Blog

Mastercard Scam Merchant Monitoring 2026: wat merchants voor juli moeten weten

Mastercard Scam Merchant Monitoring gaat volledig in op 24 juli 2026. Dit zijn de SMMP-triggers, het verschil met ECM en EFM, en hoe merchants zich voorbereiden.

May 05, 2026 • 6 min read

Mike Kutlu Author

Mastercard Scam Merchant Monitoring 2026: wat merchants voor juli moeten weten

Kort antwoord: Mastercard Scam Merchant Monitoring wordt in 2026 een nieuw drukpunt voor card-not-present merchants. Branche-uitleg meldt dat acquirers vanaf 24 juli 2026 gemarkeerde merchants binnen 72 uur moeten onderzoeken en Mastercard- en Maestro-verwerking direct moeten stoppen als scamactiviteit wordt bevestigd.

Mastercards Scam Merchant Monitoring Program (SMMP) verandert het risicoprofiel voor online merchants. Het is niet alleen een nieuw chargeback-ratioprogramma. Het richt zich op scamactiviteit, waardoor de trigger kan komen uit issuer-rapporten, disputedocumentatie, Mastercard-intelligence of een monitoringalert.

Voor Payments-, Risk- en Fraud-teams is de deadline belangrijk. Een merchant die onder klassieke chargebackdrempels schoon lijkt, kan toch snel onderzocht worden als het activiteitspatroon op een scamoperatie lijkt.

Wat is Mastercard Scam Merchant Monitoring?

SMMP hoort bij het bredere Mastercard-framework voor merchant risk en monitoring. De Mastercard Security Rules and Procedures Merchant Edition beschrijft het Merchant Monitoring Program, eisen voor Merchant Monitoring Service Providers, eerste scans voor merchants die vanaf 1 januari 2026 worden aangesloten en doorlopende monitoring van merchant violations.

De scamspecifieke update voor 2026 is beschreven door betaalrisicopartijen zoals Solidgate, Austreme en G2 Risk Solutions. Hun gezamenlijke lezing is dat de herziene standaarden op 24 juli 2026 ingaan en acquirers verplichten binnen 72 uur onderzoek te doen.

Als scamactiviteit wordt bevestigd, moet de acquirer Mastercard- en Maestro-verwerking voor die merchant stoppen. Voor PSP's en payment facilitators loopt die verantwoordelijkheid door naar sponsored merchants en submerchants.

Hoe SMMP verschilt van ECM, HECM en EFM

Programma	Primaire trigger	Focus	Gevolg voor merchant
ECM	Te veel chargebacks	Disputeaantal en chargebackratio	Monitoring, remediatie en mogelijke assessments
HECM	Zeer veel chargebacks	Hogere aantallen en ratios	Zwaardere escalatie en assessments
EFM	Te veel fraude	Fraudvolume, ratio en controles	Fraudemonitoring en assessments
SMMP	Vermoede of bevestigde scamactiviteit	Scamsignalen, issuer-rapporten, alerts en onderzoek	Directe stopzetting van verwerking als bevestigd

ECM en HECM zijn ratioprogramma's. EFM is fraudemonitoring. SMMP is een onderzoekstraject dat door scamsignalen wordt geactiveerd. Een merchant kan tegelijk in meerdere trajecten vallen.

Wat triggert een SMMP-onderzoek?

Branche-uitleg beschrijft vier praktische triggergroepen. Mastercard blijft de bron voor definitieve operationele regels, maar merchants moeten ze allemaal voor juli monitoren.

Daling van autorisatiepercentage

Een plotselinge daling in approvals kan een merchant op een scamoperatie laten lijken. Solidgate beschrijft dit als een daling van 50 procentpunten of meer binnen 72 uur, of een percentage onder 30%, met minimale volumes en uitzonderingen zoals BIN-aanvallen of processorstoringen.

GRIP-melding

Een Global Rules Investigation Program-melding koppelt een merchant aan verdachte activiteit op basis van Mastercard-intelligence. Dit is geen normale prestatie-waarschuwing. Zodra de melding binnenkomt, loopt de klok voor de acquirer.

