对于前面两种支付风控体系的方案,流程上的最大弊端在于用户在提交支付之后有可能会被拒绝支付发起扣款流程,这样的用户体验就很差。被拒绝支付的交易可能会有相当一部分的好订单,而针对这些客户而言,等他再次发起支付时可能火车票已经无座或者机票已经涨价了,这样的客户体验损失是难以弥补的。
因此针对此,市面上已经有相当一部分大型电商平台尝试着做一些支付体验的优化方案。最常见的方案是在收银台渲染环节,用户在跳转收银台渲染的时候由收银台调用风控系统判断是否可以展示高危渠道。
目前业内了解到业内小狮子和小海豚两家公司已经采用了类似的方案,其实对于有信贷类支付产品的电商网站而言这种方案更合适不过了,因为用户在开通虚拟信用卡的时候其身份信息已经拿到,等于其支付环节数据在一开始就可以获取到,因此在跳转收银台支付渲染的时候可以调用完整的支付风控规则来判定是否存在盗刷或者骗贷风险以进一步决定是否可以展示这种信贷类支付渠道。
四、可能的优化方案
支付风控,不可避免的都会对用户体验造成一定损伤,要么支付失败、要么可选支付渠道较少,对于企业而言,引导客户去渠道费率较高的第三方支付也不符合企业的利益,因此确实很难去达到一个很好地平衡。
对于支付风控体系的设计,我相信还有很多的优化方案。对于电商企业而言,所谓高危用户的本质就是用户提供的证据不足以证明我就是本人,而不论短信验证码、CVV等等都是证明自己是自己的证据,只是这个证据目前来看已然不是很充分。
我相信很多人的卡信息已经在暗网上泄露出来了,花钱可能就能购买一份非常齐全的用户资料然后刷卡消费。因此对于这么严峻的诈骗盗刷形势,是否还有其他证据可以让用户来证明自己是本人呢?这个问题很多企业已经尝试在做了,比如淘宝在登录的时候对于高危登录行为需要你输入你近期购买过的物品,对于撞库和盗号而言,这也是一个非常强有力的证据证明自己是本人,当然这避免不了熟人作案~~~
最近因为工作关系,接触到了很多外部的征信数据,也让我的视角可以不断的扩延开,对于纠缠了我很久的问题似乎也有了可能的解决方案。
征信数据的存在是为了辅助信贷机构对于用户的身份信息、信用信息等进行审核,主要是用于信贷行为。但是是否有可能将二者结合起来使用?
对于调用外部征信渠道的用户,如果用户能够正确回答特定的问题就可以比较好的证明用户即本人。因为虽然个人信息目前在网上基本已经被泄露的一干二净,但是所谓的黑产还是术业有专攻的,盗刷类的黑产手里面的用户个人数据多以卡数据为主,如果在电商网站上的支付者可以提供其他方面的信息,可以基本排除盗刷风险。当然对于没办法验证的信息可以适时转入人工处理。
如果这种方案有效的话,对于前面几种支付风控架构方案的弊端算是个很好的补充,用户可以实时证明自己,高危支付行为不需要等待即可完成确认,避免误伤行为;对于企业而言也不需要引导客户进入高费率渠道,节约企业的经营成本;企业的风控团队也可以节约大量使用人工介入的成本,提高了经营效率。
那现在重点来了,调用外部征信渠道的时候,哪些问题可能是确信有效且覆盖面广的呢?确信有效自不必说,覆盖面广也是为了节约足够的对接成本。我也考虑了一些,当然是否有效也需要数据验证
实时芝麻信用分芝麻信用分目前应该覆盖了几亿人群,这几亿人群与在电商网站在线支付的人群是高度重合的,所以应该大部分可以用。对于能够实时提供实时芝麻信用分的人群应该可以重点认为是低危人群,目前蚂蚁金服已开放了相关服务,能否对接还依赖于用户授权和法务问题
驾照号及有效期驾照目前应该覆盖了四亿人群,对于能够正确输入驾照号和有效期基本应该可以确信为本人。目前市面上也有相关的征信服务公司提供相关服务
父母的出生年月对于该问题,目前市面上也有部分公司能够提供,只要能够回答该问题,也基本上可以排除陌生人作案,当然不排除熟悉的人作案手法,当然这就另当别论了。
以上各种问题可以随机展示给触发规则的用户,之所以有以上的认知是基于认为支付类的黑产手里面没有这些信息,当然我相信只要想搞也是能够搞到的,但是这会大大的提高支付黑产的门槛,然后市面上这么多电商网站,自然而然他就会去其他风控措施不严的网站了。
就跟前面说的一样吧,所谓风控的目的,无外乎就是你把你的地势抬高了,脏水排到别人家去,你不去抬高自己的地势,脏水就会到你家来~~~
当然使用以上的方案还有一些可能的问题需要评估
- 用户感知体验的问题:对于输入自己的隐私信息很多人都是很敏感的,所以对于这些敏感客户可能还是需要走正常的人工介入的流程。这方面是否会带来客诉等可能需要有足够友好的文案提示、客服介入等手段
- 法律合规监管问题:对于以上需要调用外部征信渠道数据的问题,是否符合网络安全法规定,是否能够满足合规监管规定,这方面我没有去尝试过,所以也有待进一步的核实。