Blog

VAMP 2026: de nieuwe Visa-drempels en hoe u eronder blijft

Het VAMP-ratio van Visa scherpt de merchant Excessive-drempel op 1 april 2026 in tot 1,5%, met $8 per betwiste of frauduleuze transactie. Een playbook om onder de nieuwe grenzen te blijven met CE 3.0.

Apr 29, 2026 • 10 min read

Mike Kutlu Author

VAMP 2026: de nieuwe Visa-drempels en hoe u eronder blijft

Het Visa Acquirer Monitoring Program (VAMP) heeft de merchant Excessive-drempel op 1 april 2026 verlaagd naar 1,5%, met TC40-fraude en TC15-chargebacks in één ratio en $8 boetes per transactie zonder waarschuwingsniveau. Compelling Evidence 3.0 is het enige conforme mechanisme om TC40-fraude achteraf uit de VAMP-teller te halen; als een CE 3.0-representment slaagt bij een Visa-geschil met redencode 10.4, behoudt de handelaar de omzet, vermijdt de terugbetaling en betaalt geen $8-handhavingsfee voor die transactie. cside, het beveiligingsplatform in de browserlaag, helpt handelaren de browserbewijzen op CE 3.0-niveau vast te leggen die die zeges mogelijk maken.

Als u Visa card-not-present-transacties verwerkt, trad op 1 april 2026 een strenger chargeback-regime in werking. De VAMP Excessive-drempel voor handelaren daalde van 2,2% naar 1,5%, en de boetestructuur is zwaar: $8 per betwiste of frauduleuze transactie, zonder waarschuwingsniveau. Visa houdt acquirers sinds de start van VAMP op 1 april 2025 tegen een Above Standard-drempel van 0,5% en Excessive van 0,7%; die acquirer-banden zijn in april 2026 niet gewijzigd, maar acquirers geven de druk wel door aan handelaren in hun portefeuille.

Dat is een verscherping van 32% van de zichtbare merchant-ratio in één stap. Een middelgrote e-commerce-onderneming met 200.000 maandelijkse transacties die eerder comfortabel zat op 1,8% (geschillen plus fraude) ligt nu 20% boven de Excessive-lijn en riskeert ruwweg $28.800 aan handhavingskosten per maand vóór chargeback-verliezen.

Dit playbook beschrijft wat er veranderde, hoe VAMP echt wordt berekend, waarom traditionele chargeback-tools alleen niet volstaan om onder de lijn te blijven, en het CE 3.0-mechanisme dat TC40-fraude uit de ratio haalt.

Wat is VAMP?

VAMP is het Visa Acquirer Monitoring Program. Het vervangt het oude VDMP (geschillen) en VFMP (fraude) en combineert TC40-meldingen en TC15-chargebacks in één ratio tegen het totaal aan geregistreerde transacties zonder kaart aanwezig. Visa handhaaft tegen acquirers, maar acquirers geven die druk door aan handelaren in hun portefeuille.

VAMP trad in werking op 1 april 2025. De update van april 2026 is de eerste wijziging onder VAMP van de merchant Excessive-drempel, de monitoringvloer en de merchant-boetestructuur; acquirer-drempels zijn bij de start vastgezet en sindsdien niet gewijzigd. De fusie is het belangrijkste punt. Onder de oude programma's kon u een laag geschil-ratio hebben terwijl fraude-rapporten opliepen, en omgekeerd. VAMP dwingt beide tellers in één noemer: één probleemcategorie trekt nu de hele ratio omhoog.

De wijzigingen van april 2026 (en wat hetzelfde bleef)

VAMP merchant excessive-drempel

Vanaf 1 april 2026 verschuift voor handelaren de Excessive-drempel van 2,2% naar 1,5%, stijgt de monitoringvloer van 1.000 naar 1.500 gecombineerde frauderapporten en geschillen per maand, en worden de boetes $8 per betwiste of frauduleuze transactie zonder respijt voor handelaren in Excessive. Acquirer-VAMP-drempels blijven 0,5% (Above Standard) en 0,7% (Excessive); ze gelden sinds VAMP VDMP en VFMP op 1 april 2025 verving en zijn in april 2026 niet herzien. (Historische VDMP/VFMP-percentages horen bij een ander schema en zijn geen eerdere VAMP-trap.)

Wat wijzigde	Vóór 1 april 2026	Vanaf 1 april 2026
Merchant Excessive-drempel	2,2%	1,5%
Merchant-boetes bij Excessive	Gefaseerd	$8 per betwiste of frauduleuze transactie
Monitoringvloer	1.000 gecombineerd/maand	1.500 gecombineerd/maand

Acquirer-VAMP-drempels (sinds 1 april 2025, ongewijzigd in april 2026)

Niveau	Drempel
Acquirer Above Standard	0,5%
Acquirer Excessive	0,7%

Bron: Visa Acquirer Monitoring Program factsheet.

