Фрод-сигналы и скоринг транзакций

1) Зачем скоринг и как он влияет на монетизацию

• ↑ Approval Rate без роста чарджбеков,
• ↓ затраты на SCA/челленджи и саппорт,
• ↑ LTV за счет устойчивых COF/MIT-платежей,
• соответствие PSD2-TRA (Transaction Risk Analysis) у провайдеров/банков.

2) Карта сигналов (что собирать)

2.1 Идентификация устройства/сессии

Device fingerprint (canvas/webgl/audio, user-agent, шрифты, timezone, языки).
Cookie/LocalStorage/SDK-ID, устойчивые идентификаторы (privacy-safe).
Эмуляторы/рут/джейлбрейк, прокси/VPN/датacenter-IP, TOR.

2.2 Гео и сеть

IP-гео vs BIN-страна vs биллинг-страна, задержка сети/RTT, ASN/провайдер.
Частота смены IP/гео, «прыжки» таймзон, известные «токсичные» подсети.

2.3 Платежные атрибуты

BIN: схема, страна, банк, дебет/кредит/prepaid, коммерческая/личная.
MCC 7995, сумма/валюта, частота попыток по токену/карте/устройству/аккаунту.
3DS-история (frictionless/challenge), AVS/CVV нормализация, network tokens (VTS/MDES/NSPK).

2.4 Поведение и био-поведение

Скорость/ритм ввода, копипаст, порядок полей, ошибки CVV/индекса.
Паттерны «ботов» (headless, автоматические клики), аномальные циклы.

2.5 Аккаунт и граф связей

Возраст аккаунта, пройденный KYC, связка с устройствами/платежками.
Граф: общие устройства/IP/карты между аккаунтами, кластеры мультиаккаунтов.
История депозитов/выводов, поведение в игре, возвраты/диспуты.

2.6 Внешние источники

Блэклисты IP/устройств/BIN, поведенческие сигналы антифрод-сервисов, рисковые регионы/временные окна.

3) Фичестор и качество данных

Feature Store: единые определения фич, версионирование, TTL/временные окна (1h/24h/7d/30d).
Онлайн/офлайн-паритет: одни и те же трансформации в realtime и тренинге.
Контроль данных: schema validation, «not null», диапазоны, анти-скачивание (leakage).
Лейблинг: помечайте chargeback, confirmed fraud, friendly fraud, legit с датами; применяйте «отложенную правду» (label delay).

4) Подходы к скорингу

4.1 Правила (policy engine)

Быстрые и объяснимые: geo mismatch + velocity → 3DS.
Минусы: жесткость, много false positives.

4.2 ML-модели

GBDT (XGBoost/LightGBM/CatBoost) — стандарт для табличных фич; сильная интерпретируемость (SHAP).
Граф-модели (GraphSAGE/GAT) — для связей устройств/IP/карт.
Нейросети (TabNet/MLP) — когда много нелинейностей/взаимодействий.
Ансамбли: GBDT + графовый эмбеддинг (node2vec) + правила.

4.3 Аномалистики

Isolation Forest/LOF/AE для новых рынков/слабой истории; используют как сигналы, а не финальный вердикт.

5) Пороговая стратегия и SCA/3DS

• `score ≤ T1` → approve (в eEA: TRA-exempt у PSP/банка, если доступно)
• `T1 < score ≤ T2` → 3DS-challenge (или усиливаем данные для frictionless)
• `score > T2` → decline / запрос альтернативы (A2A/кошелек)

Калибровка: выставляйте T1/T2 по таргетам CBR% и AR% с учетом стоимости челленджа и риска chargeback. В зонах PSD2 используйте TRA у партнеров, где фрод-рейт провайдера < порогов эмитента.

6) Онлайновая архитектура принятия решений

1. Pre-auth шаг: сбор device/geo/velocity → скоринг за ≤ 50–150 мс.
2. Решение: approve / 3DS / decline / альтернативный роутинг (PSP-B, иной метод).
3. 3DS-интеграция: если soft-decline → повтор с SCA без повторного ввода карты.
4. Логирование: сохраняем `score`, топ-фичи (SHAP top-k), принятое действие и исход авторизации.
5. Feedback loop: чарджбеки/диспуты → лейблы в фичестор.

