Blog

Device Fingerprinting no CE 3.0 | Como Bloquear Mais Disputas de Chargeback

Veja como os lojistas usam device fingerprinting para vencer mais casos de Compelling Evidence (VISA), bloqueando fraude de primeira parte e reduzindo os índices VAMP.

Oct 21, 2025 • 12 min read

Juan Combariza Growth Marketer

Imagem-Device-Fingerprinting-para-Combater-Fraude-de-Chargeback

Neste Blog:

Por que o device fingerprinting é o sinal mais forte para o CE 3.0
Como a inteligência client-side reduz TC40s e chargebacks
Como adicionar inteligência client-side ao seu stack de chargebacks

Você envia o pedido, o cliente recebe e então liga para o banco dizendo: "Eu não fiz essa compra". Isso é friendly fraud, e os casos estão disparando. A Visa está prestes a apertar ainda mais os índices VAMP, mas também deu aos lojistas uma nova linha de defesa: o Compelling Evidence 3.0, uma forma de bloquear disputas antes que elas se tornem chargebacks oficiais.

"O jeito antigo era combater chargebacks depois do estrago. O jeito novo é bloqueá-los upstream com uma estratégia de prevenção. Isso ajuda os lojistas a reduzir completamente as taxas de chargeback, manter os índices VAMP dentro dos limites para evitar penalidades e rejeitar disputas de titulares de cartão em segundos, em vez de desperdiçar semanas brigando por casos."
— Mike Kutlu, Consultor de Segurança Client-side, cside

De acordo com o relatório global de fraude em pagamentos de 2025 do Merchant Risk Council, 87% dos lojistas pesquisados estão submetendo compelling evidence para combater o uso indevido de primeira parte, mas apenas 57% estão coletando dados de device fingerprinting/ID de dispositivo para embasar sua estratégia de compelling evidence.

Mudanças nos Índices VAMP da VISA

Até 2026, a Visa vai reduzir os índices de disputa para:

0,9% para lojistas
0,5% para adquirentes (bancos, instituições financeiras).

Em 2024, esses índices eram de 2,2% para lojistas e 1,5% para adquirentes. Foram cortados em mais da metade e devem continuar diminuindo. Como os índices VAMP incluem tanto TC40s (registros de transações fraudulentas) quanto TC15s (todos os chargebacks, relacionados ou não a fraude), empresas que antes estavam em um patamar seguro agora sentem a pressão por proteção.

Se você ultrapassar seu índice VAMP, a multa é de 6 a 8 dólares por TC15; se estiver acima de 0,7%, será ainda maior — e a VISA continua alterando as tarifas.

Requisitos do VISA Compelling Evidence 3.0:

Para entender onde o device fingerprinting faz diferença, vamos começar pelo que o CE 3.0 da Visa realmente exige.

Tabela: Requisitos do Compelling Evidence 3.0

Tabela resumindo os requisitos de device fingerprinting do Visa Compelling Evidence 3.0 — Tabela destacando os requisitos de compelling evidence da Visa

Por Que o Device Fingerprinting é o Sinal Mais Forte para o CE 3.0

Device Fingerprinting vs. Endereços IP e IDs de Dispositivo:

Endereços IP: Um IP pode mudar a qualquer momento que você troca de rede ou localização. Com VPNs e navegadores focados em privacidade cada vez mais comuns, depender de IPs como evidência em disputas simplesmente não se sustenta.
IDs de Dispositivo: IDs básicos de dispositivo (como IMEI em celulares) não existem em todos os aparelhos e são fáceis de redefinir ou falsificar.

O que é um device fingerprint?

Device Fingerprint: No contexto do VAMP (e do processamento de pagamentos online), um device fingerprint é um identificador único criado pela combinação de dezenas de sinais de software e hardware de um navegador ou dispositivo. Um fingerprint gera um "hash" consistente que pode vincular transações de forma confiável entre sessões ou contas.

O Device Fingerprinting da cside é compatível com as normas de privacidade?

Sim. A tecnologia de fingerprinting da cside utiliza sinais não sensíveis, como resolução de tela, fuso horário e configurações de idioma, para gerar um hash único.

O fingerprinting é, na prática, menos invasivo do que cookies ou pixels de rastreamento, pois não armazena dados pessoais nem depende de banners de consentimento. Quando implementado corretamente, essa abordagem é amigável à privacidade e compatível com frameworks como o GDPR.

