Friendly fraud in reizen en horeca: het playbook 2026

Friendly fraud in reizen en horeca, waarbij kaarthouders legitieme boekingen betwisten onder Visa reason code 10.4, is bijzonder schadelijk omdat individuele transacties hoge waarden dragen en elk geschil de VAMP-ratio onevenredig verschuift. cside, het browser-layer securityplatform, vangt de device ID en het echte client-IP op bij de boeking om het bewijsgat voor CE 3.0-representment te dichten. Terugkerende reizigers met sessiehistorie op de merchantsite hebben de sterkste bewijsketens; eenmalige vakantiereizigers vereisen alternatieve representmentstrategieën. Onder Visa's VAMP-drempels van 2026 telt elk gewonnen representment dat een TC40 verwijdert meer dan voorheen.

Reizen en horeca bevinden zich aan het hoge-waarde-uiteinde van de friendly fraud-curve. Vliegtickets, hotelboekingen, tourpakketten en autoverhuur produceren geschillen met transactiewaarden die per transactie doorgaans hoger zijn dan de meeste e-commerce-verticalen. Volgens merchantresponses in het MRC 2025-rapport genereren reistickets van hoge waarde een onevenredige VAMP-ratio-blootstelling wanneer ze worden betwist. Een enkele teruggedraaide vluchtboeking kan de VAMP-ratio van een merchant meer verschuiven dan een maand aan retailgeschillen.

Onder de VAMP-drempels van 1 april 2026, met merchant Excessive op 1,5% en $8 per overtredingstransactie, is de foutmarge voor hoge-waarde friendly fraud smaller dan ooit.

Dit artikel is het reisspecifieke playbook voor Heads of Payments, Directors of e-commerce en CFO's die een geloofwaardig plan nodig hebben voor de geschillenlijn. De vorm van het probleem verschilt van retail, en de oplossing ook.

Waarom reizen anders is

Reizen en horeca worden geconfronteerd met vier verschillende friendly fraud-patronen: geschillen over servicefalen waarbij de kaarthouder oprecht ontevreden was, boekingsfoutgeschillen waarbij de verkeerde persoon de aankoop deed, "ik heb niet gereisd"-geschillen waarbij de uitvoering moeilijk concreet te bewijzen is, en hoge-waarde geschillen bij enkele transacties die de VAMP-ratio onevenredig verschuiven.

Geschillen over servicefalen vallen technisch niet onder reason code 10.4. Een kaarthouder die vloog maar klaagt over servicekwaliteit zou moeten indienen onder een service-geschilcode, niet fraude. Wanneer ze onder fraude indienen, soms omdat de uitgevende bank het zo routeert, soms opzettelijk, wordt de case CE 3.0-geschikt en is de verdediging het aantonen dat de service is geleverd.

Boekingsfoutgeschillen betreffen meestal een familielid, reisagent of zakelijke kaartgebruiker die een boeking namens de kaarthouder voltooit. Deze kwalificeren als first-party misbruik wanneer de kaarthouder de genoemde rekeninghouder is, en CE 3.0 is direct van toepassing.

"Ik heb niet gereisd"-geschillen zijn het moeilijkst te verdedigen met alleen server-side data: de merchant heeft een boeking, een betaling en misschien een trackingnummer voor een bevestigingsmail, maar bewijzen dat de kaarthouder heeft gereisd vereist bewijs voorbij het transactierecord. Check-in bevestigingsdata is de sleutel: instapkaartscan, hotelsleuteluitgiftelogboek, gecombineerd met een overeenkomende browser-layer sessie op het moment van boeking.

Hoge-waarde enkele geschillen zijn het VAMP-impactprobleem. Een enkele hoge-waarde vlucht- of hotelchargeback plus de bijbehorende TC40 verandert een maandelijkse ratio meer dan tientallen lager-waarde retailgeschillen.

Het CE 3.0-profiel voor reizen

Reismerchants hebben een gemengd CE 3.0-kwalificatieprofiel. Terugkerende reizigers (zakenreizen, leden van loyaliteitsprogramma's) halen de twee-eerdere-transacties-drempel gemakkelijk. Eenmalige of jaarlijkse vakantiereizigers hebben vaak geen twee eerdere transacties in het venster van 120 tot 365 dagen. De bewijs­strategie moet worden opgesplitst per klantsegment.

Voor segmenten van terugkerende reizigers is CE 3.0-geschiktheid eenvoudig. Een zakenreiziger die achttien maanden lang via dezelfde merchant boekt, heeft triviaal twee kwalificerende eerdere transacties. De bewijsketen is sterk op server-side records voor User ID en verzendadres, maar de acquirer wil nog steeds device ID- of IP-match voor de CE 3.0 twee-van-vier-regel.

Voor jaarlijkse vakantiereizigers is CE 3.0-geschiktheid gedeeltelijk. De merchant heeft mogelijk geen twee eerdere transacties op dezelfde credential binnen het venster van 120 tot 365 dagen. In die gevallen gelden alternatieve representmentstrategieën onder niet-CE 3.0-kaders, en wordt de server-side bewijsketen (boekingsrecord, instapkaart check-in, hotelaankomst) centraler.

De drie bewijs­niveaus voor reizen

Reis-representmentbewijs loopt over drie niveaus: het boekingsrecord (server-side), de uitvoeringsbevestiging (gemengd) en het sessiebewijs op het punt van boeking (browser-layer). Alle drie zijn belangrijk. Merchants die alleen vertrouwen op het boekingsrecord verliezen geschillen die ze zouden moeten winnen; merchants die uitvoeringsbewijs toevoegen verbeteren; merchants die browser-layer bewijs erbovenop leggen dichten het gat naar de verwachting van de uitgevende bank.

Niveau 1: boekingsrecord. Transactie-ID, boekingsreferentie, reisschema, passagiersnaam, factureringsdescriptor, klantaccounthistorie. Geheel server-side. Goed om te bewijzen dat een boeking bestond; zwakker om te bewijzen dat de kaarthouder het autoriseerde.

Niveau 2: uitvoeringsbevestiging. Check-in timestamps (luchtvaartmaatschappij), sleuteluitgiftelogboeken (hotel), GPS-ping van de loyaliteitsapp (indien beschikbaar), IP van het openen van de reisbevestigingsmail. Gemengde bron. Sterk bewijs dat de service is geconsumeerd. Voor luchtvaartmaatschappijen is een instapkaartscrecord van gate-systemen sterk uitvoeringsbewijs voor "ik heb niet gereisd"-cases.

Niveau 3: browser-layer sessiebewijs. Device ID, echt client-IP, sessiecontinuïteit over boeking en accountlogin, script-geverifieerde transactiecontext op het punt van aankoop. Geheel browser-layer. Dit is wat CE 3.0 vraagt op het twee-van-vier data-elementniveau.

Het hoge-waarde transactieprobleem

Een enkel hoge-waarde geschil kan de VAMP-ratio van een reismerchant doen kantelen. Bescherming hiertegen betekent dat elke CE 3.0-geschikte hoge-waarde case het representment moet winnen, niet alleen de meeste. Het verschil tussen een winstpercentage van 80% en 95% is waar reismerchants onder VAMP-druk daadwerkelijk leven.

Neem een reismerchant met 50.000 maandelijkse CNP-transacties met een gemiddelde ticketwaarde boven $2.000. Elk geschil vertegenwoordigt significante VAMP-tellerblootstelling. Bij de Excessive-drempel van 1,5% vereist het handhaven van de ratio onder die lijn wanneer hoge-waarde geschillen binnenkomen het winnen van CE 3.0-representment op geschikte cases. Het verschil tussen een goed en een slecht winstpercentage vertaalt zich direct in VAMP-ratio-ruimte.

Voor de financiële modellering is de sleutelvariabele het specifieke geschilpercentage van de merchant, de ticketwaarde en de CE 3.0-geschiktheidsverdeling per klantsegment. Reismerchants moeten dit berekenen met hun eigen data in plaats van te vertrouwen op schattingen op industrieniveau.

Wat browser-layer bewijs specifiek toevoegt voor reizen

Browser-layer bewijs vastgelegd op het moment van boeking matcht het apparaat en IP van de kaarthouder met de eerdere boekingssessies op de merchantsite. Voor een terugkerende reiziger is die keten van gematchte sessies over meerdere reizen sterker bewijs dan wat het boekingsrecord alleen biedt. Voor een "ik heb niet gereisd"-geschil bewijst het dat het daadwerkelijke apparaat van de kaarthouder de boeking heeft voltooid.