7) Конкретные фичи (cheat-sheet)

• попытки по device/IP/token/account/email уникальные карты/BIN/эмитенты на устройство доля отказов `05/14/54/51/91/96`

• IP_country ≠ BIN_country; distance(user_profile_geo, IP_geo)
• ASN категория (моб/резидент/датацентр), прокси/доцентры флаг

• time_to_fill_form, focus switches, paste_rate, typo_rate
• «ночные окна» по локальному времени аккаунта

• новый BIN/банк для аккаунта, prepaid/debit, первая транзакция COF
• 3DS_method_done, прошлый challenge outcome, AVS/CVV нормализация

• degree(устройство), triangles, общие IP с чарджбек-кластерами embedding_score(близость к фрод-кластерам)

8) Объяснимость и контроль предвзятости

SHAP/feature importance для решений по границам T1/T2.
Правила «safety net» поверх ML: напр., `CVV=N` ⇒ challenge/decline независимо от низкого скоринга.
Политики fairness: не использовать запрещенные атрибуты; аудит фич на косвенную дискриминацию.

9) Эксперименты и калибровка

A/B-тесты: baseline правила vs ML; ML-on vs ML-off; разные T1/T2.
Метрики: AR, CBR%, 3DS rate, Challenge success%, Cost/approved.
Profit-weighted ROC: оптимизируйте не AUC в вакууме, а экономику (loss matrix: FP=потерянный оборот, FN=chargeback-loss + fees).

10) Мониторинг и дрейф

Data drift (PSI/KL) по ключевым фичам; target drift (чарджбеки).
Алерты: рост `score > T2` в кластере BIN/страна; всплеск `05` после 3DS.
Регулярная переобучаемость (еженедельно/ежемесячно) с safe-deploy (shadow → canary → full).
Контроль calibration (Brier score, reliability curves).

11) Взаимосвязь с роутингом и PSP

Скоринг влияет на smart-routing: для пограничных скоров отправляйте в PSP с лучшим AR на BIN/эмитент.
При деградации ACS/эмитента (всплеск `91/96`) временно повышайте T1 (больше frictionless с low-risk) либо перенаправляйте в PSP-B.

12) Процессы и «governance»

Модельная карта: владелец, версия, дата релиза, целевые KPI, риски.
Change-control: RFC для новых правил/порогов, запись результатов A/B.
Док-пакет TRA для PSD2: описание методологии, метрик фрода, частот процедур.

13) Анти-паттерны

Смешивать офлайн-и онлайн-фичи без контроля задержек → утечки/ложные победы.
Делать «тотальный decline» в пиковые часы — убивает AR и LTV.
Полагаться только на правила или только на ML.
Игнорировать SCA-soft сигналы и не инициировать 3DS при необходимости.
Логировать PAN/PII без маски — нарушение PCI/GDPR.

14) Чек-лист внедрения

• Фичестор с онлайн/офлайн-паритетом и валидацией схем.
• Нормализация AVS/CVV/3DS, BIN-сервис, device-fingerprinting.
• Модель GBDT + правила-safety-net + (опционально) граф-эмбеддинги.
• Пороговая калибровка T1/T2 под AR/CBR/Cost; политика SCA/TRA.
• Онлайновый сервис скоринга ≤150 мс, SLA/алерты.
• A/B-инфраструктура и экономическая метрика (profit-weighted).
• Мониторинг дрейфа, регулярное переобучение, журнал релизов.
• Политики PCI/GDPR: PAN-safe, минимизация PII, объяснимые логи решений.

15) Резюме

Сильный антифрод в iGaming — это комбинация: богатые сигналы (device/geo/BIN/поведение/граф), устойчивый фичестор, ансамбль ML + правила, четкая пороговая стратегия под SCA/TRA, и дисциплина эксплуатации (A/B, дрейф, explainability). Так вы удержите конверсию, снизите чарджбеки и сделаете доход предсказуемым.