Антифрод в банках традиционно строили вокруг отдельных продуктов: одна система отвечает за карты, другая - за кредиты, третья - за дистанционные каналы. Пока у клиента один‑два сервиса, такой подход работает терпимо. Как только банк превращается в экосистему с картами, кредитами, P2P‑переводами и инвестиционными сервисами в одном приложении, продуктовый антифрод начинает системно проигрывать.
Современные схемы фрода живут не внутри одного продукта, а в маршрутах между ними. Мошенник может начать с социальной инженерии, заставить клиента сделать несколько P2P‑переводов, оформить на него кредит и затем вывести деньги через инвестиционный счёт. В каждом отдельном модуле это выглядит как набор слабо подозрительных событий. Только если смотреть на поведение клиента и траекторию средств целиком, становится видно, что это одна связная схема, а не случайные эпизоды.
Сквозной антифрод - это надстройка, которая возвращает целостную картину. В центре внимания оказываются клиент, его окружение и маршруты денег внутри экосистемы, а решения принимаются с учётом сигналов из всех доступных продуктов, а не только текущего канала.
От продуктового к сквозному антифроду в экосистеме
Исторически антифрод развивался изолированно для каждого продукта. Карточный процессинг настраивал собственный движок правил и моделей, кредитный конвейер - свой, интернет‑банк и мобильное приложение - ещё один. Команды опирались на разные данные и оптимизировали локальные метрики качества, не всегда согласуя их между собой.
При этом мошенник видит перед собой единое клиентское приложение. Он комбинирует шаги из разных продуктов и каналов, подбирая маршрут, где проверки слабее, а границы между продуктами почти незаметны. В результате отдельные контуры фиксируют лишь фрагменты схемы: кредитный модуль видит аккуратную заявку, P2P‑контур - несколько нетипичных переводов, инвестиционный сервис - быстрый оборот средств. По отдельности это терпимо, вместе - уже типичный паттерн фрода.
Сквозной антифрод меняет точку сборки. Вместо набора независимых фильтров по продуктам появляется слой, который отвечает на более общий вопрос: как выглядит совокупный риск по этому клиенту и его активностям в экосистеме. Для этого нужны:
- общие идентификаторы клиентов и сущностей (устройства, платёжные инструменты, аккаунты);
- согласованный по времени поток событий, чтобы строить маршруты;
- политика, при которой риск, обнаруженный в одном контуре, влияет на решения в других.
Карты: источник поведенческого контекста, а не только точка риска
Карты остаются одним из основных источников потерь и при этом дают очень богатый поведенческий срез. В карточном контуре классически отслеживаются:
- географические аномалии и резкие перемещения активности;
- нетипичные категории торговых точек и размеров чеков;
- ускорение частоты операций и изменение привычных временных окон;
- смены устройств и каналов, через которые используется карта.
Если клиент годами ведёт себя предсказуемо, а затем в краткий период меняет географию, время активности, типы получателей и устройства, общий риск должен подняться не только для карт. И наоборот, «ровный» профиль по картам - аргумент в пользу более мягкой реакции в пограничной ситуации по другому продукту. Именно поэтому в сквозном антифроде транзакции по картам воспринимаются как часть общей поведенческой модели, а не как отдельная история.
Кредиты: связка заявки и поведения после выдачи
Кредитный фрод удобно рассматривать в двух фазах. На этапе заявки важен application fraud: украденные или поддельные идентификаторы, ложные сведения о доходах. После одобрения и выдачи на первый план выходит поведение средств: как быстро они выводятся, на какие направления, через какие продукты.
Традиционный скоринг концентрируется на моменте заявки. Он анализирует анкету, данные бюро, внутренние источники и иногда внешние поведенческие скоринги. При таком подходе контекст до и после выдачи часто не попадает в модель. Сквозной антифрод добавляет два важных слоя:
- предысторию клиента в других продуктах: недавние P2P‑цепочки, аномалии по картам, смену устройств и географии;
- поведение после выдачи: скорость вывода, концентрацию операций на новых получателях, маршруты через другие продукты, включая инвестиционные.
P2P‑переводы и граф связей
P2P‑переводы - важная часть клиентского опыта и одновременно удобный инструмент для мошенников. Они позволяют быстро и относительно незаметно перемещать деньги между счетами, дробить крупные суммы и строить сложные маршруты. Если рассматривать P2P только как поток отдельных операций, значимая часть схем останется незамеченной.
Гораздо больше информации даёт взгляд на P2P как на граф связей. В нём появляются:
- узлы с аномально большим числом входящих и исходящих переводов;
- короткое время удержания средств на счёте;
- устойчивые маршруты между группами клиентов;
- пересечения по устройствам и окружению с уже подтверждёнными кейсами фрода.
