Ce qu'il faut retenir
- EFM et ECP peuvent fonctionner simultanément. L'EFM cible les rétrofacturations codées fraude ; l'ECP capture toutes les rétrofacturations. La sortie de chaque programme exige trois mois consécutifs conformes.
- Visa estime que la fraude amicale représentait jusqu'à 75 % de l'ensemble des rétrofacturations en 2022. Ces contestations sont déposées sous des codes motif de fraude et gonflent à la fois vos ratios EFM et ECP.
- First-Party Trust dévie la fraude amicale avant qu'elle ne soit déposée comme rétrofacturation formelle, en s'appuyant sur des preuves d'appareil, de livraison et d'identité que vous détenez déjà.
- Le device fingerprinting est le plus persistant des trois signaux de Catégorie 1 FPT : il identifie le même titulaire de carte d'une session à l'autre plus fiablement qu'une adresse IP ou un identifiant d'appareil basique.
- La même capture de preuves qui permet de gagner des dossiers Visa CE 3.0 fournit le signal de Catégorie 1 pour Mastercard FPT. Les données capturées par des outils de fingerprinting comme cside s'intègrent dans les circuits de soumission des deux réseaux.
Si votre ratio fraude/ventes dépasse 0,50 % sur les transactions Mastercard sans présentation de carte, le programme Excessive Fraud Merchant (EFM) vous infligera une amende de 500 $ dès le deuxième mois. Au mois 19, cette amende atteint 100 000 $ par mois.
Le programme Excessive Chargeback Program (ECP) suit toutes les rétrofacturations, pas seulement celles liées à la fraude. Au niveau le plus élevé, les amendes ECP atteignent 200 000 $ par mois. La seule sortie de chaque programme est trois mois consécutifs sous le seuil.
Le lien avec la fraude amicale
La principale source de pression sur le ratio EFM est la fraude amicale : des titulaires de carte contestant des transactions légitimes sous le code motif de fraude 4837 (No Cardholder Authorization). Mastercard a retiré le code motif 4863 (Cardholder Does Not Recognize) et a consolidé ces contestations dans des catégories de fraude mises à jour, mais le schéma reste le même.
La réponse de Mastercard est First-Party Trust (FPT), un programme structuré de déviation des contestations qui utilise le device fingerprinting et d'autres signaux transactionnels pour résoudre ces litiges avant qu'ils ne deviennent des rétrofacturations formelles.
Ce que l'EFM et l'ECP pénalisent réellement
L'EFM cible les rétrofacturations pour fraude sur les transactions sans présentation de carte. L'ECP suit toutes les rétrofacturations quel que soit le code motif. Les deux programmes augmentent les amendes à partir du deuxième mois de non-conformité. (Les règles complètes des programmes figurent au chapitre 8 du Security Rules and Procedures Merchant Edition de Mastercard.)
| Programme | Niveau | Seuil mensuel | Seuil de ratio | Condition supplémentaire |
|---|---|---|---|---|
| EFM | n/a | 1 000+ transactions e-commerce | 0,50 %+ fraude/ventes | 50 k$+ CB fraude ; 3DS <50 % marchés réglementés |
| ECP | ECM | 100-299 rétrofacturations | 1,50 %-2,99 % | n/a |
| ECP | HECM | 300+ rétrofacturations | 3,00 %+ | n/a |
Conditions d'inscription à l'EFM
Les quatre seuils doivent être franchis simultanément le même mois :
- 1 000 transactions e-commerce Mastercard ou plus
- 50 000 $ ou plus de rétrofacturations pour fraude
- Un ratio fraude/ventes de 0,50 % ou plus
- Une utilisation du 3DS inférieure à 50 % sur les marchés réglementés
Votre activité non frauduleuse ne vous protège pas, car les rétrofacturations de fraude amicale sont déposées sous des codes motif de fraude.
Niveaux ECP
Le niveau Excessive Chargeback Merchant (ECM) se déclenche entre 100 et 299 rétrofacturations mensuelles et un ratio de 1,5 % à 2,99 %. Le niveau High Excessive Chargeback Merchant (HECM) se déclenche à 300+ rétrofacturations et un ratio de 3 %+. Contrairement à l'EFM, l'ECP capture chaque rétrofacturation : litiges de service, réclamations pour non-réception et fraude amicale.
Sortie des programmes
Les deux programmes exigent trois mois consécutifs sous le seuil. Les amendes ne sont pas annulées à la sortie, sauf si vous êtes éligible à l'option d'extension unique et que vous respectez les exigences de seuil avant la date limite d'extension.
