Wat u moet weten
- EFM en ECP kunnen gelijktijdig lopen. EFM richt zich op fraude-gecodeerde chargebacks; ECP vangt alle chargebacks op. Uittreding uit beide vereist drie opeenvolgende schone maanden.
- Visa schat dat friendly fraud in 2022 tot 75% van alle chargebacks uitmaakte. Deze geschillen worden ingediend onder frauderesoncodes en drijven zowel uw EFM- als ECP-ratio's op.
- First-Party Trust weert friendly fraud af voordat het als formele chargeback wordt ingediend, met device-, leverings- en identiteitsbewijs dat u al in bezit heeft.
- Device fingerprinting is de meest persistente van de drie Category 1 FPT-signaalopties: het identificeert dezelfde kaarthouder over sessies heen betrouwbaarder dan een IP-adres of basis device-ID.
- Dezelfde bewijsvastlegging die Visa CE 3.0-zaken wint, levert het Category 1-signaal voor Mastercard FPT. Gegevens vastgelegd door fingerprinting-tools zoals cside integreren in de indienpaden van beide netwerken.
Als uw fraude-omzetratio 0,50% overschrijdt bij Mastercard card-not-present-transacties, begint het Excessive Fraud Merchant (EFM)-programma u in maand twee $500 te beboeten. Tegen maand 19 bereikt die boete $100.000 per maand.
Het Excessive Chargeback Program (ECP) volgt alle chargebacks, niet alleen fraude. Op het hoogste niveau bereiken ECP-boetes $200.000 per maand. De enige uitweg uit beide programma's is drie opeenvolgende maanden onder de drempel.
De friendly fraud-connectie
De bron van de meeste EFM-ratiodruk is friendly fraud: kaarthouders die legitieme transacties betwisten onder frauderesoncode 4837 (No Cardholder Authorization). Mastercard heeft resoncode 4863 (Cardholder Does Not Recognize) afgeschaft en die geschillen samengevoegd in bijgewerkte fraudecategorieën, maar het patroon is hetzelfde.
Het antwoord van Mastercard is First-Party Trust (FPT), een gestructureerd geschilafwendingsprogramma dat device fingerprinting en andere transactiesignalen gebruikt om deze geschillen op te lossen voordat ze formele chargebacks worden.
Wat EFM en ECP daadwerkelijk bestraffen
EFM richt zich op card-not-present fraudechargebacks. ECP volgt alle chargebacks ongeacht resoncode. Beide escaleren boetes vanaf de tweede maand van niet-naleving. (Volledige programmaregels staan in Hoofdstuk 8 van Mastercard's Security Rules and Procedures Merchant Edition.)
| Programma | Niveau | Maandelijkse trigger | Ratiodrempel | Aanvullende voorwaarde |
|---|---|---|---|---|
| EFM | n.v.t. | 1.000+ e-commerce-transacties | 0,50%+ fraude-omzet | $50k+ fraude-CB's; 3DS <50% in gereguleerde markten |
| ECP | ECM | 100-299 chargebacks | 1,50%-2,99% | n.v.t. |
| ECP | HECM | 300+ chargebacks | 3,00%+ | n.v.t. |
EFM-inschrijvingsvoorwaarden
Alle vier drempels moeten gelijktijdig in dezelfde maand worden overschreden:
- 1.000 of meer Mastercard e-commerce-transacties
- $50.000 of meer aan fraudechargebacks
- Een fraude-omzetratio van 0,50% of hoger
- 3DS-gebruik onder 50% in gereguleerde markten
Uw niet-frauduleuze activiteit biedt geen bescherming omdat friendly fraud-chargebacks worden ingediend onder frauderesoncodes.
ECP-niveaus
Het Excessive Chargeback Merchant (ECM)-niveau wordt geactiveerd bij 100-299 maandelijkse chargebacks en een ratio van 1,5%-2,99%. Het High Excessive Chargeback Merchant (HECM)-niveau wordt geactiveerd bij 300+ chargebacks en een ratio van 3%+. Anders dan EFM vangt ECP elke chargeback op: servicegeschillen, niet-ontvangstclaims en friendly fraud.
Het programma verlaten
Beide programma's vereisen drie opeenvolgende maanden onder de drempel. Boetes worden bij uittreding niet kwijtgescholden, tenzij u in aanmerking komt voor de eenmalige verlengingsoptie en aan de drempelvereisten voldoet vóór de verlengingsdeadline.