Инвестиционный контур как часть маршрута денег
Инвестиционные сервисы в составе экосистемы долго воспринимались как относительно низкорисковый сегмент. Профиль клиентов, требования по онбордингу и формальная прозрачность операций создавали ощущение «более чистой» зоны. Однако по мере упрощения доступа инвестиционный счёт стал ещё одной точкой в маршрутах фрода.
Здесь чаще всего наблюдаются сценарии быстрого оборота средств. Деньги пополняют инвестиционный счёт через карту или внутренний перевод, далее следуют минимальные операции с ликвидными инструментами, после чего средства выводятся почти полностью. В отрыве от остальной экосистемы это может выглядеть как нормальное поведение активного клиента. В связке с другими продуктами - как завершающий шаг мошеннического сценария.
Сквозной антифрод рассматривает инвестиционный контур как равноправный источник риска и признаков. Важно учитывать:
- откуда пришли деньги: какие операции и устройства им предшествовали;
- с какими клиентами и счетами они были связаны до пополнения;
- что происходит после вывода: куда средства уходят, в какие цепочки возвращаются.
Данные и архитектура: на чём держится сквозной антифрод
Чтобы описанный подход работал, нужны базовые архитектурные элементы. Без них сквозной антифрод останется на уровне концепции.
Во‑первых, согласованный поток событий. Далеко не всегда это единственная физическая шина, но логически события должны быть сопоставимы по времени и идентификаторам. Аутентификации, изменения настроек, транзакции по картам, кредитам, P2P и инвестиционным счетам должны попадать в общую временную шкалу. Это позволяет строить маршруты и понимать последовательность действий.
Во‑вторых, общая витрина признаков. Когда каждая команда проектирует признаки только под свой контур, синергия почти невозможна. Сквозной подход предполагает, что поведенческие и графовые признаки по клиенту, устройству, IP и другим сущностям доступны для использования в разных моделях и правилах. Это уменьшает дублирование логики и снижает риск расхождений в определениях.
В‑третьих, единый подход к принятию решений. Речь не обязательно идёт об одной технической системе, но о согласованной риск‑политике. Важные элементы такого подхода:
- риск, поднятый в одном продукте или канале, должен учитываться в других;
- там, где это оправдано, решения принимаются на уровне клиента, а не только операции;
- реакции по разным продуктам не должны противоречить друг другу и ломать пользовательский путь.
Тему метрик и оценки эффективности мы подробнее разбираем в статье «Метрики антифрода: как перестать мерить только по доле отклонённых операций» - от классических ML‑метрик до Net Savings и связанных бизнес‑показателей.
Примеры, где сквозной подход даёт эффект
Разница между продуктовым и сквозным антифродом особенно заметна на реальных сценариях.
Сперва представим кредитную заявку с аккуратными анкетными данными и корректной историей. Продуктовый скоринг видит «хорошего» клиента и выдаёт высокий балл. Сквозной контур добавляет к этому информацию о свежей активности: участие в P2P‑цепочках с уже помеченными счетами, смену устройств, нетипичные переводы через короткий период до подачи заявки. В совокупности эти сигналы позволяют изменить стратегию: от дополнительной проверки до ограничения суммы и более жёсткого мониторинга после выдачи.
Во втором сценарии экосистема запускает новый P2P‑сервис. Если настраивать антифрод для него отдельно, на старте почти неизбежны повышенные потери и перегрузка ручного расследования. При сквозной интеграции сервис с первого дня опирается на уже накопленные данные по картам, кредитам и инвестиционным счетам. Это позволяет не допускать к новому каналу профили с высокой долей подозрительных операций в других продуктах и значительно сократить время, за которое система выходит на приемлемый уровень риска.
Заключение
Со сквозным антифродом мы перешли от локального контроля по отдельным продуктам к целостному управлению риском на уровне всей экосистемы. Пока антифрод остаётся полностью силосным, даже хорошо настроенные решения по картам, кредитам, P2P или инвестициям будут видеть только фрагменты схем и неизбежно пропускать сценарии, распределённые по нескольким продуктам.
Рабочий сквозной контур требует трёх вещей: согласованного потока событий, общей витрины признаков и единого подхода к принятия решений. На этой основе уже можно строить модели и правила, которые учитывают поведение клиента во всех продуктах и каналах, а не только в точке, где система сейчас видит конкретную операцию.
Сквозной антифрод невозможно построить без людей, которые одинаково уверенно чувствуют себя в данных и в банковском фроде. Мы отдельно рассказывали про роль такой професии, требования к ней и уровень вилок на рынке в статье «Антифрод-аналитика: почему этот дефицитный специалист на стыке ИБ и данных стоит от 150 000 рублей».
Вложения
Последнее редактирование:
