Blog

Mastercard Scam Merchant Monitoring 2026: o que comerciantes devem saber antes de julho

Mastercard Scam Merchant Monitoring entra plenamente em vigor em 24 de julho de 2026. Estes são os gatilhos SMMP, as diferenças face a ECM e EFM, e como preparar-se.

May 05, 2026 • 7 min read

Mike Kutlu Author

Mastercard Scam Merchant Monitoring 2026: o que comerciantes devem saber antes de julho

Resposta rápida: Mastercard Scam Merchant Monitoring torna-se um novo ponto de pressão para comerciantes card-not-present em 2026. Explicadores do setor indicam que, a partir de 24 de julho de 2026, adquirentes devem investigar comerciantes sinalizados em 72 horas e parar imediatamente processamento Mastercard e Maestro se atividade de scam for confirmada.

O Scam Merchant Monitoring Program (SMMP) da Mastercard muda o perfil de risco de comerciantes online. Não é apenas mais um programa de ratio de chargebacks. É direcionado a atividade de scam, o que significa que o gatilho pode vir de relatórios de emissores, documentação de disputas, inteligência Mastercard ou alerta de monitorização.

Para equipas de Pagamentos, Risco e Fraude, a data importa. Um comerciante que parece limpo sob um limiar tradicional de chargebacks pode ainda enfrentar investigação rápida se o padrão de atividade parecer uma operação de scam.

O que é Mastercard Scam Merchant Monitoring?

SMMP faz parte do ambiente mais amplo de risco e monitorização de comerciantes da Mastercard. O manual Security Rules and Procedures Merchant Edition da Mastercard descreve o Merchant Monitoring Program, requisitos para Merchant Monitoring Service Providers, scans iniciais para comerciantes integrados desde 1 de janeiro de 2026 e monitorização persistente de violações.

A atualização de 2026 específica para scams é descrita por provedores de risco de pagamentos como Solidgate, Austreme e G2 Risk Solutions. A leitura comum é que os standards revistos entram em vigor em 24 de julho de 2026 e exigem investigação pelo adquirente em 72 horas.

Se a atividade de scam for confirmada, o adquirente deve parar processamento Mastercard e Maestro para esse comerciante. Para PSPs e payment facilitators, a responsabilidade desce a comerciantes patrocinados e subcomerciantes.

Como SMMP difere de ECM, HECM e EFM

Programa	Gatilho principal	Foco	Consequência para o comerciante
ECM	Chargebacks excessivos	Contagem e ratio de disputas	Monitorização, remediação e possíveis taxas
HECM	Chargebacks excessivos altos	Contagem e ratio mais elevados	Escalada e taxas mais fortes
EFM	Fraude excessiva	Volume e ratio de fraude	Programa de fraude e taxas
SMMP	Atividade de scam suspeita ou confirmada	Sinais de scam, relatórios de emissores, alertas e investigação	Terminação imediata de processamento se confirmado

ECM e HECM são programas de ratio. EFM é monitorização de fraude. SMMP é um programa de investigação ativado por sinais de scam. Um comerciante pode estar em mais de um caminho ao mesmo tempo.

O que inicia uma investigação SMMP?

Explicadores do setor descrevem quatro grupos práticos de gatilhos. Mastercard continua a ser a fonte de verdade para regras finais, mas comerciantes devem monitorizar todos antes de julho.

Queda no ratio de autorização

Uma queda súbita de aprovações pode fazer um comerciante parecer uma operação de scam. Solidgate descreve o padrão como queda de 50 pontos percentuais ou mais em 72 horas, ou taxa abaixo de 30%, sujeita a volume mínimo e exclusões como ataques BIN ou falhas de processador.

Notificação GRIP

Uma notificação Global Rules Investigation Program liga um comerciante a atividade suspeita baseada em inteligência Mastercard. Não é um aviso normal de performance. Quando chega, o adquirente já está com o relógio a correr.

