Антифрод жана эрежелерди тюнинг

TL; DR

Антифрод - бул "чабуулчуларды кармоо" эмес, кирешени оптималдаштыруу: Cost of Friction (CoF) жана AR_net чектөө менен фроддон жана чарджбектерден Expected Loss (EL) минималдаштыруу. Негизги схема: эсеби (ML) → босого/тепкич кадам → эрежелер (саясат & velocity) → кол менен текшерүү. Ийгилик берет: таза этикеткалар, туруктуу чыпкалар, экономикалык жактан калибрленген босого, канар релиздери, катуу демпотенттүүлүк жана эрежелерди башкаруу.

1) Экономикалык өндүрүш

• `EL = P_fraud(tx) × Exposure(tx)`; адатта 'Exposure = captured_amount'.

• `CoF = (Abandon_on_Friction × LTV_new/ret) + Opex_review + Fees_stepup`.

• `Profit = GGR − Cost_payments − EL − CoF`.

Оптималдуу босого 'τ': үчүн score-cutoff тандоо 'd (Profit )/d τ = 0', же сетка min ('EL + CoF'). Иш жүзүндө - cost-sensitive ROC/PR салмагы менен: 'w _ fraud = Exposure', 'w _ fp = LTV_loss + opex'.

2) Lestenka аутентификация (step-up ladder)

1. Auto-approve (төмөн тобокелдик): заматта өтүү, мүмкүн болгон жерде 3DS frictionless.
2. Step-up A: 3DS challenge / SCA / device-challenge / reCAPTCHA.
3. Step-up B: легкий KYC (doc selfie/face-match, liveness).
4. Manual review: аналитиктин иши (SLA, reason-codes).
5. Auto-decline: жогорку тобокелдик/жаза/мул/ваучер аномалиялар.

босого/бутак эсеби пунктка көз каранды, суммасы ('ticket _ size'), өлкө, BIN/issuer, жүрүм-турум жана контекстте (бонус кампаниялар, түнкү терезелер, velocity).

3) Сигналдар жана Fich (минималдуу базасы)

Төлөм: BIN/IIN, issuer_country, ECI/3DS flow, AVS/CVV match, soft-decline коддору, тарыхта кайтарымдар/disputes.
Жүрүм-турум: окуялардын ылдамдыгы (velocity: 'cards/device/ip/email'), сутканын убактысы, биринчи-seen/last-seen, аккаунттардын "топологиясы" (граф-байланыштар: жалпы түзмөктөр/карталар/капчыктар).
түзмөк/тармак: device fingerprint, эмуляторлор/jail/Ruth, прокси/VPN/TOR, ASN/хостинг.
Анти-бонус: жолдомолор-синдикаттар, "насостук" бонустар, анормалдуу депозиттик үлгүлөр → оюн жок алып салуу.
Төлөмдөр/капчыктар/ваучерлер: PIN кайталоо, geo-mismatch, "тез" сейрек, мулинг каскаддар.
KYC/KYB: деңгээл, тастыктоо, SoF/SoW желектери.
Санкциялар/РЕР/блок-баракчалар: тизмелер боюнча дал келүүлөр, фуззи-матч аты-жөнү/даректери.

4) Stack: ML + эрежелери

5) Сапат көрсөткүчтөрү (так негиздери менен)

AR_clean = `Auth_Approved / (Auth_Attempted − Fraud_preblocked − Abandon_3DS)`

Fraud Rate (кармоо боюнча) = 'Fraud _ captured _ amount/ Captured_amount'

Chargeback Rate = 'Chargeback _ count/ Captured_Tx' (же суммасы боюнча)

False Positive Rate (FP) = `Legit_declined / Legit_attempted`

Step-up Rate = `StepUp_tx / Auth_Attempted`, Abandon_on_StepUp

Auto-approve %, Manual review %, Review SLA/TtA

Тюнингден кийин Net Profit uplift (AB айырмасы EL + CoF vs башкаруу).

Ориентирлер: Жаңы колдонуучулардын FP ≤ 1-2% (көлөмү боюнча), Fraud (суммасы боюнча) - лицензиянын/схемалардын максаттуу коридорунда.

6) Босоголор жана эрежелер саясаты

6. 1 калибрлөө босого

Биз cost-curve куруу: ар бир 'τ' деп эсептейбиз 'EL (τ) + CoF (τ)'.
минималдуу менен 'τ' тандоо. high-ticket үчүн - өзүнчө 'τ _ hi'.

6. 2 Типтүү эрежелер (псевдокод)

yaml
- name: SANCTIONS_HIT when: sanctions_match==true action: DECLINE reason: "Sanctions/PEP match"

- name: BIN_RISKY_3DS when: bin in RISKY_BINS and score in [τ_low, τ_mid)
action: STEPUP_3DS

- name: DEVICE_VELOCITY_LOCK when: device_id in last_10min.deposits > 3 action: DECLINE_TEMPORARY ttl: 2h

- name: BONUS_ABUSE_GUARD when: (bonus_received and gameplay_turnover < Xdeposit_amount) and payout_request action: HOLD_REVIEW reason: "Turnover not met"

6. 3 Динамикалык лимиттер

Тобокелдик деңгээли (risk-tier) боюнча транзакциялардын суммасынын жана санынын чеги: 'R1/R2/R3'.
Жаңы эсептер үчүн ылайыкташтырылган лимиттер, жакшы окуя менен жылытуу.

7) Жашоо эрежелери (governance)

DSL/версиялары менен эрежелердин реестри, ээси жана эффектинин сүрөттөлүшү.
Shadow mode → canary (5–10%) → full rollout.
RACI: Owner (Payments Risk), Approver (Compliance/Legal), Consulted (Support/Treasury), Informed (Ops).
Аудит-лог: ким/качан өзгөрттү, кандай метриктер/АВ, артка кайтуу.
Эреженин жарактуулук мөөнөтү жана кайра баалоо (мисалы, 30/60 күн).

