Anti-scam-слой: как оператор может реально защищать клиента от мошенничества

Масштаб проблемы

По типовым наблюдениям случаев телефонного мошенничества в регионе значительно растёт. Несколько распространённых паттернов:

«Звонок от банка». Мошенник звонит, представляется сотрудником банка, говорит про подозрительные транзакции, получает данные карты или OTP-код от клиента.

«Сотрудник правоохранительных». Мошенник представляется следователем или налоговой, угрожает, требует «срочно перевести» средства на «безопасный счёт».

«Родственник в беде». Мошенник представляется родственником в чрезвычайной ситуации, требует срочный перевод.

«Romance scam». Долгая телефонная и текстовая активность для построения доверия, заканчивается просьбой перевода.

«Job scam». Предложение работы с предоплатой за «обучение» или «материалы».

Каждый из этих паттернов оставляет следы в сети оператора — паттерны в метаданных вызовов, текстов, использования. Если эти паттерны детектировать раньше, чем они доходят до клиента, fraud можно предотвратить значительно эффективнее, чем через образовательные кампании после инцидента.

Что делает оператор сейчас

В большинстве операторов в регионе anti-scam-защита фрагментирована и в основном реактивная.

Жалобы клиентов. Клиент пожаловался — номер заносится в чёрный список. Это медленно и охватывает только часть.

Ручное расследование. Команда безопасности расследует подозрительные паттерны, реагирует на инциденты. Это трудоёмко.

Образовательные кампании. Оператор шлёт SMS и push «не передавайте свои данные», «банки не звонят с такими вопросами». Полезно, но эффект ограниченный — клиенты получают так много коммуникаций, что обучающие легко игнорируются.

Сотрудничество с регулятором. Когда регулятор просит блокировать конкретные номера, оператор реагирует.

Что обычно отсутствует — проактивная детекция паттернов в реальном времени с автоматической блокировкой или предупреждением клиенту.

Что значит проактивный anti-scam-слой

Реальный anti-scam-слой построен на четырёх компонентах.

Детекция паттернов. Через аналитику над метаданными вызовов в реальном времени распознавание известных паттернов. Например, номер звонит сотням клиентов в короткое время с короткими разговорами — это fraud-distribution. Или номер только что получил SIM и через час делает массовые звонки с шаблонными целями — это fraud setup.

Блокировка на уровне сети. Раз паттерн идентифицирован, оператор блокирует вызовы с этого номера до того, как они дойдут до клиента. Это происходит на уровне сети, без какого-либо действия клиента.

Алерты в реальном времени. Если паттерн неоднозначен, но подозрителен, клиент получает предупреждение в момент звонка («этот вызов имеет признаки fraud, мы рекомендуем не передавать личные данные») или сразу после.

Сотрудничество между операторами. Мошенники быстро меняют SIM-карты разных операторов. Эффективность защиты значимо выше, если несколько операторов делятся сигналами в реальном времени.

Эти четыре в комбинации создают защитный слой, существенно меняющий experience клиента.

Что часто становится барьером

Технологически:

Аналитика всех звонков в реальном времени — серьёзная нагрузка на инфраструктуру. Многие операторы не имеют способности делать это в реальном времени.

ML-модели для детекции паттернов требуют размеченных данных — известных fraud-кейсов. База обычно есть, но не системно собрана.

Операционно:

Блокировка номеров — операционный риск. Если ошибочно заблокировали легитимный номер, появляется жалоба клиента и потенциально юридическая проблема. Порог нужен консервативный.

Образование клиента vs блокировка на уровне сети. Образование позиционирует «клиент должен сам себя защитить». Блокировка позиционирует «оператор защищает клиента». Это разные обещания и требуют разной операционной дисциплины.

Регуляторно:

Право блокировать. Регулятор может иметь своё мнение о том, в каких условиях оператор имеет право блокировать. Без регуляторной ясности оператор может оказаться в серой зоне.

Сотрудничество между операторами. Обмен сигналами между конкурентами требует соглашения о сотрудничестве.

Что делает работающий anti-scam

Гибридный подход — автоматизация и ревью. Автоматическая блокировка для очевидных кейсов, ручное ревью для подозрительных. Это баланс между эффективностью и риском ошибки.

