電商的支付風(fēng)控怎么玩？作者分享了一些常見的電商行業(yè)支付風(fēng)控體系設(shè)計思路分類、簡析及優(yōu)化方案猜想，希望對大家有幫助。

一、序言

對于電商行業(yè)的風(fēng)控而言，一個不懂業(yè)務(wù)的產(chǎn)品經(jīng)理不是一個好產(chǎn)品。著實，想要做好一個好的風(fēng)控產(chǎn)品經(jīng)理，對于風(fēng)控業(yè)務(wù)知識的理解必須得足夠深刻，才能在業(yè)務(wù)需求的基礎(chǔ)上做到更深層次的產(chǎn)品設(shè)計。之前寫了幾篇與風(fēng)控業(yè)務(wù)相關(guān)的文章，但畢竟是產(chǎn)品經(jīng)理出身，對于業(yè)務(wù)的理解僅僅是作為一個風(fēng)控產(chǎn)品經(jīng)理的前提，不管做什么都脫離不了一個PM的本質(zhì)核心：項目推動、流程設(shè)計、進度把控。

電商行業(yè)的風(fēng)控尤其如此，與所在行業(yè)、所在公司、所在產(chǎn)品線的特征等息息相關(guān)。在電商行業(yè)當(dāng)中，因為支付渠道的多樣化，有很多的支付渠道出現(xiàn)盜刷之后需要電商企業(yè)自行賠付的，因此這塊的損失也是個大頭，深耕電商行業(yè)，支付風(fēng)控也是重點。

但是，電商行業(yè)的支付風(fēng)控不是簡簡單單買一套系統(tǒng)、配上規(guī)則策略就可以實現(xiàn)的，時至今日我還是依然很反感購買第三方系統(tǒng)來搭建風(fēng)控體系，這大大的禁錮了風(fēng)控可能的邊界，雖然大家都認為購買的這套系統(tǒng)是暫時的臨時應(yīng)急措施，但是很明顯隨著第三方系統(tǒng)與業(yè)務(wù)的耦合程度越來越高，大量的開發(fā)工作依賴于這套系統(tǒng)，替換成本越來越高也不會有人去提起這件事。

支付風(fēng)控的實現(xiàn)與系統(tǒng)和運營都是密不可分的，因此這里以下都是用體系=系統(tǒng)+運營來表達。所謂風(fēng)控的目的，無外乎就是你把你的地勢（風(fēng)控門檻）抬高了，就把臟水排到別人家去，你不去抬高自己的地勢，臟水就會到你家來~~~

二、電商行業(yè)支付風(fēng)控體系概述

1.電商行業(yè)支付風(fēng)控體系的現(xiàn)狀

支付環(huán)節(jié)風(fēng)控規(guī)則簡單

目前支付在現(xiàn)有渠道上安插部分支付風(fēng)控規(guī)則，但是因為支付能夠拿到的數(shù)據(jù)字段有限、規(guī)則引擎并發(fā)處理能力較弱，所以可配置的規(guī)則模式也較為簡單。缺乏大量字段數(shù)據(jù)的支撐，很難做到對現(xiàn)有交易欺詐案件的核查以及更進一步凝練新的有效的交易規(guī)則，這不適應(yīng)于當(dāng)前支付風(fēng)控這種需要不斷迭代更新的規(guī)則策略生態(tài)集。

交易后風(fēng)控止損能力弱，管控措施不及時，預(yù)警機制不足

現(xiàn)有的管控手段除了直拒之外，都是在做事后風(fēng)控，而事后風(fēng)控哪怕發(fā)現(xiàn)風(fēng)險也沒辦法及時止損，因此現(xiàn)有的模式下，交易風(fēng)控的止損能力十分薄弱。而目前的風(fēng)控系統(tǒng)可選擇的管控措施也不及時，如不能快速對可疑維度做及時的管控。

可用支付方式不斷縮減

在當(dāng)前不斷惡化的欺詐形勢下，收銀臺已經(jīng)不斷縮減用戶可見的支付方式，部分易出現(xiàn)損失的支付方式已經(jīng)被關(guān)閉，而這些支付方式是很多客戶常用的支付方式。支付方式較少，客戶支付體驗也較差。

