Rilevamento delle Anomalie per la Protezione dei Bot di Trading: da Z-Score a Transformer

Chiunque abbia mai fatto girare un bot di trading sulle exchange di criptovalute conosce quella sensazione: il bot funziona alla perfezione per una settimana, poi in 30 secondi azzera i profitti di sette giorni. Un flash crash su un'exchange. Un muro falso nel book degli ordini. Una cascata di liquidazioni. O semplicemente l'exchange ha restituito dati spazzatura al posto dei dati reali.

Tutte queste situazioni hanno una cosa in comune — sono anomalie. E se il tuo bot non riesce a riconoscerle, prima o poi ne diventerà vittima.

Cosa Si Considera un'Anomalia nel Crypto Trading

Prima di dare la caccia alle anomalie, dobbiamo concordare su cosa stiamo cercando. Il machine learning distingue tre tipi, e tutti e tre si manifestano quotidianamente sui mercati crypto.

Anomalie puntuali — eventi isolati che deviano nettamente dalla norma. Una candela con volume 50 volte superiore alla media. Lo spread BTC/USDT su Binance che balza allo 0,5%. Per un bot di market-making, ogni tale evento è una potenziale trappola: entrare in una posizione a un prezzo falso o subire uno slippage che consuma l'intero margine.

Anomalie collettive — una serie di eventi che sembrano normali singolarmente ma segnalano un problema nel complesso. L'esempio classico è lo spoofing: qualcuno piazza e cancella grandi ordini limite nell'arco di alcuni minuti. Ogni singolo ordine è ordinario, ma il pattern "piazza-cancella-piazza-cancella" con un rapporto ordini/transazioni di 100:1 è manipolazione — e un bot che si affida alla profondità del book degli ordini starà negoziando su liquidità inesistente.

Anomalie contestuali — un valore normale nel contesto sbagliato. Il volume di scambi di Bitcoin tipico per la sessione di Londra, ma osservato alle 3:00 UTC di domenica. Senza considerare il contesto, queste anomalie sono invisibili — e sono proprio quelle che più spesso sfuggono ai rilevatori di base.

Visualizzazione dei tre principali tipi di anomalie nei dati di trading: picchi puntuali, pattern collettivi e deviazioni contestuali.

Rumore vs. Anomalia: Il Problema del Contesto

Un'anomalia non è semplicemente un "dato strano." È una deviazione che porta informazione. È fondamentale distinguere:

• Rumore: Fluttuazioni casuali che fanno parte del normale regime di mercato.
• Drift: Uno spostamento graduale delle condizioni di mercato (ad esempio, la transizione dalla notte a bassa volatilità alla mattina attiva).
• Anomalia: Una violazione improvvisa del pattern atteso.

Determinare la differenza tra rumore innocuo, drift persistente e anomalie pericolose è la sfida chiave per qualsiasi rilevatore.

Metodi Semplici Che Risolvono l'80% dei Problemi

Non tutto deve essere risolto con le reti neurali. Tre rilevatori di base sono sufficienti per la maggior parte dei bot di trading.

Z-Score: Filtro Rapido degli Estremi

Lo Z-Score mostra quante deviazioni standard il valore corrente si discosta dalla media mobile. Si calcola in microsecondi e funziona su qualsiasi timeframe.

Lo utilizziamo per tre compiti: filtraggio dei volumi anomali (Z-Score > 3 — segnale per ampliare gli spread o mettere in pausa le quotazioni), monitoraggio degli spread (un allargamento anomalo del bid-ask spesso precede movimenti bruschi) e funding rate dei futures (valori estremi avvertono di una probabile cascata di liquidazioni).

Lo Z-Score identifica eventi estremi misurando quante deviazioni standard un punto si discosta dalla media. I valori che superano ±3σ vengono trattati come outlier nella maggior parte dei sistemi di trading.

Limitazione importante: i mercati crypto hanno distribuzioni a coda grassa. Un evento che secondo la distribuzione normale dovrebbe verificarsi una volta ogni milione di anni (6σ) accade mensilmente nel crypto. Quindi lo Z-Score è un filtro grezzo delle anomalie, non un verdetto definitivo.

Level Shift Detector: Quando il Mercato Cambia Regime

Prendiamo due finestre mobili consecutive e confrontiamo le loro medie. Se la differenza supera una soglia — si è verificato un level shift. Le strategie di market-making guadagnano in un mercato stabile e perdono durante movimenti bruschi. Un Level Shift Detector su volume e volatilità avverte di un cambio di regime alcuni minuti prima che diventi evidente nel prezzo.

Lo applichiamo a diverse metriche contemporaneamente: dimensione media delle transazioni, profondità del book agli ordini ai primi 5 livelli, numero di transazioni per unità di tempo. Se il Level Shift si attiva su almeno due metriche — il bot passa in modalità difensiva.