Signalen bij nieuwe merchants

Merchants met minder dan zes maanden Mastercard-historie krijgen extra controle. Gerapporteerde triggers zijn onder meer fraude type 56 van twee verschillende issuers, chargebacks van meerdere issuers met documentatie over scam of manipulatie, en gecombineerde refund- plus chargebackratios boven 5% in een rollende periode.

MMSP-alerts

Het MMP-framework laat acquirers samenwerken met goedgekeurde Merchant Monitoring Service Providers. Een alert kan een merchant in een onderzoekstraject brengen als activiteit op een scam of merchant violation lijkt.

Wat gebeurt er tijdens het onderzoek van 72 uur?

De termijn van 72 uur is een verplichting voor de acquirer, geen respijtperiode voor de merchant. Na een trigger moet de acquirer snel beoordelen of activiteit legitiem, verdacht maar herstelbaar, of bevestigde scam is.

De review kan onboardingdossiers, transacties, refundgedrag, chargebackdocumentatie, issuer-rapporten, websitecontent, billing descriptors en klantcommunicatie omvatten.

Merchantbewijs is belangrijk omdat acquirers meestal niet de volledige kaarthoudercontext hebben. Ze zien autorisaties, disputes en refunds, maar niet wat de klant in de browser zag, welk apparaat checkout voltooide of of het sessiepad een legitieme aankoop ondersteunt.

Welke merchants lopen het meeste risico?

Nieuwe card-not-present merchants lopen het meeste risico omdat meerdere gerapporteerde triggers specifiek op vroeg merchantgedrag zijn gericht.

Abonnementen en SaaS: trial-to-paid, vergeten verlengingen en descriptorverwarring
iGaming en digitale goederen: hoge transactiesnelheid en intangible levering
Reizen: hoge orderwaarde en seizoenspieken in refunds
E-commerce: retourdisputes, vertraagde verzending en zwakke fulfilmentrecords
Lage descriptorherkenning: klanten bellen sneller de issuer wanneer ze een afschrijving niet herkennen

Hoe chargebackbewijs SMMP-blootstelling verlaagt

SMMP-blootstelling gaat deels over de inhoud en hoeveelheid disputes. Als meerdere issuers chargebacks indienen met scam- of manipulatietaal, kan dat dossier een trigger worden.

Sterk representment-bewijs helpt op twee manieren. Het vermindert ophoping van slecht verdedigde disputes. En het geeft de acquirer materiaal om snel te zien of de merchant legitiem is of op een scamoperatie lijkt.

cside Chargeback Evidence legt browserlaagdata vast bij checkout: device identity, sessiecontinuïteit, echte client-IP-context en activiteit op de transactiepagina.

Dezelfde bewijsstrategie helpt bij Visa-disputes onder Compelling Evidence 3.0. Lees ook hoe u een TC40 uit uw VAMP-ratio verwijdert met CE 3.0 en device fingerprinting voor Compelling Evidence-chargebacks.

SMMP en VAMP maken één bewijsprobleem

Visa en Mastercard benaderen merchant risk in 2026 vanuit verschillende hoeken. VAMP combineert frauderapporten en disputes in één ratio. SMMP focust op scamactiviteit en acquireronderzoek.

De compliance-mechaniek verschilt, maar de voorbereiding is vergelijkbaar: schone transactierecords, consistente descriptors, snelle dispute-operaties en browserlaagbewijs dat wordt vastgelegd voordat de kaarthouder de issuer belt.

Wat te doen voor 24 juli 2026

Audit refunds en chargebacks per rollende periode van 30 dagen.
Bekijk disputes met taal over scam, manipulatie of onverwachte billing.
Controleer herkenning van billing descriptors.
Analyseer autorisatietrends per BIN, issuer, markt en traffic source.
Instrumenteer browserlaagbewijs bij checkout.
Test representmentpakketten nu.
Brief uw acquirer als u nieuw bent, snel groeit of in een high-dispute vertical zit.

Verder lezen op cside

Dit artikel weerspiegelt cside's analyse van Mastercard Scam Merchant Monitoring en verwante merchant-risk programma's op 2026-05-05. Regels, drempels, deadlines en acquirerverplichtingen kunnen veranderen. Bevestig operationele beslissingen met Mastercard, uw acquirer en uw processor.