De 3DS-drempel die de meeste teams missen
De drempel die de meeste Heads of Payments waarmee ik werk verrast, is de 3DS-gebruiksvloer. Veel teams focussen op de frauderatio en missen dat alle vier EFM-voorwaarden gelijktijdig moeten worden geactiveerd. Uw 3DS-authenticatiedekkingsbeslissing bepaalt direct of u het programma binnenkomt, niet alleen hoe snel u eruit stapt.
Risico van dubbele inschrijving
Een handelaar kan gelijktijdig in zowel EFM als ECP zijn ingeschreven. Boetes worden onafhankelijk berekend. Op HECM-niveau bereiken ECP-boetes alleen al $200.000 per maand, los van eventuele EFM-boetes die parallel lopen.
Friendly fraud aanpakken via FPT vermindert de blootstelling in beide programma's: afgewende geschillen verlagen de fraude-gecodeerde chargebacks die EFM aandrijven en het totale chargebackaantal dat ECP aandrijft.
Waarom device fingerprinting het sterkste Category 1-signaal is
Het probleem met IP's en device-ID's
IP-adressen veranderen tussen netwerken, worden gemaskeerd achter VPN's en variëren per locatie. Basis device-ID's (IMEI-nummers, cookie-gebaseerde identificatoren) kunnen worden gereset of zijn simpelweg niet beschikbaar op alle platforms.
Hoe fingerprinting dit oplost
Device fingerprinting combineert 50 of meer hardware- en softwarebrowsersignalen tot een persistente hash. Schermresolutie, tijdzone, taalinstellingen, geïnstalleerde lettertypen, browserplugins, hardware-identificatoren. De resulterende hash houdt stand zelfs als het IP-adres, netwerk of de browserversie verandert.
De AI van Mastercard beantwoordt één vraag: is de kaarthouder die dit geschil heeft ingediend dezelfde persoon die de oorspronkelijke transactie heeft afgerond? Een device fingerprint beantwoordt dat betrouwbaarder dan een IP of een cookie.
Draait u al Visa CE 3.0?
Als u al cside's browserlaagbewijs gebruikt voor Visa Compelling Evidence 3.0-zaken, dan zijn dezelfde device fingerprinting-gegevens die aan de CE 3.0 data-elementvereiste voldoen het Category 1-signaal voor Mastercard FPT. Eén bewijsvastlegging. Beide kaartnetwerken gedekt, met het indienpad van elk netwerk onafhankelijk gemapt.
Voorbeeldanalyse van een handelaar die FPT gebruikt om EFM te verlaten
Een middelgrote online retailer die $5.000.000/maand aan Mastercard e-commerce-volume verwerkt, ontvangt een EFM-melding. Hun fraude-omzetratio heeft 0,54% bereikt, gedreven door resoncode 4837-chargebacks, en hun 3DS-gebruik staat op 42% in een gereguleerde markt. Alle vier EFM-voorwaarden zijn voldaan.
Vastleggen en indienen
De handelaar integreert browserlaag-fingerprinting in hun checkoutflow, waarbij 50+ signalen per sessie worden verzameld (schermresolutie, tijdzone, geïnstalleerde lettertypen, hardware-identificatoren, canvas-hashes) en gecombineerd tot een persistente device-hash die bij elke transactie wordt opgeslagen.
Bij de checkout worden de device fingerprint, het e-mailadres en het factuuradres ingediend via de 3DS Identity Check Insights-payload. Wanneer een kaarthouder later een geschil indient, worden de opgeslagen fingerprint, verzendbevestiging en inloggeschiedenis automatisch ingediend bij de Ethoca Consumer Clarity API.
Afwending
De uitgevende bank presenteert het bewijs aan de kaarthouder. De device fingerprint komt overeen met hun eerdere onbetwiste aankopen, het verzendadres komt overeen met hun account, en de inloggeschiedenis bevestigt activiteit op het moment van de transactie. De kaarthouder herkent de aankoop en trekt het geschil in. Omdat het werd ingetrokken voordat het een formele chargeback werd, telt het niet mee voor EFM- of ECP-ratio's.
Het resultaat
Gedurende 60 dagen bereikt het FPT-afwendingspercentage van de handelaar 3,8%. Gecombineerd met het verhogen van 3DS-gebruik van 42% naar 55% daalt hun frauderatio naar 0,47% en doorbreken ze de 3DS-voorwaarde van de vierdelige EFM-trigger. Na drie opeenvolgende schone maanden verlaten ze het programma.
