Мошенничество старо как мир и поистине неисчерпаемо в своем многообразии. Однако в последние годы в связи с развитием технологий появилось много новых незаконных финансовых операций. Традиционный перечень видов мошенничества, таких как отмывание денег и кража кредитных карт, пополнился современными более изощренными формами, в том числе нелегальными покупками через Интернет и компьютерным хакерством. Все области финансового сектора страдают от мошенничества и подделок. Они происходят в банковской, страховой, инвестиционной сферах, в брокерской деятельности, бывают мошенничества с ценными бумагами и при операциях на товарных биржах. Общий ущерб от этого вида незаконной деятельности огромен. Так. например, мировые потери, вызванные махинациями с кредитными карточками, оцениваются в $1 млрд за год.
{module 297}
Известно несколько достаточно надежных методов выявления мошенничества (рис. 1). Степень их эффективности различается в зависимости от вида махинаций и стоящей перед аналитиком задачи, поэтому в первую очередь нужно подобрать наиболее подходящий метод.
Если цель анализа точно определена, то можно использовать так называемые контролируемые методы выявления мошенничества, а именно традиционные статистические методы, типа линейного дискриминантного анализа, логистической регрессии или нейронных сетей. Возможно, также применение методов на основе определенных правил, например, исходя из принципа если…, то. Кроме того, отлично работает так называемое дерево решений, пример использования, которого рассматривается ниже. Полезной может оказаться и комбинация моделей, что также демонстрируется в статье.
С помощью записей о добропорядочных и криминальных клиентах строятся предикативные модели выявления потенциальных мошенников. Все новые клиенты при этом автоматически классифицируются на две группы: хорошие и плохие. Естественно, всегда существует некоторая вероятность ошибочного зачисления в тот или иной класс, но ее можно измерить количественно (см. матрицу мисклассификации). Следует также отметить, что, обладая знаниями о прошлом и на их основе прогнозируя будущее клиентов, вы можете выявить только те виды мошеннических действий, которые имели место ранее, но, к сожалению, не новые (еще не существующие) махинации.
Именно в таких ситуациях применяются «неконтролируемые» статистические методы: из общей массы данных (не разделяется информация о добропорядочных клиентах и мошенниках) выявляются счета, клиенты, транзакции, заметно отличающиеся от нормы. Полезным в данном случае считается проведение проверки качества данных, а наиболее общий метод — это исследование выбросов.
По аналогии с оценкой заемщиков также используется скоринг: всем новым клиентам присваивается «балл подозрительности» — чем необычнее запись, тем выше балл и, соответственно, степень подозрительности в информации. Существует много разных определений того, что можно считать подозрительным, и поэтому применяются самые различные сценарии и соответствующие скоринговые карты.
Выделяют три наиболее часто встречающихся индикатора необычных данных:
■ необычное значение, встретившееся только однажды;
■ значение, оказывающееся необычным при сопоставлении его с другими значениями данной группы сравнения;
■ необычное сочетание значений, каждое из которых само по себе является приемлемым.
Данные, содержащие необычное значение, которое встречается только однажды, проще всего выявлять путем анализа выбросов. При этом методе выбросы определяются как необычные, но приемлемые значения. Применение количественных статистических инструментов, таких как определение среднего значения или стандартного отклонения, а также представление данных в виде различных графиков (рис. 2) и диаграмм, могут оказаться эффективными способами выявления необычных значений для непрерывно изменяющихся переменных.
Не менее действенен анализ взаимосвязей (Link Analysis), позволяющий обнаружить существующие (часто скрытые) связи между мошенником и другой записью в базе данных о клиентах. С помощью анализа мобильной связи выполнить эту операцию легче: как только абонент отключается по причине его мошенничества, так сразу довольно часто появляется новый номер, с которого мошенник звонит тем же людям, что и прежде. Аналогичным образом можно поступить с транзакциями по банковским счетам, хотя взаимосвязь в данном случае менее очевидна. Именно этот подход используется как метод борьбы с отмыванием денег, об этом подробнее рассказано в примере 2.
