Боротьба з шахрайством і фрод-аналітика

1) Навіщо це потрібно

Мета фрод-контуру - знижувати фінансові втрати (чарджбеки, бонус-аб'юз, переведення в готівку), захищати гравців від ATO і підтримувати регуляторний/партнерський комплаєнс, не руйнуючи UX. Основа - ризик-орієнтований підхід (RBA), при якому ресурси направляються туди, де ризик і збиток максимальні.

2) Таксономія загроз (iGaming-контекст)

1. Мультиаккаунтинг (ферми, проксі-роутинг, клони документів).
2. Бонус-аб'юз (орбіти акаунтів, «карусель» depozit→vyvod, промо-арбітраж).
3. Account Takeover (ATO) (фішинг, лики паролів, SIM-swap).
4. Колюзія (координація ставок/гри; Р2Р/турніри, PvP-слоти/місії).
5. Чарджбек-фрод (friendly fraud, тестування карт, посередники).
6. Платіжні схеми (треті особи, «мули», переведення в готівку через швидкі кешаути).
7. Док-фрод/КУС-байпас (синтетичні особистості, дипфейки, боти).
8. Бот-активність (скрипти реєстрації/входу/ставок, емулятори).
9. Афіліатний фрод (кукі-стафінг, мотивований трафік, приховані редиректи).
10. Експлойт механік (помилки в лімітах, RTP-дрифт, баги турнірів/квестів).

3) Дані і фічі (що збирати і як готувати)

Ідентифікаційні: email/телефон, відбиток пристрою, браузерні сигнали, геолокація/IP-ASN.
KYC/KYB/KYA: якість документів, селфі-лівнес, збіг імені платника.
Платіжні: BIN/issuer, збіг країни IP↔BIN↔dokument, частота/суми, повернення/чарджбеки.
Ігрові: швидкість ставок, дисперсія, кореляції з іншими акаунтами, «мінімальний ризик».
Поведінкові: тривалість сесій, переходи, швидкість форм-філінгу, помилкові вводи.
Графові: зв'язність за пристроями/картками/адресами/айпі/афіліату.
Службові: прапори антибот-систем, якість афіліатного трафіку, версії клієнта.

Фіче-стор: єдине версіоноване сховище ознак з онлайн/офлайн консистентністю (мілісекундний доступ для скорингу).

4) Детерміновані правила (швидкі контролі)

• R-01: IP-країна ≠ BIN-країна і ≠ країна документа → + 25 до ризику, ручний чек при WD.
• R-02: ≥3 різних платіжних інструментів за 24год → + 15.
• R-03: depozit→zapros на висновок
• R-04: кореляція за пристроєм/адресою з раніше заблокованим акаунтом → блок до рев'ю.
• R-05: fail лівнес/антибот → жорстке KYC, заборона бонусів.
• R-06: невідповідність власника платіжного засобу профілю → запит SOF/підтвердження.

Поради: версіонуйте правила, використовуйте канарські включення і зворотний зв'язок від кейс-команди.

5) ML-скоринг (гнучкість і зниження FP)

Моделі: градієнтний бустинг/дерева, логрег, для графів - GNN/Node2Vec, для тексту - прості ембеддинги заявок.
Цілі: ймовірність АТО/чарджбека/бонус-аб'юза в горизонті N днів.
Фічі: пристрої, платежі, граф зв'язків, тимчасові ряди ставок, афіліатні мітки якості.
Пояснюваність: SHAP/Reason Codes для саппорту та апеляцій.
Дрифт: моніторинг PSI/коливань метрик, автокалібрування порогів.

6) Графова аналітика

Вершини: акаунти, пристрої, карти, адреси, IP, афіліати.
Ребра: «використовує/підключений до/належить/зараховував/виводив».
Патерни: кластери «ферм», трикутники перекладів, «зірки» із загальним пристроєм.
Використання: пріоритизація кейсів (центр кластеру вище), заборона групових виплат до рев'ю.

7) Антибот і лівнес

Device fingerprint + поведінкова біометрія (рух миші/таймінги).
Liveness (пасивний/активний), анти-спуф (маски, реплеї).
Емулятори/автоклікери: сигнали ADB/емуляторів, патерни подій UI.
Rate limits/капчі адаптивно, без вбивства конверсії.

8) Контролі за сценаріями

8. 1 Бонус-аб'юз

Ступінчасті бонуси (відкладений бонус/релізи по обороту), ліміти на FTD-бонуси, «cooldown» по афіліату/пристрою.
Графові ліміти (на «сім'ю» акаунтів/пристроїв).
Прозорі умови, анти-орієнтирація ставок на мінімальний ризик.

8. 2 ATO

MFA/пуш-підтвердження, ризик-based логін (новий пристрій/IP → доп. перевірка).
Таємні маркери в пошті/СМС, троттлінг ресетів пароля.
Сигнали «не я» і швидкий лоч через додаток.

