支付風控體系設計:電商的支付風控怎么玩?

9 評論 53409 瀏覽 368 收藏 22 分鐘

電商的支付風控怎么玩?作者分享了一些常見的電商行業支付風控體系設計思路分類、簡析及優化方案猜想,希望對大家有幫助。

一、序言

對于電商行業的風控而言,一個不懂業務的產品經理不是一個好產品。著實,想要做好一個好的風控產品經理,對于風控業務知識的理解必須得足夠深刻,才能在業務需求的基礎上做到更深層次的產品設計。之前寫了幾篇與風控業務相關的文章,但畢竟是產品經理出身,對于業務的理解僅僅是作為一個風控產品經理的前提,不管做什么都脫離不了一個PM的本質核心:項目推動、流程設計、進度把控。

電商行業的風控尤其如此,與所在行業、所在公司、所在產品線的特征等息息相關。在電商行業當中,因為支付渠道的多樣化,有很多的支付渠道出現盜刷之后需要電商企業自行賠付的,因此這塊的損失也是個大頭,深耕電商行業,支付風控也是重點。

但是,電商行業的支付風控不是簡簡單單買一套系統、配上規則策略就可以實現的,時至今日我還是依然很反感購買第三方系統來搭建風控體系,這大大的禁錮了風控可能的邊界,雖然大家都認為購買的這套系統是暫時的臨時應急措施,但是很明顯隨著第三方系統與業務的耦合程度越來越高,大量的開發工作依賴于這套系統,替換成本越來越高也不會有人去提起這件事。

支付風控的實現與系統和運營都是密不可分的,因此這里以下都是用體系=系統+運營來表達。所謂風控的目的,無外乎就是你把你的地勢(風控門檻)抬高了,就把臟水排到別人家去,你不去抬高自己的地勢,臟水就會到你家來~~~

二、電商行業支付風控體系概述

1.電商行業支付風控體系的現狀

支付環節風控規則簡單

目前支付在現有渠道上安插部分支付風控規則,但是因為支付能夠拿到的數據字段有限、規則引擎并發處理能力較弱,所以可配置的規則模式也較為簡單。缺乏大量字段數據的支撐,很難做到對現有交易欺詐案件的核查以及更進一步凝練新的有效的交易規則,這不適應于當前支付風控這種需要不斷迭代更新的規則策略生態集。

交易后風控止損能力弱,管控措施不及時,預警機制不足

現有的管控手段除了直拒之外,都是在做事后風控,而事后風控哪怕發現風險也沒辦法及時止損,因此現有的模式下,交易風控的止損能力十分薄弱。而目前的風控系統可選擇的管控措施也不及時,如不能快速對可疑維度做及時的管控。

可用支付方式不斷縮減

在當前不斷惡化的欺詐形勢下,收銀臺已經不斷縮減用戶可見的支付方式,部分易出現損失的支付方式已經被關閉,而這些支付方式是很多客戶常用的支付方式。支付方式較少,客戶支付體驗也較差。

2.電商支付風控系統設計的目標

足夠高效、精確、靈活的規則策略集

通過跨部門的數據采集及后續數據的不斷擴充,完成電商網站內部數據集市的搭建工作。通過豐富的識別字段、技術措施以及規則引擎,能夠對欺詐案件提供一套行之有效的防范手段。

快速管控、及時止損

通過風控系統在關鍵節點的介入,對高風險交易能夠做到及時預警,在交易中完成交易的定性,識別欺詐案件并做到及時止損。

拓展現有的支付方式

拓寬現有的支付方式,做到在同類競品網站中能夠實現的支付方式在電商網站均可完成支付,并做到良好的風險控制。

不斷降低用戶負面感知體驗和人工運營成本

在后續的項目過程中,不斷地提升風控模塊的功能性拓展,使風控盡可能的做在絕大多數用戶感知不到的節點;另外,通過不同節點的分流,不斷降低人工運營的成本。

三、風控體系設計思路分類

去年下半年以來,隨著國家公安系統對支付盜刷的打擊,各大電商網站的支付盜刷情況大大好轉,似乎已經偃旗息鼓,各個公司的支付風控團隊似乎也處于較為輕松的狀態,但是年后以來尤其近兩個月,有多家支付渠道被黑產重點盯上,尤其是今年重點著力推廣對抗支付寶和微信的某聯,近期的盜刷壓力應該非常大。

