O que precisa de saber
- EFM e ECP podem funcionar simultaneamente. O EFM visa chargebacks codificados como fraude; o ECP captura todos os chargebacks. A saída de qualquer um requer três meses consecutivos limpos.
- A Visa estima que o friendly fraud representou até 75% de todos os chargebacks em 2022. Estas disputas são registadas sob códigos de razão de fraude e inflacionam tanto o seu rácio EFM como ECP.
- O First-Party Trust deflecte friendly fraud antes que seja registado como chargeback formal, usando evidências de dispositivo, entrega e identidade que já possui.
- O device fingerprinting é o mais persistente das três opções de sinal de Categoria 1 do FPT: identifica o mesmo titular do cartão entre sessões de forma mais fiável do que um endereço IP ou um device ID básico.
- A mesma captura de evidência que vence casos Visa CE 3.0 fornece o sinal de Categoria 1 para o Mastercard FPT. Dados capturados por ferramentas de fingerprinting como a cside integram-se nos caminhos de submissão de ambas as redes.
Se o seu rácio fraude-vendas ultrapassar 0,50% em transações Mastercard de cartão não presente, o programa Excessive Fraud Merchant (EFM) começa a multá-lo em $500 no mês dois. No mês 19, essa multa atinge $100.000 por mês.
O Excessive Chargeback Program (ECP) rastreia todos os chargebacks, não apenas fraude. No nível mais alto, as multas do ECP atingem $200.000 por mês. A única saída de qualquer um dos programas são três meses consecutivos abaixo do limiar.
A ligação ao friendly fraud
A origem da maior parte da pressão sobre o rácio EFM é o friendly fraud: titulares de cartão que disputam transações legítimas sob o código de razão de fraude 4837 (No Cardholder Authorization). A Mastercard retirou o código de razão 4863 (Cardholder Does Not Recognize) e consolidou essas disputas em categorias de fraude atualizadas, mas o padrão é o mesmo.
A resposta da Mastercard é o First-Party Trust (FPT), um programa estruturado de deflexão de disputas que usa device fingerprinting e outros sinais de transação para resolver estas disputas antes que se tornem chargebacks formais.
O que o EFM e o ECP realmente penalizam
O EFM visa chargebacks de fraude em transações de cartão não presente. O ECP rastreia todos os chargebacks independentemente do código de razão. Ambos escalam multas a partir do segundo mês de não conformidade. (As regras completas dos programas estão no Capítulo 8 do Security Rules and Procedures Merchant Edition da Mastercard.)
| Programa | Nível | Limiar mensal | Limiar de rácio | Condição adicional |
|---|---|---|---|---|
| EFM | n/a | 1.000+ transações e-commerce | 0,50%+ fraude-vendas | $50k+ CBs fraude; 3DS <50% em mercados regulados |
| ECP | ECM | 100-299 chargebacks | 1,50%-2,99% | n/a |
| ECP | HECM | 300+ chargebacks | 3,00%+ | n/a |
Condições de inscrição no EFM
Todos os quatro limiares devem ser ultrapassados simultaneamente no mesmo mês:
- 1.000 ou mais transações de e-commerce Mastercard
- $50.000 ou mais em chargebacks de fraude
- Um rácio fraude-vendas de 0,50% ou superior
- Utilização de 3DS abaixo de 50% em mercados regulados
A sua atividade não fraudulenta não oferece proteção porque os chargebacks de friendly fraud são registados sob códigos de razão de fraude.
Níveis do ECP
O nível Excessive Chargeback Merchant (ECM) é ativado com 100-299 chargebacks mensais e um rácio de 1,5%-2,99%. O nível High Excessive Chargeback Merchant (HECM) é ativado com 300+ chargebacks e um rácio de 3%+. Ao contrário do EFM, o ECP captura todos os chargebacks: disputas de serviço, reclamações de não recebimento e friendly fraud.
Saída dos programas
Ambos os programas requerem três meses consecutivos abaixo do limiar. As multas não são perdoadas na saída, a menos que se qualifique para a opção de extensão única e cumpra os requisitos de limiar até ao prazo de extensão.