Сегментация (рис. 3) и кластерный анализ — также достаточно эффективные способы выявления мошенничества. Так. при оценке заемщика рекомендуется разбивать претендентов как минимум на три группы (низкий, средний и высокий уровень риска) по соответствующей вероятности мошенничества (рис. 4). Наиболее рискованный сегмент (на практике примерно 5%) выделяется далее на основе так называемого скоринга мошенника. По данным, имеющимся в банке, клиент, обратившийся за кредитом, сравнивается с профилем мошенника. Причем в зависимости от типа продукта / срока / обеспечения этот профиль варьируется и имеет свои ярко выраженные черты (определенное сочетание пола и возраста, данных о профессии и семейном положении и т. п.).
Интересно заметить, что при выявлении махинаций с автокредитами учитываются даже цвет и модель приобретаемого автомобиля. Установлена также любопытная зависимость между долей мошенников (в процентном выражении) и мобильным оператором (извините, результаты не публикуем).
Важно отметить, что нашей основной целью является предотвращение мошенничества. Даже если из 100 млн транзакций махинации составляют 0,1% и каждая из них приносит потерю, скажем, равную $10, то общая сумма убытка достигнет уже $1 млн в год. Для применения статистических и аналитических методов необходимо иметь достаточное количество реальных случаев мошенничества. В этом-то и заключается основная трудность, с которой сталкиваются банки — возникает вопрос: «Как получить достаточное количество статистических данных?».
Наличие подобной асимметричности (хороших данных значительно больше, чем сведений о махинациях) является характерной особенностью задачи выявления мошенничества (рис. 5). Поэтому следует применять специально масштабируемую выборку с целью обеспечения правдоподобности.
Выборка должна быть достаточно большой, чтобы отражать все свойства целого набора данных и особенности отрасли. Кроме того, достаточно большая выборка реально уменьшает воздействие мультиколлинеарности, что делает результаты логистической регрессии статистически значимыми.
Выборка с ярко выраженной спецификой, например, с четким преобладанием записей по определенному региону или конкретной возрастной группе, скорее всего, не будет отражать «среднего» мошенника и, соответственно, не будет эффективной для целого портфеля. Нерелевантная выборка может привести к плачевным результатам и некорректным выводам относительно реального уровня риска. Вот почему наиболее важным требованием, предъявляемым к выборке, мы считаем ее репрезентативность. В случае очень редких целевых классов применяется стратифицированная стратегия осуществления выборки (Scottand Wild, 1986), при которой данные разделяются на группы и выбирается только одна целевая переменная, выборка берется из каждой «страты» так, чтобы редкий целевой класс был в большей степени представлен в обучающем наборе. Модель основана в таком случае на смещенном обучающем наборе. По окончании результаты должны корректироваться, чтобы исправить «перенасыщение» выборки.
Если в рамках проекта применяется сегментация и разрабатываются отдельные скоринговые карты для каждого сегмента, следует помнить, что каждый подобный сегмент должен быть представлен отдельной выборкой, отражающей именно его специфику (а не целого набора данных).
Пример 1. Мошенничество с кредитными карточками.
На практике встречаются многочисленные виды махинаций с пластиковыми картами: наряду с классическими формами, такими как воровство, подделка и получение карты на другое имя. появились виртуальные махинации, не требующие личного присутствия владельца банковской карты. Так, например, для осуществления операции по телефону или Интернету требуется лишь информация о самой кредитной карте. Это породило новую волну мошенничеств.
При детальном исследовании махинаций с кредитными карточками выявились следующие закономерности, позволяющие установить случай мошенничества:
■ счета становятся неожиданно очень активными;
■ совершается «тестовая» покупка на небольшую сумму, после которой производится основная покупка на крупную сумму:
■ предпринимаются попытки превысить разрешенный картой лимит.
Классические махинации с картами довольно очевидны, если говорить об их проявлении. Так, с украденной карты мошенник снимает максимальное количество денег за короткий промежуток времени. Примерно тоже наблюдается с поддельными картами. При получении кредитной карты на другое лицо указываются заведомо ложные сведения в анкете заемщика. В подобном случае при выявлении мошенничества могут помочь данные из кредитного бюро. Мошенники часто используют многочисленные комбинации очень похожих, но редко совпадающих имен / адресов / телефонов. Именно наличие подобных записей указывает на высокий уровень потенциального мошенничества у данного лица.
{module 297}
Виртуальные махинации, осуществляемые с помощью современных средств связи, не требующие личного присутствия владельца карты и его подписи, приобрели в наше время особую «популярность». Способов получения информации о кредитных картах также известно немало. При этом к числу товаров, покупаемых дистанционно, чаще всего относятся ноутбуки, мобильные телефоны и ювелирные украшения, т. е. дорогостоящие предметы, легко продаваемые на «черном» рынке.