Tabela Comparativa: Device Fingerprinting vs. Métodos Tradicionais de Evidência

Tabela comparativa dos métodos e requisitos de Compelling Evidence da Visa — Tabela comparativa dos métodos de Compelling Evidence da Visa

Como o Device Fingerprinting Reduz TC15s e Chargebacks

O sucesso no CE 3.0 depende da qualidade dos dados. Lojistas que fornecem à Visa identificadores recorrentes e sólidos vencem mais disputas. E cada vitória no CE 3.0 na sua coluna de acompanhamento significa menos chargebacks oficiais.

Infográfico: Como o Device Fingerprinting Bloqueia Chargebacks

Infográfico mostrando como a evidência de dispositivo ajuda a bloquear chargebacks no Visa Compelling Evidence 3.0 — Infográfico: Como a evidência de dispositivo bloqueia chargebacks no Visa Compelling Evidence 3.0

Esses pontos de evidência provam à Visa que a transação não foi realmente um caso de fraude 10.4 de cartão não presente. Foi um cliente legítimo usando o mesmo dispositivo confiável de sempre. O Order Insight confirma a correspondência, sinaliza a compra como legítima e o caso é rejeitado antes de se tornar um chargeback.

Com o Order Insight da Visa funcionando por meio da sua ferramenta de gestão de chargebacks, a correspondência acontece em segundos e a responsabilidade sai do seu prato instantaneamente.

Seu índice VAMP e sua receita ficam protegidos porque:

Sem chargeback oficial = nenhum TC15 registrado
Sem chargeback oficial = nenhum reembolso necessário
Disputa rejeitada = TC40 removido

Exemplo de Correspondência de Device Fingerprinting para Compelling Evidence:

Gráfico ilustrando a correspondência de dispositivo no Visa Compelling Evidence 3.0 para prevenção de friendly fraud — Gráfico: Correspondência de dispositivo no Visa Compelling Evidence 3.0 para prevenção de friendly fraud

Observação: As transações correspondidas devem estar sem disputa e dentro da janela de 120 dias / 365 dias mencionada acima.

Que Tipos de Chargebacks o Compelling Evidence 3.0 Bloqueia?

Um analista de risco de pagamentos nos perguntou recentemente: "bloquear chargebacks vai impedir que vítimas reais recuperem seu dinheiro?". Essa é uma confusão comum, pois existem muitos tipos de chargebacks e fraudes que acabam sendo agrupados. Vítimas genuínas de fraude com cartão de crédito (como roubo de identidade) não seriam afetadas pelo programa Compelling Evidence 3.0.

O Compelling Evidence 3.0 e o device fingerprinting (neste contexto de chargebacks) dizem respeito à prevenção de fraude de chargeback de primeira parte.

Fraude de chargeback de primeira parte (também conhecida como uso indevido de primeira parte ou friendly fraud): Quando o titular do cartão registra intencionalmente um chargeback falso para recuperar fundos. Em outras palavras, é o próprio cliente que inicia a fraude, não um atacante externo. Isso geralmente acontece quando o comprador esquece de uma compra, se arrepende dela ou tem um esquema para abusar de chargebacks em benefício próprio.

Alguns exemplos comuns de fraude de primeira parte relevantes para o CE 3.0:

Fraude de Reembolso: O titular do cartão faz uma compra legítima, mas planeja explorar o processo de reembolso ou devolução. Às vezes isso se parece com "wardrobing" — comprar um item, usá-lo temporariamente e depois devolvê-lo para obter reembolso integral.
Furto Virtual: O cliente faz uma compra online legítima e depois registra um chargeback falso para recuperar o dinheiro. É um furto intencional disfarçado de pedido de reembolso. Em alguns casos, os clientes planejam revender itens de alto valor para obter lucro.
Friendly Fraud: O titular do cartão registra um chargeback para uma transação legítima. Essa categoria é chamada de "friendly" (amigável) porque muitas vezes é acidental. O cliente pode ter esquecido da compra, ou um familiar usou o mesmo cartão e dispositivo para fazer o pedido.

Como Adicionar Device Fingerprinting ao Seu Stack de Defesa Contra Chargebacks

Felizmente, adicionar device fingerprinting ao seu stack de defesa é um projeto direto. Você pode integrar o device fingerprinting à sua infraestrutura de chargeback existente com base nas soluções que já utiliza. Abaixo estão as abordagens mais comuns, com a qualidade de dados esperada e a complexidade de configuração:

Integrando Device Fingerprinting em Ferramentas de Gestão de Chargebacks:

Diagrama ilustrando o processo de device fingerprinting para o Compelling Evidence 3.0 pela cside e Chargebacks911 — Processo de device fingerprinting para o Compelling Evidence 3.0 — cside x Chargebacks911

Comparando Métodos para Usar Fingerprinting no Compelling Evidence 3.0

A) Ferramenta de gestão de chargebacks com integração pré-construída

Algumas plataformas de gestão de chargebacks (como a Chargebacks911) oferecem uma integração pré-construída com uma plataforma de inteligência client-side como a cside.

Nessa configuração, a cside executa o device fingerprinting no site do lojista. Os dados são sincronizados com a Chargebacks911, que os enriquece com outros dados do lojista, como detalhes do pedido, metadados de pagamento e identificadores de conta.

A Chargebacks911 armazena e entrega as informações ao Order Insight da Visa exatamente da forma esperada. Sem scripts para manter do seu lado. Sem engenheiros de plantão.

Vantagens:

Configuração automatizada: Instale um script no seu site e comece a fazer fingerprinting imediatamente. A integração nativa com a Chargebacks911 elimina APIs ou mapeamento manual de esquemas de dados — apenas deflexão de disputas mais rápida desde o primeiro dia.
Usabilidade dos dados: Combine a visibilidade especializada em nível de navegador da cside com a infraestrutura de disputas da Chargebacks911 para uma prevenção eficaz.
Proteção client-side completa: Acesse outros recursos de proteção que ferramentas de fraude em nível de rede não detectam, como bloqueio de ataques de enumeração, detecção de e-skimming e identificação de bots por IA.

B) Integrar device fingerprinting ao seu stack de chargebacks manualmente

Como alternativa, você pode integrar uma solução de fingerprinting independente ao seu sistema de gestão de chargebacks usando APIs. Essa abordagem oferece controle total, mas é pesada em termos de engenharia e exige atualizações constantes para se alinhar às mudanças do programa da VISA (que têm sido frequentes ultimamente).

Vantagens:

Controle: Personalização total do fluxo de dados e da arquitetura

C) Ferramenta de gestão de chargebacks com fingerprinting integrado

Algumas ferramentas de chargeback já vêm com fingerprinting embutido. Em vez de integrar com um fornecedor especializado, utilizam uma tecnologia de fingerprinting desenvolvida internamente. Como geralmente é um recurso secundário e não o produto principal, a cobertura e a profundidade dos sinais podem ser menos precisas.

Além disso, os lojistas perdem a visão mais ampla do lado client-side. Bots de card testing, scripts de e-skimming e exposições de dados sensíveis passam despercebidos, deixando o site vulnerável a outras formas de fraude cibernética.

Vantagens:

Fornecedor único: O fingerprinting está incluído no plano de assinatura. Sem complementos ou integrações adicionais.

O Impacto nos Negócios do Compelling Evidence 3.0

Cada disputa bloqueada é dinheiro economizado. De acordo com a CNBC, as empresas perdem mais de US$ 100 bilhões por ano com "friendly fraud". Além das dolorosas taxas de processamento, seu negócio perde estoque e tempo. A evidência de fingerprinting facilita a retenção da receita de vendas que você conquistou. O resultado é simples: dados melhores, mais fraudes deflectidas. Cada correspondência de dispositivo adicional pode ser uma vitória no CE 3.0 na sua coluna de acompanhamento.

Com os dados certos, você pode alcançar mais "disputas bloqueadas". Nessa etapa, seus índices VAMP (TC15 + TC40s) não são impactados, pois os casos são considerados encerrados antecipadamente.

O Que Isso Significa para o Seu Resultado Financeiro

Reduza custos operacionais: Evite taxas de chargeback (cerca de US$ 20 por disputa), penalidades técnicas (até US$ 250) e custos de recurso.

<div class="card">
  <div class="icon" aria-hidden="true">
    <svg viewBox="0 0 24 24" fill="none">
      <path d="M12 3l7 3v5c0 5-3.1 9-7 10-3.9-1-7-5-7-10V6l7-3z" stroke="#fff" stroke-width="2" />
      <path d="M9 12l2 2 4-4" stroke="#fff" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" />
    </svg>
  </div>
  <p class="text"><strong>Proteja seus Índices VAMP (TC15s):</strong> Com o CE 3.0, transações de friendly fraud disputadas que são resolvidas antecipadamente não contam como TC15s no índice VAMP da Visa.</p>
</div>

<div class="card">
  <div class="icon" aria-hidden="true">
    <svg viewBox="0 0 24 24" fill="none">
      <path d="M12 3l7 3v5c0 5-3.1 9-7 10-3.9-1-7-5-7-10V6l7-3z" stroke="#fff" stroke-width="2" />
      <path d="M9 12l2 2 4-4" stroke="#fff" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" />
    </svg>
  </div>
  <p class="text"><strong>Menor risco de restrições:</strong> Manter-se abaixo de um índice VAMP de 0,5% evita restrições de conta ou encerramento.</p>
</div>