另外,最近兩年各種風控研討會都開始必談大談機器學習建模,但是機器學習的本質只是規則的一種實現方式而已,其應用在生產環境中必須依賴于一套強有力的風控體系。姑且不論機器學習在電商行業支付風控領域的效果如何,電商行業的支付場景復雜是否能夠得到契合業務場景和運營需要的規則需要質疑,單單機器學習所需要的壞樣本的量級和時間周期也不是一個電商企業能夠承受的,所以依賴機器學習在電商行業支付風控領域的應用短期來看還稍顯局促。不過不論如何,一套完善的風控體系是不管機器學習還是專家規則的實現方式的必要載體。

就我過去淺顯的工作經驗,我接觸到的企業的支付風控體系的設計可以分為以下幾大類:

1.非人工事中介入的支付風控體系(直拒類)

這一塊的風控體系非常簡單簡單粗暴,適合高并發大量小金額的場景交易,該類型企業的盜刷現象并不嚴重,只需要依賴于該系統結合一些偶發性的支付盜刷案件針對性的制定針對性的阻斷規則即可,這一塊也適合初涉支付風控領域的電商企業試水,通過前臺適當的提示性展示,將用戶引導至第三方支付渠道從而轉嫁高風險交易。

目前使用這種支付風控體系設計的企業已經比較少,一般來說都是支付風控做的不怎么樣的企業,要么技術不行要么運營不行,以犧牲一定的用戶體驗來實現風險控制的目的,在一定階段是有一定的適用性的。

2.人工事中介入的支付風控體系

在發展到一定階段,支付風控模塊在前期的基礎上已經遇到了一些瓶頸,直拒類規則帶來的誤殺會引來大量客訴,支付成功率的下降也對支付部門的考核帶來一定壓力,另外,大金額低并發量的電商企業對于誤殺的容忍度更低,因此隨著業務的發展,對支付風控體系的精細化運營訴求也不斷成了發展的瓶頸,目前業內的電商企業很多都引入了人工事中介入的運營機制。

各家產品線特征不同,公司所處環境也不同,因此很難說哪種支付方式和處理預案是合適的,只能說平衡各方利益之后的方案才是最適合的。人工事中介入的支付風控體系比較靈活,也是可以不斷開拓創新的地方,不過總的來說,常見的處理框架如下圖:

不過結合著支付渠道的不同也會有不同的處理方案。常見的主要見以下兩種:

(1)扣款前支付風控體系

扣款前就可以執行風控規則的主要是指使用CVV的moto交易,扣款權在電商網站這邊,即電商網站可以拿到CVV主動去銀行扣款。這種支付方式用戶支付體驗極好但是風險極高,對于電商網站的風控運營體系有著比較高的要求,主要常見于OTA行業,類似的支付方式銀行基本已經不再開放通道了。

對于這種類型的支付渠道,用戶的支付信息觸發風控規則之后風控系統可以無限期掛起(當然還要取決于用戶體驗和前端訂單的占位時間,理論上可以無限期掛起),等到有足夠的人工確認風險之后可以采用放行交易,由電商網站去銀行發起扣款。

(2)扣款后支付風控體系

扣款后的支付風控體系主要指近期非常流行的快捷、網銀支付等,扣款權在銀行,銀行扣完款之后通知電商網站是否支付成功,對于電商網站來說,這種支付方式一般使用事后的風控體系,主要是由于用戶輸入短信驗證碼的時間有限,一般來說快捷支付的短信驗證碼只有5分鐘有效期,如果用戶輸入短信驗證碼觸發風控規則之后電商網站不向銀行發起扣款請求,電商網站只有5分鐘的時間判定是否存在風險。但是對于這種事后監控的風控體系,五分鐘的時間肯定是遠遠不夠的,因此對于這種支付方式主要還是采用事后的風控體系。