Sinais de comerciantes novos

Comerciantes com menos de seis meses de histórico Mastercard recebem mais escrutínio. Os gatilhos reportados incluem fraude tipo 56 de dois emissores diferentes, chargebacks de múltiplos emissores com documentação sobre scam ou manipulação, e ratios combinados de reembolso mais chargeback acima de 5% num período móvel.

Alertas MMSP

O framework MMP permite aos adquirentes trabalhar com Merchant Monitoring Service Providers aprovados. Um alerta de monitorização pode colocar o comerciante num caminho de investigação se a atividade parecer scam ou violação de comerciante.

O que acontece durante a investigação de 72 horas?

A janela de 72 horas é uma obrigação do adquirente, não um período de graça para o comerciante. Depois de um gatilho, o adquirente precisa decidir rapidamente se a atividade é legítima, suspeita mas remediável, ou scam confirmada.

A revisão pode incluir onboarding, transações, reembolsos, documentação de chargeback, relatórios de emissores, conteúdo do site, descritores de faturação e comunicações com clientes.

A evidência do comerciante importa porque adquirentes normalmente não têm todo o contexto do titular. Veem autorizações, disputas e reembolsos, mas não o que o cliente viu no browser, que dispositivo completou checkout ou se a sessão apoia uma compra legítima.

Que comerciantes têm maior risco?

Comerciantes card-not-present novos têm o maior risco porque vários gatilhos reportados focam comportamento inicial.

Subscrições e SaaS: conversão de trial para pago, renovações esquecidas e confusão de descritor
iGaming e bens digitais: alta velocidade de transação e entrega intangível
Viagens: valor médio alto e picos sazonais de reembolso
E-commerce: disputas de devolução, atrasos de envio e registos fracos de fulfillment
Descritores pouco reconhecidos: clientes que não reconhecem uma cobrança ligam primeiro ao emissor

Como evidência de chargeback reduz exposição SMMP

A exposição SMMP depende em parte do conteúdo e volume das disputas. Se vários emissores enviam chargebacks com linguagem de scam ou manipulação, esse registo pode virar gatilho.

Evidência forte ajuda de duas formas. Primeiro, reduz a acumulação de disputas mal defendidas. Segundo, dá ao adquirente material para decidir depressa se o comerciante é legítimo ou parece uma operação de scam.

cside Chargeback Evidence captura dados na camada do browser durante checkout: identidade do dispositivo, continuidade de sessão, contexto de IP real do cliente e atividade na página de transação.

A mesma estratégia apoia disputas Visa sob Compelling Evidence 3.0. Para detalhe operacional, leia como remover um TC40 do seu ratio VAMP com CE 3.0 e device fingerprinting para chargebacks Compelling Evidence.

SMMP e VAMP criam um só problema de evidência

Visa e Mastercard abordam risco de comerciante por ângulos diferentes em 2026. VAMP combina relatórios de fraude e disputas num só ratio. SMMP foca atividade de scam e investigação do adquirente.

A mecânica de compliance difere, mas a preparação é parecida: registos limpos, descritores consistentes, operação rápida de disputas e evidência do browser capturada antes de o titular ligar ao emissor.

O que fazer antes de 24 de julho de 2026

Audite reembolsos e chargebacks por períodos móveis de 30 dias.
Revise disputas com linguagem de scam, manipulação ou faturação inesperada.
Verifique reconhecimento de descritores.
Analise tendências de autorização por BIN, emissor, mercado e fonte de tráfego.
Instrumente evidência de browser no checkout.
Teste pacotes de representment agora.
Informe o seu adquirente se é novo, cresce rápido ou opera num vertical de alta disputa.

Mais leitura na cside

Este artigo reflete a análise da cside sobre Mastercard Scam Merchant Monitoring e programas relacionados de risco de comerciante em 2026-05-05. Regras, limiares, prazos e obrigações podem mudar. Confirme decisões operacionais com Mastercard, o seu adquirente e o seu processador.

Sobre o autor

Mike Kutlu é Head of GTM na cside. Trabalha com equipas de Pagamentos, Risco e Finanças na instrumentação de evidência de chargeback na camada do browser para representment e compliance de redes.