Volatility Shift Detector: Sentire la Tempesta

Un approccio simile, ma si confrontano le deviazioni standard invece delle medie. Un brusco aumento della volatilità è un segnale per riconsiderare i parametri. Un pattern interessante: una volatilità bassa in modo anomalo spesso precede una mossa esplosiva. Il Volatility Shift Detector cattura entrambi i casi — la compressione e l'espansione.

I rilevatori Level Shift e Volatility Shift sono fondamentali per identificare i 'Cambi di Regime' — improvvisi cambiamenti strutturali nel comportamento del mercato che richiedono parametri di trading diversi.

HBOS: Analisi Multidimensionale Rapida

Quando occorre monitorare 10+ indicatori contemporaneamente senza il costo di ML complessi, HBOS (Histogram-Based Outlier Selection) è la scelta migliore. Assume l'indipendenza delle feature e costruisce un istogramma per ciascuna. Lo score di anomalia è il prodotto delle densità inverse su tutti gli istogrammi.

HBOS è significativamente più veloce dei metodi basati sulla distanza come LOF, rendendolo adatto al filtraggio ad alta frequenza di vettori di stato multidimensionali.

Machine Learning: Quando la Statistica Non Basta

I metodi di base lavorano su un indicatore alla volta. Ma le anomalie reali si manifestano spesso come una combinazione insolita di indicatori: il volume è normale, lo spread è normale, ma volume + spread + tasso di variazione del prezzo + squilibrio del book degli ordini insieme — sono anomali. È qui che serve il ML.

Un panorama strutturato dei metodi di rilevamento delle anomalie: dagli algoritmi non supervisionati classici alle architetture di deep learning.

Isolation Forest: Il Miglior Equilibrio per la Produzione

Tra tutti i metodi ML di rilevamento delle anomalie, Isolation Forest si adatta meglio ai sistemi di trading. L'algoritmo costruisce un ensemble di alberi decisionali che partizionano casualmente lo spazio delle feature. I punti anomali, essendo "rari e diversi," vengono isolati in meno divisioni.

Perché Isolation Forest? Non richiede dati etichettati — etichettare le anomalie sui mercati crypto è praticamente impossibile poiché ogni flash crash è unico. L'inferenza rapida in millisecondi rende fattibile l'utilizzo in quasi-tempo reale. E fondamentale per la produzione: le previsioni possono essere spiegate tramite i valori SHAP — non si sa solo che un momento è anomalo, ma si capisce perché.

Sui dati Bitcoin, Isolation Forest ha rilevato non solo anomalie ovvie come il picco di volatilità quando Tesla ha rifiutato i pagamenti in BTC nel 2021, ma anche quelle sottili — periodi in cui i movimenti di prezzo non erano supportati dal volume, indicando una manipolazione esterna. Nell'analisi dello spoofing, SHAP mostra che gli indicatori chiave sono le quotazioni sbilanciate del book degli ordini e un'attività di cancellazione anomalmente elevata.

L'algoritmo Isolation Forest funziona mediante partizionamento casuale dello spazio: gli outlier vengono isolati in significativamente meno divisioni rispetto ai punti in cluster densi.

LOF: La Scelta Migliore per il Monitoraggio Multi-Exchange

Il Local Outlier Factor valuta l'anomalità di un punto confrontando la sua densità locale con quella dei suoi vicini. Uno studio (Springer, 2024) che confronta LOF, Isolation Forest e One-Class SVM su dati di criptovalute ha rilevato che LOF è il più efficace — ha trovato anomalie reali con il minor numero di falsi positivi, operando in modo stabile sia su Bitcoin che su Dogecoin.

Perché LOF è importante per l'infrastruttura multi-exchange? I dati provenienti da exchange diverse hanno "densità" diverse — Binance vede migliaia di transazioni al secondo, un'exchange di nicchia ne vede decine. I metodi globali come Z-Score produrranno falsi positivi sulle exchange di nicchia o mancheranno le anomalie su quelle grandi. LOF si adatta al contesto locale.

LOF confronta la densità locale di un punto con quella dei suoi vicini. Questo gli consente di trovare outlier che sono 'localmente' anomali anche se sono coerenti con i pattern globali dei dati.

Il limite è la complessità quadratica rispetto al numero di punti. Per dati tick-level in tempo reale è troppo lento, ma per aggregati al minuto su 100+ exchange — è ideale.

Autoencoder: Analisi Approfondita del Book degli Ordini

Un autoencoder è una rete neurale che comprime i dati in una rappresentazione compatta e li ricostruisce. Addestrato su dati "normali," un alto errore di ricostruzione segnala poi un'anomalia.

