Sinais de frod e compilação de transações

1) Porquê e como ele afeta a monetização

• ↑ Approval Rate sem o crescimento dos charjbacks,
• Custos de SCA/challengs e safort,
• ↑ LTV através de pagamentos COF/MIT sustentáveis,
• A conformidade do PSD2-TRA (Transmissão Risk Analysis) com os provedores/bancos.

2) Mapa dos sinais (o que recolher)

2. 1 Identificação de dispositivo/sessão

Device fingerprint (canvas/webgl/áudio, user-agente, fontes, timezone, idiomas).
ID Cookie/LocalStorage/SDK-ID, sustentável (privaciy-safe).
Emuladores/ruth/jailbrake, proxy/VPN/datacenter-IP, TOR.

2. 2 Geo e rede

IP-geo vs BIN-país vs billing-país, atraso da rede/RPT, ASN/provedor.
Taxa de mudança de IP/geo, «saltos» de timzon, conhecidos «tóxicos» da rede.

2. 3 Atributos de pagamento

BIN: esquema, país, banco, débito/crédito/prepaid, comercial/pessoal.
MCC 7995, soma/moeda, frequência de tentativas por token/cartão/dispositivo/conta.
Histórico 3DS (frictionless/challenge), normalização AVS/CVV, rede tocens (VTS/MDES/NSPK).

2. 4 Comportamento e comportamento bio

Velocidade/ritmo de entrada, copypast, ordem de campos, erros CVV/índice.
Pattern "bots' (headless, cliques automáticos), ciclos anormais.

2. 5 Conta e Conde de Ligações

A idade da conta da KYC é associada a dispositivos/pagamentos.
Grafo: dispositivos compartilhados/IP/mapas entre contas, clusters de multiackounts.
Histórico de depósitos/conclusões, comportamento no jogo, devoluções/displays.

2. 6 Fontes externas

Blacklists IP/dispositivos/BIN, sinais comportamentais de serviços de antifrode, regiões de risco/janelas de tempo.

3) Fichador e qualidade de dados

Função Store: definições de fich, versionização, TTL/janelas de tempo (1h/24h/7d/30d).
Paridade online/offline: As mesmas transformações em realtime e treinamento.
Controle de dados: schema validation, «not null», faixas, anti-download (leakage).
Selo: marce o chargeback, confirmed fraud, friendly fraud, legit com datas; aplique «verdade adiada» (label delay).

4) Abordagens para o escrutínio

4. 1 Regras (policy engine)

Rápido e explicável: geo mismatch + velocity → 3DS.
Contras: rigidez, muito falso positives.

4. 2 modelos ML

GBDT (XGBoost/LightGBM/CatBoost) - padrão para fichas de tabela; interpretação forte (SHAP).
Modelos gráficos (GraphSAGE/GAT) - para conexões de dispositivos/IP/mapas.
Neurosseti (TabNet/MLP) - quando há muitas interações/não lineares.
Conjunto: GBDT + embedding gráfico (node2vec) + regras.

4. 3 Anomalistas

Isolation Forest/LOF/AE para novos mercados/história fraca; É usado como sinal, não como o veredicto final.

5) Estratégia liminar e SCA/3DS

• 'score ≤ T1' → applve (em eEA: TRE-exempt em PSP/banco, se disponível)
• 'T1
• 'score> T2' → decline/pedido de alternativa (A2A/carteira)

Calibragem: Exibe o T1/T2 nas metas CBR% e AR%, considerando o custo do challenge e o risco do chargeback. Em áreas PSD2, use o TRA dos associados onde o provedor de frod executa

6) Arquitetura de decisão online

1. Passo pré-auth: coleta device/geo/velocity → corte por ≤ de 50-150 ms.
2. Solução: approve/3DS/decline/routing alternativo (PSP-B, outro método).
3. Integração 3DS: se soft-decline → uma repetição com SCA sem voltar a digitar o cartão.
4. Loging: salvemos 'score', 'top-fici' (SHAP top-k), a ação aceita e o resultado da autorização.
5. Feedback loop: charjbacks/displays → editoras em fichador.

