Blog

Auto-qualification CE 3.0 : ce qui a changé le 17 octobre 2025 et quoi faire

Visa auto-qualifie les transactions pour CE 3.0 via Visa Secure et Data Only. Ce qui a changé, qui en bénéficie et où subsiste le déficit de preuves.

May 01, 2026 • 9 min read

Mike Kutlu Author

Auto-qualification CE 3.0 : ce qui a changé le 17 octobre 2025 et quoi faire

Le 17 octobre 2025, Visa a commencé à qualifier automatiquement les transactions sans présentation de carte pour Compelling Evidence 3.0 (CE 3.0) lorsque l'authentification passe par Visa Secure (3-D Secure 2) ou Visa Data Only dans toutes les grandes régions. cside, la plateforme de sécurité au niveau du navigateur, aide les marchands à produire l'identifiant d'appareil déterministe et l'adresse IP réelle du client qui transforment un dossier auto-qualifié en une représentation gagnante. L'auto-qualification déplace la charge administrative en amont, mais ne garantit pas une annulation ; c'est la qualité des preuves qui décide du résultat.

Visa a discrètement modifié le processus Compelling Evidence 3.0 le 17 octobre 2025. Les transactions sécurisées via Visa Secure ou Visa Data Only dans toutes les grandes régions sont désormais automatiquement qualifiées pour la soumission de preuves CE 3.0. Les marchands n'ont plus besoin d'assembler manuellement le dossier basé sur deux transactions antérieures pour chaque litige éligible.

Cela ressemble à une victoire, et pour certains marchands c'en est une. C'est aussi un signal sur la direction que Visa envisage pour la chaîne de preuves. L'auto-qualification déplace le fardeau de la documentation de représentation vers la qualité de l'authentification en amont. Les marchands qui en bénéficient le plus sont ceux dont la session de paiement capture les preuves que Visa s'attend désormais à lire automatiquement.

Cet article couvre ce qui a changé, qui en bénéficie, et où se situe encore le déficit de preuves au niveau du navigateur après l'auto-qualification.

Qu'est-ce qui a changé le 17 octobre 2025 ?

Processus d'auto-qualification

Visa a commencé à auto-qualifier les transactions sans présentation de carte pour CE 3.0 lorsque l'authentification passe par Visa Secure (3-D Secure 2) ou Visa Data Only. Le changement s'applique dans toutes les grandes régions. Les transactions qualifiantes héritent de l'éligibilité CE 3.0 sans que le marchand ait à constituer manuellement le dossier de preuves basé sur deux transactions antérieures.

Avant le changement, l'éligibilité CE 3.0 exigeait que le marchand ou son acquéreur identifie deux transactions antérieures non contestées, datant de 120 à 365 jours, et fasse correspondre au moins deux des quatre éléments de données (identifiant utilisateur, adresse de livraison, adresse IP, identifiant d'appareil) entre les transactions antérieures et la transaction contestée. Ce travail de recherche et de correspondance faisait partie du processus de représentation.

Après le changement, les transactions authentifiées via Visa Secure ou Visa Data Only portent les métadonnées d'authentification directement dans l'évaluation CE 3.0. Lorsqu'un litige concerne ces transactions sous le code motif 10.4, le dossier entre en représentation pré-qualifié. Le marchand soumet toujours le dossier de réfutation, mais les éléments de données nécessaires à la qualification sont déjà attachés.

Qui en bénéficie réellement

Qui bénéficie réellement de l'auto-qualification

Les marchands ayant une forte adoption du 3-D Secure sur leur page de paiement, avec des descripteurs de facturation stables et une identité d'appareil propre, en bénéficient immédiatement. Les marchands qui contournent le 3DS sur les flux mobiles, utilisent des descripteurs incohérents ou ne peuvent pas produire de données de session au niveau de l'appareil au moment de la représentation en bénéficient moins que ne le suggère le titre.

Trois conditions se combinent pour déterminer la valeur réelle.

Pénétration du 3DS

Visa Secure est la marque Visa pour 3-D Secure 2, donc l'auto-qualification ne s'attache qu'aux transactions qui passent effectivement par l'authentification 3DS. Les marchands dans les régions où le 3DS est obligatoire (par exemple, les marchés PSD2) en bénéficient le plus. Les marchands qui exemptent la majorité du trafic du 3DS pour des raisons de conversion voient moins d'avantages.

Pour les marchands par abonnement, les prélèvements sur identifiants stockés contournent généralement l'étape de vérification 3DS, de sorte que le bénéfice de l'auto-qualification est limité sur le volume de renouvellements.

Propreté des données

L'auto-qualification attache les preuves, mais elle n'écrase pas la qualité des données côté marchand. Des premiers-six du descripteur incohérents d'un cycle de facturation à l'autre brisent toujours la qualification au stade de la représentation. Une identité du titulaire de carte incohérente entre les flux invités et authentifiés laisse toujours l'acquéreur sans correspondance propre.