В следующем практическом примере рассматривается набор данных, состоящий из записей о 442 тыс. владельцев пластиковых карт. Сразу оговоримся, что это не данные «Росбанка», и убедительно просим читателей не проводить возможных аналогий.
Целевой переменной является BAD_YN (мошенник / не мошенник). Ряд входных переменных были трансформированы с целью увеличения прогнозной силы характеристик. В табл. 1 приведены некоторые из них.
Проект (рис. 6) выявления мошеннических операций с пластиковыми картами составлен с помощью продукта SAS Enterprise Miner.
Были применены различные аналитические методы и их модификации (табл. 2).
Причем не все входные переменные применялись в каждой из моделей. Для того чтобы дать более четкое представление, мы составили сводную таблицу (табл. 3) используемых в анализе переменных, отметив справа методы, в которых они применялись.
После применения дерева решений (рис. 7) выяснилось, что лишь три входные переменные реально являются значимыми:
■ чисто актов использования карточки в день (переменная COUNT);
■ стандартизованный объем ежедневного использования (переменная ST_C_AMT);
■ отношение объема по транзакциям к кумулятивному интервалу времени между ними (ST_C_AMT/Usage Time Interval), указывающее на совершение аномально большого количества покупок за короткое время.
Сравнение между собой полученных разными методами результатов позволило определить наиболее подходящий метод для выявления мошенников с пластиковыми картами. Это модель Ensemble — комбинация дерева решений и регрессии. На приведенном ниже графике (рис. 8) она расположена выше всех других методов. Кстати говоря, прямая линия на рисунке обозначает модель с минимальной предикативной силой, так называемую бедную модель.
По мере появления работающих прогнозов становится возможным проведение оценки информации, уже накопленной в базах данных, на предмет определения мошеннических транзакций, которые остались невыявленными. Кроме того, функция прогноза может использоваться в режиме реального времени для обнаружения мошеннической транзакции в момент ее проведения. Во многих случаях это помогает предугадать акт мошенничества и предпринять необходимые меры для его пресечения. Качество и надежность инструментов прогнозирования, применяемых при выведении коэффициентов, вероятнее всего, со временем будут повышаться. Таким образом, есть основания рассчитывать, что оперативность выявления мошенничества будет усиливаться параллельно росту объемов данных. Достоинство этого метода состоит в том, что его надежность можно оценить и проверить статистическими методами. Если надежность высока, анализ будет указывать в подавляющем большинстве ситуаций на действительные случаи мошенничества, а не выдавать подозрительные данные, с одинаковой вероятностью как указывающие, так и не указывающие на соответствующие незаконные действия.
С помощью анализа ошибок, допущенных при классификации клиентов на две уже упомянутые группы, можно получить матрицу мисклассификаций (табл. 4). Интерпретировать ее можно следующим образом. 98% предположительно добропорядочных клиентов действительно являлись таковыми, и лишь 0.13% оказались не выявленными мошенниками. В то же время наши ожидания того, что в выборке присутствует 2% мошенников, не подтвердились. В действительности их оказалось гораздо меньше — 0,17%, а 1,81% клиентов были записаны в мошенники незаслуженно (табл. 5).
Графически полученные результаты можно отобразить следующим образом (рис. 9), где 0 = = добропорядочные клиенты; 1= мошенники.
Пример 2. Отмывание денег.
Процесс отмывания денег состоит из трех основных этапов.
■ Размещение наличных денег на банковских счетах или перечисление, например в счет оплаты товаров, закупаемых за рубежом. При этом перечисляемая сумма может в десятки раз превышать фактическую стоимость товара.
■ Отмывание: различные последовательные операции с поступившими денежными
средствами. При этом задействованы всевозможные счета и банки.
■ Интеграция: «черные» деньги смешиваются с легальными на одном из легальных счетов.
Итак, казалось бы, все довольно просто, однако выявить определенную транзакцию пли запись и назвать ее мошеннической в действительности невозможно. Гораздо легче определить подозрительную группу или сегмент со сходными признаками. Один депозит на счет в размере 550 тыс. руб. сам по себе не махинация, в то время как несколько таких депозитов кажутся подозрительными (суммы менее 600 тыс. руб. отдельно не регистрируются). Или размещение крупной суммы на банковском счете также не указывает на мошенничество, в то время как размещение и снятие этой суммы в течение дня заставляют задуматься и т. п.