Le seuil 3DS que la plupart des équipes oublient
Le seuil qui surprend la plupart des Directeurs des Paiements avec lesquels je travaille est le plancher d'utilisation du 3DS. Beaucoup d'équipes se concentrent sur le ratio de fraude et oublient que les quatre conditions EFM doivent se déclencher simultanément. Votre décision de couverture d'authentification 3DS affecte directement votre entrée dans le programme, pas seulement la rapidité de votre sortie.
Risque de double inscription
Un marchand peut être inscrit à l'EFM et à l'ECP simultanément. Les amendes sont calculées indépendamment. Au niveau HECM, les amendes ECP seules atteignent 200 000 $ par mois, indépendamment de toute amende EFM en parallèle.
Traiter la fraude amicale via FPT réduit l'exposition aux deux programmes : les contestations déviées réduisent les rétrofacturations codées fraude qui alimentent l'EFM et le nombre total de rétrofacturations qui alimente l'ECP.
Pourquoi le device fingerprinting est le signal de Catégorie 1 le plus fiable
Le problème des adresses IP et des identifiants d'appareil
Les adresses IP changent entre les réseaux, se masquent derrière des VPN et varient selon la localisation. Les identifiants d'appareil basiques (numéros IMEI, identifiants basés sur les cookies) peuvent être réinitialisés ou sont tout simplement indisponibles selon les plateformes.
Comment le fingerprinting résout le problème
Le device fingerprinting combine plus de 50 signaux matériels et logiciels du navigateur en un hash persistant. Résolution d'écran, fuseau horaire, paramètres de langue, polices installées, plugins du navigateur, identifiants matériels. Le hash résultant reste stable même lorsque l'adresse IP, le réseau ou la version du navigateur change.
L'IA de Mastercard répond à une seule question : le titulaire de carte qui a déposé cette contestation est-il la même personne qui a effectué la transaction initiale ? Une empreinte d'appareil y répond plus fiablement qu'une adresse IP ou un cookie.
Vous utilisez déjà Visa CE 3.0 ?
Si vous utilisez déjà les preuves au niveau du navigateur de cside pour les dossiers Visa Compelling Evidence 3.0, les mêmes données de device fingerprinting qui satisfont l'exigence d'élément de données CE 3.0 constituent le signal de Catégorie 1 pour Mastercard FPT. Une seule capture de preuves. Les deux réseaux de cartes couverts, chaque circuit de soumission réseau étant mappé indépendamment.
Exemple détaillé d'un marchand utilisant FPT pour sortir de l'EFM
Un détaillant en ligne de taille moyenne traitant 5 000 000 $/mois en volume e-commerce Mastercard reçoit une notification EFM. Son ratio fraude/ventes a atteint 0,54 %, alimenté par des rétrofacturations sous le code motif 4837, et son utilisation du 3DS est à 42 % sur un marché réglementé. Les quatre conditions EFM sont remplies.
Capture et soumission
Le marchand intègre le fingerprinting au niveau du navigateur dans son flux de paiement, collectant plus de 50 signaux par session (résolution d'écran, fuseau horaire, polices installées, identifiants matériels, hash canvas) et les combinant en un hash d'appareil persistant stocké avec chaque transaction.
Au moment du paiement, l'empreinte d'appareil, l'e-mail et l'adresse de facturation sont soumis via le payload 3DS Identity Check Insights. Lorsqu'un titulaire de carte dépose ensuite une contestation, l'empreinte stockée, la confirmation d'expédition et l'historique de connexion sont automatiquement soumis à l'API Ethoca Consumer Clarity.
Déviation
L'émetteur présente les preuves au titulaire de carte. L'empreinte d'appareil correspond à ses achats antérieurs non contestés, l'adresse de livraison correspond à son compte, et l'historique de connexion confirme une activité au moment de la transaction. Le titulaire reconnaît l'achat et retire sa contestation. Parce qu'elle a été retirée avant de devenir une rétrofacturation formelle, elle ne compte pas dans les ratios EFM ou ECP.
Le résultat
Sur 60 jours, le taux de déviation FPT du marchand atteint 3,8 %. Combiné à l'augmentation de l'utilisation du 3DS de 42 % à 55 %, son ratio de fraude descend à 0,47 % et il brise la condition 3DS du déclencheur EFM en quatre parties. Après trois mois consécutifs conformes, il sort du programme.
