GH GambleHub

Sintonizar antifrode e regras

TL; DR

O antifrod não é uma «captura de atacantes», mas uma otimização dos lucros: minimizamos o Expected Loss (EL) de frod e charjbacks para a limitação de Costa de Fricção (CoF) e AR _ net. Padrão básico: mapeamento (ML) → limiar/madeireira step-up → regras (policy & velocity) → verificação manual. Sucesso: editoras limpas, fichas estáveis, limiar calibrado economicamente, lançamentos canários, idempotidade rigorosa e governabilidade das regras.

1) Produção econômica

Expected Loss:
  • `EL = P_fraud(tx) × Exposure(tx)`; Normalmente, 'Exposure = captured _ amount'.
Cost of Friction (CoF):
  • `CoF = (Abandon_on_Friction × LTV_new/ret) + Opex_review + Fees_stepup`.
Função de destino (maximizando o perfil):
  • `Profit = GGR − Cost_payments − EL − CoF`.

Limiar ideal 'n': Selecionamos o score-cutoff para' d (Profit )/dse = 0 ', ou pela grade de min (' EL+CoF '). Na prática, é uma questão de 'w _ fraud = Exposure', 'w _ fp = LTV _ loss + opex'.

2) Forrador de autenticação (step-up ladder)

1. Auto-approve (baixo risco): passagem instantânea, 3DS frictionless onde possível.
2. Step-up A: 3DS challenge / SCA / device-challenge / reCAPTCHA.
3. Step-up B: легкий KYC (doc selfie/face-match, liveness).
4. Manual review: mala do analista (SLA, reason-codes).
5. Auto-decline: alto risco/sanções/mulas/anomalias de voucher.

O limiar/ramo depende da pontuação, soma ('ticket _ size'), país, BIN/issuer, fichas comportamentais e contexto (campanha bónus, janelas noturnas, velocity).

3) Sinais e fichas (base mínima)

Pagamentos: BIN/IIN, issuer _ country, ECI/3DS flow, AVS/CVV match, códigos soft-decline, restituições/disputes na história.
Comportamentos: velocidade de eventos ('cards/device/ip/email'), hora do dia, first-seen/last-seen, «topologia» de contas (gráficos: dispositivos compartilhados/cartões/carteiras).
Dispositivo/rede: device fingerprint, emuladores/jale/ruth, proxy/VPN/TOR, ASN/hospedagem.
Anti-bónus, sindicatos de refino, bónus de bombeamento, pattern anormais depozit→vyvod sem jogo.
Pagamentos/carteiras/voucher: repetições de PIN, geo-mismatch, rábeis de velocidade, cascatas de muling.
KYC/KYB: nível, validações, bandeiras SoF/SoW.
Sanções/RER/listras: correspondências em listas, jogo de fuzis FIO/endereços.

💡 Os fichas devem ser estáveis e replicáveis: definições claras, sem fugas de futuro, com guias e versionagem.

4) Pilha: ML + regras

ML (primary ranker): GBM/Tree-ensembles/NN, обучен на `label = chargebackconfirmed fraud ', time-based split,' PSI/KS 'monitorado.
Regras (policy & velocity): sanções/proibições legais (rígidas), limites de velocidade, anti-bónus (domínios), bandeiras de tráfego.
Composição: 'decision = f (score, rulas, context)' → ramo de floresta.
Expainability: SHAP/função-impact → mapping em reason _ codes para safort e RCA.

5) Métricas de qualidade (com bases claras)

AR_clean = `Auth_Approved / (Auth_Attempted − Fraud_preblocked − Abandon_3DS)`

Fraud Rate = 'Fraud _ captured _ amount/Captured _ amount'

Chargeback Rate = 'Marceback _ count/Captured _ Tx' (ou soma)

False Positive Rate (FP) = `Legit_declined / Legit_attempted`

Step-up Rate = `StepUp_tx / Auth_Attempted`, Abandon_on_StepUp

Auto-approve %, Manual review %, Review SLA/TtA

Net Profit uplift após sintonizar (diferença AB EL+CoF vs controle).

Referências: FP para novos usuários ≤ 1% a 2% (em volume), Fraud (em total) no corredor de destino de licença/circuito.

6) Liminares e políticas de regras

6. 1 Calibrar limiar

Construímos a questão de «EL» para cada «+CoF».
Selecionamos o mínimo. Para high-ticket, é um ' _ hi' separado.

6. 2 Regras típicas (pseudocode)

yaml
- name: SANCTIONS_HIT when: sanctions_match==true action: DECLINE reason: "Sanctions/PEP match"

- name: BIN_RISKY_3DS when: bin in RISKY_BINS and score in [τ_low, τ_mid)
action: STEPUP_3DS

- name: DEVICE_VELOCITY_LOCK when: device_id in last_10min.deposits > 3 action: DECLINE_TEMPORARY ttl: 2h

- name: BONUS_ABUSE_GUARD when: (bonus_received and gameplay_turnover < Xdeposit_amount) and payout_request action: HOLD_REVIEW reason: "Turnover not met"

6. 3 Limites dinâmicos

Limite de transações por nível de risco (risk-tier): 'R1/R2/R3'.
Limites adaptativos para novas contas, aquecendo com um bom histórico.

