Op 17 oktober 2025 begon Visa met het automatisch kwalificeren van card-not-present transacties voor Compelling Evidence 3.0 (CE 3.0) wanneer authenticatie verloopt via Visa Secure (3-D Secure 2) of Visa Data Only in alle grote regio's. cside, het browser-layer security platform, helpt merchants de deterministische device ID en het echte client-IP te produceren die een auto-gekwalificeerde zaak versterken tot een winnend representment. Auto-kwalificatie verschuift de administratieve last naar upstream, maar garandeert geen terugboeking; de bewijskwaliteit bepaalt nog steeds de uitkomst.
Visa wijzigde stilletjes de Compelling Evidence 3.0-workflow op 17 oktober 2025. Transacties beveiligd via Visa Secure of Visa Data Only in alle grote regio's worden nu automatisch gekwalificeerd voor CE 3.0-bewijsindiening. Merchants hoeven niet langer handmatig het pakket met twee eerdere transacties samen te stellen voor elk geschikt geschil.
Dat klinkt als een overwinning, en voor sommige merchants is dat het ook. Het is tegelijkertijd een signaal over waar Visa denkt dat de bewijsketen naartoe gaat. Auto-kwalificatie verschuift de last van representment-administratie naar upstream authenticatiekwaliteit. De merchants die het meest profiteren zijn degenen wiens checkout-sessie het bewijs vastlegt dat Visa nu verwacht automatisch te lezen.
Dit artikel behandelt wat er veranderde, wie er baat bij heeft en waar de browser-layer bewijskloof nog steeds zit na auto-kwalificatie.
Wat veranderde er op 17 oktober 2025?
Visa begon card-not-present transacties automatisch te kwalificeren voor CE 3.0 wanneer authenticatie verloopt via Visa Secure (3-D Secure 2) of Visa Data Only. De wijziging geldt voor alle grote regio's. Kwalificerende transacties ontvangen CE 3.0-geschiktheid zonder dat de merchant het bewijspakket met twee eerdere transacties handmatig hoeft samen te stellen.
Vóór de wijziging vereiste CE 3.0-geschiktheid dat de merchant of diens acquirer twee eerdere onbetwiste transacties identificeerde van 120 tot 365 dagen oud en ten minste twee van vier data-elementen matcht (User ID, verzendadres, IP-adres, device ID) tussen eerdere en betwiste transacties. Dat opzoek- en matchwerk zat in het representmentproces.
Na de wijziging dragen transacties geauthenticeerd via Visa Secure of Visa Data Only de authenticatiemetadata rechtstreeks over naar de CE 3.0-evaluatie. Wanneer een geschil op die transacties landt onder redencode 10.4, komt de zaak vooraf gekwalificeerd in representment. De merchant dient nog steeds het weerleggingspakket in, maar de data-elementen die nodig zijn voor kwalificatie zijn al bijgevoegd.
Wie profiteert er daadwerkelijk
Merchants met een hoge 3-D Secure-adoptie op hun checkout, met stabiele billing descriptors en schone device-identiteit, profiteren direct. Merchants die 3DS overslaan op mobiele flows, inconsistente descriptors gebruiken of geen device-level sessiedata kunnen produceren bij representment, profiteren minder dan de kop doet vermoeden.
Drie voorwaarden samen bepalen de werkelijke waarde.
3DS-penetratie
Visa Secure is het Visa-merk voor 3-D Secure 2, dus auto-kwalificatie wordt alleen gekoppeld aan transacties die daadwerkelijk door 3DS-authenticatie worden gerouteerd. Merchants in regio's waar 3DS verplicht is (bijvoorbeeld PSD2-markten) profiteren het meest. Merchants die het meeste verkeer vrijstellen van 3DS om conversieredenen zien minder voordeel.
Voor abonnementsmerchants omzeilen stored-credential afschrijvingen doorgaans de 3DS step-up, dus het auto-kwalificatievoordeel is beperkt op verlengingsvolume.
Datakwaliteit
Auto-kwalificatie voegt het bewijs toe, maar overschrijft de datakwaliteit aan de merchantzijde niet. Niet-overeenkomende descriptor first-six over factureringscycli heen breekt de kwalificatie alsnog in de representmentfase. Inconsistente kaarthouder-identiteit over gast- en geauthenticeerde flows heen laat de acquirer zonder een schone match.
Authenticiteit van de device-match
Visa Data Only gebruikt de 3DS data-uitwisseling zonder de kaarthouder-authenticatiestap. Dat geeft de issuer een datapakket, maar het garandeert niet dat het apparaat dat de eerdere transactie voltooide hetzelfde apparaat is dat nu de betwiste transactie voltooit. Als de merchant geen device-level sessiedata vastlegt bij checkout via browser-layer capture, kan de auto-gekwalificeerde zaak alsnog tegen u worden beslist als de issuer een diepere blik wil.
Wat auto-kwalificatie niet doet
Auto-kwalificatie produceert het bewijs zelf niet. Het voegt authenticatiemetadata toe die de zaak kwalificeert voor CE 3.0-evaluatie. Als het onderliggende bewijs dun is (inconsistente device-match, verschoven descriptors, ontbrekende sessiecontext), is de zaak nog steeds zwak op inhoudelijke gronden.