Handelaren met minder dan 1.500 gecombineerde frauderapporten en geschillen per maand vallen buiten formeel Visa-toezicht, al hanteren de meeste acquirers strengere interne limieten.

Hoe VAMP wordt berekend, stap voor stap

Hoe het VAMP-ratio wordt berekend

Het VAMP-ratio is TC40 plus TC15, gedeeld door het totaal aan geregistreerde card-not-present-transacties in de monitoringperiode. Eén fraudemelding zonder chargeback telt nog steeds in de teller.

Drie operationele gevolgen zitten in die formule.

De teller is breder geworden

De uitgever stuurt een TC40 wanneer de kaarthouder fraude meldt; het bericht komt bij uw acquirer. Veel TC40's worden nooit chargebacks omdat de uitgever het bedrag afschrijft in plaats van een geschil te openen. Oud VFMP volgde die TC40's apart. Onder VAMP tellen ze hetzelfde als een chargeback.

De noemer negeert autorisatie-weigeringen

De noemer zijn geregistreerde transacties, geen pogingen. Autorisatie-weigeringen helpen het ratio niet. U kunt niet alleen risicoregels bij auth aanscherpen en verwachten dat het ratio daalt zonder ook de teller aan te pakken.

Het monitoringvenster rolt door

Er is geen kwartaalreset. Elke maand kijkt VAMP naar de voorgaande periode en past de geldende drempel toe. Overschrijdt u Excessive deze maand, dan betaalt u deze maand.

Waarom traditionele chargeback-tools alleen niet genoeg zijn

Klassieke geschilplatformen kunnen facturatie, verzending en repliek-brieven bundelen. Sommige, zoals Kount, verzamelen ook browsersignalen in een bredere fraudesuite. Maar overal is device fingerprinting een bijfunctie of een integratie uit een ander product, niet de kern. Als CE 3.0-kwalificatie afhangt van de kwaliteit van device ID- en IP-matching, maakt dat verschil.

Zes leveranciers domineren de chargeback-categorie en spelen elk een nuttige rol:

Chargebacks911 (nu cside-partner) biedt diepe representment-diensten en deflectie-infrastructuur.
Kount (Equifax) bundelt fraudedecisioning met geschilbeheer en verzamelt enkele devicesignalen, maar fingerprinting is niet de hoofdfunctie.
Forter en Signifyd bieden post-transactie aansprakelijkheidsverschuiving via chargeback-garanties.
Chargeflow richt zich op geautomatiseerde representment voor Shopify en mid-market.
Verifi (Visa) en Ethoca (Mastercard) werken op netwerkniveau via Rapid Dispute Resolution respectievelijk Alerts.

Waar ze tekortschieten is de diepte en specificiteit van browserlaag-bewijs. Als een uitgever een CE 3.0-dossier beoordeelt, is het bewijs dat het geschil echt sluit device-matching en sessiecontinuïteit vanuit de browser waar de aankoop plaatsvond. cside is daarom gebouwd: toegewijde fingerprinting op checkout-sessieniveau, bedoeld voor CE 3.0-kwalificatie, niet vastgebouwd aan een generiek fraude- of geschilplatform.

Voor de verdeling van bewijsvelden over capture-lagen, zie CE 3.0-vereisten: de tien datapunten die acquirers echt nodig hebben.

De CE 3.0-hefboom: TC40-fraude uit het VAMP-ratio

Compelling Evidence 3.0 geldt alleen voor Visa-geschillen met redencode 10.4. Wint u een CE 3.0-representment, dan haalt Visa de TC40 uit de fraudetelling en stopt die bij te dragen aan uw VAMP-ratio. CE 3.0 is de enige conforme manier om TC40-fraude actief uit de teller te halen. Een geslaagd representment betekent ook dat de handelaar de oorspronkelijke omzet behoudt en zowel de terugbetaling als de $8 VAMP-boete vermijdt.

De kwalificatieregel is strikt. U levert twee eerdere onbetwiste transacties op dezelfde betaalgegevens, 120 tot 365 dagen oud. Minstens twee van vier data-elementen moeten matchen tussen eerdere en betwiste transacties: User ID, verzendadres, IP-adres, device ID. Minstens één van die twee moet IP of device ID zijn. Volgens het Visa CE 3.0 Merchant Readiness-document gelden deze eisen sinds april 2023.

De 4 data-elementen die CE 3.0 zoekt

Die laatste clausule maakt browserlaag-bewijs dragend. Een klassiek chargeback-tool kan verzendadres en een gehashte User ID reconstrueren. Een matchend device ID en IP op het niveau dat de uitgever eist, vereist de echte browsersessie bij checkout. Zie Hoe u een TC40 via CE 3.0 verwijdert voor de stapsgewijze workflow.

