95% алертов вашего compliance-отдела — это информационный мусор, оплаченный зарплатами дорогих аналитиков. Классический финмон работает как дырявое сито: с завидной регулярностью блокирует счета честных ИП, случайно превысивших лимит переводов, и в упор не видит профессиональных дроповодов, гоняющих миллионы мелкими траншами.
В классическом банкинге сложилась шизофреническая ситуация. Риск-офицеры знают, что система не работает. CDO знают, что данные используются на 1%. Но все продолжают клепать новые if-then конструкции. Почему? Потому что внедрять полноценный AML на графах платежей: как ловить отмывание, а не топить compliance в ложных алертах — задача инфраструктурно тяжелая, требующая изменения самих принципов скоринга. Сегодня мы сталкиваем лбами классические пороговые правила и графовый ML. Без иллюзий и сказок о всемогущем ИИ.
Анатомия провала: почему 115-ФЗ генерирует вал false positives
Любое жесткое правило, основанное на порогах (сумма операции, частота, возраст счета), страдает врожденной слепотой к топологии. Правило видит только два узла: отправителя и получателя в моменте времени.
Напишете условие «алерт при переводе больше 600 тысяч рублей» — и система парализует легальные сделки с недвижимостью или закупки оборудования. Напишете «алерт при более чем 50 переводах в сутки» — убьете легальный микробизнес или краудфандинг. Защита от таких правил примитивна: организаторы схем (smurfing) дробят 10 миллионов рублей на двести микро-транзакций по 50 тысяч, раскидывают их на сетку из купленных банковских карт и выводят в кэш. Пороговая система молчит, потому что ни одна транзакция не пробила лимит.
Итог закономерен. Отдел финмониторинга получает тысячи алертов ежедневно. Люди физически не успевают проводить глубокие расследования. Они закрывают тикеты по формальным признакам. Когда 95% инцидентов — это ложное срабатывание (false positive), у аналитика замыливается глаз. Пропустить в этом потоке реальный отмывочный синдикат — вопрос времени.
AML на графах платежей: как ловить отмывание, а не топить compliance в ложных алертах
Переход от реляционных таблиц к графовой структуре меняет всё. Транзакция — это ребро, счет — это узел. Вместо изолированного события система получает топологический контекст. Мы смотрим не на сумму перевода, а на форму финансового потока.
Графовые нейросети (GNN) и алгоритмы анализа связей выявляют паттерны, которые невозможно описать конечным набором статических правил:
Транзит. Деньги заходят на счет и в течение часа уходят дальше с потерей не более 1-2% на комиссии. В графе это выглядит как узел с аномально высокой скоростью оборачиваемости (velocity) и почти нулевой дельтой баланса.
Дробление и Fan-out. Один крупный перевод расщепляется на десятки мелких, уходящих на веерные счета.
Fan-in. Обратный процесс: сотни мелких переводов стекаются в одну точку (часто — счет криптообменника или консолидатора).
Круговое движение. Средства ходят по кольцу между 5-6 юрлицами, создавая искусственный оборот для получения кредитов или возмещения НДС. Граф моментально детектирует замкнутые циклы.
Как это живет в продакшене? Только через realtime-streaming-ml пайплайны. Анализировать граф раз в сутки ночью — значит позволить деньгам уйти. Когда транзакция ложится в Kafka, потоковый обработчик (например, Flink) на лету обновляет локальные подграфы вовлеченных узлов, пересчитывает эмбеддинги и отдает их в модель инференса. Решение о блокировке или пропуске принимается за миллисекунды. Это суровый high-load на железе внутри периметра банка, так как выносить банковскую тайну в публичное облако вам никто не даст.
Гибридный скоринг: ЦБ, ML и регуляторная объяснимость
Можно ли выкинуть старые правила и оставить только нейросеть? Риторический вопрос. Если вы придете к аудиторам регулятора с аргументом «мы заблокировали счет, потому что модель выдала скор 0.98», у вас отзовут лицензию. Регулятор требует железобетонного обоснования.
Единственный рабочий паттерн — это гибрид. Классические правила продолжают работать как генератор базовой выборки подозреваемых. Но дальше вступает в игру ML-модель. Она оценивает каждый алерт с учетом графовых фичей: centrality узла, PageRank, отношение входящих/исходящих ребер, плотность кластера вокруг клиента.
Если правило сработало, но ML-модель видит, что топология нормальная (score 0.05) — алерт получает низкий приоритет. Если ML-score пробивает 0.90 — инцидент летит на самый верх очереди с красным флагом. При этом модель не работает как черный ящик. Механизмы объяснимости транслируют решение в понятные человеку термины: «высокий риск, так как счет находится в центре транзитного кластера с 40 узлами и скоростью прохождения средств менее 15 минут». Регулятор доволен, аналитик видит причину.
Суровая математика трейд-оффов
Внедрение графового ML в AML-контур измеряется не абстрактной «инновационностью», а конкретными метриками:
- Alert-to-SAR conversion (Suspicious Activity Report): рост с 2-5% до 35-45%. Из ста алертов треть реально требует отправки отчета в Росфинмониторинг.
- Экономия человеко-часов: автоматическая приоритизация и фильтрация мусора высвобождает до 60% времени команды расследователей. Они перестают быть кликерами и становятся аналитиками.
- Доля выявленных скрытых схем: граф находит на 20-30% больше организованных групп, которые раньше годами сидели под радарами пороговых систем.
Но давайте честно о трейд-оффах. ML не решает проблему раз и навсегда. Ландроматы постоянно эволюционируют. Как только вы прижали один паттерн дробления, организаторы схем меняют тайминги и добавляют фиктивные узлы задержки. Модель деградирует (concept drift). Это требует непрерывного retraining-пайплайна на новых подтвержденных схемах.
Любая ошибка здесь стоит дорого. False negative — это потенциальный штраф от регулятора. False positive — отток легальных премиум-клиентов, чьи деньги зависли до выяснения обстоятельств. Графовый AML не делает систему безошибочной, он просто переводит борьбу из слепой стрельбы по площадям в снайперскую работу, где каждое действие математически обосновано топологией сети.