Les mêmes données de fingerprinting alimentent simultanément son flux de preuves Visa CE 3.0, protégeant son ratio VAMP sans instrumentation supplémentaire.
Pourquoi la fraude amicale gonfle vos ratios Mastercard
Visa estime que la fraude amicale représentait jusqu'à 75 % de l'ensemble des rétrofacturations en 2022. Parce que l'EFM suit spécifiquement le code motif de fraude 4837, vous ne pouvez pas réduire votre ratio EFM sans traiter directement la fraude amicale qui génère ces codes.
La recherche conjointe de Mastercard et Stripe présentée en 2025 est encore plus parlante : un Américain sur huit admet avoir déposé une contestation de rétrofacturation frauduleuse. Ce n'est pas un cas marginal. C'est un schéma structurel du système de litiges de paiement.
Pourquoi la représentation ne suffit pas
La gestion traditionnelle des litiges réagit aux rétrofacturations après leur dépôt. À ce stade, la contestation est déjà comptabilisée dans votre fenêtre de calcul EFM. La représentation peut récupérer les fonds, mais le dommage au ratio est fait.
Vous réduisez votre ratio EFM en déviant la fraude amicale avant qu'elle ne devienne une rétrofacturation formelle. C'est précisément ce que Mastercard a conçu First-Party Trust pour faire.
Ce qu'est Mastercard First-Party Trust
First-Party Trust est le programme de Mastercard pour dévier les contestations de fraude amicale en utilisant des preuves recueillies au moment de la transaction. Vous partagez des données d'appareil, de livraison et d'identité au moment du paiement ou au moment de la contestation. L'IA de Mastercard fait correspondre ces preuves avec des transactions antérieures non contestées et, lorsque la correspondance est forte, résout le litige avant qu'il ne devienne une rétrofacturation formelle.
Calendrier du programme
- 2023 : lancement pilote aux États-Unis, au Canada et au Brésil
- Octobre 2024 : disponibilité complète aux États-Unis
- Juin 2025 : expansion mondiale (Amérique latine, Caraïbes, Asie-Pacifique)
FPT fonctionne via deux parcours techniques : un parcours au moment de l'autorisation via l'interface 3DS Identity Check Insights de Mastercard, et un parcours post-contestation via l'API Ethoca Consumer Clarity Merchant Transactions.
Comparaison entre FPT et Visa CE 3.0
Le programme est l'équivalent direct de Mastercard au Compelling Evidence 3.0 de Visa. Là où Visa CE 3.0 exige de faire correspondre deux transactions antérieures non contestées à l'aide de l'identifiant d'appareil, de l'adresse IP, des données de compte et des détails de transaction, FPT applique l'IA de Mastercard à un ensemble de preuves en trois catégories pour atteindre le même résultat.
| Visa CE 3.0 | Mastercard First-Party Trust | |
|---|---|---|
| Objectif | Défense en représentation post-contestation | Déviation pré-autorisation + examen post-contestation |
| Structure des preuves | 4 éléments de 2 transactions antérieures non contestées | 1 élément de chacune des 3 catégories (Appareil, Livraison, Identité) |
| Historique de transactions | Requis (120-365 jours avant) | Requis pour le parcours post-contestation ; non requis pour le parcours pré-autorisation |
| Signal d'appareil | Identifiant d'appareil + adresse IP (2 des 4 éléments requis) | Adresse IP, identifiant d'appareil ou device fingerprint (au choix) |
| Résultat | La victoire transfère la responsabilité à l'émetteur | Contestation déviée : aucune rétrofacturation formelle déposée |
| Programme de surveillance | VAMP | EFM + ECP |
| Outil réseau | Visa Resolve Online | 3DS Identity Check Insights + Ethoca Consumer Clarity |
Quand FPT déclenche un transfert de responsabilité
Lorsque les preuves répondent aux standards FPT, la responsabilité passe de vous à la banque émettrice. Une contestation déviée ne devient pas une rétrofacturation formelle. Elle ne compte pas dans vos ratios EFM ou ECP.
Le cadre de preuves en trois catégories
FPT exige un élément de données de chacune des trois catégories. Les trois doivent être couvertes au moment de la transaction pour bénéficier de la protection FPT sur cette transaction.
Catégorie 1 - Appareil. L'un des éléments suivants : adresse IP, identifiant d'appareil ou device fingerprint. Lie la transaction contestée à l'environnement matériel et logiciel réel du titulaire de carte.
Catégorie 2 - Livraison. L'un des éléments suivants : adresse de livraison, adresse e-mail ou numéro de téléphone. Lie la transaction à l'identité de livraison connue du titulaire de carte sur son compte émetteur.