Adoptie door handelaren bevestigt het beeld. Volgens het Merchant Risk Council 2025 Global Fraud and Payments Report gebruikt 87% van de ondervraagde handelaren het Compelling Evidence-programma al tegen first-party misuse.

Van cside-data: analyse van representment-resultaten laat zien dat device ID en IP uit de browserlaag bij CE 3.0-dossiers het winstpercentage duidelijk verhogen versus alleen serverzijde. cside meet dit door uitkomsten vóór en na instrumentatie van browsercapture bij checkout te vergelijken.

Wat browserlaag-bewijs toevoegt dat acquirerdata niet kan

Browserlaag-bewijs is sessiedata op device-niveau en script-geverifieerde transactiecontext op het moment van betaling: device ID, netwerkvingerafdruk en een afspeelbaar artefact van de checkout-sessie, uitgelijnd op de billing descriptor die de kaarthouder later op het afschrift ziet.

Het Chargeback Evidence-product van cside legt die laag vast. Hetzelfde apparaat dat twee eerdere onbetwiste aankopen deed, wordt gematcht met het apparaat van de betwiste aankoop, en de match gaat CE 3.0-klaar naar de acquirer. Voor een 10.4-zaak die onder CE 2.0 onbeantwoord zou blijven, zet CE 3.0 met browserbewijs het geschil om in terugdraaiing, haalt de bijbehorende TC40 uit uw VAMP-teller en laat u de omzet houden in plaats van terug te betalen.

Dit is een mechanisch resultaat, geen overtuigingsoefening. Het bewijs matcht of niet. Als het matcht, daalt uw ratio en blijft de omzet staan.

Begrip van de tien datapunten die acquirers echt beoordelen is de basis voor een volledige bewijsketen.

Een 90-daagse VAMP-overlevingschecklist

Auditeer het huidige ratio, instrumenteer browserlaag-capture, lijn billing descriptors uit op dezelfde eerste zes tekens, draai CE 3.0-representment-tests en bespreek de pipeline met de acquirer. De meeste handelaren kunnen binnen één monitoringcyclus onder 1,5% komen als deze vier lijnen parallel lopen.

Haal de laatste 90 dagen TC40- en TC15-data op bij uw acquirer. Als die niet leveren: escaleren. Onder VAMP is er geen verdedigbare reden om dat te weigeren.
Controleer de eerste zes tekens van elke billing descriptor in uw payment stack. CE 3.0 vereist dezelfde eerste-6 descriptor tussen eerdere en betwiste transacties.
Instrumenteer browserlaag-bewijs op elke checkoutpagina. Device ID- en IP-match op kwalificatieniveau is achteraf niet te reconstrueren. Voor context over fingerprinting, zie device fingerprinting voor Compelling Evidence-chargebacks.
Pak tien recente 10.4-geschillen die onder CE 2.0 niet gekwalificeerd zouden zijn en voer ze met CE 3.0 en het nieuwe bewijs uit. Meet het terugdraai-percentage.
Vraag uw acquirer om het actuele VAMP-rapport en de interne drempel voor uw portefeuille. De meeste acquirers zitten onder het gepubliceerde Visa-ratio als buffer; bevestig de drempel rechtstreeks, want interne limieten publiceert Visa niet.

Verticalen in het kort

E-commerce, abonnement en SaaS lopen het grootste VAMP-risico omdat first-party misuse en descriptorverwarring hun geschilprofiel domineren. Travel en hospitality concentreren fraude op hoge ticketwaarden. Gaming en iGaming zitten bovenaan sectorratio's. Financiële diensten behandelen VAMP als portefeuille-ratio. In alle gevallen loopt de oplossing via CE 3.0 en browserlaag-bewijs.

E-commerce en retail. Descriptorverwarring en «item niet ontvangen»-geschillen vormen het merendeel van het TC15-volume. CE 3.0-kwalificatie is ruim als klanten terugkeren.

Abonnement en SaaS. Terugkerende facturatie levert veel eerdere transacties op dezelfde credentials — precies wat CE 3.0 beloont. De uitdaging is descriptor-drift tussen cycli. Zie het SaaS friendly fraud-playbook voor tactieken per vertical.

Travel en hospitality. Hoge ticketwaarden: weinig betwiste transacties bewegen het ratio snel. Device- en IP-matching tussen boeking en uitvoering is de strakste bewijsketen.

Gaming en iGaming. Geschilratio's in iGaming liggen vaak hoger dan in andere sectoren volgens operator-enquêtes van het Merchant Risk Council. Een sessiehistoriek met gematcht device scheidt hoge van lage representment-winstpercentages.