7) Ciclo de vida de regras (governance)

DSL/registro de regras com versões, proprietário e descrição do efeito.
Shadow mode → canary (5–10%) → full rollout.
RACI: Owner (Payments Risk), Approver (Compliance/Legal), Consulted (Support/Treasury), Informed (Ops).
Auditoria-logos: quem/quando alterou quais métricas/AV, reversão.
Prazo de validade e reavaliação (por exemplo, 30/60 dias).

8) Dados e treinamento de modelos

Slits de tempo, sem vazamento (featuras somente da janela passada).
Editora de destino: confirmed fraud/chargeback; editoras individuais de bónus abuse.
Reweighing classes por soma (amount-weighted loss).
Monitoramento Draft: PSI para fichas-chave, KS para córtex, baseline stability.
Triggers Retrain: PSI> 0. 25, queda do KS, mudança de tráfego/jurisdição.

9) Explicabilidade e safort

Para cada solução, geramos reason _ codes (até 5 razões) com dicas humanas.
Macros de safort por step-up/falha (3DS, KYC, turnover).
Disputas/displays: o feedback entra no labeling pipeline (encerrando o ciclo).

10) Complaens e privacidade

GDPR/DSAR: direito de explicar a decisão; Minimizar o PII; hasteamento (salted) de identificadores (email/phone/PAN-token).
PCI-DSS: fluxo PAN-safe, toquenização.
Sanções/AML: traçado de screening separado + escalação MLRO.
Retenção: Políticas de armazenamento de sinais e justificativas de soluções.

11) Monitoramento e alertas (hora/dia)

AR_clean, Fraud (amt%), FP (retention-weighted), Step-up/Abandon, Review SLA, Chargeback Rate (lagged).
Spicky velocity, crescimento TOR/Proxy/ASN Hospedagens, BIN degradação, voucher-raridades.
Alertas a: FP> corredor, Fraud> meta, Abandon> bases + X p.p., à deriva PSI/KS.

12) cortes SQL (exemplo)

12. 1 Métricas básicas

sql
WITH base AS (
SELECT
DATE_TRUNC('day', attempt_ts) d, country, provider, method_code,
COUNT() FILTER (WHERE auth_status='ATTEMPTED') AS attempted,
COUNT() FILTER (WHERE auth_status='APPROVED') AS approved,
COUNT() FILTER (WHERE decision='DECLINE' AND label='LEGIT') AS fp_cnt,
SUM(captured_amount) AS cap_amt,
SUM(CASE WHEN label='FRAUD' THEN captured_amount ELSE 0 END) AS fraud_amt
FROM payments_flat
GROUP BY 1,2,3,4
)
SELECT d, country, provider, method_code,
approved::decimal/NULLIF(attempted,0) AS ar_clean,
fraud_amt::decimal/NULLIF(cap_amt,0)  AS fraud_rate_amt,
fp_cnt::decimal/NULLIF(attempted,0)  AS fp_rate
FROM base;

12. 2 Proporção de step-up e falhas de escoramento

sql
SELECT
DATE_TRUNC('day', attempt_ts) d,
WIDTH_BUCKET(score, 0, 1, 10) AS bucket,
AVG(CASE WHEN decision='STEPUP' THEN 1 ELSE 0 END) AS stepup_share,
AVG(CASE WHEN decision='DECLINE' THEN 1 ELSE 0 END) AS decline_share,
AVG(CASE WHEN stepup_abandon THEN 1 ELSE 0 END) AS abandon_after_stepup
FROM risk_events
GROUP BY 1,2
ORDER BY d, bucket;

13) Playbooks de sintonização

O crescimento do Fraud (amt%), com FP estável, → elevar 'se', aumentar a velocidade por dispositivos/ASN, incluir 3DS-challenge em BIN vulneráveis.
O FP alto dos novos → para suavizar 'n' para low-jet, transferir parte para Step-up A em vez de desvio.
Abandon em 3DS↑ → negociar com PSP parâmetros 3DS2, melhorar UX, estreitar step-up em celulares para low-risk.
Redes de bónus sindividuais → fichas gráficas, limitar pagamentos «paralelos», regras turnover.
Anomalias de vale → velocity por PIN/retailer/geo, device-binding, hold antes da verificação.

14) Implantação: folha de cheque

  • Calibragem econômica do limiar ('EL+CoF'), individuais de segmentos.
  • Registro de regras (DSL), shadow→canary→rollout, auditoria e reversão.
  • Reason-codes e modelos de comunicação.
  • Monitoramento PSI/KS, à deriva fic/screen, retrain regular.
  • Feedback (disputy→leybly).
  • Políticas KYC/step-up, SLA review e TtA/TtR.
  • Privacidade: hastear identificadores, minimizar PII.

15) Resumos

Sintonizar antifrode é otimizar os lucros com uma fricção controlada por ML-screen + step-up elaborada, regras legais rígidas e limites de velocidade cuidadosos. Calibragem econômica do limiar, editoras limpas, canários e governabilidade rigorosa oferecem Fraud baixo em soma, FP baixo em novas, AR _ net alto - sem surpresas para a complacência e UX.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.