AI-Детекція шахрайських транзакцій для мобільного додатку
Шахрайство в FinTech не виглядає як у кіно. Це не один великий підозрілий переведення—це паттерн: кілька невеликих транзакцій у нестандартний для користувача час, у нестандартній геолокації, до нестандартних одержувачів. Статичні правила ("заблокувати транзакцію > 50 000 в ночі") дають high false positive rate та фруструють чесних користувачів. ML-моделі працюють з контекстом.
Чому це складніше скорингу
Дисбаланс класів. Шахрайські транзакції—0.1–1% від загального числа. Модель, що завжди відповідає "нормальна транзакція", має 99% accuracy і непридатна. Потрібні спеціальні техніки: SMOTE oversampling, cost-sensitive learning, оптимізація threshold за F1/AUC-PR, не accuracy.
Реальний час. Скоринг заємщика—offline-задача, можна думати хвилини. Детекція фроду—online, рішення потрібно за 200–500ms до підтвердження транзакції. Обмежує складність моделі.
Concept drift. Схеми шахрайства змінюються швидше економічних паттернів. Модель деградує швидко—потребує частішого моніторингу та переобучення.
Feature engineering для fraud detection
def extract_transaction_features(
transaction: Transaction,
user_history: UserHistory,
real_time_context: RealTimeContext
) -> dict:
return {
# Відхилення суми від історичної норми користувача
"amount_zscore": (transaction.amount - user_history.avg_amount) / user_history.std_amount,
# Час доби (0-23)—шахрайство пикуває ночами
"hour_of_day": transaction.timestamp.hour,
"is_unusual_hour": transaction.timestamp.hour not in user_history.active_hours,
# Швидкість: час з попередньої трансакції
"minutes_since_last_tx": (transaction.timestamp - user_history.last_tx_time).seconds / 60,
# Геолокація
"is_new_country": transaction.country not in user_history.known_countries,
"distance_from_last_tx_km": geo_distance(transaction.location, user_history.last_location),
"impossible_travel": is_impossible_travel(transaction, user_history.last_tx_location, user_history.last_tx_time),
# Одержувач
"is_new_recipient": transaction.recipient_id not in user_history.known_recipients,
"recipient_fraud_score": real_time_context.recipient_risk_score, # Із зовнішнього джерела
# Пристрій та сесія
"is_new_device": transaction.device_id not in user_history.known_devices,
"session_age_minutes": real_time_context.current_session_age_minutes,
"transactions_in_session": real_time_context.session_tx_count,
}
Impossible travel—один із найсильніших маркерів: транзакція в Москві в 14:00 та транзакція в Лондоні в 14:30 фізично неможлива. Реалізується через Haversine distance між геолокаціями та часовою дельтою.
Модель та inference
CatBoost та LightGBM—практичний вибір: швидкий inference (< 5ms), гарна робота з категоріальними ознаками, вбудований SHAP.
import catboost as cb
model = cb.CatBoostClassifier(
iterations=500,
learning_rate=0.05,
depth=6,
loss_function="Logloss",
eval_metric="AUC",
class_weights={0: 1, 1: 50}, # Компенсація дисбалансу класів
random_seed=42
)
def predict_fraud_score(features: dict) -> dict:
feature_vector = prepare_features(features)
proba = model.predict_proba(feature_vector)[0][1]
# Багаторівневі пороги замість бінарного рішення
if proba > 0.85:
action = "block"
elif proba > 0.60:
action = "challenge" # Запросити додаткове підтвердження (біометрія, OTP)
else:
action = "allow"
return {
"fraud_probability": float(proba),
"action": action,
"risk_factors": get_shap_explanations(feature_vector)
}
Три рівні дій замість бінарного "дозволити/заблокувати" знижує false positive rate: більшість підозрілих транзакцій отримують додаткову аутентифікацію, а не блокування.
Інтеграція в мобільний додаток
Fraud scoring—синхронний виклик в момент запуску транзакції користувачем:
// iOS — Swift
func initiateTransfer(_ transfer: TransferRequest) async throws -> TransferResult {
// 1. Отримуємо fraud score (ціль < 300ms)
let fraudScore = try await fraudDetectionService.evaluate(
amount: transfer.amount,
recipientId: transfer.recipientId,
userLocation: locationManager.currentLocation
)
switch fraudScore.action {
case "block":
throw TransferError.blockedByFraudProtection(
reason: localizeRiskFactors(fraudScore.riskFactors)
)
case "challenge":
// Запрошуємо додаткову аутентифікацію перед продовженням
try await authenticateAdditionally()
return try await processTransfer(transfer)
case "allow":
return try await processTransfer(transfer)
default:
return try await processTransfer(transfer)
}
}
Моніторинг у production
Fraud detection без моніторингу—система що деградує. Ключові метрики:
| Метрика | Що вимірює | Цільовий діапазон |
|---|---|---|
| False Positive Rate | Доля заблокованих чесних транзакцій | < 0.5% |
| Detection Rate | Доля спійманого шахрайства | > 85% |
| AUC-PR | Загальна якість моделі | > 0.85 |
| PSI ознак | Дрейф вхідних даних | < 0.2 |
False Positive Rate важливіше Detection Rate для користувацького досвіду: заблокована чесна транзакція—прямі втрати лояльності. Баланс налаштовується через threshold.
Процес розробки
Збір та розмітка історичних трансакцій (разом з командою по ризикам) → feature engineering → baseline (logistic regression) → gradient boosting з тюнінгом threshold → A/B тест → online-моніторинг PSI та FPR → щомісячне переобучення.
Орієнтири за часом
MVP з правилами + простою ML-моделлю—4–6 тижнів. Повна система з real-time inference, моніторингом та автоматичним переобученням—2–3 місяці. При наявності готової розміченої вибірки—прискорюється на 3–4 тижні.