<div class="card">
  <div class="icon" aria-hidden="true">
    <svg viewBox="0 0 24 24" fill="none">
      <path d="M12 3l7 3v5c0 5-3.1 9-7 10-3.9-1-7-5-7-10V6l7-3z" stroke="#fff" stroke-width="2" />
      <path d="M9 12l2 2 4-4" stroke="#fff" stroke-width="2" stroke-linecap="round" stroke-linejoin="round" />
    </svg>
  </div>
  <p class="text"><strong>Recupere receita perdida:</strong> A receita do lojista some com alegações de "não fui eu". Recupere as vendas para estancar o vazamento de lucro.</p>
</div>

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Você saberá que está no Programa de Monitoramento de Adquirentes da Visa (VAMP) se o seu adquirente ou processador notificar que sua taxa de fraude em relação às vendas ou a quantidade de disputas ultrapassou os limites da Visa. Você também pode verificar seus relatórios mensais de chargeback para ver as taxas TC40 e TC15 e avaliar se está em risco de ser incluído no programa.

Seu provedor de gestão de chargebacks ou gateway habilita o programa por meio da integração com o Order Insight da Visa. Assim que seu sistema estiver conectado e alimentando os campos de dados obrigatórios (como ID do dispositivo, IP e dados da conta), o CE 3.0 avalia automaticamente as disputas elegíveis.

Sim. O device fingerprinting moderno, como o da cside, utiliza sinais do navegador que não exigem permissão e não são pessoais (tamanho de tela, sistema operacional, fuso horário etc.) para identificar dispositivos sem armazenar dados pessoais (PII) nem rastrear usuários. Quando implementado corretamente, é compatível com GDPR, PCI DSS e outros frameworks de privacidade.

A Visa continua endurecendo as regras, e o seguro contra chargeback resolve apenas parte do problema. A proteção real inclui uma ferramenta upstream que intercepta disputas antes que elas impactem seu índice VAMP ou gerem reembolsos.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog com três ameaças de scripts de afiliados comprometidos: redirecionamentos silenciosos de jogadores, roubo de comissões via UTM e injecção de ID de afiliado fraudulento

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa de blog escura a destacar três riscos client-side na região APAC: deriva de contentores de tags por mercado, scripts com alvo geográfico que evadem ferramentas de amostragem, e injecção de pixels de CDN regional e de afiliados.

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Visualização abstrata em azul-escuro de ligações de rede a atravessar um gateway circular

Corrigir o tratamento de timeouts de TLS na Edge da cside

Como a cside melhorou a fiabilidade do TLS na Edge em Rust ao retirar o trabalho de handshake do caminho de accept do Axum e colocá-lo em tasks Tokio limitadas.

Como Bloquear o ClaudeBot no Seu Site

O ClaudeBot rastreia o seu site para treinar os modelos Claude da Anthropic. Eis como bloqueá-lo com robots.txt e intervalos de IP, e o que o bloqueio ainda não cobre.

Como Prevenir a Criação de Contas Falsas: Porque a Deteção na Camada do Navegador Apanha o que a Verificação de Email Não Vê

A verificação de email confirma que uma caixa de correio existe. Não consegue ver o navegador. Eis porque a deteção na camada do navegador apanha contas falsas que ela não vê.

Ataque à cadeia de suprimentos do Polyfill.io: linha do tempo completa, análise e lições (2024–2026)

Uma linha do tempo completa e documentada do ataque à cadeia de suprimentos do Polyfill.io, da venda do domínio em 2024 às sanções contra a Funnull em 2025, e como removê-lo hoje.

Capa escura do blog cside com fundo de pixels azuis e três marcas de verificação: por que regras de velocidade falham contra agentes de teste de cartão com IA, os sinais do navegador que os expõem e como bloquear o pagamento antes do checkout

Como Bloquear Agentes de Teste de Cartão com IA

Agentes de IA de teste de cartão sondam fluxos de pagamento com navegadores reais. Aprenda os sinais que os expõem antes de concluir uma transação.

Plataforma de segurança cside classificando múltiplas conexões de agentes de IA — detecção de agentes em nível de navegador e gerenciamento de confiança

Como escolher uma solução de detecção de agentes de IA

Um guia de compra em cinco etapas para CISOs que avaliam soluções de detecção de agentes de IA: arquitetura, classificação, perfis de fornecedores e metodologia de POC.

Capa do blog cside mostrando uma interface de navegador filtrando o tráfego de bots e agentes de IA em caminhos confiáveis e bloqueados

Melhores Plataformas de Gestão de Confiança de Bots e Agentes Comparadas (2026)

Forrester define a categoria. cside, DataDome, HUMAN Security, Kasada e Arkose Labs comparadas em camada de detecção, intenção e cobertura agêntica.

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.