Saiba mais sobre cside Chargeback Evidence

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Table of Contents

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

SMMP é uma via de enforcement da Mastercard para comerciantes suspeitos de atividade de scam. Explicadores do setor apontam 24 de julho de 2026 como data efetiva, uma janela de investigação de 72 horas para o adquirente e terminação imediata de Mastercard e Maestro quando a atividade é confirmada.

ECM e HECM monitorizam excesso de disputas por volume ou ratio de chargebacks. SMMP foca sinais de scam, incluindo relatórios de emissores, disputas com linguagem de scam, alertas de provedores de monitorização e mudanças súbitas em autorizações.

Os gatilhos mais citados são queda brusca do ratio de autorização, notificação Mastercard GRIP, sinais de comerciantes novos como fraude tipo 56 ou chargebacks de múltiplos emissores, e alertas de um Merchant Monitoring Service Provider aprovado.

Comerciantes card-not-present com menos de seis meses de aceitação Mastercard enfrentam maior escrutínio. Subscrições, SaaS, iGaming, bens digitais, viagens e descritores pouco claros também elevam a exposição.

Evidência forte de representment reduz a acumulação de chargebacks com linguagem de scam e dá ao adquirente melhores registos durante a investigação curta. Evidência na camada do browser mostra o que aconteceu no checkout.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Mastercard Scam Merchant Monitoring 2026: o que comerciantes devem saber antes de julho

Mastercard Scam Merchant Monitoring entra plenamente em vigor em 24 de julho de 2026. Estes são os gatilhos SMMP, as diferenças face a ECM e EFM, e como preparar-se.

Auto-qualificação CE 3.0: o que mudou em 17 de outubro de 2025 e o que fazer

A Visa auto-qualifica transações para Compelling Evidence 3.0 via Visa Secure e Visa Data Only. O que mudou, quem beneficia e a lacuna de evidência.

Fraude amistoso em gaming e iGaming: o playbook de chargebacks 2026

Os operadores de iGaming registam os ratios de chargeback mais altos de qualquer vertical. O VAMP 2026 apertou o limiar. Como o CE 3.0 e a evidência na camada do browser reequilibram a balança.

VAMP 2026: os novos limiares da Visa e como ficar abaixo deles

O ratio VAMP da Visa aperta o limiar Excessive para comerciantes para 1,5% em 1 de abril de 2026, com 8 USD por transação disputada ou fraudulenta. Um playbook para ficar abaixo dos novos limiares com CE 3.0.

Requisitos do Compelling Evidence 3.0: o que a Visa exige e o que realmente ganha o caso

Os quatro elementos de dados que a Visa exige para CE 3.0, e o que separa representments vencedores dos perdedores.

Como agentes OpenClaw burlam a deteccao de bots (e como impedi-los)

Agentes OpenClaw combinados com ferramentas de navegador furtivo podem burlar a deteccao de bots legada. Entenda como a fraude agentica funciona e como o fingerprinting do navegador ajuda a impedi-la.

Como o CTEM se parece na camada do navegador: um script de terceiro, cinco achados

Uma analise ao vivo de um widget da Skeepers em um grande banco internacional encontrou um cookie de 360 dias em subdominios de autenticacao, uma lacuna de CSP e um sub-script controlado por servidor. E assim que o CTEM se aplica a camada do navegador.

Friendly fraud em SaaS e negocios de assinatura: guia 2026

Negocios SaaS e de assinatura tem um perfil especifico de friendly fraud: mudanca de descriptor, cobranca recorrente e clientes elegiveis a CE 3.0. Veja como combater.

Comparing account sharing prevention tools (for businesses)

SaaS companies lose revenue to account sharing every day. See a comparison of features, pricing, and reviews of popular tools used by fraud teams.

How to prevent account sharing fraud (full guide for businesses)

Account sharing costs organizations billions in revenue loss. This guide covers prevention methods like device and session limits, as well as strategic tips.