Authenticité de la correspondance d'appareil

Visa Data Only utilise l'échange de données 3DS sans l'étape d'authentification du titulaire de carte. Cela fournit à l'émetteur un paquet de données, mais ne garantit pas que l'appareil ayant effectué la transaction antérieure est le même que celui effectuant la transaction contestée. Si le marchand ne capture pas les données de session au niveau de l'appareil lors du paiement via la capture au niveau du navigateur, le dossier auto-qualifié peut toujours être décidé en votre défaveur si l'émetteur souhaite un examen plus approfondi.

Ce que l'auto-qualification ne fait pas

L'auto-qualification ne produit pas les preuves elles-mêmes. Elle attache des métadonnées d'authentification qui qualifient le dossier pour l'évaluation CE 3.0. Si les preuves sous-jacentes sont faibles (correspondance d'appareil incohérente, descripteurs modifiés, contexte de session manquant), le dossier reste fragile sur le fond.

Les règles de qualification CE 3.0 n'ont pas changé. Deux transactions antérieures non contestées, datant de 120 à 365 jours, avec au moins deux des quatre éléments de données correspondants, dont l'adresse IP ou l'identifiant d'appareil. Ce qui a changé, c'est qui effectue la recherche. L'auto-qualification permet à l'infrastructure de Visa de le faire en lien avec le dossier d'authentification. Elle ne modifie pas le niveau d'exigence qu'un émetteur applique lorsqu'il évalue les preuves.

C'est là que les marchands sont surpris. Un dossier peut être auto-qualifié et perdre quand même. Les émetteurs examinent la continuité de l'appareil entre les transactions antérieures et la transaction contestée. Si l'identifiant d'appareil de la transaction antérieure provenait d'une empreinte JavaScript capturée de manière opportuniste et que l'identifiant de la transaction contestée provenait d'une source différente, la correspondance peut échouer sur le plan probatoire même si la case de qualification est cochée.

Le déficit de preuves au niveau du navigateur après l'auto-qualification

Ce qui fait qu'un dossier auto-qualifié gagne réellement

L'auto-qualification augmente la valeur d'une identité d'appareil cohérente et inter-sessions, capturée au niveau du navigateur. Les marchands capables de produire une session de paiement reproductible pour les transactions antérieures et contestées transforment un dossier auto-qualifié en victoire automatique. Ceux qui ne le peuvent pas perdent encore les dossiers qu'ils auraient dû gagner.

D'après les données cside : l'analyse de cside montre que les dossiers CE 3.0 auto-qualifiés perdent encore à un taux significatif lorsque la correspondance d'identifiant d'appareil sous-jacente provient d'une source de capture incohérente ou opportuniste. cside mesure cela en comparant les résultats des dossiers auto-qualifiés où l'identifiant d'appareil au niveau du navigateur a été ou non capturé de manière déterministe lors du paiement.

cside capture les preuves au niveau du navigateur lors du paiement : données de session au niveau de l'appareil, empreinte réseau, contexte de transaction vérifié par script. La même identité d'appareil est utilisée pour chaque session chez le même marchand, ce qui signifie que la correspondance que CE 3.0 auto-qualifie désormais est également produisible de manière déterministe par le marchand lorsque l'émetteur le demande. Pour un dossier de représentation, l'effet pratique est simple : le dossier auto-qualifié combiné à un artefact de session au niveau du navigateur correspondant donne à l'émetteur une base solide pour annuler la contestation en un seul passage. Sans la couche navigateur, le dossier auto-qualifié est un ticket pour la file d'attente suivante, pas un résultat garanti.

Pour un détail complet des quatre éléments de données clés évalués par Visa, consultez le guide des exigences CE 3.0. Pour le contexte du ratio VAMP qui rend la victoire de ces dossiers urgente, consultez le guide VAMP 2026 pour les marchands.

Ce qu'il faut faire cette semaine

Confirmez la pénétration 3DS / Visa Secure sur votre trafic Visa sans présentation de carte. Auditez la cohérence des premiers-six du descripteur. Instrumentez la capture de preuves au niveau du navigateur sur votre page de paiement. Re-testez les 30 derniers jours de litiges sous le code motif 10.4 selon les nouvelles règles d'auto-qualification pour identifier les dossiers devenus gagnables.

Pour un Directeur des Paiements, l'action opérationnelle est une vérification en trois étapes :

Récupérez le taux actuel d'authentification Visa Secure sur votre volume CNP. S'il est inférieur à ce que votre acquéreur considère comme adéquat pour bénéficier de l'auto-qualification, il est possible d'augmenter la part de dossiers auto-qualifiés en routant davantage de trafic via le 3DS aux points à faible friction.
Confirmez que les six premiers caractères de votre descripteur de facturation sont identiques sur chaque moyen de paiement et chaque cycle de facturation. C'est la correction la moins coûteuse dans tout le pipeline CE 3.0 et c'est la raison la plus fréquente pour laquelle des dossiers qualifiés échouent en représentation.
Vérifiez que votre stack de contestations capture les données de session au niveau de l'appareil lors du paiement, pas seulement les données de commande côté serveur ; dans le cas contraire, la valeur de l'auto-qualification est plafonnée.