Financiële diensten. Behandel VAMP als portefeuille-ratio: één probleemhandelaar kan het ratio van de acquirer omhoog duwen.

Verder lezen op cside

Dit artikel weerspiegelt de analyse van cside over VAMP en friendly-fraud-regelgeving per 2026-04-29. Drempels, deadlines en programmaregels kunnen wijzigen; controleer primaire bronnen vóór operationele beslissingen.

Over de auteur

Mike Kutlu is Head of GTM bij cside en werkt met betaal-, risico- en financeteams aan browserlaag-chargebackbewijs voor CE 3.0-representments. Hij schrijft over VAMP, friendly fraud en de mechanica van geschilbewijs voor enterprise-handelaren.

Meer over cside Chargeback Evidence

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Table of Contents

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Het VAMP-ratio is de som van TC40-fraude meldingen en TC15-chargebacks, gedeeld door het totaal aan geregistreerde card-not-present-transacties. Vanaf 1 april 2026 is de merchant Excessive-drempel 1,5%, voorheen 2,2%. Acquirer Above Standard (0,5%) en acquirer Excessive (0,7%) gelden sinds de start van VAMP op 1 april 2025 en zijn in april 2026 niet gewijzigd.

Handelaren boven 1,5% betalen $8 per betwiste of frauduleuze transactie, maandelijks en zonder waarschuwingsniveau. Acquirers krijgen parallelle boetes en moeten ingrijpen of de handelaar verwijderen. Langdurige Excessive-status kan leiden tot MATCH-registratie en verlies van kaartacceptatie.

Ja. Een geslaagde Compelling Evidence 3.0-representment bij een Visa-geschil met redencode 10.4 draait de chargeback terug en haalt de bijbehorende TC40 uit de fraudetelling voor VAMP. Het is het enige erkende mechanisme om TC40-fraude achteraf uit de teller te halen. De handelaar behoudt ook de omzet en vermijdt de $8-handhavingsfee.

Handelaren met minder dan 1.500 gecombineerde geschillen en frauderapporten per maand vallen buiten formeel Visa-toezicht. De meeste acquirers hanteren strengere interne limieten; bevestig de drempel bij uw acquirer, want interne plafonds variëren en worden door Visa niet gepubliceerd.

VDMP volgde geschillen. VFMP volgde fraude. VAMP voegt beide samen in één teller ten opzichte van het totaal aan geregistreerde transacties: u kunt sterkte in één categorie niet meer compenseren met zwakte in de andere. De drempel van 2026 is ook aanzienlijk strenger dan de oude programma's.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

VAMP 2026: de nieuwe Visa-drempels en hoe u eronder blijft

Compelling Evidence 3.0-vereisten: wat Visa eist en wat de zaak echt wint

De vier data-elementen die Visa vereist voor CE 3.0, en wat winnende representments onderscheidt van verliezende.

Hoe OpenClaw-agents botdetectie omzeilen (en hoe je ze stopt)

OpenClaw-agents in combinatie met stealth-browsertools kunnen traditionele botdetectie omzeilen. Lees hoe agentische fraude werkt en hoe browserfingerprinting helpt om die te stoppen.

Hoe CTEM er in de browserlaag uitziet: een third-party script, vijf bevindingen

Een live analyse van een Skeepers-widget op een grote internationale bank vond een 360-dagen cookie op auth-subdomeinen, een CSP-gat en een servergestuurd subscript. Zo ziet CTEM eruit wanneer het op de browserlaag wordt toegepast.

Friendly fraud in SaaS en abonnementen: de 2026-playbook

SaaS- en abonnementsbedrijven hebben een specifiek friendly-fraudprofiel: descriptor drift, terugkerende facturatie en CE 3.0-geschikte klanten. Zo pak je het aan.

Comparing account sharing prevention tools (for businesses)

SaaS companies lose revenue to account sharing every day. See a comparison of features, pricing, and reviews of popular tools used by fraud teams.

How to prevent account sharing fraud (full guide for businesses)

Account sharing costs organizations billions in revenue loss. This guide covers prevention methods like device and session limits, as well as strategic tips.

7 steps to stop account takeover fraud (for Travel businesses)

MFA is bypassed by advanced phishing kits. See the best practices, fingerprint signals, and tools that Travel fraud teams actually use to stop ATO.

Quick guide to prevent Account Takeover fraud (crypto businesses)

Crypto accounts are the most valuable ATO target of any industry. See the best practices, fingerprint signals, and tools Crypto teams use to stop ATO.

How Advanced Location Data Prevents Account Takeover and Detects Unsafe AI-Agent Token Reuse

How advanced location data helps security teams detect impossible travel, stolen-session reuse, and unsafe AI-agent activity before account takeover turns into fraud or data loss.