Фрод-сигнали і скоринг транзакцій

1) Навіщо скоринг і як він впливає на монетизацію

• ↑ Approval Rate без зростання чарджбеків,
• ↓ витрати на SCA/челленджі і саппорт,
• ↑ LTV за рахунок стійких COF/MIT-платежів,
• відповідність PSD2-TRA (Transaction Risk Analysis) у провайдерів/банків.

2) Карта сигналів (що збирати)

2. 1 Ідентифікація пристрою/сесії

Device fingerprint (canvas/webgl/audio, user-agent, шрифти, timezone, мови).
Cookie/LocalStorage/SDK-ID, стійкі ідентифікатори (privacy-safe).
Емулятори/рут/джейлбрейк, проксі/VPN/датacenter-IP, TOR.

2. 2 Гео і мережа

IP-гео vs BIN-країна vs білінг-країна, затримка мережі/RTT, ASN/провайдер.
Частота зміни IP/гео, «стрибки» таймзон, відомі «токсичні» підмережі.

2. 3 Платіжні атрибути

BIN: схема, країна, банк, дебет/кредит/prepaid, комерційна/особиста.
MCC 7995, сума/валюта, частота спроб по токену/картці/пристрою/аккаунту.
3DS-історія (frictionless/challenge), AVS/CVV нормалізація, network tokens (VTS/MDES/NSPK).

2. 4 Поведінка і біо-поведінка

Швидкість/ритм введення, копіпаст, порядок полів, помилки CVV/індексу.
Патерни «ботів» (headless, автоматичні кліки), аномальні цикли.

2. 5 Аккаунт і граф зв'язків

Вік аккаунта, пройдений KYC, зв'язка з пристроями/платіжками.
Граф: загальні пристрої/IP/карти між акаунтами, кластери мультиаккаунтів.
Історія депозитів/висновків, поведінка в грі, повернення/диспути.

2. 6 Зовнішні джерела

Блекісти IP/пристроїв/BIN, поведінкові сигнали антифрод-сервісів, ризикові регіони/тимчасові вікна.

3) Фічестор і якість даних

Feature Store: єдині визначення фіч, версіонування, TTL/тимчасові вікна (1h/24h/7d/30d).
Онлайн/офлайн-паритет: одні й ті ж трансформації в realtime і тренінгу.
Контроль даних: schema validation, «not null», діапазони, анти-скачування (leakage).
Лейблінг: позначайте chargeback, confirmed fraud, friendly fraud, legit з датами; застосовуйте «відкладену правду» (label delay).

4) Підходи до скорингу

4. 1 Правила (policy engine)

Швидкі і зрозумілі: geo mismatch + velocity → 3DS.
Мінуси: жорсткість, багато false positives.

4. 2 ML-моделі

GBDT (XGBoost/LightGBM/CatBoost) - стандарт для табличних фіч; сильна інтерпретованість (SHAP).
Граф-моделі (GraphSAGE/GAT) - для зв'язків пристроїв/IP/карт.
Нейромережі (TabNet/MLP) - коли багато нелінійностей/взаємодій.
Ансамблі: GBDT + графовий ембеддинг (node2vec) + правила.

4. 3 Аномалістики

Isolation Forest/LOF/AE для нових ринків/слабкої історії; використовують як сигнали, а не фінальний вердикт.

5) Порогова стратегія і SCA/3DS

• `score ≤ T1` → approve (в eEA: TRA-exempt у PSP/банку, якщо доступно)
• 'T1
• 'score> T2'→ decline/запит альтернативи (А2А/гаманець)

Калібрування: виставляйте T1/T2 по таргетам CBR% і AR% з урахуванням вартості челенджу і ризику chargeback. У зонах PSD2 використовуйте TRA у партнерів, де фрод-рейт провайдера <порогів емітента.

6) Онлайнова архітектура прийняття рішень

1. Pre-auth крок: збір device/geo/velocity → скоринг за ≤ 50-150 мс.
2. Рішення: approve/3DS/decline/альтернативний роутинг (PSP-B, інший метод).
3. 3DS-інтеграція: якщо soft-decline → повтор з SCA без повторного введення карти.
4. Логування: зберігаємо'score', топ-фічі (SHAP top-k), прийнята дія і результат авторизації.
5. Feedback loop: чарджбеки/диспути → лейбли в фічестор.