Het operationele patroon is dat reismerchants met loyaliteitsprogramma's een natuurlijke login- en sessiestroom hebben om vast te leggen. Elke boekingssessie, elke check-in, elke reisschemawijziging is een kans om het browser-layer bewijs tegen dezelfde kaarthouder te vernieuwen. Tegen de tijd dat een geschil landt op een twaalf maanden oude boeking heeft de merchant meerdere afzonderlijke sessies met dezelfde device-identiteit om uit te putten, waarvan elke twee kwalificeren als CE 3.0 eerdere transacties als ze een aankoop bevatten.

cside-data: cside-analyse van CE 3.0-cases in de reisverticaal toont dat terugkerende reizigers (twee of meer boekingen in een 12-maanden venster) significant hogere representment-winstpercentages hebben dan eenmalige boekingsmakers, voornamelijk omdat de multi-sessie bewijsketen een sterke device-en-IP-match oplevert. cside meet dit door reason code 10.4-uitkomsten te segmenteren op eerdere-transactietelling voor reismerchantaccounts op het platform.

Om de TC40-verwijderingsmechaniek toe te passen, moet het representment winnen. Browser-layer bewijs bepaalt of dat gebeurt.

Hoe zit het met de netwerktools?

Verifi's Rapid Dispute Resolution (Visa) en Ethoca Alerts (Mastercard) buigen geschillen af voordat ze chargebacks worden. Beide zijn nuttig in reizen, met name voor descriptor-verwarringscases. Geen van beide vangt browser-layer bewijs op. Voor geschillen die wél chargebacks worden, hangt representment nog steeds af van de bewijsketen die de merchant heeft opgebouwd.

Reismerchants gebruiken doorgaans meerdere tools parallel:

• Verifi RDR: automatische terugbetalingsresolutie pre-geschil voor Visa
• Ethoca Alerts: pre-geschilnotificatie voor Mastercard
• Representmentworkflow (Chargebacks911, Kount of Chargeflow): handelt chargebacks af die doorkomen
• Browser-layer bewijs (cside): voedt device- en sessiedata in representmentpakketten

De categorie is complementair, niet concurrerend.

Operationeel plan

Segmenteer geschillen op reason code 10.4-geschiktheid, terugkerend versus eenmalig reiziger, en transactiewaarde. Instrumenteer browser-layer bewijs op elke boekings- en accountloginsessie. Richt op een representment-winstpercentage van 90% op CE 3.0-geschikte cases. Gebruik de netwerk-deflectietools op de categorieën waar ze het meest effectief zijn (descriptor-verwarring, terugkerende boekingsbevestigingen).

1. Haal 90 dagen geschillen op. Segmenteer op reason code, klantsegment en transactiewaarde.
2. Voor CE 3.0-geschikte cases, bereken het huidige representment-winstpercentage op elk transactiewaardeniveau.
3. Voor verloren cases, identificeer het bewijsgat. Verwacht dat het patroon zwakke IP en device ID is bij cases waar de klant een terugkerende reiziger is maar de merchant geen sessiedata heeft vastgelegd bij eerdere boekingen.
4. Instrumenteer browser-layer bewijs op boekingsflows, accountlogins en loyaliteitsprogramma-interacties.
5. Escaleer descriptor first-six (de eerste zes tekens van de factureringsdescriptor) consistentie over PSP- en IATA-afwikkelingsrecords. Legacy reis-PSP's hebben vaak descriptordrift die CE 3.0 breekt.
6. Volg het winstpercentage per transactiewaardeniveau. Verwacht de grootste verbetering aan het hoge-waarde-uiteinde omdat die cases de rijkste sessiehistorie hebben.

Voor een cross-verticale vergelijking, zie het iGaming chargeback-playbook. iGaming staat voor vergelijkbare hoge-ratio-uitdagingen onder VAMP maar met andere bewijspatronen.

Verdere lectuur op cside

• cside Chargeback Evidence productpagina
• VAMP 2026: gids voor merchants
• CE 3.0-vereisten: de tien data-elementen
• Een TC40 verwijderen via CE 3.0

Dit artikel weerspiegelt de analyse van cside over VAMP en friendly fraud-regelgeving per 2026-05-06. Drempelwaarden, deadlines en programmaregels zijn onderhevig aan wijziging door Visa, Mastercard en acquirerspecifieke contracten. Verifieer bij primaire bronnen vóór operationele beslissingen.

Over de auteur

Mike Kutlu is Head of GTM bij cside, waar hij samenwerkt met Heads of Payments, Risk en Finance aan het instrumenteren van browser-layer chargebackbewijs voor Compelling Evidence 3.0-representment. Hij schrijft over VAMP, friendly fraud en de mechaniek van geschillenbewijs voor enterprise merchants.

Meer informatie over cside Chargeback Evidence →