP), requisitos para Merchant Monitoring Service Providers (MMSP), revisiones iniciales de comercios incorporados desde el 1 de enero de 2026 y monitoreo persistente de violaciones.

La actualización específica de estafas para 2026 ha sido descrita por proveedores de riesgo de pagos como Solidgate, Austreme y G2 Risk Solutions. Su lectura común es que las normas revisadas toman efecto el 24 de julio de 2026 y obligan a los adquirentes a investigar comercios señalados en 72 horas.

Si se confirma actividad de estafa, el adquirente debe detener el procesamiento Mastercard y Maestro para ese comercio. Para PSP y payment facilitators, la responsabilidad baja a comercios patrocinados y subcomercios.

Cómo se diferencia SMMP de ECM, HECM y EFM

Programa	Detonante principal	Enfoque	Consecuencia para el comercio
ECM	Exceso de contracargos	Conteo y ratio de disputas	Monitoreo, remediación y posibles cargos
HECM	Alto exceso de contracargos	Conteo y ratio más altos	Escalamiento y cargos más fuertes
EFM	Exceso de fraude	Volumen y ratio de fraude	Inscripción en programa de fraude y cargos
SMMP	Actividad de estafa sospechada o confirmada	Indicadores de estafa, reportes de emisores, alertas e investigación	Terminación inmediata del procesamiento si se confirma

ECM y HECM son programas de ratio. EFM es un programa de monitoreo de fraude. SMMP es un programa de investigación activado por señales de estafa. Un comercio puede estar en más de una vía al mismo tiempo.

Qué detona una investigación SMMP

Los análisis del sector describen cuatro grupos de detonantes. Mastercard debe seguir siendo la fuente de verdad para las reglas operativas finales, pero los comercios deberían monitorearlos antes de julio.

Caída del ratio de autorización

Una caída repentina de aprobaciones puede hacer que un comercio parezca una operación de estafa, especialmente si se concentra en poco tiempo. Solidgate describe el patrón como una caída de 50 puntos porcentuales o más en 72 horas, o una tasa por debajo del 30%, sujeta a mínimos de volumen y exclusiones como ataques BIN o caídas de procesador.

Notificación GRIP

Una notificación Global Rules Investigation Program conecta un comercio con actividad sospechosa según inteligencia de Mastercard. No es una advertencia normal de rendimiento. Cuando llega, el adquirente ya está en el reloj.

Señales de comercios nuevos

Los comercios con menos de seis meses de historial Mastercard enfrentan más escrutinio. Los detonantes reportados incluyen reportes de fraude tipo 56 desde dos emisores distintos, contracargos de varios emisores con documentación sobre estafa o manipulación, y ratios combinados de reembolso más contracargo por encima de 5% en una ventana móvil.

Alertas MMSP

El marco MMP permite a los adquirentes trabajar con Merchant Monitoring Service Providers aprobados. Una alerta de monitoreo puede llevar al comercio a una investigación si la actividad parece una estafa o una violación de comercio.

Qué ocurre durante la investigación de 72 horas

La ventana de 72 horas es una obligación del adquirente, no un periodo de gracia para el comercio. Tras un detonante, el adquirente debe revisar rápido y decidir si la actividad es legítima, sospechosa pero remediable, o estafa confirmada.

La revisión puede incluir archivos de onboarding, transacciones, reembolsos, documentación de contracargos, reportes de emisores, contenido web, descriptores de facturación y comunicaciones con clientes.

La evidencia del comercio importa porque el adquirente normalmente no tiene todo el contexto del titular. Puede ver autorizaciones, disputas y reembolsos, pero no reconstruir qué vio el cliente en el navegador, qué dispositivo completó el checkout o si la sesión apoya una compra legítima.

Qué comercios tienen más riesgo

Los comercios card-not-present nuevos tienen el riesgo más alto porque varios detonantes reportados se centran en comportamiento temprano.

Suscripción y SaaS: las conversiones de prueba a pago, renovaciones olvidadas y confusión de descriptor generan disputas que el cliente puede describir como inesperadas
iGaming y bienes digitales: la alta velocidad de transacción y la entrega intangible facilitan lenguaje de estafa del lado emisor
Viajes: alto ticket medio y picos de reembolso pueden mover rápido el ratio combinado
E-commerce: devoluciones, envíos retrasados y registros incompletos debilitan la posición durante la revisión
Descriptores poco reconocibles: cuando el cliente no reconoce el cargo, suele llamar primero al emisor

Cómo la evidencia de contracargo reduce la exposición SMMP

La exposición SMMP depende en parte del contenido y la cantidad de disputas. Si varios emisores presentan contracargos con lenguaje de estafa o manipulación, ese registro puede convertirse en detonante.

La evidencia sólida ayuda de dos maneras. Primero, reduce la acumulación de disputas mal defendidas. Segundo, ofrece al adquirente material útil para decidir si se trata de una empresa legítima con fricción de disputas o de una operación de estafa.

cside Chargeback Evidence captura datos en la capa de navegador durante checkout: identidad de dispositivo, continuidad de sesión, contexto de IP real del cliente y actividad en la página de transacción.

La misma estrategia apoya disputas Visa bajo Compelling Evidence 3.0. Para más detalle, lea cómo eliminar un TC40 del ratio VAMP con CE 3.0 y device fingerprinting para contracargos con Compelling Evidence.