2.電商支付風(fēng)控系統(tǒng)設(shè)計的目標

足夠高效、精確、靈活的規(guī)則策略集

通過跨部門的數(shù)據(jù)采集及后續(xù)數(shù)據(jù)的不斷擴充，完成電商網(wǎng)站內(nèi)部數(shù)據(jù)集市的搭建工作。通過豐富的識別字段、技術(shù)措施以及規(guī)則引擎，能夠?qū)ζ墼p案件提供一套行之有效的防范手段。

快速管控、及時止損

通過風(fēng)控系統(tǒng)在關(guān)鍵節(jié)點的介入，對高風(fēng)險交易能夠做到及時預(yù)警，在交易中完成交易的定性，識別欺詐案件并做到及時止損。

拓展現(xiàn)有的支付方式

拓寬現(xiàn)有的支付方式，做到在同類競品網(wǎng)站中能夠?qū)崿F(xiàn)的支付方式在電商網(wǎng)站均可完成支付，并做到良好的風(fēng)險控制。

不斷降低用戶負面感知體驗和人工運營成本

在后續(xù)的項目過程中，不斷地提升風(fēng)控模塊的功能性拓展，使風(fēng)控盡可能的做在絕大多數(shù)用戶感知不到的節(jié)點；另外，通過不同節(jié)點的分流，不斷降低人工運營的成本。

三、風(fēng)控體系設(shè)計思路分類

去年下半年以來，隨著國家公安系統(tǒng)對支付盜刷的打擊，各大電商網(wǎng)站的支付盜刷情況大大好轉(zhuǎn)，似乎已經(jīng)偃旗息鼓，各個公司的支付風(fēng)控團隊似乎也處于較為輕松的狀態(tài)，但是年后以來尤其近兩個月，有多家支付渠道被黑產(chǎn)重點盯上，尤其是今年重點著力推廣對抗支付寶和微信的某聯(lián)，近期的盜刷壓力應(yīng)該非常大。

另外，最近兩年各種風(fēng)控研討會都開始必談大談機器學(xué)習(xí)建模，但是機器學(xué)習(xí)的本質(zhì)只是規(guī)則的一種實現(xiàn)方式而已，其應(yīng)用在生產(chǎn)環(huán)境中必須依賴于一套強有力的風(fēng)控體系。姑且不論機器學(xué)習(xí)在電商行業(yè)支付風(fēng)控領(lǐng)域的效果如何，電商行業(yè)的支付場景復(fù)雜是否能夠得到契合業(yè)務(wù)場景和運營需要的規(guī)則需要質(zhì)疑，單單機器學(xué)習(xí)所需要的壞樣本的量級和時間周期也不是一個電商企業(yè)能夠承受的，所以依賴機器學(xué)習(xí)在電商行業(yè)支付風(fēng)控領(lǐng)域的應(yīng)用短期來看還稍顯局促。不過不論如何，一套完善的風(fēng)控體系是不管機器學(xué)習(xí)還是專家規(guī)則的實現(xiàn)方式的必要載體。

就我過去淺顯的工作經(jīng)驗，我接觸到的企業(yè)的支付風(fēng)控體系的設(shè)計可以分為以下幾大類：

1.非人工事中介入的支付風(fēng)控體系（直拒類）

這一塊的風(fēng)控體系非常簡單簡單粗暴，適合高并發(fā)大量小金額的場景交易，該類型企業(yè)的盜刷現(xiàn)象并不嚴重，只需要依賴于該系統(tǒng)結(jié)合一些偶發(fā)性的支付盜刷案件針對性的制定針對性的阻斷規(guī)則即可，這一塊也適合初涉支付風(fēng)控領(lǐng)域的電商企業(yè)試水，通過前臺適當(dāng)?shù)奶崾拘哉故?，將用戶引?dǎo)至第三方支付渠道從而轉(zhuǎn)嫁高風(fēng)險交易。

目前使用這種支付風(fēng)控體系設(shè)計的企業(yè)已經(jīng)比較少，一般來說都是支付風(fēng)控做的不怎么樣的企業(yè)，要么技術(shù)不行要么運營不行，以犧牲一定的用戶體驗來實現(xiàn)風(fēng)險控制的目的，在一定階段是有一定的適用性的。

2.人工事中介入的支付風(fēng)控體系

在發(fā)展到一定階段，支付風(fēng)控模塊在前期的基礎(chǔ)上已經(jīng)遇到了一些瓶頸，直拒類規(guī)則帶來的誤殺會引來大量客訴，支付成功率的下降也對支付部門的考核帶來一定壓力，另外，大金額低并發(fā)量的電商企業(yè)對于誤殺的容忍度更低，因此隨著業(yè)務(wù)的發(fā)展，對支付風(fēng)控體系的精細化運營訴求也不斷成了發(fā)展的瓶頸，目前業(yè)內(nèi)的電商企業(yè)很多都引入了人工事中介入的運營機制。

各家產(chǎn)品線特征不同，公司所處環(huán)境也不同，因此很難說哪種支付方式和處理預(yù)案是合適的，只能說平衡各方利益之后的方案才是最適合的。人工事中介入的支付風(fēng)控體系比較靈活，也是可以不斷開拓創(chuàng)新的地方，不過總的來說，常見的處理框架如下圖:

不過結(jié)合著支付渠道的不同也會有不同的處理方案。常見的主要見以下兩種：

（1）扣款前支付風(fēng)控體系

扣款前就可以執(zhí)行風(fēng)控規(guī)則的主要是指使用CVV的moto交易，扣款權(quán)在電商網(wǎng)站這邊，即電商網(wǎng)站可以拿到CVV主動去銀行扣款。這種支付方式用戶支付體驗極好但是風(fēng)險極高，對于電商網(wǎng)站的風(fēng)控運營體系有著比較高的要求，主要常見于OTA行業(yè)，類似的支付方式銀行基本已經(jīng)不再開放通道了。

對于這種類型的支付渠道，用戶的支付信息觸發(fā)風(fēng)控規(guī)則之后風(fēng)控系統(tǒng)可以無限期掛起（當(dāng)然還要取決于用戶體驗和前端訂單的占位時間，理論上可以無限期掛起），等到有足夠的人工確認風(fēng)險之后可以采用放行交易，由電商網(wǎng)站去銀行發(fā)起扣款。

（2）扣款后支付風(fēng)控體系

扣款后的支付風(fēng)控體系主要指近期非常流行的快捷、網(wǎng)銀支付等，扣款權(quán)在銀行，銀行扣完款之后通知電商網(wǎng)站是否支付成功，對于電商網(wǎng)站來說，這種支付方式一般使用事后的風(fēng)控體系，主要是由于用戶輸入短信驗證碼的時間有限，一般來說快捷支付的短信驗證碼只有5分鐘有效期，如果用戶輸入短信驗證碼觸發(fā)風(fēng)控規(guī)則之后電商網(wǎng)站不向銀行發(fā)起扣款請求，電商網(wǎng)站只有5分鐘的時間判定是否存在風(fēng)險。但是對于這種事后監(jiān)控的風(fēng)控體系，五分鐘的時間肯定是遠遠不夠的，因此對于這種支付方式主要還是采用事后的風(fēng)控體系。

用戶輸入支付信息之后先去銀行發(fā)起快捷扣款請求，再去調(diào)用風(fēng)控系統(tǒng)，如果沒有觸發(fā)規(guī)則，那么則由支付通知訂單系統(tǒng)發(fā)起訂單支付成功通知。如果觸發(fā)規(guī)則，則由風(fēng)控系統(tǒng)掛起，支付通知訂單系統(tǒng)等等，由風(fēng)控人工來排查，如果放行則走第一步通知流程，如果拒絕交易則通知支付走退款流程。

當(dāng)然結(jié)合各個電商網(wǎng)站的產(chǎn)品特性不同，則由不同的處理方案，比如需要發(fā)貨的實物產(chǎn)品、話費等虛擬產(chǎn)品、火車票機票等有占位時限的特殊產(chǎn)品等等。對于不同的產(chǎn)品特性，結(jié)合各個公司對于風(fēng)險的承受能力，則會有不同的處理方案和應(yīng)對策略。