Dezelfde fingerprinting-gegevens voeden tegelijkertijd hun Visa CE 3.0-bewijsworkflow, waarmee hun VAMP-ratio wordt beschermd zonder extra instrumentatie.
Waarom friendly fraud uw Mastercard-ratio's opdrijft
Visa schat dat friendly fraud in 2022 tot 75% van alle chargebacks uitmaakte. Omdat EFM specifiek frauderesoncode 4837 volgt, kunt u uw EFM-ratio niet verlagen zonder de friendly fraud die die codes genereert direct aan te pakken.
Het gezamenlijke conferentieonderzoek van Mastercard en Stripe uit 2025 stelt het scherper: één op de acht Amerikanen geeft toe een frauduleus chargebackgeschil te hebben ingediend. Dit is geen randgeval. Het is een structureel patroon in het betalingsgeschillensysteem.
Waarom representment niet genoeg is
Traditioneel geschilbeheer reageert op chargebacks nadat ze zijn ingediend. Op dat moment is het geschil al geregistreerd in uw EFM-berekeningsvenster. Representment kan de gelden terugvorderen, maar de ratioschade is al aangericht.
U verlaagt uw EFM-ratio door friendly fraud af te wenden voordat het een formele chargeback wordt. Dat is precies waarvoor Mastercard First-Party Trust heeft gebouwd.
Wat Mastercard First-Party Trust is
First-Party Trust is het programma van Mastercard om friendly fraud-geschillen af te wenden met behulp van transactietijdbewijs. U deelt device-, leverings- en identiteitsgegevens bij de checkout of op het moment van het geschil. De AI van Mastercard matcht dat bewijs met eerdere onbetwiste transacties en lost, wanneer de match sterk is, het geschil op voordat het een formele chargeback wordt.
Programmatijdlijn
- 2023: Pilotlancering in de VS, Canada en Brazilië
- Oktober 2024: Volledige beschikbaarheid in de VS
- Juni 2025: Wereldwijde uitbreiding (Latijns-Amerika, het Caribisch gebied, Azië-Pacific)
FPT opereert via twee technische paden: een autorisatietijdpad via de 3DS Identity Check Insights-interface van Mastercard, en een post-geschilpad via de Ethoca Consumer Clarity Merchant Transactions API.
Hoe FPT zich verhoudt tot Visa CE 3.0
Het programma is Mastercard's directe equivalent van Visa's Compelling Evidence 3.0. Waar Visa CE 3.0 vereist dat u twee eerdere onbetwiste transacties matcht met device-ID, IP-adres, accountgegevens en transactiedetails, past FPT de AI van Mastercard toe op een driecategorische bewijsset om hetzelfde resultaat te bereiken.
| Visa CE 3.0 | Mastercard First-Party Trust | |
|---|---|---|
| Doel | Post-geschil representmentverdediging | Pre-autorisatie afwending + post-geschil beoordeling |
| Bewijsstructuur | 4 elementen uit 2 eerdere onbetwiste transacties | 1 element uit elk van 3 categorieën (Device, Delivery, Identity) |
| Voorafgaande transactiehistorie | Vereist (120-365 dagen eerder) | Vereist voor post-geschilpad; niet vereist voor pre-autorisatiepad |
| Device-signaal | Device-ID + IP-adres (2 van 4 vereiste elementen) | IP-adres, device-ID of device fingerprint (kies er één) |
| Uitkomst | Winst verschuift aansprakelijkheid naar uitgevende bank | Afgewend geschil: geen formele chargeback ingediend |
| Monitoringprogramma | VAMP | EFM + ECP |
| Netwerktool | Visa Resolve Online | 3DS Identity Check Insights + Ethoca Consumer Clarity |
Wanneer FPT een aansprakelijkheidsverschuiving activeert
Wanneer het bewijs aan FPT-normen voldoet, verschuift de aansprakelijkheid van u naar de uitgevende bank. Een afgewend geschil wordt geen formele chargeback. Het telt niet mee in uw EFM- of ECP-ratio's.
Het driecategorische bewijsframework
FPT vereist één data-element uit elk van drie categorieën. U heeft alle drie nodig op transactietijd om voor FPT-bescherming op die transactie in aanmerking te komen.
Category 1 - Device. Eén van: IP-adres, device-ID of device fingerprint. Verbindt de betwiste transactie met de feitelijke hardware- en softwareomgeving van de kaarthouder.