De kwalificatieregels van CE 3.0 zijn niet veranderd. Twee eerdere onbetwiste transacties, 120 tot 365 dagen oud, met ten minste twee van vier data-elementen die overeenkomen, waaronder IP of device ID. Wat veranderde is wie de opzoeking doet. Auto-kwalificatie laat de Visa-infrastructuur het doen in lijn met het authenticatierecord. Het verandert niet de kwaliteitsdrempel die een issuer toepast bij het evalueren van het bewijs.
Dit is waar merchants verrast worden. Een zaak kan auto-gekwalificeerd zijn en alsnog verliezen. Issuers kijken naar device-continuïteit over de eerdere en betwiste transacties heen. Als de device ID op de eerdere transactie afkomstig was van een JavaScript-fingerprint die opportunistisch werd vastgelegd en de device ID op de betwiste transactie van een andere bron kwam, kan de match bewijstechnisch falen, zelfs als het kwalificatievakje aangevinkt is.
De browser-layer bewijskloof na auto-kwalificatie
Auto-kwalificatie verhoogt de waarde van consistente, cross-sessie device-identiteit vastgelegd op de browser-laag. Merchants die een afspeelbare checkout-sessie kunnen produceren voor zowel eerdere als betwiste transacties, zetten een auto-gekwalificeerde zaak om in een automatische overwinning. Merchants die dat niet kunnen, verliezen alsnog de zaken die ze hadden moeten winnen.
Uit cside-data: cside-analyses tonen aan dat auto-gekwalificeerde CE 3.0-zaken nog steeds tegen een betekenisvol percentage verloren gaan wanneer de onderliggende device ID-match afkomstig is van een inconsistente of opportunistische vastleggingsbron. cside meet dit door zaakuitkomsten te vergelijken voor auto-gekwalificeerde geschillen waarbij browser-layer device ID wel en niet deterministisch werd vastgelegd bij checkout.
cside legt browser-layer bewijs vast bij checkout: device-level sessiedata, network fingerprint, script-geverifieerde transactiecontext. Dezelfde device-identiteit loopt over elke sessie bij dezelfde merchant, wat betekent dat de match die CE 3.0 nu auto-kwalificeert ook deterministisch reproduceerbaar is door de merchant wanneer de issuer erom vraagt. Voor een representmentzaak is het praktische effect eenvoudig: het auto-gekwalificeerde pakket plus een overeenkomend browser-layer sessieartefact geeft de issuer een sterke basis om de chargeback in één keer terug te draaien. Zonder de browser-laag is het auto-gekwalificeerde pakket een ticket naar de volgende wachtrij, geen gegarandeerde uitkomst.
Voor een volledig overzicht van de vier kerngegevenselementen die Visa evalueert, zie de CE 3.0-vereistengids. Voor de VAMP-ratiocontext die het winnen van die zaken urgent maakt, zie het VAMP 2026 merchant playbook.
Wat u deze week moet doen
Bevestig de 3DS / Visa Secure-penetratie op uw Visa card-not-present verkeer. Audit de consistentie van descriptor first-six. Instrumenteer browser-layer bewijs op de checkout. Hertoets de geschillen van de afgelopen 30 dagen met redencode 10.4 onder de nieuwe auto-kwalificatieregels om te zien welke zaken winnaar werden.
Voor een Head of Payments is de operationele actie een drietrappencontrole:
- Haal het huidige Visa Secure-authenticatiepercentage op over uw CNP-volume. Als dit onder het niveau ligt dat uw acquirer adequaat acht voor auto-kwalificatievoordeel, is er ruimte om het aandeel auto-gekwalificeerde zaken te verhogen door meer verkeer door 3DS te routeren op low-friction momenten.
- Bevestig dat de eerste zes tekens van uw billing descriptor identiek zijn over elke betaalmethode en elke factureringscyclus. Dit is de goedkoopste fix in de gehele CE 3.0-pipeline en het is de meest voorkomende reden waarom gekwalificeerde zaken falen bij representment.
- Verifieer dat uw chargeback-stack device-level sessiedata vastlegt bij checkout, niet alleen server-side orderdata; als dat niet het geval is, is de auto-kwalificatiewaarde begrensd.
Voor iGaming-operators: houd er rekening mee dat stortingsflows op stored credentials doorgaans geen auto-kwalificatie activeren en handmatig CE 3.0-representment de primaire route blijft.
Verder lezen op cside
- cside Chargeback Evidence productpagina
- VAMP 2026 Merchant Playbook
- Device Fingerprinting in CE 3.0
- CE 3.0-vereisten: de tien datapunten
- Een TC40 verwijderen via CE 3.0
Dit artikel weerspiegelt de analyse van cside over VAMP- en friendly-fraud-regelgeving per 2026-05-01. Drempelwaarden, deadlines en programmaregels kunnen worden gewijzigd door Visa, Mastercard en acquirer-specifieke contracten. Verifieer met primaire bronnen voordat u operationele beslissingen neemt.
Over de auteur
Mike Kutlu is Head of GTM bij cside, waar hij samenwerkt met Heads of Payments, Risk en Finance aan het instrumenteren van browser-layer chargeback bewijs voor Compelling Evidence 3.0 representment. Hij schrijft over VAMP, friendly fraud en de mechanismen van geschilbewijs voor enterprise merchants.
