第三方支付的手刷產品的用戶風控主要分為事前、事中和事后三部分，事前是控制進件入網(wǎng)，提前防止風險發(fā)生；事中是風險監(jiān)控和風險識別，及時阻止風險的發(fā)生；事后是風險補救，采取相應的措施減小風險發(fā)生帶來的影響。事后這塊不是那么熟，只能舉例說明一下。

以下的風控體系很多是基于自己的經(jīng)驗總結的。

一. 事前

1. 注冊地區(qū)控制

所謂的注冊地區(qū)控制，顧名思義就是根據(jù)用戶的注冊地來控制用戶是否可以注冊。通過網(wǎng)絡來定位要注冊的用戶所在的地方，但是因為存在定位不在的情況，所以還是需要用戶自己下拉選擇注冊地的。當然網(wǎng)絡定位優(yōu)先，不生效的情況下下拉選擇用于與后臺中的注冊地區(qū)控制的名單匹配。如果是不允許注冊的地區(qū)，則該用戶會被攔截。但是如果這個用戶是系統(tǒng)定位不到的，手工選擇的話，其可以隨便選，就有可能注冊，就會有漏網(wǎng)之魚的存在，因此需要在后續(xù)持續(xù)控制排查篩選。至于這些地區(qū)是如何來的，一是每家機構不允許展業(yè)的地方；二是一些集聚效應的原因，某些地方以偽盜出名；三是新疆西藏等邊遠地區(qū)，機構落地的商戶少，一般也會禁止入網(wǎng)的。

2. 身份證黑名單控制

手刷產品都是需要實名認證的，所以都需要身份證號。有些產品的身份證號填入是在注冊時，有些產品是注冊時僅需手機號，登錄APP后進行實名認證。通過對身份證號的限制也是可以起到控制相應的用戶入網(wǎng)的目的。這個相對于注冊地區(qū)的控制來說，可以更加具體準確。身份證黑名單控制，就是針對一些有盜刷、公安部通緝或者有前科等用戶以及某些地區(qū)的用戶，后臺記錄相應的身份證號，詳細或者前幾位。詳細的身份證號那就是具體到某一人了，就是這個人就一定不讓你使用這個產品。而身份證前幾位的控制，也是為了控制某個地區(qū)的用戶，同樣也是因為集聚效應，例如某某地方出去的都是搞盜刷的，因為存在人口流動，所以就算這些地方的人在別的允許注冊的地區(qū)進行了注冊，通過身份證黑名單也可以起到控制作用。相對應的有白名單控制，為了特殊商戶的入網(wǎng)。

3. 手機號控制

手機號控制用戶注冊這個用的比較少，一是手機號實名制實行不久，很難精準到相應的用戶，二是用戶更換成本低，可以通過更換手機號實現(xiàn)入網(wǎng)，所以控制難度比較大。一般來說主要控制號段，如虛擬的170號段，相對于前兩個來說，這個控制的使用會偏少。但是如果一個公司有兩個相類似的產品時，為了推廣某個產品，有時候會控制已經(jīng)入網(wǎng)的用戶，再次在新產品進行個注冊。

二. 事中

1. 交易地區(qū)控制

手刷類產品因為要送相應的刷卡消費的商戶到銀聯(lián)，所以要根據(jù)用戶的所在地，來送相對于地區(qū)的商戶到銀聯(lián)，因此在交易時也會采用到定位的。因為是手刷，可以跟著用戶移動，到國外或者機構不能展業(yè)的地方，所以要進行控制。同時，有些時候雖然某些地區(qū)能展業(yè)，但是如果交易量上升太快，比較異常，也需要進行該地區(qū)的交易控制。通過交易地區(qū)控制，當用戶被定位到不能交易的地區(qū)時，交易終止。同時也可以防止像手工定位注冊進來的用戶在高風險地區(qū)交易。

同時，機構為了利潤，某些地區(qū)的商戶會是某一類的，是屬于異常情況，或者突然被監(jiān)管機構要求控制某地區(qū)的交易量時，就經(jīng)常用到這個交易地區(qū)控制。

2. 交易卡類型控制

目前銀行卡分為磁條卡、IC卡和復合卡，復合卡現(xiàn)在也已經(jīng)關閉了磁條只能當IC卡使用了，所以可以說是只有磁條卡和IC卡之分。磁條卡因為是用磁條卡來記錄卡的相應的信息，容易被復制和偽盜，所以針對磁條卡需要特別的風控。

一是使用交易次數(shù)控制，針對大于多少錢的交易，同一張磁條卡同一天僅能夠交易多少筆。

二是交易金額的控制，磁條卡的交易金額初始比較低，通過相應的認證好，即通過有效信息驗證這張卡是真卡且基本確定是本人操作后，可以提高額度。

通過這兩種方式來控制磁條卡的交易，降低磁條卡使用風險，機構也可以降低自身需要承擔的風險。

3. 可配置的灰名單規(guī)則

手刷產品嘛，刷卡或者插卡過程中總會遇見各種失敗，其中很多失敗是從銀聯(lián)返回的，對于這一些失敗的原因就需要設置相應的規(guī)則來控制。主要有密碼錯誤類、限額類及其余高危應答碼類。不同的返回碼類別要設置不同的規(guī)則，像高危應答碼類，這種需要特別重視，因為這能可能是掛失卡之類的，已經(jīng)被用戶掛失了，卻還在交易，就有可能是被人撿到了想偽盜。限額類的話，因為發(fā)卡行對各種卡及各種交易的控制原因，這種情況可以稍微放寬些。而密碼錯誤類，處于前面兩種之間，所以可容許的失敗次數(shù)會放寬到3-5次。

當然，各個機構也會有自己的平臺適用灰名單情況，如異地消費啦、單卡僅允許在幾個注冊商戶上消費啦。通過灰名單規(guī)則的控制，來禁止用戶提現(xiàn)，使資金留在相應機構的賬戶上，直到風險排除之后，再進行相應的付款，或者被真正的持卡人追償后，也可以進行返還。

因為灰名單涉及到用戶的到賬，所以需要實時監(jiān)控，及時排查，不然的話，客服的電話很容易被打爆。

三、事后

事后這一塊接觸不過，就我所知的主要有：

1. 調單
2. 代理商追償
3. 商戶補償

調單即是調取相應的訂單，以及商戶的真實信息，以排查風險。所謂的代理商追償是機構要代理商負責相應的風險事件的補償，因為是由代理商發(fā)展的高危商戶，也需要承擔相應的風險。而商戶補償是由于發(fā)生了相應的風險事件，商戶還未跑路，還可以找到的情況下，給出足夠的證據(jù)，要求商戶進行錢款歸還。

近年來，發(fā)生過幾次機構雙倍清算到賬資金給用戶的情況（百度下就知道了），這種時候，很多用戶是拒不歸還多到賬的錢的，就需要機構自己承擔損失，當然機構也會凍結相應用戶的賬號，直到把錢歸還了之后。所以在代付時，機構應該多加控制，防止代付出錯。

上面就是我個人粗略的對手刷產品的用戶風控進行的一個總結，可能有很多不全面、不清楚的地方，希望大家多交流指正。

本文由 @夜月沉星 原創(chuàng)發(fā)布于人人都是產品經(jīng)理。未經(jīng)許可，禁止轉載。

題圖來自 Pexels，基于 CC0 協(xié)議