O limiar de 3DS que a maioria das equipas ignora
O limiar que mais surpreende os Heads of Payments com quem trabalho é o patamar mínimo de utilização de 3DS. Muitas equipas focam-se no rácio de fraude e não percebem que todas as quatro condições do EFM devem ser ativadas simultaneamente. A sua decisão sobre a cobertura de autenticação 3DS afeta diretamente se entra no programa, não apenas a rapidez com que sai.
Risco de inscrição dupla
Um comerciante pode estar inscrito no EFM e no ECP simultaneamente. As multas são calculadas de forma independente. No nível HECM, só as multas do ECP atingem $200.000 por mês, separadas de qualquer multa do EFM a decorrer em paralelo.
Abordar o friendly fraud através do FPT reduz a exposição em ambos os programas: disputas deflectidas reduzem os chargebacks codificados como fraude que impulsionam o EFM e a contagem total de chargebacks que impulsiona o ECP.
Porque é que o device fingerprinting é o sinal mais forte de Categoria 1
O problema com IPs e device IDs
Os endereços IP mudam entre redes, escondem-se atrás de VPNs e variam por localização. Os device IDs básicos (números IMEI, identificadores baseados em cookies) podem ser reiniciados ou simplesmente não estão disponíveis entre plataformas.
Como o fingerprinting resolve isto
O device fingerprinting combina 50 ou mais sinais de hardware e software do navegador num hash persistente. Resolução de ecrã, fuso horário, definições de idioma, fontes instaladas, plugins do navegador, identificadores de hardware. O hash resultante mantém-se mesmo quando o endereço IP, a rede ou a versão do navegador muda.
A IA da Mastercard está a responder a uma questão: o titular do cartão que apresentou esta disputa é a mesma pessoa que completou a transação original? Um device fingerprint responde a isso de forma mais fiável do que um IP ou um cookie.
Já utiliza o Visa CE 3.0?
Se já está a usar as evidências na camada do navegador da cside para casos Visa Compelling Evidence 3.0, os mesmos dados de device fingerprinting que satisfazem o requisito de elemento de dados do CE 3.0 são o sinal de Categoria 1 para o Mastercard FPT. Uma única captura de evidência. Ambas as redes de cartões cobertas, com o caminho de submissão de cada rede mapeado de forma independente.
Exemplo de um comerciante a usar o FPT para sair do EFM
Um retalhista online de média dimensão que processa $5.000.000/mês em volume de e-commerce Mastercard recebe uma notificação de EFM. O seu rácio fraude-vendas atingiu 0,54%, impulsionado por chargebacks com código de razão 4837, e a sua utilização de 3DS está em 42% num mercado regulado. Todas as quatro condições do EFM estão cumpridas.
Captura e submissão
O comerciante integra browser-layer fingerprinting no seu fluxo de checkout, recolhendo mais de 50 sinais por sessão (resolução de ecrã, fuso horário, fontes instaladas, identificadores de hardware, canvas hashes) e combinando-os num hash de dispositivo persistente armazenado com cada transação.
No checkout, o device fingerprint, o email e o endereço de faturação são submetidos via payload do 3DS Identity Check Insights. Quando um titular de cartão apresenta uma disputa posteriormente, o fingerprint armazenado, a confirmação de envio e o histórico de login são automaticamente submetidos à API Ethoca Consumer Clarity.
Deflexão
O emissor apresenta as evidências ao titular do cartão. O device fingerprint corresponde às suas compras anteriores não disputadas, o endereço de envio corresponde à sua conta, e o histórico de login confirma atividade no momento da transação. O titular do cartão reconhece a compra e retira a disputa. Como foi retirada antes de se tornar um chargeback formal, não conta para os rácios EFM ou ECP.
O resultado
Ao longo de 60 dias, a taxa de deflexão FPT do comerciante atinge 3,8%. Combinado com o aumento da utilização de 3DS de 42% para 55%, o seu rácio de fraude desce para 0,47% e quebram a condição de 3DS do gatilho EFM de quatro partes. Após três meses consecutivos limpos, saem do programa.
Os mesmos dados de fingerprinting alimentam simultaneamente o seu fluxo de evidência Visa CE 3.0, protegendo o seu rácio VAMP sem instrumentação adicional.
