GH GambleHub

Rilevamento frodi

Rilevamento delle frodi

L'antifrode non è solo un modello di rischio. Questo è un tracciato: eventi standardizzati, segni e grafici di regole/modelli , soluzione e azione di spiegazione e appello per misurare l'effetto e la deriva. Di seguito sono riportate le istruzioni di sistema applicabili alle piattaforme di pagamento e gioco, ai marketplace e ai servizi fintech.

1) Mappa delle minacce (che stiamo proteggendo)

Schemi di pagamento: carte rubate, test di carte, charjback, friendly fraud.
Account rischi: hackeraggio/intercettazione, multi-accunting, bonus-abuse, fattorie di dispositivi.
KYC/AML - documenti falsi, falsi individui, abbreviato, sanzioni/rischi RR.
Comportamenti: bot, script, pattern anomali di scommesse/transazioni.
Partner: frodo del traffico/refurtiva, stimolazione di depositi di cattivo gusto.

2) Segnali e materie prime

Dispositivo/rete: device fingerprint, canves/wag, emulatori, IP/ASN/proxy/VPN, geovelosity.
Pagamenti: BIN/MCC/Paese della carta, 3DS/ECI, risultati AVS/CVV, velocity (su carta/account/dispositivo), deviazioni dei limiti.
Comportamento: velocità delle forme, traiettorie del mouse, dwell-time, sequenza delle azioni.
Social/grafica: corrispondenze telefoniche/e-mail/mappe/indirizzi/dispositivi, file condivise con nodi «cattivi».
CUS/Documenti: qualità OCR/selfie matching/vivacità (liveness), data/sorgente, blacklists/sanzioni.

3) Ingegneria dei segni (feature store, point-in-time)

Finestre temporali: 5m/1h/24h/7d per velocity-fich; Espone. antialiasing.
Aggregazioni per identità: user _ id, telefono, e-mail, mappa, dispositivo, IP/ASN.
Geo/ora: paese/regione/timesone/profili di vacanza locali.
Conte Phicchi: degree/triangle count/PageRank, parte dei collegamenti con i cattivi, la componentistica.
Qualità KYC: confidence OCR, edit distance nomi/indirizzi, validazione BAN/INN.
Anti-leek: rigorosamente point-in-time, senza etichette future; online/offline parity.

4) Marcatura e variabili di destinazione

Target: marceback = 1, confirmed _ fraud = 1, bonus _ abuse = 1.
Finestre di verità posticipate: le etichette arrivano dopo T (Charjback), usate il «freeze» del periodo di apprendimento.
Distribuzione: forte squilibrio (0. 1-1% «unità») pesare/semperare con cautela.
Etichette surrogate, conferme manuali e appelli - assicurati.

5) Modelli e approcci

Regole (policy-as-code) - Elenchi bianchi/neri, soglie velocity, geovelosity, attributi incompatibili. Base veloce, spiegabile, per fail-safe.
Supervisione: boosting/foresta gradiente, regressione logistica, NN tabellari con alce cost-sensitive.
Anomalie: Isolation Forest, LOF, robust z-score/seasonal-decomp, autocoder.
Approccio grafico: link prediction, GNN/DeepWalk-embedding, regole «device/mappe condivise».
Ibridi: cascade (regole del → ML →), insieme con multe diverse per FP/FN.
Calibrazione: Platt/Isotonic per probabilità; le soglie del costo degli errori.

6) Metriche di qualità (concentrati su classi rare)

PR-AUC come principale; ROC-AUC è secondario in caso di squilibrio.
Recall@FPR≤x%, Precision@k, Cost-sensitive utility.
Coverage e Latency p95 per lo screening.
Fairness/Harms: errori per segmenti di paesi/dispositivi/metodi di pagamento.

7) Politica di soglia e isteresi

Separare le aree della soluzione:
  • «Punteggio _ block»
  • Il controllo manuale è stato visualizzato in modo che non sia possibile.
  • 'score <© _ review', → il pass.

Aggiungete l'isteresi (la soglia di ingresso/uscita è diversa) e il pool-down (intervalli minimi di ripetizione) per escludere il lampeggiante.

Esempio di decision table

CondizioneContestoAzioneGuardrails
`score ≥ 0. 95` или `device in blacklist`pagamentoBloccoFPR≤0. 3%, SLA <1c
`0. 8≤score<0. 95 'e'somma> Q90'pagamentoGelosia manualeSLA 2h
«geo-velocity> 1000km/h» e «No 3DS»autenticazioneStep-up KYC/3DSZhaloby≤Kh

8) Tracciato online: roading e orchestrazione

Lo streaming: eventi attraverso il pneumatico; files della feature online; Idampotenza attraverso «event _ id».
Latency: p95 (ad esempio, ≤ 100-300 ms per richiesta).
Orchestratore: spedizione garantita, retrai/backoff, DLQ, rate-limit attraverso i canali.
I canali di azione sono 3DS/step-up, hold/limite, blocco, richiesta di documenti, ticket alla valigetta, notifica all'utente.
Controllo: «correlation _ id» «signal→resheniye→deystviye→iskhod».