SMMP y VAMP crean un mismo problema de evidencia

Visa y Mastercard abordan el riesgo de comercio desde ángulos distintos en 2026. VAMP combina reportes de fraude y disputas en un ratio. SMMP se centra en actividad de estafa e investigación del adquirente.

La mecánica de cumplimiento cambia, pero la preparación es parecida: registros limpios, descriptores consistentes, operación de disputas rápida y evidencia de navegador capturada antes de que el titular llame al emisor.

Qué hacer antes del 24 de julio de 2026

Audite reembolsos y contracargos por ventanas móviles de 30 días.
Revise disputas con lenguaje de estafa, manipulación o facturación inesperada.
Verifique el reconocimiento de descriptores.
Analice tendencias de autorización por BIN, emisor, mercado y fuente de tráfico.
Instrumente evidencia de navegador en checkout.
Pruebe paquetes de representment ahora.
Informe a su adquirente si es nuevo, crece rápido o está en un vertical de alta disputa.

Más lectura en cside

Este artículo refleja el análisis de cside sobre Mastercard Scam Merchant Monitoring y programas relacionados de riesgo de comercio a fecha 2026-05-05. Las reglas, umbrales, fechas y obligaciones pueden cambiar. Confirme decisiones operativas con Mastercard, su adquirente y su procesador.

Sobre el autor

Mike Kutlu es Head of GTM en cside, donde trabaja con responsables de pagos, riesgo y finanzas en la instrumentación de evidencia de contracargo en la capa de navegador para representment y cumplimiento de redes.

Más información sobre cside Chargeback Evidence

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Table of Contents

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

SMMP es una vía de aplicación de Mastercard para comercios sospechosos de actividad de estafa. Los análisis del sector describen fecha efectiva el 24 de julio de 2026, una ventana de investigación de 72 horas para el adquirente y terminación inmediata de Mastercard y Maestro si se confirma actividad de estafa.

ECM y HECM son programas de monitoreo por exceso de disputas basados en volumen o ratio de contracargos. SMMP se centra en señales de estafa, incluidos reportes de emisores, disputas con lenguaje de estafa, alertas de proveedores de monitoreo y cambios bruscos en autorizaciones.

Los detonantes más citados son una caída brusca del ratio de autorización, una notificación GRIP de Mastercard, señales en comercios nuevos como reportes de fraude tipo 56 o contracargos de varios emisores, y alertas de un Merchant Monitoring Service Provider aprobado.

Los comercios card-not-present con menos de seis meses de aceptación Mastercard reciben más escrutinio. Suscripciones, SaaS, iGaming, bienes digitales, viajes y comercios con descriptores poco claros también tienen mayor exposición.

La evidencia de representment reduce la acumulación de contracargos con lenguaje de estafa y da al adquirente registros más sólidos durante la revisión comprimida. La evidencia en capa de navegador ayuda porque muestra qué ocurrió durante el checkout.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Mastercard Scam Merchant Monitoring 2026: lo que los comercios deben saber antes de julio

Mastercard Scam Merchant Monitoring entra plenamente en vigor el 24 de julio de 2026. Estos son los detonantes de SMMP, en qué se diferencia de ECM y EFM, y cómo prepararse.

Auto-cualificación CE 3.0: qué cambió el 17 de octubre de 2025 y qué hacer

Visa auto-cualifica transacciones para Compelling Evidence 3.0 vía Visa Secure y Data Only. Qué cambió, quién se beneficia y la brecha de evidencia.

Fraude amistoso en gaming e iGaming: el playbook de contracargos 2026

Los operadores de iGaming registran los ratios de contracargo más altos de cualquier vertical. VAMP 2026 endureció el umbral. Cómo CE 3.0 y la evidencia en capa de navegador reequilibran la balanza.

VAMP 2026: los nuevos umbrales de Visa y cómo sobrevivirlos

El ratio VAMP de Visa endureció el umbral Excessive al 1,5% el 1 de abril de 2026 con multas de 8 USD por transacción. Guía para comercios que quieren mantenerse bajo el techo usando CE 3.0.

Requisitos de Compelling Evidence 3.0: lo que Visa exige y lo que realmente gana el caso

Los cuatro elementos de datos que Visa exige para CE 3.0, y lo que separa los representments ganadores de los perdedores.

Como los agentes OpenClaw evaden la deteccion de bots (y como detenerlos)

Los agentes OpenClaw combinados con herramientas de navegador sigiloso pueden evadir la deteccion de bots heredada. Aprende como funciona el fraude agentico y como el fingerprinting del navegador ayuda a detenerlo.

Como se ve CTEM en la capa del navegador: un script de tercero, cinco hallazgos

Un analisis en vivo de un widget de Skeepers en un gran banco internacional encontro una cookie de 360 dias en subdominios de autenticacion, una brecha de CSP y un sub-script controlado por servidor. Asi se ve CTEM aplicado a la capa del navegador.

Friendly fraud en SaaS y negocios de suscripcion: guia 2026

Los negocios SaaS y de suscripcion tienen un perfil especifico de friendly fraud: cambios de descriptor, facturacion recurrente y clientes elegibles para CE 3.0. Asi puedes combatirlo.

Comparing account sharing prevention tools (for businesses)

SaaS companies lose revenue to account sharing every day. See a comparison of features, pricing, and reviews of popular tools used by fraud teams.

How to prevent account sharing fraud (full guide for businesses)

Account sharing costs organizations billions in revenue loss. This guide covers prevention methods like device and session limits, as well as strategic tips.