Pour les opérateurs iGaming, notez que les flux de dépôt sur identifiants stockés ne déclenchent généralement pas l'auto-qualification et que la représentation manuelle CE 3.0 reste la voie principale.

Lectures complémentaires sur cside

Cet article reflète l'analyse de cside concernant le VAMP et les réglementations sur la fraude amicale en date du 2026-05-01. Les valeurs seuils, les délais et les règles du programme sont susceptibles d'être modifiés par Visa, Mastercard et les contrats spécifiques aux acquéreurs. Vérifiez auprès des sources primaires avant toute décision opérationnelle.

À propos de l'auteur

Mike Kutlu est Head of GTM chez cside, où il travaille avec les Directeurs des Paiements, des Risques et des Finances sur l'instrumentation des preuves de contestation au niveau du navigateur pour la représentation Compelling Evidence 3.0. Il écrit sur le VAMP, la fraude amicale et les mécanismes de preuves de litiges pour les marchands entreprise.

En savoir plus sur cside Chargeback Evidence →

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Table of Contents

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

L'auto-qualification est un changement Visa entré en vigueur le 17 octobre 2025. Les transactions sécurisées via Visa Secure ou Visa Data Only héritent automatiquement de l'éligibilité CE 3.0, sans que le marchand ait à constituer manuellement le dossier de preuves basé sur deux transactions antérieures au moment de la représentation. Les règles de qualification elles-mêmes n'ont pas changé.

Pas à elle seule. L'auto-qualification attache des métadonnées d'éligibilité, mais c'est la qualité des preuves sous-jacentes qui décide de l'issue du dossier. Les marchands avec des descripteurs incohérents ou sans preuves au niveau du navigateur peuvent toujours perdre des dossiers auto-qualifiés sur le fond.

Oui. Visa Secure (authentification complète 3-D Secure 2) et Visa Data Only (échange de données sans l'étape du titulaire de carte) déclenchent tous deux l'auto-qualification. Visa Data Only a un poids probatoire légèrement plus faible car aucune authentification du titulaire n'a eu lieu.

L'auto-qualification est active dans toutes les grandes régions Visa depuis le 17 octobre 2025. Les déploiements régionaux spécifiques peuvent varier selon la mise en œuvre de l'acquéreur.

Seulement si la représentation aboutit. Le mécanisme de suppression du TC40 est lié à un résultat CE 3.0 favorable, pas à la qualification elle-même. L'auto-qualification facilite la victoire, mais le TC40 n'est retiré du compteur de fraude que lorsque la contestation est annulée.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Auto-qualification CE 3.0 : ce qui a changé le 17 octobre 2025 et quoi faire

Visa auto-qualifie les transactions pour CE 3.0 via Visa Secure et Data Only. Ce qui a changé, qui en bénéficie et où subsiste le déficit de preuves.

Fraude amicale dans le gaming et l'iGaming : le playbook de rétrofacturations 2026

Les opérateurs iGaming affichent les ratios de rétrofacturation les plus élevés de tous les secteurs. VAMP 2026 a resserré le seuil. Comment CE 3.0 et l'évidence navigateur rééquilibrent la balance.

VAMP 2026 : les nouveaux seuils Visa et comment s'en sortir

Le ratio VAMP de Visa resserre le seuil Excessive des commerçants à 1,5 % le 1er avril 2026, avec 8 $ par transaction contestée ou frauduleuse. Guide pratique pour rester sous les plafonds grâce à CE 3.0.

Exigences de Compelling Evidence 3.0: ce que Visa impose et ce qui fait gagner le cas

Les quatre elements de donnees que Visa exige pour CE 3.0, et ce qui separe les representments gagnants des perdants.

Comment les agents OpenClaw contournent la detection des bots (et comment les arreter)

Les agents OpenClaw associes a des outils de navigateur furtif peuvent contourner la detection des bots traditionnelle. Decouvrez comment fonctionne la fraude agentique et comment l'empreinte du navigateur aide a l'arreter.

A quoi ressemble le CTEM dans la couche navigateur: un script tiers, cinq constats

L'analyse en direct d'un widget Skeepers sur une grande banque internationale a revele un cookie de 360 jours sur les sous-domaines d'authentification, une lacune CSP et un sous-script controle par serveur. Voici ce que donne le CTEM applique a la couche navigateur.

Friendly fraud dans le SaaS et les abonnements: le guide 2026

Les entreprises SaaS et d'abonnement ont un profil de friendly fraud specifique: variation de descripteur, facturation recurrente et clients eligibles CE 3.0. Voici comment riposter.

Comparing account sharing prevention tools (for businesses)

SaaS companies lose revenue to account sharing every day. See a comparison of features, pricing, and reviews of popular tools used by fraud teams.

How to prevent account sharing fraud (full guide for businesses)

Account sharing costs organizations billions in revenue loss. This guide covers prevention methods like device and session limits, as well as strategic tips.

7 steps to stop account takeover fraud (for Travel businesses)

MFA is bypassed by advanced phishing kits. See the best practices, fingerprint signals, and tools that Travel fraud teams actually use to stop ATO.