用戶輸入支付信息之后先去銀行發起快捷扣款請求,再去調用風控系統,如果沒有觸發規則,那么則由支付通知訂單系統發起訂單支付成功通知。如果觸發規則,則由風控系統掛起,支付通知訂單系統等等,由風控人工來排查,如果放行則走第一步通知流程,如果拒絕交易則通知支付走退款流程。

當然結合各個電商網站的產品特性不同,則由不同的處理方案,比如需要發貨的實物產品、話費等虛擬產品、火車票機票等有占位時限的特殊產品等等。對于不同的產品特性,結合各個公司對于風險的承受能力,則會有不同的處理方案和應對策略。

當然這其中還要涉及到外卡交易的問題,很多國際化的電商平臺都支持visa 或者AE的外卡支付,對于外卡來說損失率會遠遠高于內卡,但是企業平臺的特性需要必須得開通外卡支付,那么這個時候可能就需要接一些外卡的風控平臺,比如RED或者CYbersouce等,針對返回的不同code,把處理流程封裝在支付風控系統的架構內,也需要花一些精力去實現。

(3)市面上已存在的改進方案

對于前面兩種支付風控體系的方案,流程上的最大弊端在于用戶在提交支付之后有可能會被拒絕支付發起扣款流程,這樣的用戶體驗就很差。被拒絕支付的交易可能會有相當一部分的好訂單,而針對這些客戶而言,等他再次發起支付時可能火車票已經無座或者機票已經漲價了,這樣的客戶體驗損失是難以彌補的。

因此針對此,市面上已經有相當一部分大型電商平臺嘗試著做一些支付體驗的優化方案。最常見的方案是在收銀臺渲染環節,用戶在跳轉收銀臺渲染的時候由收銀臺調用風控系統判斷是否可以展示高危渠道。

目前業內了解到業內小獅子和小海豚兩家公司已經采用了類似的方案,其實對于有信貸類支付產品的電商網站而言這種方案更合適不過了,因為用戶在開通虛擬信用卡的時候其身份信息已經拿到,等于其支付環節數據在一開始就可以獲取到,因此在跳轉收銀臺支付渲染的時候可以調用完整的支付風控規則來判定是否存在盜刷或者騙貸風險以進一步決定是否可以展示這種信貸類支付渠道。

四、可能的優化方案

支付風控,不可避免的都會對用戶體驗造成一定損傷,要么支付失敗、要么可選支付渠道較少,對于企業而言,引導客戶去渠道費率較高的第三方支付也不符合企業的利益,因此確實很難去達到一個很好地平衡。

對于支付風控體系的設計,我相信還有很多的優化方案。對于電商企業而言,所謂高危用戶的本質就是用戶提供的證據不足以證明“我就是本人”,而不論短信驗證碼、CVV等等都是證明自己是自己的證據,只是這個證據目前來看已然不是很充分。

我相信很多人的卡信息已經在暗網上泄露出來了,花錢可能就能購買一份非常齊全的用戶資料然后刷卡消費。因此對于這么嚴峻的詐騙盜刷形勢,是否還有其他證據可以讓用戶來證明自己是本人呢?這個問題很多企業已經嘗試在做了,比如淘寶在登錄的時候對于高危登錄行為需要你輸入你近期購買過的物品,對于撞庫和盜號而言,這也是一個非常強有力的證據證明自己是本人,當然這避免不了熟人作案~~~

最近因為工作關系,接觸到了很多外部的征信數據,也讓我的視角可以不斷的擴延開,對于糾纏了我很久的問題似乎也有了可能的解決方案。

征信數據的存在是為了輔助信貸機構對于用戶的身份信息、信用信息等進行審核,主要是用于信貸行為。但是是否有可能將二者結合起來使用?