Учитывая, что данные транзакции включают в себя сотни переменных и что число транзакций может быть весьма велико, эти необычные сочетания вполне могут остаться незамеченными, если не проводить специального анализа. В принципе, можно провести идентификацию только путем определения частоты появления значений конкретных переменных (рис. 10). На практике, однако, осуществить это довольно трудно, поскольку объем данных очень велик, и переменные могут иметь множество значений, например, номеров счета и адресов.
Автоматические инструментальные средства оценки частоты появления значений многих переменных (сочетаний переменных) являются обязательным элементом анализа. Наличие необычных взаимоотношений в данных не обязательно указывает на мошенничество, но служит сигналом к проведению дальнейшего расследования.
Надежным и проверенным способом непосредственного выявления преступников являются регулярные отчеты о подозрительных транзакциях. Причем сценарии и периодичность подобных отчетов могут быть совершенно разными, однако их результаты могут стать существенным основанием для подозрения. В случае с отмыванием денег такими индикаторами могут быть сведения о профиле компаний, вовлеченных в подозрительную транзакцию, их местоположение, частота и время совершения операций с валютой. Дополнение традиционных методов определения мошенничества требованием обязательной отчетности повышает надежность выявления случаев незаконной деятельности, т. к. данные оказываются уже собранными и подготовленными для расследования.
В целом схема работы финансового учреждения по выявлению мошенничества выглядит следующим образом (рис. 11). Ниже приведены примеры наиболее популярных сценариев (табл. 6).
Приведем практический пример. Нужно проверить одну подозрительную транзакцию с помощью нейронных сетей и выяснить оптимальное соотношение записей в выборке, которая послужит базой для дальнейшего анализа. В качестве исходных данных были использованы 250 хороших записей и 250 мошеннических, которые соотносились по-разному — 2:1, 4:1 и 10:1. Результаты представлены в табл. 7.
В заключение хотелось бы отметить, что мошенники не только хорошо осведомлены о способах выявления и мерах предотвращения несанкционированных действий, но и быстро адаптируются к новым условиям. В то же время профиль добропорядочного заемщика также постепенно видоизменяется, данные в модели обновляются, и с течением времени она может начать давать сбои или ложные сигналы, чего также не следует допускать — следует проводить регулярные мониторинг и коррекцию (по мере необходимости).
Авторы: Катилова Н.В.
возглавляет проект по моделированию кредитных рисков в рамках «Базеля II» в департаменте рисков (ING bank). Ph D. in Fin. Math (Университет Антверпена). Член AMS, EMS, Бельгийского королевского математического сообщества. (г.Брюссель)
Кордичев А.С.
возглавляет отдел сопровождения кредитных продуктов в департаменте розничного бизнеса ОАО АКБ «Росбанк». (г.Москва)
Статья из журнала «Управление финансовыми рисками» 01(09)2007
1. Cassidy Peter Credit Card Fraud a SlBillion Problem — How much of it is yours (1997), www.netscape-world.conv’nw-08-1997.
2. Further reading on Fraud and Fraud Detection. — www.c-r.co.uk-IDM/framefurther.html.
3. Brause R., Langsdorf Т., Hepp M. (1999). Credit Card Fraud Detection by Adaptive Neural Data Mining, Goethe University, V.7, Frankfurt, Germany.
4. Stand van zaken richtlijn witwassen (2004). 2de Kamer der Staten Generaal, Den Haag, Nederland.
5. Detection des mecanismes de fraude et de blanchiment (2005). Bruxelles. www.ipcf.be/page.aspx-pageid=1740.
6. Cahill M.( Lambert D. and Sun D. (2002). Detecting Fraud in Real World, Kluwer. pp. 911-930.
7. Катилова Н. В. Банки вычисляют мошенников. — 2006. — www.klerk.ru.
8. Fraud detection solution, SAS Institute report. 2002, Cary, USA.
9. Chan R and Stolfo S. (1999). Distributed Data Mining in Credit Card Fraud Detection, IEEE Intelligent Systems. 14, pp. 67-74.
10. Катилова Н. В., Кордичев А. С. Кредитный скоринг: выявление мошенничества: Материалы 3-ей конференции «Управление рисками в банковских учреждениях». — М.: 2006. — www.raexpert.ru.