Segnali di frod e scansione delle transazioni

1) Perché lo screening e come influisce sulla monetizzazione

• ↑ Approval Rate senza la crescita dei charjbeek,
• Costi ↓ per SCA/challenge e zapport,
• ↑ LTV grazie a pagamenti COF/MIT sostenibili,
• compatibilità PSD2-TRE (Communication Risk Analysis) con i provider/banche.

2) Mappa dei segnali (cosa raccogliere)

2. 1 Identificazione dispositivo/sessione

Device fingerprint (canves/webgl/audio, user-agente, caratteri, timezone, lingue).
Identificatori Cookie/LocalStorage/SDK-ID, sostenibili (privacy-safe).
Emulatori/rut/jailbrake, proxy/VPN/datacenter-IP, TOR.

2. 2 Geo e rete

IP-geo vs Paese BIN vs-paese, ritardo della rete/RTT, ASN/provider.
Frequenza di cambio IP/geo, «salto» Timzone, nota subnet «tossica».

2. 3 Attributi di pagamento

BIN: schema, paese, banca, debito/prestito/prepaid, commerciale/personale.
MCC 7995, importo/valuta, frequenza di tentativi per token/mappa/dispositivo/account.
Storia 3DS (frictionless/challenge), normalizzazione AVS/CVV, rete tokens (VTS/MDES/NSPK).

2. 4 Comportamento e comportamento bio

Velocità/ritmo di input, copipast, ordine dei campi, errori CVV/indice.
Pattern «bot» (headless, click automatici), cicli anomali.

2. 5 Account e Conte collegamenti

L'età dell'account superato da KYC, il collegamento con i dispositivi/pagamenti.
Grafico: dispositivi condivisi/IP/mappe tra account, cluster multi - count.
Cronologia di depositi/conclusioni, comportamento in gioco, rimborsi/display.

2. 6 Sorgenti esterne

Blacklist IP/dispositivi/BIN, segnali comportamentali di servizi antifrode, regioni a rischio/finestre temporali.

3) Ficcistore e qualità dei dati

Feature Store: singole definizioni fich, versioning, TTL/finestre temporali (1h/24h/7d/30d).
Parità online/offline: stesse trasformazioni in realtime e formazione.
Controllo dati: schema validation, «not null», intervalli, anti-download (leakage).
Etichetta chargeback, confirmed fraud, friendly fraud, legit con date; Applicare la verità posticipata (label delay).

4) Approcci allo screening

4. 1 Regole (policy engine)

Veloce e spiegabile: geo mismatch + velocity → 3DS.
Contro: rigidità, molto false positive.

4. 2 modelli ML

GBDT (XGBoost/LightGBM/CatBoost) è lo standard per i fit tabulari; Interpretabilità forte (SHAP).
Diapositive (GraphSAGE/GAT) - per le connessioni dei dispositivi/IP/mappe.
Neurosreti (TabNet/MLP) - quando ci sono molte interazioni o non lineamenti.
Combamply: GBDT + embedding grafico (node2vec) + regole.

4. 3 Anomalisti

Isolation Forest/LOF/AE per nuovi mercati/storia debole; usano i segnali, non il verdetto finale.

5) Strategia soglia e SCA/3DS

• 'score T1' s approve (in : TRA-exempt da PSP/banca, se disponibile)
• «T1
• 'score> T2' → decline/richiesta alternativa (A2A/portafoglio)

Calibrazione: espone T1/T2 in base ai target CCR% e AR% in base al costo del challenge e al rischio chargeback. Nelle zone PSD2, utilizzare il TRA presso i partner in cui il Frode Rate provider

6) Architettura decisionale in linea

1. Passo pre-auth: raccolta device/geo/velocity per 50-150 mc.
2. Soluzione: approve/3DS/decline/routing alternativo (PSP-B, metodo diverso).
3. Integrazione 3DS: se soft-decline → una ripetizione con SCA senza immettere nuovamente la carta.
4. Loging: salviamo «score», top-fici (SHAP top-k), l'azione accettata e l'esito dell'autorizzazione.
5. Feedback loop: Charjbeck/display di etichette in fichistor.