Catégorie 3 - Identité. L'un des éléments suivants : identifiant de compte ou historique de connexion, nom de l'appareil, localisation de l'appareil ou adresse de facturation. Lie la transaction à l'identité au niveau du compte du titulaire de carte plutôt qu'au seul moyen de paiement.
Là où la plupart des marchands échouent
Vous couvrez probablement les Catégories 2 et 3 grâce aux données de transaction et de compte standard. Le déficit se situe généralement en Catégorie 1.
Les adresses IP et les identifiants d'appareil basiques apparaissent dans de nombreux enregistrements de transactions, mais aucun ne fournit la durabilité d'identité inter-sessions dont l'IA de Mastercard a besoin pour établir une correspondance fiable avec les transactions antérieures non contestées.
Comment FPT empêche les contestations de compter dans vos ratios
Lorsque FPT intercepte une contestation avant qu'elle ne devienne une rétrofacturation formelle, la contestation ne s'inscrit pas dans vos calculs de ratios EFM ou ECP. Les données Consumer Clarity de 2025 montrent une réduction du taux de contestation de 1 à 4 % sur ce parcours, ce qui aux niveaux de seuil EFM représente une marge de ratio significative.
Parcours pré-autorisation : 3DS Identity Check Insights
Vous soumettez les données FPT au moment du paiement via le flux 3DS Identity Check Insights de Mastercard. L'empreinte d'appareil, l'adresse e-mail et l'adresse de facturation accompagnent la transaction dans le payload de données 3DS.
L'IA de Mastercard évalue le profil de risque en temps réel. Les transactions légitimes à forte confiance reçoivent un traitement de contestation plus léger de la part des émetteurs, rendant le titulaire de carte moins susceptible de recevoir l'invitation à contester qui précède un dépôt frauduleux. Une contestation qui n'est jamais déposée n'affecte pas vos ratios EFM ou ECP.
Parcours post-contestation : Ethoca Consumer Clarity
Lorsqu'une contestation est déposée, l'API Ethoca Consumer Clarity Merchant Transactions vous permet de soumettre des preuves de transaction que l'émetteur utilise pour réévaluer avant d'engager le cycle formel de rétrofacturation. Si le titulaire de carte reconnaît la transaction et retire sa contestation, celle-ci ne devient pas une rétrofacturation formelle.
C'est l'équivalent Mastercard de ce que la suppression du TC40 via CE 3.0 fait sur le réseau Visa : résoudre la contestation au niveau du programme pour qu'elle ne compte pas dans votre ratio de surveillance.
Ce que les chiffres donnent au seuil
Prenons un marchand avec 4 000 000 $ de GMV e-commerce Mastercard par mois et un ratio fraude/ventes de 0,52 %. Il a franchi le déclencheur EFM.
| Taux de déviation | CB fraude déviées | Nouveau ratio de fraude | Résultat EFM |
|---|---|---|---|
| 0 % (sans FPT) | n/a | 0,52 % | Avertissement, amende mois 1 à venir |
| 2 % (plancher Consumer Clarity) | 416 $ | 0,510 % | Toujours au-dessus du déclencheur |
| 4 % (plafond Consumer Clarity) | 832 $ | 0,499 % | Sous le seuil de 0,50 %, pas d'amende |
Pour des ratios de départ plus élevés (0,55 % et au-dessus), FPT seul peut ne pas suffire. La sortie la plus rapide combine la déviation des contestations avec l'augmentation de l'utilisation du 3DS au-dessus de 50 %, ce qui brise simultanément le déclencheur EFM en quatre conditions.
Le parcours de pré-autorisation FPT via 3DS Identity Check Insights fait les deux : il améliore votre taux de couverture 3DS et fournit le signal d'appareil qui dévie les contestations avant leur dépôt.
Comment cside fournit les preuves au niveau du navigateur requises par FPT
Ce que cside capture
cside capture les empreintes d'appareil au niveau du navigateur, l'environnement même d'où proviennent les transactions sans présentation de carte. Chaque session sur votre site génère un hash d'appareil persistant.
Ce hash alimente à la fois le parcours de pré-autorisation FPT (via 3DS / Identity Check Insights) et son parcours de preuves post-contestation (via Ethoca Consumer Clarity). Les mêmes preuves qui permettent de gagner des dossiers Visa CE 3.0 alimentent aussi Mastercard FPT.