Уведомление клиента. Клиент видит «вы получили fraud-попытку и мы её заблокировали». Это создаёт ощущение защиты и образовывает клиента.

Сигналы между операторами. Договоры с регулятором и другими операторами об общей anti-scam-базе.

Регулярное обновление. Fraud-паттерны эволюционируют. Правила детекции должны обновляться раз в 1-2 месяца минимум.

Образование клиента в момент. Не «общие SMS не делать X», а «вы только что получили звонок, который мы заблокировали как fraud — вот что это было». Контекстное образование эффективнее.

Реалистичный 18-месячный план

Месяцы 1-6. Фундамент. Аудит текущей anti-scam-способности. Сборка размеченного набора известных fraud-паттернов. Первоначальные ML-модели. Переговоры о сотрудничестве с другими операторами и регулятором.

Месяцы 7-12. Пилот. Развёртывание детекции в режиме только-чтение. Не блокирует, но генерирует алерты. Калибровка порогов.

Месяцы 13-18. Активная блокировка. Развёртывание в production-режиме для очевидных кейсов. Ручное ревью для пограничных. Поток уведомлений клиенту. Обмен сигналами между операторами, если соглашение достигнуто.

К 18-му месяцу у оператора работающий anti-scam-слой, защищающий клиента в реальном времени и измеримо снижающий fraud-инциденты.

Что часто идёт не по плану

Слишком агрессивный порог. Блокируется легитимный трафик, жалобы клиентов растут, программа отступает.

Слишком консервативный порог. Реальный fraud не блокируется, программа выглядит косметической.

Сотрудничество между операторами не складывается. Без сотрудничества каждый оператор решает свою часть, а fraud мигрирует между сетями.

Регулятор не вовлечён. Через 6-12 месяцев регулятор может ввести ограничения, которые задним числом ломают программу.

Без уведомления клиента. Программа защищает клиента, но клиент об этом не знает. Эффект на доверие к оператору упускается.

Детекция без регулярного обновления. Через 6 месяцев модель устаревает на новых паттернах, и эффективность падает.

Когда не запускать сейчас

Если технический фундамент real-time-аналитики отсутствует, его сборка занимает 9-12 месяцев. Без этого детекция не работает.

Если сотрудничество с другими операторами в принципе невозможно (политика, конкуренция), эффективность будет ограничена рамками одного оператора.

Если регулятор не готов к модели «оператор как блокировщик», программа окажется в зоне юридического риска.

Если customer support не имеет способности обрабатывать дополнительные жалобы от false positives, программа создаст операционный хаос.

Если C-level не готов взять на себя репутационный риск, если что-то пойдёт не так, программа останется на странице.

Что обсудить на committee

Каков масштаб fraud-инцидентов в базе оператора сейчас? Если данные неизвестны — диагностика отсюда.

Какова техническая способность real-time-аналитики? И какой пробел?

Готов ли регулятор быть вовлечённым? Кто owner этого диалога?

Сотрудничество с другими операторами — реалистично? Если нет — какой объём возможен.

Какой 18-месячный инвестиционный commit нужен и есть ли он?

Что может сделать SamaraliSoft

Anti-Scam Architecture & Operating Model — анализ текущей способности, дизайн методологии детекции паттернов с подготовкой размеченного датасета, план регуляторного взаимодействия, рамка сотрудничества между операторами, дизайн потока уведомлений клиенту и поэтапный rollout с пилотом в режиме только-чтение в течение 6-9 месяцев перед активной блокировкой.

Внутренние ссылки

• /solutions/telecom-trust-platform-cornerstone/ — trust platform детально
• /insights/telecom-sim-swap-banking-fraud/ — SIM swap и banking fraud
• /insights/telecom-number-reputation/ — number reputation
• /insights/telecom-youth-segments-payments/ — биометрия и UX

Источники

• ЦБ РУ — биометрическая верификация digital banking
• The Paypers — digital banking verification УЗ
• Министерство цифровых технологий — телеком инфраструктура
• Digital Government Portal — digital infrastructure UZ
• UzDaily — рынок телекома