9) Human-in-the-loop e gestione della valigetta

Valigie: aggregare incidenti/prove, fornire una spiegazione (top feates/regole, conte di vicinato).
Autorizzazioni: controllo automatico/limite parziale/richiesta supplementare.
Apprendimento: le modifiche degli analisti tornano ai dati (relabel), asset-lening al confine.
SLA: priorità P1/P2, tempi di reazione, code, distribuzione del carico.

10) Analisi grafica in pratica

Связи: `user ↔ device ↔ card ↔ phone ↔ email ↔ IP`.
Pattern: «stelle» di carte di prova, «componenti» bonus-abyuse, proxy/VPN comuni.
Scorciatoia nodi/costole - misurata, sospiciousness sulla percentuale di vicini cattivi.
Anticipare la quarantena dei nuovi nodi se sono inclusi nel componente «infetto».

11) KYC/AML/sanzioni e compliance

Matching: elenchi di sanzioni/RER/Adwers Media; ricerca fuzzy, normalizzazione dei nomi/traslazione.
Documenti: vitalità/anti-spoofing, controllo MRZ/segni visivi, geo-coerenza.
Monitoraggio transazionale: regole per importi/soglie/catene di traduzione, script abbracciato.
Governance: RLS/CLS, occultamento del PII, logico delle decisioni, spiegabilità e percorso di appello.

12) Valutazione degli effetti (non solo «precisione»)

Economia della soluzione: 
[
EV =\text {Pre. danni} -\text {Costo dei blocchi falsi} -\text {Costi operativi}
]

Criteri/test: A/B/quasi-espatrio (DiD) per soglie e regole; bandits per selezionare un metodo step-up.
Guardrails: reclamo/appello, NPS, percentuale dì blocchi sbagliati "(FPR), latency.

13) Monitoraggio, deriva e SLO

Qualità: PR-AUC/Recall @ FPR su una finestra scivolosa; calibrare le probabilità.
Deriva: PSI/KL per file chiave, percentuale di «sconosciuti» BIN/ASN, nuovi cluster di dispositivi.
Operazioni: p95 latency, percentuale di timeout,% di escalation manuali, backlog geloso.
SLO - Disponibilità> 99. 9%, Decision→Action p95 ≤ 2–5 c; «rubinetto» quando i dati peggiorano.
Runibuki: aumento di schede di test, calo di 3DS, outage provider, tempesta di logi.

14) Architettura di dati e codice

Eventi: schema canonico (UTC, variante, source), chiavi idipotenti.
Feature Store: parità online/offline, recetti point-in-time, versioning delle trasformazioni.
Modelli: registro delle versioni, pipline riprodotte, certificazione in proto, avvio shadow.
Rule-as-Code: git-repository, ruvidia/assegno-fogli, test di regressione.
Esplainability: SHAP/riepilogo della bilancia di regole, valigette per l'apprendimento dello zapport.

15) Sicurezza, privacy, etica

Riduzione del PI: tornizzazione/hash degli identificatori; «cassaforte» separate.
Accesso: RLS/CLS e controllo di lettura/caricamento; esportazione - con token e scadenze.
Equità: prova la differenziazione degli errori per regione/metodo, elimina gli attributi non validi.
Trasparenza: le ragioni delle decisioni e l'appello comprensibile all'utente.

16) Pseudo-SQL e ricette

Registro Idempotent delle transazioni

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

Velocity-fici (24h finestra)

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17) Assegno foglio di lancio antifrode

  • Segnali e schemi standardizzati, idempotenza attivata
  • Feature Store con punto-in-time, parità online/offline
  • Etichette formate senza legami, finestre di verità posticipate prese in considerazione
  • Criteri di soglia con isteresi e step-up, SLA e guardrail impostati
  • Gestione case e human-in-the-loop sono configurati, la spiegabilità è disponibile
  • Metriche: PR-AUC, Recall @ FPR, Cost-utility; diagnostica fairness
  • Monitoraggio della deriva/errori, alert, runibuki incidenti
  • Governance: versioni di modelli/regole, ringhiera, verifica delle soluzioni, compilazione KYC/AML
  • Piano di A/B/DiD per le soglie/regole; folback sicuro per le regole

Totale

Un forte antifrode è un ibrido di regole, modelli e grafici in un circuito controllato: segnali qualitativi e fici, una politica di soglia con isteresi, uno screening rapido in linea e un'orchestrazione di azioni di human-in-the-loop e un appello trasparente di metriche di effetto e di deriva-controllo. Seguendo questo schema, si riducono le perdite, si limitano i danni causati da falsi blocchi e si mantiene la fiducia degli utenti e dei regolatori.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.