Category 2 - Delivery. Eén van: verzendadres, e-mailadres of telefoonnummer. Verbindt de transactie met de bekende leveringsidentiteit van de kaarthouder op hun account bij de uitgevende bank.
Category 3 - Identity. Eén van: account-ID of inloggeschiedenis, apparaatnaam, apparaatlocatie of factuuradres. Verbindt de transactie met de accountniveau-identiteit van de kaarthouder in plaats van alleen de betaalreferentie.
Waar de meeste handelaren tekortschieten
U heeft waarschijnlijk Category 2 en Category 3 gedekt via standaard transactie- en accountgegevens. Het gat zit doorgaans bij Category 1.
IP-adressen en basis device-ID's verschijnen in veel transactierecords, maar geen van beide biedt de cross-sessie identiteitsduurzaamheid die de AI van Mastercard nodig heeft om een sterke match te maken met eerdere onbetwiste transacties.
Hoe FPT voorkomt dat geschillen meetellen in uw ratio's
Wanneer FPT een geschil onderschept voordat het een formele chargeback wordt, registreert het geschil niet in uw EFM- of ECP-ratioberekeningen. Consumer Clarity-gegevens uit 2025 tonen een geschilpercentageverlaging van 1-4% op dit pad, wat op EFM-drempelniveaus betekenisvolle ratioruimte vertegenwoordigt.
Pre-autorisatiepad: 3DS Identity Check Insights
U dient FPT-gegevens in bij de checkout via Mastercard's 3DS Identity Check Insights-flow. De device fingerprint, het e-mailadres en het factuuradres reizen mee met de transactie in de 3DS-datapayload.
De AI van Mastercard beoordeelt het risicoprofiel in real time. Transacties met een hogere betrouwbaarheid als legitiem ontvangen een lichtere geschilbenadering van uitgevende banken, waardoor de kaarthouder minder waarschijnlijk de geschilprompt ontvangt die aan een frauduleuze indiening voorafgaat. Een geschil dat nooit wordt ingediend, raakt uw EFM- of ECP-ratio's niet.
Post-geschilpad: Ethoca Consumer Clarity
Wanneer een geschil wordt ingediend, laat de Ethoca Consumer Clarity Merchant Transactions API u transactiebewijs indienen dat de uitgevende bank gebruikt om opnieuw te beoordelen voordat de formele chargebackcyclus wordt verwerkt. Als de kaarthouder de transactie herkent en intrekt, wordt het geschil geen formele chargeback.
Dit is het Mastercard-equivalent van wat TC40-verwijdering via CE 3.0 doet op het Visa-netwerk: het geschil oplossen op programmaniveau zodat het niet meetelt tegen uw monitoringratio.
Hoe de cijfers eruitzien bij de drempel
Neem een handelaar met $4.000.000 aan Mastercard e-commerce GMV per maand en een fraude-omzetratio van 0,52%. Ze hebben de EFM-trigger overschreden.
| Afwendingspercentage | Fraude-CB's afgewend | Nieuwe frauderatio | EFM-uitkomst |
|---|---|---|---|
| 0% (geen FPT) | n.v.t. | 0,52% | Waarschuwing, boete maand 1 aankomend |
| 2% (Consumer Clarity minimum) | $416 | 0,510% | Nog steeds boven trigger |
| 4% (Consumer Clarity maximum) | $832 | 0,499% | Onder 0,50%-trigger, geen boete |
Bij hogere startratio's (0,55% en hoger) is FPT alleen mogelijk niet voldoende. De snelste uitweg combineert geschilafwending met het verhogen van 3DS-gebruik boven 50%, waardoor de viervoorwaardelijke EFM-trigger gelijktijdig wordt doorbroken.
Het pre-autorisatiepad van FPT via 3DS Identity Check Insights doet beide: het verbetert uw 3DS-dekkingsgraad en levert het device-signaal dat geschillen afwendt voordat ze worden ingediend.
Hoe cside het browserlaagbewijs levert dat FPT vereist
Wat cside vastlegt
cside legt device fingerprints vast op de browserlaag, dezelfde omgeving waar card-not-present-transacties ontstaan. Elke sessie op uw site genereert een persistente device-hash.
Die hash voedt zowel het pre-autorisatiepad van FPT (via 3DS / Identity Check Insights) als het post-geschil bewijspad (via Ethoca Consumer Clarity). Hetzelfde bewijs dat Visa CE 3.0-zaken wint, drijft ook Mastercard FPT aan.