7) Конкретні фічі (cheat-sheet)

• спроби по device/IP/token/account/email унікальні карти/BIN/емітенти на пристрій частка відмов'05/ 14/54/51/91/96 '

• IP_country ≠ BIN_country; distance(user_profile_geo, IP_geo)
• ASN категорія (моб/резидент/датацентр), проксі/доцентри прапор

• time_to_fill_form, focus switches, paste_rate, typo_rate
• «нічні вікна» за локальним часом акаунта

• новий BIN/банк для облікового запису, prepaid/debit, перша транзакція COF
• 3DS_method_done, минулий challenge outcome, AVS/CVV нормалізація

• degree (пристрій), triangles, загальні IP з чарджбек-кластерами embedding_score (близькість до фрод-кластерів)

8) Пояснюваність і контроль упередженості

SHAP/feature importance для рішень по межах T1/T2.
Правила «safety net» поверх ML: напр.,'CVV = N'⇒ challenge/decline незалежно від низького скорингу.
Політики fairness: не використовувати заборонені атрибути; аудит фіч на непряму дискримінацію.

9) Експерименти і калібрування

A/B-тести: baseline правила vs ML; ML-on vs ML-off; різні T1/T2.
Метрики: AR, CBR%, 3DS rate, Challenge success%, Cost/approved.
Profit-weighted ROC: оптимізуйте не AUC у вакуумі, а економіку (loss matrix: FP = втрачений оборот, FN = chargeback-loss + fees).

10) Моніторинг і дрейф

Data drift (PSI/KL) за ключовими фічами; target drift (чарджбеки).
Алерти: зростання'score> T2'в кластері BIN/країна; сплеск «05» після 3DS.
Регулярна перенавчаність (щотижня/щомісяця) з safe-deploy (shadow → canary → full).
Контроль calibration (Brier score, reliability curves).

11) Взаємозв'язок з роутингом і PSP

Скоринг впливає на smart-routing: для прикордонних скорів відправляйте в PSP з кращим AR на BIN/емітент.
При деградації ACS/емітента (сплеск'91/96') тимчасово підвищуйте T1 (більше frictionless з low-risk) або перенаправляйте в PSP-B.

12) Процеси і «governance»

Модельна карта: власник, версія, дата релізу, цільові KPI, ризики.
Change-control: RFC для нових правил/порогів, запис результатів A/B.
Док-пакет TRA для PSD2: опис методології, метрик фроду, частот процедур.

13) Анти-патерни

Змішувати офлайн-і онлайн-фічі без контролю затримок → витоку/помилкові перемоги.
Робити «тотальний decline» в пікові годинники - вбиває AR і LTV.
Покладатися тільки на правила або тільки на ML.
Ігнорувати SCA-soft сигнали і не ініціювати 3DS при необхідності.
Логувати PAN/PII без маски - порушення PCI/GDPR.

14) Чек-лист впровадження

• Фічестор з онлайн/офлайн-паритетом і валідацією схем.
• Нормалізація AVS/CVV/3DS, BIN-сервіс, device-fingerprinting.
• Модель GBDT + правила-safety-net + (опціонально) граф-ембеддинги.
• Порогова калібрування T1/T2 під AR/CBR/Cost; політика SCA/TRA.
• Онлайновий сервіс скорингу ≤150 мс, SLA/алерти.
• A/B-інфраструктура та економічна метрика (profit-weighted).
• Моніторинг дрейфу, регулярне перенавчання, журнал релізів.
• Політики PCI/GDPR: PAN-safe, мінімізація PII, зрозумілі логи рішень.

15) Резюме

Сильний антифрод в iGaming - це комбінація: багаті сигнали (device/geo/BIN/поведінка/граф), стійкий фічестор, ансамбль ML + правила, чітка порогова стратегія під SCA/TRA, і дисципліна експлуатації (A/B, дрейф, explainability). Так ви утримаєте конверсію, знизите чарджбеки і зробите дохід передбачуваним.