當(dāng)然這其中還要涉及到外卡交易的問題，很多國際化的電商平臺都支持visa 或者AE的外卡支付，對于外卡來說損失率會遠遠高于內(nèi)卡，但是企業(yè)平臺的特性需要必須得開通外卡支付，那么這個時候可能就需要接一些外卡的風(fēng)控平臺，比如RED或者CYbersouce等，針對返回的不同code，把處理流程封裝在支付風(fēng)控系統(tǒng)的架構(gòu)內(nèi)，也需要花一些精力去實現(xiàn)。

（3）市面上已存在的改進方案

對于前面兩種支付風(fēng)控體系的方案，流程上的最大弊端在于用戶在提交支付之后有可能會被拒絕支付發(fā)起扣款流程，這樣的用戶體驗就很差。被拒絕支付的交易可能會有相當(dāng)一部分的好訂單，而針對這些客戶而言，等他再次發(fā)起支付時可能火車票已經(jīng)無座或者機票已經(jīng)漲價了，這樣的客戶體驗損失是難以彌補的。

因此針對此，市面上已經(jīng)有相當(dāng)一部分大型電商平臺嘗試著做一些支付體驗的優(yōu)化方案。最常見的方案是在收銀臺渲染環(huán)節(jié)，用戶在跳轉(zhuǎn)收銀臺渲染的時候由收銀臺調(diào)用風(fēng)控系統(tǒng)判斷是否可以展示高危渠道。

目前業(yè)內(nèi)了解到業(yè)內(nèi)小獅子和小海豚兩家公司已經(jīng)采用了類似的方案，其實對于有信貸類支付產(chǎn)品的電商網(wǎng)站而言這種方案更合適不過了，因為用戶在開通虛擬信用卡的時候其身份信息已經(jīng)拿到，等于其支付環(huán)節(jié)數(shù)據(jù)在一開始就可以獲取到，因此在跳轉(zhuǎn)收銀臺支付渲染的時候可以調(diào)用完整的支付風(fēng)控規(guī)則來判定是否存在盜刷或者騙貸風(fēng)險以進一步?jīng)Q定是否可以展示這種信貸類支付渠道。

四、可能的優(yōu)化方案

支付風(fēng)控，不可避免的都會對用戶體驗造成一定損傷，要么支付失敗、要么可選支付渠道較少，對于企業(yè)而言，引導(dǎo)客戶去渠道費率較高的第三方支付也不符合企業(yè)的利益，因此確實很難去達到一個很好地平衡。

對于支付風(fēng)控體系的設(shè)計，我相信還有很多的優(yōu)化方案。對于電商企業(yè)而言，所謂高危用戶的本質(zhì)就是用戶提供的證據(jù)不足以證明“我就是本人”，而不論短信驗證碼、CVV等等都是證明自己是自己的證據(jù)，只是這個證據(jù)目前來看已然不是很充分。

我相信很多人的卡信息已經(jīng)在暗網(wǎng)上泄露出來了，花錢可能就能購買一份非常齊全的用戶資料然后刷卡消費。因此對于這么嚴峻的詐騙盜刷形勢，是否還有其他證據(jù)可以讓用戶來證明自己是本人呢？這個問題很多企業(yè)已經(jīng)嘗試在做了，比如淘寶在登錄的時候?qū)τ诟呶５卿浶袨樾枰爿斎肽憬谫徺I過的物品，對于撞庫和盜號而言，這也是一個非常強有力的證據(jù)證明自己是本人，當(dāng)然這避免不了熟人作案~~~

最近因為工作關(guān)系，接觸到了很多外部的征信數(shù)據(jù)，也讓我的視角可以不斷的擴延開，對于糾纏了我很久的問題似乎也有了可能的解決方案。

征信數(shù)據(jù)的存在是為了輔助信貸機構(gòu)對于用戶的身份信息、信用信息等進行審核，主要是用于信貸行為。但是是否有可能將二者結(jié)合起來使用？

對于調(diào)用外部征信渠道的用戶，如果用戶能夠正確回答特定的問題就可以比較好的證明用戶即本人。因為雖然個人信息目前在網(wǎng)上基本已經(jīng)被泄露的一干二凈，但是所謂的黑產(chǎn)還是術(shù)業(yè)有專攻的，盜刷類的黑產(chǎn)手里面的用戶個人數(shù)據(jù)多以卡數(shù)據(jù)為主，如果在電商網(wǎng)站上的支付者可以提供其他方面的信息，可以基本排除盜刷風(fēng)險。當(dāng)然對于沒辦法驗證的信息可以適時轉(zhuǎn)入人工處理。