8. 3 Чарджбеки

3-D Secure/довірені методи, velocity-правила.
Збіг власника картки/рахунку, «same method» для WD.
Досьє доказів для диспутів (логи входів, IP, сесії).

8. 4 Колюзія/турніри

Аномальні кореляції результатів/ставок, повторювані послідовності, часті матч-апи одних і тих же гравців.
Таємні «контрольні» столи/турніри для виявлення змов.

9) Кейс-менеджмент і процес розслідувань

Пайплайн: Алерт → Кваліфікація (L1) → Док-запит/пояснення → Рішення (L2/MLRO) → Дія (ліміти/блок/SAR, якщо потрібно) → Пост-морем.

• High-risk WD/санкційний/платіжний - ≤4 -8 год.
• АТО/безпека - nemedlenno/≤2 год.
• Бонус-аб'юз - ≤24 год.

Інструменти: пріоритет черг, шаблони листів, «чотири ока», WORM-сховище рішень, reason codes.

10) Архітектура рішення

Event bus (реал-тайм): логіни, депозити, ставки, WD, зміни профілю.
Fraud service: правила + онлайн-ML скоринг (мілісекунди).
Feature store: онлайн/офлайн фічі з узгодженістю.
Graph store: швидкий пошук зв'язків і кластерів.
Case system: черга, SLA, інтеграції з саппортом/КУС/платежами.
Спостережуваність: метрики/логи/трейси, версія правил/моделей, канарські розкатки.

11) Метрики та цілі

Chargeback Rate/Net Fraud Loss (у% GGR/обсягу).
Precision/Recall алертів; False Positive Rate (особливо на логіні/WD).
Time-to-Decision, Time-to-Payout (до і після заходів).
Auto-clear / Manual-review rate.
ATO Containment Time і частка відновлених акаунтів.
Bonus Abuse Uplift (економія) і ROI заходів.
Affiliate Traffic Quality: CR→FTD→depozitor, WD-ratio, chargeback-by-affiliate.

12) Приватність, етика та UX

Мінімізація даних, законні підстави обробки; зберігання ≥5 років для доказів.
Anti-bias: виключити чутливі ознаки; фічі - поведінка/факти.
Пояснюваність: reason codes в комунікаціях, зрозумілі апеляції.
UX-баланс: м'які перевірки за замовчуванням, ескалації за сигналами; не блокувати «чистих» даремно.

13) Експерименти та калібрування

A/B тести правил і порогів ML; канарні включення 5-10% трафіку.
Матриці витрат: ціна FP vs FN, оптимізація порогу по прибутку.
Періодичне перекалібрування (кв./міс.) контроль сезонності/кампаній.

14) Взаємодія з платежами, KYC і AML

Платежі: pre-auth/3DS, верифікація власника, «same-method» для WD, трасування.
KYC: лівнес, NFC-читання, повторна верифікація при ризиках.
AML: SAR/STR при обґрунтованій підозрі, санкційний рескринінг на WD, SOF/SOW на high-risk.

15) Чек-листи (операційні)

• Антибот + device fingerprint.
• Базові правила гео/IP/BIN.
• KYC L1 (док + лівнес), санкції/РЕР.
• Стартові ліміти, включене RG.

• Рескрининг санкцій/РЕР.
• Збіг власника платіжного засобу.
• Перевірка граф-зв'язків і поведінкових аномалій.
• SOF при перевищенні порога.

• Термінове коригування правил/порогів.
• Заморожування спірних виплат.
• Повідомлення платіжних партнерів/афіліатів (за потребою).
• Пост-морем і оновлення плейбуків.

16) Типові помилки і як їх уникнути

Перерегулювання (вбивство конверсії) → ступінчасті заходи, канарні тести.
Острівні рішення (немає шини/фіче-стора) → централізуйте фічі і події.
Немає зворотного зв'язку → навчайте моделі на результатах кейсів/чарджбеков.
Ігнор графа → пропускаються кластери «ферм».
Відсутність explainability → важкі апеляції, конфлікт з саппортом/регулятором.

17) Приклад матриці дій за рівнем ризику

18) Впровадження (дорожня карта)

1. Визначити цілі (зниження чарджбеків/абьюза, TTP ATO), KPI і ризик-апетит.
2. Побудувати event bus, feature store, базові правила і кейс-систему.
3. Підключити граф-сховище і онлайн-скоринг ML.
4. Запустити канарські тести, налаштувати алерти і дрифт-моніторинг.
5. Навчити команди (саппорт/комплаєнс/платежі), закріпити RACI.
6. Щокварталу калібрувати правила/моделі, проводити аудит і ретро.

Підсумок

Ефективна боротьба з фродом - це система: єдина шина подій, фіче-стор, гібрид правил і ML, граф-аналітика, дисциплінований кейс-менеджмент і продумані інтеграції з KYC/AML/платежами. Додайте до цього UX-дбайливість, прозорі метрики і регулярні експерименти - і ви отримаєте стійкий контур, який знижує втрати і зберігає конверсію і довіру гравців.