Wat de meeste chargeback- en anti-fraudetools missen
Veel chargeback- en anti-fraudeoplossingen focussen op transactieniveau-gegevens: het orderrecord, de betalingsbevestiging en het verzendadres. Wat ze vaak missen is diep inzicht in de device-omgeving die de kaarthouder gebruikte om de transactie af te ronden.
Zelfs wanneer een fraudesuite device fingerprinting bevat, is het vaak een secundaire functie in plaats van een doelgebouwde bewijslaag. Het signaal is mogelijk niet persistent of gedetailleerd genoeg voor matching van geschilbewijs. cside legt die laag vast als kernfunctie.
Eén bewijslaag, beide netwerken
Voor Visa voldoen cside's gegevens aan het device-element in de vierpunts bewijsvereiste van CE 3.0. Voor Mastercard voldoet het aan Category 1 van het driecategorische framework van FPT. De bewijsstandaard verschilt qua structuur; de onderliggende gegevens zijn dezelfde.
Het Chargebacks911-partnerschap
cside werkt samen met Chargebacks911 in een partnerschap dat browserlaag-bewijsvastlegging combineert met specialistische geschilrepresentment-operaties. Wanneer u het bewijs van cside in uw FPT-workflow integreert, verkrijgt u device fingerprint-gegevens die zowel het pre-autorisatie Mastercard-signaal als de post-geschil Ethoca Consumer Clarity-indiening verrijken.
Snelste pad naar FPT
In mijn ervaring met handelaren in e-commerce, abonnementen en reizen, zijn de teams die het snelst onboarden degenen die al browserlaagbewijs draaien voor Visa CE 3.0. De device fingerprint wordt al vastgelegd. Het mappen naar de Category 1-vereiste van FPT is een configuratiestap, geen nieuwe implementatie.
Dezelfde bewijsvastlegging die uw Visa VAMP-ratio beschermt, beschermt ook uw Mastercard EFM- en ECP-ratio's. Eén bewijslaag. Beide kaartnetwerken gedekt.
Opmerking over bronnen
EFM- en ECP-drempel- en boetegegevens: afkomstig uit Mastercard-programmadocumentatie en bevestigd via Chargebacks911, Braintree/PayPal-ontwikkelaarsdocumentatie en ChargebackStop. Alle vier EFM-triggervoorwaarden en het boete-escalatieschema ($500 maand 2 tot $100.000 maand 19+) zijn consistent over alle bronnen.
Geschilpercentageverlaging (1-4%): gezamenlijke presentatie van Mastercard en Stripe, Stripe Sessions 2025: "Mastercard: Strategies for Reducing Chargebacks". Het cijfer vertegenwoordigt het bereik dat is waargenomen bij Consumer Clarity-implementaties; handelaren in digitale goederen-verticals met een hogere concentratie first-party misbruik zien doorgaans resultaten aan de bovenkant van het bereik.
Prevalentie first-party misbruik (tot 75% van chargebacks): Visa's "Fraud as a Service Trends"-kennishub. Het cijfer verwijst naar friendly fraud als aandeel van alle chargebacks in 2022, niet uitsluitend fraude-gecodeerde chargebacks. Brancherapportage uit meerdere bronnen is consistent met deze schatting.
FPT-programmatijdlijn: 2023 pilot in de VS, Canada en Brazilië; oktober 2024 volledige beschikbaarheid VS; juni 2025 wereldwijde uitbreiding (Latijns-Amerika, Caribisch gebied, Azië-Pacific). Afkomstig uit Mastercard-ontwikkelaarsdocumentatie, Mastercard Newsroom en bevestigende communicatie van merchant acquirers.
Eén op de acht Amerikanen (first-party fraude-bekentenis): gezamenlijk onderzoek van Mastercard en Stripe, geciteerd in Stripe Sessions 2025.
Over de auteur
Mike Kutlu is Head of GTM bij cside. Hij werkt direct samen met Heads of Payments, Risk en Finance bij e-commerce-, abonnements- en digitale goederenhandelaren aan het implementeren van browserlaag-chargebackbewijs voor Visa Compelling Evidence 3.0 en Mastercard First-Party Trust. Hij behandelt VAMP, EFM, ECP, TC40-mechanismen en geschilbewijsstrategie voor enterprise-handelaren. Zijn focus is het operationele gat tussen hoe kaartnetwerken geschilbewijs definiëren en wat de meeste chargeback-tools daadwerkelijk vastleggen.