如果這種方案有效的話，對于前面幾種支付風(fēng)控架構(gòu)方案的弊端算是個很好的補充，用戶可以實時證明自己，高危支付行為不需要等待即可完成確認，避免誤傷行為；對于企業(yè)而言也不需要引導(dǎo)客戶進入高費率渠道，節(jié)約企業(yè)的經(jīng)營成本；企業(yè)的風(fēng)控團隊也可以節(jié)約大量使用人工介入的成本，提高了經(jīng)營效率。

那現(xiàn)在重點來了，調(diào)用外部征信渠道的時候，哪些問題可能是確信有效且覆蓋面廣的呢？確信有效自不必說，覆蓋面廣也是為了節(jié)約足夠的對接成本。我也考慮了一些，當(dāng)然是否有效也需要數(shù)據(jù)驗證

實時芝麻信用分

芝麻信用分目前應(yīng)該覆蓋了幾億人群，這幾億人群與在電商網(wǎng)站在線支付的人群是高度重合的，所以應(yīng)該大部分可以用。對于能夠?qū)崟r提供實時芝麻信用分的人群應(yīng)該可以重點認為是低危人群，目前螞蟻金服已開放了相關(guān)服務(wù)，能否對接還依賴于用戶授權(quán)和法務(wù)問題

駕照號及有效期

駕照目前應(yīng)該覆蓋了四億人群，對于能夠正確輸入駕照號和有效期基本應(yīng)該可以確信為本人。目前市面上也有相關(guān)的征信服務(wù)公司提供相關(guān)服務(wù)

父母的出生年月

對于該問題，目前市面上也有部分公司能夠提供，只要能夠回答該問題，也基本上可以排除陌生人作案，當(dāng)然不排除熟悉的人作案手法，當(dāng)然這就另當(dāng)別論了。

以上各種問題可以隨機展示給觸發(fā)規(guī)則的用戶，之所以有以上的認知是基于認為支付類的黑產(chǎn)手里面沒有這些信息，當(dāng)然我相信只要想搞也是能夠搞到的，但是這會大大的提高支付黑產(chǎn)的門檻，然后市面上這么多電商網(wǎng)站，自然而然他就會去其他風(fēng)控措施不嚴的網(wǎng)站了。

就跟前面說的一樣吧，所謂風(fēng)控的目的，無外乎就是你把你的地勢抬高了，臟水排到別人家去，你不去抬高自己的地勢，臟水就會到你家來~~~

當(dāng)然使用以上的方案還有一些可能的問題需要評估

• 用戶感知體驗的問題：對于輸入自己的隱私信息很多人都是很敏感的，所以對于這些敏感客戶可能還是需要走正常的人工介入的流程。這方面是否會帶來客訴等可能需要有足夠友好的文案提示、客服介入等手段
• 法律合規(guī)監(jiān)管問題：對于以上需要調(diào)用外部征信渠道數(shù)據(jù)的問題，是否符合網(wǎng)絡(luò)安全法規(guī)定，是否能夠滿足合規(guī)監(jiān)管規(guī)定，這方面我沒有去嘗試過，所以也有待進一步的核實。

不過不管怎樣，我相信支付風(fēng)控體系的架構(gòu)可能還會有很多更好的創(chuàng)新方案，可能由于我眼界的不夠?qū)掗?，相信將其他領(lǐng)域的很多方案與支付風(fēng)控體系設(shè)計整合起來會有很多不錯的點子，希望后續(xù)可以不斷挖掘吧。

作者：獨孤qiu敗，微信公眾號：互聯(lián)網(wǎng)風(fēng)控那些事兒（anti_fraud_share），互聯(lián)網(wǎng)行業(yè)風(fēng)控產(chǎn)品經(jīng)理，互聯(lián)網(wǎng)風(fēng)控系統(tǒng)設(shè)計和策略制定經(jīng)驗

本文由 @獨孤qiu敗 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。