7) Fichas específicas (cheat-sheet)

• tentativas por device/IP/tocen/conta/email cartões exclusivos/BIN/emissores para o dispositivo «05/ 14/54/51/91/96»

• IP_country ≠ BIN_country; distance(user_profile_geo, IP_geo)
• Categoria ASN (mob/residente/datacenter), proxy/docentes bandeira

• time_to_fill_form, focus switches, paste_rate, typo_rate
• «janelas noturnas» na hora local da conta

• novo BIN/banco para conta, prepaid/debit, primeira transação COF
• 3DS _ method _ done, último challenge outcome, AVS/CVV normalização

• degree (dispositivo), triangles, IP compartilhado com os clusters de charjback embedding _ score (proximidade com os clusters de frod)

8) Explicabilidade e controle do preconceito

SHAP/função de importance para soluções de limites T1/T2.
As regras de «safety net» estão acima de ML: por exemplo, 'CVV = N' n' challenge/decline, independentemente do baixo escrutínio.
Políticas fairness: não usar atributos proibidos; uma auditoria contra a discriminação indireta.

9) Experimentos e calibragem

Testes A/B: baseline regras vs ML; ML-on vs ML-off; T1/T2 diferentes.
Métricas: AR, CBR%, 3DS rate, Challenge sucess%, Costa/approved.
Profit-weighted ROC: otimize não o AUC no vácuo, mas a economia (loss matrix: FP = giro perdido, FN = chargeback-loss + fees).

10) Monitoramento e deriva

Data drivt (PSI/KL) em fichas-chave; target drivt (charjbacks).
Alerts: Crescimento de 'score> T2' no cluster BIN/país; «05» depois do 3DS.
Reajuste regular (semanal/mensal) com safe-deploy (shadow → canary → full).
Controle de calibração (Brier score, reliability curves).

11) Relação com routing e PSP

O screening afeta o smart-roting: envie para PSP de borda com o melhor AR para BIN/emissor.
Ao degradar o ACS/emissor («91/96»), aumente temporariamente o T1 (mais frictionless com low-risk) ou redirecione para o PSP-B.

12) Processos e «governance»

Mapa modelo, proprietário, versão, data de lançamento, alvo KPI, riscos.
Mudança-controle: RFC para novas regras/liminares, gravação de resultados A/B.
Doutor pacote TRA para PSD2: descrição da metodologia, métricas de frode, frequência de procedimentos.

13) Anti-pattern

Misturar fies offline e online sem controlar atrasos → fugas/falsas vitórias.
Fazer «total decline» no relógio de pico mata AR e LTV.
Depender apenas de regras ou apenas de ML.
Ignorar os sinais SCA-soft e não iniciar o 3DS se necessário.
Logar PAN/PII sem máscara é uma violação do PCI/GDPR.

14) Folha de cheque de implementação

• Fichestor com paridade online/offline e validação de esquemas.
• Normalização AVS/CVV/3DS, serviço BIN, device-fingerprinting.
• Modelo GBDT + regras-safety-net + (opcional) GBDT embeddings.
• Calibragem de limite T1/T2 sob AR/CBR/Cost; política SCA/TRA.
• Serviço de varredura online ≤150 ms, SLA/alertas.
• A/B-infraestrutura e métrica econômica (profit-weighted).
• Monitoramento à deriva, reaproveitamento regular, registro de lançamentos.
• Políticas PCI/GDPR: PAN-safe, minimização do PII, logs de soluções explicáveis.

15) Resumos

Antifrode forte no iGaming é uma combinação de sinais ricos (device/geo/BIN/comportamento/grafo), fichestor sustentável, conjunto de regras ML +, estratégia de liminar clara sob SCA/TRA, e disciplina de operação (A/B, deriva, explainability). Assim, você retém a conversão, reduza os charjbacks e torna o rendimento previsível.