Ce que la plupart des outils anti-fraude et de rétrofacturation manquent
De nombreuses solutions anti-fraude et de rétrofacturation se concentrent sur les données au niveau de la transaction : l'enregistrement de commande, la confirmation de paiement et l'adresse de livraison. Ce qui leur manque souvent, c'est une visibilité approfondie sur l'environnement de l'appareil utilisé par le titulaire de carte pour effectuer la transaction.
Même lorsqu'une suite anti-fraude inclut le device fingerprinting, il s'agit fréquemment d'une fonctionnalité secondaire plutôt que d'une couche de preuves dédiée. Le signal peut ne pas être assez persistant ou détaillé pour la correspondance de preuves en litige. cside capture cette couche comme fonction principale.
Une couche de preuves, les deux réseaux
Pour Visa, les données de cside satisfont l'élément d'appareil dans l'exigence de preuves en quatre points de CE 3.0. Pour Mastercard, elles satisfont la Catégorie 1 du cadre à trois catégories de FPT. Le standard de preuves diffère dans sa structure ; les données sous-jacentes sont les mêmes.
Le partenariat Chargebacks911
cside travaille avec Chargebacks911 dans un partenariat qui combine la capture de preuves au niveau du navigateur avec des opérations spécialisées de représentation en litige. Lorsque vous intégrez les preuves de cside dans votre flux FPT, vous bénéficiez de données de device fingerprint qui enrichissent à la fois le signal de pré-autorisation Mastercard et la soumission post-contestation Ethoca Consumer Clarity.
Le chemin le plus rapide vers FPT
D'après mon expérience avec des marchands en e-commerce, abonnements et voyage, les équipes qui s'intègrent le plus rapidement sont celles qui utilisent déjà les preuves au niveau du navigateur pour Visa CE 3.0. L'empreinte d'appareil est déjà capturée. La mapper vers l'exigence de Catégorie 1 de FPT est une étape de configuration, pas une nouvelle implémentation.
La même capture de preuves qui protège votre ratio VAMP Visa protège aussi vos ratios Mastercard EFM et ECP. Une couche de preuves. Les deux réseaux de cartes couverts.
Note sur les sources
Données de seuils et d'amendes EFM et ECP : issues de la documentation du programme Mastercard et corroborées par Chargebacks911, la documentation développeur Braintree/PayPal et ChargebackStop. Les quatre conditions de déclenchement EFM et le barème progressif des amendes (500 $ au mois 2 jusqu'à 100 000 $ au mois 19+) sont cohérents entre les sources.
Réduction du taux de contestation (1-4 %) : présentation conjointe Mastercard et Stripe, Stripe Sessions 2025 : « Mastercard: Strategies for Reducing Chargebacks ». Le chiffre représente la fourchette observée sur les déploiements Consumer Clarity ; les marchands dans les secteurs de biens numériques avec une concentration plus élevée de fraude amicale voient généralement des résultats vers le haut de la fourchette.
Prévalence de la fraude amicale (jusqu'à 75 % des rétrofacturations) : hub de connaissances « Fraud as a Service Trends » de Visa. Le chiffre fait référence à la fraude amicale en part de l'ensemble des rétrofacturations en 2022, pas exclusivement aux rétrofacturations codées fraude. Les rapports du secteur de sources multiples sont cohérents avec cette estimation.
Calendrier du programme FPT : pilote 2023 aux États-Unis, au Canada et au Brésil ; disponibilité complète aux États-Unis en octobre 2024 ; expansion mondiale en juin 2025 (Amérique latine, Caraïbes, Asie-Pacifique). Issu de la documentation développeur Mastercard, de la salle de presse Mastercard et des communications corroborantes des acquéreurs marchands.
Un Américain sur huit (admission de fraude amicale) : recherche conjointe Mastercard et Stripe, citée lors de Stripe Sessions 2025.
À propos de l'auteur
Mike Kutlu est Head of GTM chez cside. Il travaille directement avec les Directeurs des Paiements, des Risques et des Finances de marchands e-commerce, abonnements et biens numériques sur l'implémentation de preuves de rétrofacturation au niveau du navigateur pour Visa Compelling Evidence 3.0 et Mastercard First-Party Trust. Il couvre le VAMP, l'EFM, l'ECP, les mécanismes TC40 et la stratégie de preuves en litige pour les marchands entreprise. Son domaine de prédilection est le fossé opérationnel entre la manière dont les réseaux de cartes définissent les preuves de litige et ce que la plupart des outils de rétrofacturation capturent réellement.