對于調用外部征信渠道的用戶,如果用戶能夠正確回答特定的問題就可以比較好的證明用戶即本人。因為雖然個人信息目前在網上基本已經被泄露的一干二凈,但是所謂的黑產還是術業有專攻的,盜刷類的黑產手里面的用戶個人數據多以卡數據為主,如果在電商網站上的支付者可以提供其他方面的信息,可以基本排除盜刷風險。當然對于沒辦法驗證的信息可以適時轉入人工處理。

如果這種方案有效的話,對于前面幾種支付風控架構方案的弊端算是個很好的補充,用戶可以實時證明自己,高危支付行為不需要等待即可完成確認,避免誤傷行為;對于企業而言也不需要引導客戶進入高費率渠道,節約企業的經營成本;企業的風控團隊也可以節約大量使用人工介入的成本,提高了經營效率。

那現在重點來了,調用外部征信渠道的時候,哪些問題可能是確信有效且覆蓋面廣的呢?確信有效自不必說,覆蓋面廣也是為了節約足夠的對接成本。我也考慮了一些,當然是否有效也需要數據驗證

實時芝麻信用分

芝麻信用分目前應該覆蓋了幾億人群,這幾億人群與在電商網站在線支付的人群是高度重合的,所以應該大部分可以用。對于能夠實時提供實時芝麻信用分的人群應該可以重點認為是低危人群,目前螞蟻金服已開放了相關服務,能否對接還依賴于用戶授權和法務問題

駕照號及有效期

駕照目前應該覆蓋了四億人群,對于能夠正確輸入駕照號和有效期基本應該可以確信為本人。目前市面上也有相關的征信服務公司提供相關服務

父母的出生年月

對于該問題,目前市面上也有部分公司能夠提供,只要能夠回答該問題,也基本上可以排除陌生人作案,當然不排除熟悉的人作案手法,當然這就另當別論了。

以上各種問題可以隨機展示給觸發規則的用戶,之所以有以上的認知是基于認為支付類的黑產手里面沒有這些信息,當然我相信只要想搞也是能夠搞到的,但是這會大大的提高支付黑產的門檻,然后市面上這么多電商網站,自然而然他就會去其他風控措施不嚴的網站了。

就跟前面說的一樣吧,所謂風控的目的,無外乎就是你把你的地勢抬高了,臟水排到別人家去,你不去抬高自己的地勢,臟水就會到你家來~~~

當然使用以上的方案還有一些可能的問題需要評估

  • 用戶感知體驗的問題:對于輸入自己的隱私信息很多人都是很敏感的,所以對于這些敏感客戶可能還是需要走正常的人工介入的流程。這方面是否會帶來客訴等可能需要有足夠友好的文案提示、客服介入等手段
  • 法律合規監管問題:對于以上需要調用外部征信渠道數據的問題,是否符合網絡安全法規定,是否能夠滿足合規監管規定,這方面我沒有去嘗試過,所以也有待進一步的核實。

不過不管怎樣,我相信支付風控體系的架構可能還會有很多更好的創新方案,可能由于我眼界的不夠寬闊,相信將其他領域的很多方案與支付風控體系設計整合起來會有很多不錯的點子,希望后續可以不斷挖掘吧。

 

作者:獨孤qiu敗,微信公眾號:互聯網風控那些事兒(anti_fraud_share),互聯網行業風控產品經理,互聯網風控系統設計和策略制定經驗

本文由 @獨孤qiu敗 原創發布于人人都是產品經理。未經許可,禁止轉載。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 老師好,后期會出風控相關的課程嗎。

    來自重慶 回復
  2. 很棒啊,非常受教 ?? !這兩天正在搭建電商產品,這個階段您看我門的風控體系做到什么程度就比較合適?

    來自北京 回復
    1. 做好營銷反欺詐,你們的拉新活動的新用戶會有大量的黃牛;支付反欺詐創業公司就不要做了,直接用微信、支付寶即可,千六的手續費也高不了太多

      來自江蘇 回復
    2. 好的,非常感謝!

      來自北京 回復
    3. 同樣感謝 我也在考慮同樣的問題 目前主要還是出現在拉新和運營活動被擼

      來自廣東 回復
    4. 這種的話 直接找一家專業的乙方給你們做就行,自己開發成本還高,幾十萬就能搞定。等等,打個廣告:目前我司在做風控能力產品化輸出的工作,有需要可以隨時聯系我 哈哈哈哈~~

      來自江蘇 回復
    5. 方便知道是您是哪個公司嗎?

      來自上海 回復
  3. 對支付小白來說,很受幫助,辛苦了; 要是有一些實際的操作案例就更棒了 ??

    來自廣東 回復
  4. 專業

    回復