Porque é que o friendly fraud inflaciona os seus rácios Mastercard
A Visa estima que o friendly fraud representou até 75% de todos os chargebacks em 2022. Como o EFM rastreia especificamente o código de razão de fraude 4837, não é possível reduzir o seu rácio EFM sem abordar diretamente o friendly fraud que gera esses códigos.
A investigação conjunta da Mastercard e Stripe na conferência de 2025 é ainda mais contundente: um em cada oito americanos admite ter apresentado uma disputa de chargeback fraudulenta. Isto não é um caso isolado. É um padrão estrutural no sistema de disputas de pagamentos.
Porque é que o representment não é suficiente
A gestão tradicional de disputas responde aos chargebacks depois de serem apresentados. Nesse ponto, a disputa já foi registada na sua janela de cálculo do EFM. O representment pode recuperar os fundos, mas o dano ao rácio já está feito.
Reduz o seu rácio EFM deflectindo o friendly fraud antes que se torne um chargeback formal. É precisamente para isso que a Mastercard criou o First-Party Trust.
O que é o Mastercard First-Party Trust
O First-Party Trust é o programa da Mastercard para deflectir disputas de friendly fraud usando evidências recolhidas no momento da transação. Partilha dados de dispositivo, entrega e identidade no checkout ou no momento da disputa. A IA da Mastercard cruza essas evidências com transações anteriores não disputadas e, quando a correspondência é forte, resolve a disputa antes que se torne um chargeback formal.
Cronologia do programa
- 2023: Lançamento piloto nos EUA, Canadá e Brasil
- Outubro de 2024: Disponibilidade total nos EUA
- Junho de 2025: Expansão global (América Latina, Caraíbas, Ásia-Pacífico)
O FPT opera através de dois caminhos técnicos: um caminho no momento da autorização via interface 3DS Identity Check Insights da Mastercard, e um caminho pós-disputa via Ethoca Consumer Clarity Merchant Transactions API.
Como o FPT se compara ao Visa CE 3.0
O programa é o equivalente direto da Mastercard ao Compelling Evidence 3.0 da Visa. Onde o Visa CE 3.0 requer a correspondência de duas transações anteriores não disputadas usando device ID, endereço IP, dados de conta e detalhes da transação, o FPT aplica a IA da Mastercard a um conjunto de evidências de três categorias para alcançar o mesmo resultado.
| Visa CE 3.0 | Mastercard First-Party Trust | |
|---|---|---|
| Objetivo | Defesa de representment pós-disputa | Deflexão pré-autorização + revisão pós-disputa |
| Estrutura de evidência | 4 elementos de 2 transações anteriores não disputadas | 1 elemento de cada uma das 3 categorias (Dispositivo, Entrega, Identidade) |
| Histórico de transações anteriores | Obrigatório (120-365 dias anteriores) | Obrigatório para caminho pós-disputa; não obrigatório para caminho pré-autorização |
| Sinal de dispositivo | Device ID + endereço IP (2 de 4 elementos obrigatórios) | Endereço IP, device ID ou device fingerprint (escolha um) |
| Resultado | Vitória transfere responsabilidade para o emissor | Disputa deflectida: sem chargeback formal registado |
| Programa de monitorização | VAMP | EFM + ECP |
| Ferramenta da rede | Visa Resolve Online | 3DS Identity Check Insights + Ethoca Consumer Clarity |
Quando o FPT desencadeia uma transferência de responsabilidade
Quando as evidências cumprem os padrões do FPT, a responsabilidade transfere-se de si para o banco emissor. Uma disputa deflectida não se torna um chargeback formal. Não conta nos seus rácios EFM ou ECP.
O framework de evidências de três categorias
O FPT requer um elemento de dados de cada uma das três categorias. Precisa de ter as três cobertas no momento da transação para se qualificar para a proteção FPT nessa transação.
Categoria 1 - Dispositivo. Um de: endereço IP, device ID ou device fingerprint. Liga a transação disputada ao ambiente real de hardware e software do titular do cartão.
Categoria 2 - Entrega. Um de: endereço de envio, endereço de email ou número de telefone. Liga a transação à identidade de entrega conhecida do titular do cartão na sua conta emissora.
Categoria 3 - Identidade. Um de: ID de conta ou histórico de login, nome do dispositivo, localização do dispositivo ou endereço de faturação. Liga a transação à identidade ao nível da conta do titular do cartão, e não apenas à credencial de pagamento.
Onde a maioria dos comerciantes falha
Provavelmente já tem a Categoria 2 e a Categoria 3 cobertas através de dados padrão de transação e conta. A lacuna é tipicamente a Categoria 1.
Endereços IP e device IDs básicos aparecem em muitos registos de transação, mas nenhum fornece a durabilidade de identidade entre sessões que a IA da Mastercard precisa para fazer uma correspondência forte com transações anteriores não disputadas.
Como o FPT impede que disputas contem nos seus rácios
Quando o FPT interceta uma disputa antes que se torne um chargeback formal, a disputa não é registada nos seus cálculos de rácio EFM ou ECP. Dados do Consumer Clarity de 2025 mostram uma redução de 1-4% na taxa de disputas neste caminho, o que nos níveis de limiar do EFM representa uma margem de rácio significativa.
Caminho pré-autorização: 3DS Identity Check Insights
Submete dados FPT no checkout via fluxo 3DS Identity Check Insights da Mastercard. O device fingerprint, o endereço de email e o endereço de faturação viajam com a transação no payload de dados 3DS.
A IA da Mastercard avalia o perfil de risco em tempo real. Transações legítimas de maior confiança recebem um tratamento de disputa mais leve por parte dos emissores, tornando o titular do cartão menos propenso a receber o aviso de disputa que precede um registo fraudulento. Uma disputa que nunca é apresentada não afeta os seus rácios EFM ou ECP.
Caminho pós-disputa: Ethoca Consumer Clarity
Quando uma disputa é apresentada, a API Ethoca Consumer Clarity Merchant Transactions permite-lhe submeter evidências de transação que o emissor usa para reavaliar antes de processar o ciclo formal de chargeback. Se o titular do cartão reconhecer a transação e a retirar, a disputa não se torna um chargeback formal.
Este é o equivalente da Mastercard ao que a remoção de TC40 via CE 3.0 faz na rede Visa: resolver a disputa ao nível do programa para que não conte contra o seu rácio de monitorização.
Como ficam os números no limiar
Considere um comerciante com $4.000.000 em GMV de e-commerce Mastercard por mês e um rácio fraude-vendas de 0,52%. Ultrapassou o gatilho do EFM.
| Taxa de deflexão | CBs de fraude deflectidos | Novo rácio de fraude | Resultado EFM |
|---|---|---|---|
| 0% (sem FPT) | n/a | 0,52% | Aviso, multa do mês 1 a caminho |
| 2% (patamar Consumer Clarity) | $416 | 0,510% | Ainda acima do gatilho |
| 4% (teto Consumer Clarity) | $832 | 0,499% | Abaixo do gatilho de 0,50%, sem multa |
Com rácios iniciais mais elevados (0,55% e acima), o FPT sozinho pode não ser suficiente. A saída mais rápida combina deflexão de disputas com o aumento da utilização de 3DS acima de 50%, o que quebra o gatilho EFM de quatro condições simultaneamente.
O caminho de pré-autorização do FPT via 3DS Identity Check Insights faz ambas as coisas: melhora a sua taxa de cobertura 3DS e fornece o sinal de dispositivo que deflecte disputas antes de serem apresentadas.
Como a cside fornece as evidências na camada do navegador que o FPT requer
O que a cside captura
A cside captura device fingerprints na camada do navegador, o mesmo ambiente onde as transações de cartão não presente têm origem. Cada sessão no seu site gera um hash de dispositivo persistente.
Esse hash alimenta tanto o caminho de pré-autorização do FPT (via 3DS / Identity Check Insights) como o caminho de evidência pós-disputa (via Ethoca Consumer Clarity). A mesma evidência que vence casos Visa CE 3.0 também alimenta o Mastercard FPT.
O que a maioria das ferramentas de chargeback e antifraude não captura
Muitas soluções de chargeback e antifraude focam-se em dados ao nível da transação: o registo da encomenda, a confirmação de pagamento e o endereço de envio. O que frequentemente lhes falta é visibilidade profunda sobre o ambiente do dispositivo que o titular do cartão usou para completar a transação.
Mesmo quando um pacote antifraude inclui device fingerprinting, é frequentemente uma funcionalidade secundária em vez de uma camada de evidência construída de raiz. O sinal pode não ser suficientemente persistente ou detalhado para correspondência de evidência em disputas. A cside captura essa camada como a sua função principal.
Uma camada de evidência, ambas as redes
Para a Visa, os dados da cside satisfazem o elemento de dispositivo no requisito de evidência de quatro pontos do CE 3.0. Para a Mastercard, satisfazem a Categoria 1 do framework de três categorias do FPT. O padrão de evidência é diferente na estrutura; os dados subjacentes são os mesmos.
A parceria com a Chargebacks911
A cside trabalha com a Chargebacks911 numa parceria que combina captura de evidência na camada do navegador com operações especializadas de representment de disputas. Quando integra as evidências da cside no seu fluxo FPT, obtém dados de device fingerprint que enriquecem tanto o sinal Mastercard de pré-autorização como a submissão pós-disputa à Ethoca Consumer Clarity.
O caminho mais rápido para o FPT
Na minha experiência a trabalhar com comerciantes de e-commerce, subscrições e viagens, as equipas que integram mais rapidamente são as que já executam evidência na camada do navegador para o Visa CE 3.0. O device fingerprint já está capturado. Mapeá-lo para o requisito de Categoria 1 do FPT é um passo de configuração, não uma nova implementação.
A mesma captura de evidência que protege o seu rácio VAMP da Visa também protege os seus rácios Mastercard EFM e ECP. Uma camada de evidência. Ambas as redes de cartões cobertas.
Nota sobre fontes
Dados de limiares e multas do EFM e ECP: obtidos da documentação de programas da Mastercard e corroborados pela Chargebacks911, documentação de programadores da Braintree/PayPal e ChargebackStop. Todas as quatro condições de ativação do EFM e a escala de multas ($500 no mês 2 até $100.000 no mês 19+) são consistentes entre as fontes.
Redução da taxa de disputas (1-4%): apresentação conjunta da Mastercard e Stripe, Stripe Sessions 2025: "Mastercard: Strategies for Reducing Chargebacks". O valor representa o intervalo observado em implementações do Consumer Clarity; comerciantes em verticais de bens digitais com maior concentração de uso indevido de primeira parte tipicamente obtêm resultados no extremo superior do intervalo.
Prevalência de uso indevido de primeira parte (até 75% dos chargebacks): hub de conhecimento "Fraud as a Service Trends" da Visa. O valor refere-se ao friendly fraud como proporção de todos os chargebacks em 2022, não exclusivamente chargebacks codificados como fraude. Relatórios da indústria de múltiplas fontes são consistentes com esta estimativa.
Cronologia do programa FPT: piloto em 2023 nos EUA, Canadá e Brasil; disponibilidade total nos EUA em outubro de 2024; expansão global em junho de 2025 (América Latina, Caraíbas, Ásia-Pacífico). Obtido da documentação de programadores da Mastercard, Mastercard Newsroom e comunicações corroborativas de adquirentes.
Um em cada oito americanos (admissão de fraude de primeira parte): investigação conjunta da Mastercard e Stripe, citada no Stripe Sessions 2025.
Sobre o autor
Mike Kutlu é Head of GTM na cside. Trabalha diretamente com Heads of Payments, Risk e Finance em comerciantes de e-commerce, subscrições e bens digitais na implementação de evidência de chargeback na camada do navegador para o Visa Compelling Evidence 3.0 e o Mastercard First-Party Trust. Cobre VAMP, EFM, ECP, mecânicas de TC40 e estratégia de evidência em disputas para comerciantes enterprise. O seu foco é a lacuna operacional entre como as redes de cartões definem a evidência de disputa e o que a maioria das ferramentas de chargeback realmente captura.