Over de auteur

Mike Kutlu is Head of GTM bij cside. Hij werkt met Payments-, Risk- en Finance-teams aan browserlaagbewijs voor chargebackrepresentment en netwerkcompliance.

Meer informatie over cside Chargeback Evidence

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Table of Contents

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

SMMP is een Mastercard-handhavingsspoor voor merchants die worden verdacht van scamactiviteit. Branche-uitleg noemt 24 juli 2026 als ingangsdatum, een onderzoekstermijn van 72 uur voor de acquirer en onmiddellijke stopzetting van Mastercard en Maestro wanneer scamactiviteit wordt bevestigd.

ECM en HECM zijn monitoringprogramma's voor te veel disputes op basis van volume of ratio. SMMP kijkt naar scamsignalen, zoals issuer-rapporten, chargebacks met scamtaal, alerts van monitoringproviders en plotselinge veranderingen in autorisaties.

Veelgenoemde triggers zijn een scherpe daling van het autorisatiepercentage, een Mastercard GRIP-melding, signalen bij nieuwe merchants zoals fraude type 56 of chargebacks van meerdere issuers, en alerts van een goedgekeurde Merchant Monitoring Service Provider.

Nieuwe card-not-present merchants met minder dan zes maanden Mastercard-acceptatie krijgen de meeste aandacht. Abonnementen, SaaS, iGaming, digitale goederen, reizen en onduidelijke descriptors verhogen ook de blootstelling.

Sterk representment-bewijs voorkomt ophoping van chargebacks met scamtaal en geeft de acquirer betere gegevens tijdens het korte onderzoek. Browserlaagbewijs helpt omdat het laat zien wat er tijdens checkout gebeurde.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Mastercard Scam Merchant Monitoring 2026: wat merchants voor juli moeten weten

Mastercard Scam Merchant Monitoring gaat volledig in op 24 juli 2026. Dit zijn de SMMP-triggers, het verschil met ECM en EFM, en hoe merchants zich voorbereiden.

CE 3.0 Auto-kwalificatie: wat veranderde op 17 oktober 2025 en wat te doen

Visa kwalificeert transacties automatisch voor Compelling Evidence 3.0 via Visa Secure en Data Only. Wat veranderde, wie profiteert en de bewijskloof.

Friendly fraud in gaming en iGaming: het chargebackplaybook 2026

iGaming-operators hebben de hoogste chargebackratio's van alle sectoren. VAMP 2026 verscherpte de lijn. Hoe CE 3.0 en browserlaagbewijs het evenwicht herstellen.

VAMP 2026: de nieuwe Visa-drempels en hoe u eronder blijft

Het VAMP-ratio van Visa scherpt de merchant Excessive-drempel op 1 april 2026 in tot 1,5%, met $8 per betwiste of frauduleuze transactie. Een playbook om onder de nieuwe grenzen te blijven met CE 3.0.

Compelling Evidence 3.0-vereisten: wat Visa eist en wat de zaak echt wint

De vier data-elementen die Visa vereist voor CE 3.0, en wat winnende representments onderscheidt van verliezende.

Hoe OpenClaw-agents botdetectie omzeilen (en hoe je ze stopt)

OpenClaw-agents in combinatie met stealth-browsertools kunnen traditionele botdetectie omzeilen. Lees hoe agentische fraude werkt en hoe browserfingerprinting helpt om die te stoppen.

Hoe CTEM er in de browserlaag uitziet: een third-party script, vijf bevindingen

Een live analyse van een Skeepers-widget op een grote internationale bank vond een 360-dagen cookie op auth-subdomeinen, een CSP-gat en een servergestuurd subscript. Zo ziet CTEM eruit wanneer het op de browserlaag wordt toegepast.

Friendly fraud in SaaS en abonnementen: de 2026-playbook

SaaS- en abonnementsbedrijven hebben een specifiek friendly-fraudprofiel: descriptor drift, terugkerende facturatie en CE 3.0-geschikte klanten. Zo pak je het aan.

Comparing account sharing prevention tools (for businesses)

SaaS companies lose revenue to account sharing every day. See a comparison of features, pricing, and reviews of popular tools used by fraud teams.

How to prevent account sharing fraud (full guide for businesses)

Account sharing costs organizations billions in revenue loss. This guide covers prevention methods like device and session limits, as well as strategic tips.