7) Fitch specifici (cheat-sheet)

• tentativi di device/IP/token/account/email carte uniche/BIN/emittenti per il dispositivo «05/ 14/54/51/91/96»

• IP_country ≠ BIN_country; distance(user_profile_geo, IP_geo)
• categoria ASN (mob/residente/datacenter), proxy/flag

• time_to_fill_form, focus switches, paste_rate, typo_rate
• «finestre notturne» ora locale dell'account

• nuovo BIN/banca per account, prepaid/debit, prima transazione COF
• 3DS _ method _ done, ultimo challenge outcome, AVS/CVV normalizzazione

• degree (dispositivo), triangle, IP condivisi con i cluster charjback embedding _ score (vicinanza ai cluster di frode)

8) Spiegabilità e controllo dei pregiudizi

SHAP/feature influenzance per le soluzioni di limite T1/T2.
Le regole "safety net" sopra l'ML sono, ad esempio, "CVV = N 'n'challenge/decline, indipendentemente dal basso livello.
Criteri fairness - Non utilizzare attributi non consentiti Controllo del Fich per discriminazione indiretta.

9) Esperimenti e calibrazione

Test A/B: regole baseline vs ML; ML-on vs ML-off; diversi T1/T2.
Metriche: AR, CCR%, 3DS rate, Challenge success%, Cost/approved.
Profit-weighted ROC - Ottimizza l'economia e non l'AUC nel vuoto (loss matrix: FP = giro d'affari perduto, FN = chargeback-loss + fees).

10) Monitoraggio e deriva

Data draft (PSI/KL) per file chiave; target draft (charjbeck).
Alert: crescita di punteggio> T2 nel cluster BIN/paese; «05» dopo 3DS.
Riutilizzo regolare (settimanale/mensile) con safe-deploy (shadow-canary full).
Controllo calibrazione (Brier score, reliability curves).

11) Relazione con routing e PSP

Lo screening influisce sullo smart-routing: invia al PSP con il miglior AR per l'emittente BIN.
In caso di degrado dell'emittente ACS (slot '91/96'), aumentare temporaneamente il T1 (più frictionless con low-risk) oppure reindirizzarlo a PSP-B.

12) Processi e «governance»

Scheda modello proprietario, versione, data di lancio, KPI target, rischi.
Cambio-control: RFC per le nuove regole/soglie, scrittura dei risultati A/B.
Dock TRA per PSD2: descrizione della metodologia, metriche di frodo, frequenza delle procedure.

13) Anti-pattern

Miscelare fiocchi offline e online senza controllare ritardi di fuga/false vittorie.
«Decline totale» durante l'orologio di punta - uccide AR e LTV.
Affidarsi solo alle regole o solo all'ML.
Ignorare i segnali SCA-soft e non avviare 3DS se necessario.
Logica PAN/PII senza maschera - violazione PCI/GDPR.

14) Assegno foglio di implementazione

• Fitchistor con parità online/offline e convalida degli schemi.
• Normalizzazione AVS/CVV/3DS, servizio BIN, device-fingerprinting.
• Modello GBDT + regole-safety-net + (opzionale) grafico-embedding.
• Calibrazione soglia T1/T2 sotto AR/CCR/Cost; criterio SCA/TRA.
• Servizio in linea di screening, SLA/alert.
• A/B-infrastruttura e metrica economica (profit-weighted).
• Monitoraggio della deriva, rielaborazione regolare, registro dei comunicati.
• Criteri PCI/GDPR: PAN-safe, minimizzazione del PII, logici di soluzioni spiegabili.

15) Riepilogo

Un forte antifrode nel iGaming è una combinazione di segnali ricchi (device/geo/BIN/comportamento/conte), fichestor resistente, insieme ML + regole, una chiara strategia di soglia sotto SCA/TRA, e disciplina di funzionamento (A/B, deriva, esplainability). Così manterrete la conversione, abbasserete i charjback e renderete prevedibili i profitti.