8) Маалыматтар жана окутуу моделдер

Split убакыт, агып жок (өткөн терезеден гана өзгөчөлүктөрү).
Максаттуу белги: confirmed fraud/chargeback; жеке лейблдер bonus abuse.
Reweighing класстары суммасы боюнча (amount-weighted loss).
Drift-мониторинг: PSI үчүн негизги көрсөткүч, KS үчүн тез, baseline туруктуулук.
Retrain триггерлер: PSI> 0. 25, KS кулашы, трафикти/юрисдикцияны өзгөртүү.

9) түшүндүрүү жана саппорт

Ар бир чечим үчүн reason_codes (5 себептерге чейин) адам окуй турган кеңештер менен түзөбүз.
Саппорт макростор (3DS, KYC, turnover).
Талаш-тартыштар/талаш-тартыштар: пикир labeling pipeline түшүп (цикл жабуу).

10) Комплаенс жана купуялык

GDPR/DSAR: чечим түшүндүрүп берүү укугу; PII минималдаштыруу; хэштөө (salted) ID (email/phone/PAN-токен).
PCI-DSS: PAN-safe агымдары, tokenization.
Санкциялар/AML: өзүнчө скрининг контуру + MLRO эскалациясы.
Retention: сигналдарды сактоо саясаты жана чечимдерди негиздөө.

11) Мониторинг жана тобокелдиктер (саат сайын/күн сайын)

AR_clean, Fraud (amt%), FP (retention-weighted), Step-up/Abandon, Review SLA, Chargeback Rate (lagged).
Velocity, TOR/Proxy/ASN-хостинг өсүшү, BIN-деградация, ваучер-сейрек.
Алерталар: FP> коридор, Fraud> максаттуу, Abandon> база + X PP, PSI/KS дрейф.

12) SQL тилкелери (мисал)

12. 1 Негизги метриктер

sql
WITH base AS (
SELECT
DATE_TRUNC('day', attempt_ts) d, country, provider, method_code,
COUNT() FILTER (WHERE auth_status='ATTEMPTED') AS attempted,
COUNT() FILTER (WHERE auth_status='APPROVED') AS approved,
COUNT() FILTER (WHERE decision='DECLINE' AND label='LEGIT') AS fp_cnt,
SUM(captured_amount) AS cap_amt,
SUM(CASE WHEN label='FRAUD' THEN captured_amount ELSE 0 END) AS fraud_amt
FROM payments_flat
GROUP BY 1,2,3,4
)
SELECT d, country, provider, method_code,
approved::decimal/NULLIF(attempted,0) AS ar_clean,
fraud_amt::decimal/NULLIF(cap_amt,0)  AS fraud_rate_amt,
fp_cnt::decimal/NULLIF(attempted,0)  AS fp_rate
FROM base;

12. 2 Step-up үлүшү жана Speed ийгиликсиз

sql
SELECT
DATE_TRUNC('day', attempt_ts) d,
WIDTH_BUCKET(score, 0, 1, 10) AS bucket,
AVG(CASE WHEN decision='STEPUP' THEN 1 ELSE 0 END) AS stepup_share,
AVG(CASE WHEN decision='DECLINE' THEN 1 ELSE 0 END) AS decline_share,
AVG(CASE WHEN stepup_abandon THEN 1 ELSE 0 END) AS abandon_after_stepup
FROM risk_events
GROUP BY 1,2
ORDER BY d, bucket;

13) Тюнинг Playbook

өсүү Fraud (amt%) туруктуу FP → көтөрүү 'τ', аппараттар/ASN боюнча velocity күчөтүү, аялуу BIN боюнча 3DS-challenge камтыйт.
low-ticket үчүн жаңы → "τ" жумшартып үчүн жогорку FP, ордуна четтөө үчүн кадам-up A бир бөлүгүн которуу.
Abandon боюнча 3DS ↑ → PSP менен 3DS2 параметрлери боюнча макулдашуу, UX жакшыртуу, төмөнкү тобокелдик үчүн мобилдик боюнча кадам тарытуу.
Синдивидуалдык бонус тармактары → графалык чүчүкулак, "параллелдүү" төлөмдөрдү чектөө, turnover эрежелери.
Ваучер аномалиялар → velocity PIN/чекене/гео, device-binding, текшерүү чейин кармап турат.

14) киргизүү: чек-тизмеси

• Экономикалык чеги калибрлөө ('EL + CoF'), сегменттер боюнча өзүнчө 'τ'.
• Эрежелер реестри (DSL), shadow → canary → rollout, аудит жана артка кайтаруу.
• Reason-codes жана байланыш шаблондору.
• Мониторинг PSI/KS, дрейф/тез, үзгүлтүксүз retrain.
• Пикир каналы (талаш → лейблдер).
• KYC/step-up, SLA review жана TtA/TtR саясаты.
• Купуялык: идентификаторлорду хэштөө, PII минималдаштыруу.

15) Резюме

Тюнинг антифрод - бул башкарылуучу сүрүлүү менен системалуу кирешени оптималдаштыруу: ML-скоринг + ойлонулган тепкич кадам, катуу мыйзамдуу эрежелер жана тыкан велосити лимиттери. Экономикалык босогосун калибрлөө, таза этикеткалар, канареялык эсептөөлөр жана катуу башкаруучулук суммасына төмөн Fraud, жаңы төмөн FP, жогорку AR_net - комплаенс жана UX үчүн күтүүсүз.