Per l'analisi del book degli ordini questo è lo strumento più potente. Un book con 20 livelli bid e 20 livelli ask è un vettore a 40 dimensioni che si aggiorna centinaia di volte al secondo. Un LSTM Autoencoder considera non solo lo stato corrente ma le dinamiche — come il book degli ordini è cambiato negli ultimi N tick. L'approccio ibrido "LSTM Autoencoder + One-Class SVM" separa le responsabilità: la rete neurale gestisce l'estrazione delle feature, il ML classico gestisce il processo decisionale. Il principale svantaggio è il costo computazionale: l'inferenza in tempo reale richiede una GPU.

Gli autoencoder apprendono una rappresentazione 'latente' compressa dei dati normali. Le anomalie non riescono a ricostruirsi accuratamente, producendo un alto errore usato per il rilevamento.

Architettura a Cascata: Mettere Tutto Insieme

Nessun singolo metodo risolve tutti i problemi. I metodi veloci mancano le anomalie complesse. I metodi accurati sono troppo lenti per il tempo reale. La soluzione è un'architettura a cascata in cui ogni livello successivo cattura ciò che il precedente ha mancato.

Architettura di rilevamento delle anomalie a più livelli: dai limiti rigidi al millisecondo all'analisi di deep learning in background.

Livello 1 — Fast Path (sotto 1 ms). Z-Score su volume, spread e variazione di prezzo. Verifica della persistenza. Limiti rigidi. Al trigger — pausa immediata del trading. Questo livello protegge dai flash crash, errori API e manipolazioni grossolane. Implementato nel ciclo principale del bot senza dipendenze esterne.

Livello 2 — Near Real-Time (1–100 ms). Isolation Forest su feature combinate. Rilevatori Level Shift e Volatility Shift. Al trigger — cambio di modalità di trading, aggiustamento dei parametri. Gira in un thread parallelo.

Livello 3 — Analisi in Background (1–60 secondi). LOF su dati multi-exchange. LSTM Autoencoder sugli stati del book degli ordini. Analisi dei residui della decomposizione stagionale. Al trigger — alert, aggiustamenti dei parametri di strategia.

Livello 4 — Analisi Batch (ogni ora/giorno). DBSCAN per il rilevamento del wash trading. PCA per il monitoraggio della correlazione cross-exchange. Riaddestramento completo dei modelli. Output — report, aggiornamenti dei modelli, ricalibrazione delle soglie per i livelli precedenti.

Ogni livello opera in modo indipendente. Se il livello 3 si interrompe — i livelli 1 e 2 continuano a proteggere il bot. La tolleranza ai guasti e la degradazione graduale sono proprietà obbligatorie di qualsiasi infrastruttura di trading.

Raccomandazioni Pratiche

Alcune lezioni dalla produzione.

Inizia in modo semplice. Z-Score + Level Shift + Volatility Shift possono essere implementati in un giorno. Questo copre la maggior parte degli scenari di perdita dovuti a condizioni di mercato anomale. Il cluster GPU può arrivare dopo.

Il parametro contamination è il più importante degli iperparametri. In Isolation Forest definisce la proporzione attesa di anomalie. Per i mercati crypto utilizziamo 0,01–0,05 a seconda del pair e dell'exchange. Troppo basso — si perdono anomalie reali. Troppo alto — i falsi positivi paralizzano il trading.

Soglie adattive invece di soglie fisse. I mercati crypto sono non stazionari. Una soglia che funzionava a gennaio genererà falsi positivi a marzo. Usa EWMA per aggiornare le soglie, o riaddestra periodicamente i modelli su una finestra mobile.

Registra tutte le anomalie. Anche se non reagisci automaticamente — salva il label con il contesto. In un mese avrai un dataset per addestrare modelli supervisionati e analizzare quali anomalie hanno preceduto le perdite.

Testa su incidenti reali. Costruisci una collezione di anomalie storiche: il flash crash di maggio 2021, la cascata di liquidazioni di FTX, il collasso di LUNA. Fai passare ogni nuovo rilevatore attraverso questi scenari. Se non cattura incidenti noti — è inutile.

Cosa C'è Dopo

Tre direzioni da tenere d'occhio.

Modelli basati su Transformer per i book degli ordini. Ricerche recenti mostrano che Transformer autoencoder + OC-SVM su dati Limit Order Book supera significativamente tutti gli approcci precedenti per il rilevamento dello spoofing. Uno Staged Sliding Window Transformer su dati EUR/USD ad alta frequenza (315 milioni di record) ha raggiunto accuratezza 0,93, F1 0,91, AUC-ROC 0,95 — significativamente migliore di Random Forest, LSTM e CNN.

Le architetture Transformer con attenzione multi-head si stanno dimostrando eccezionalmente capaci nell'identificare pattern temporali complessi nei dati Limit Order Book ad alta frequenza.

GAN per la generazione sintetica di anomalie. Una delle principali sfide è la mancanza di dati etichettati. Le GAN possono generare scenari di manipolazione realistici per addestrare modelli supervisionati. Esistono già architetture che raggiungono il 94,7% di accuratezza con latenza inferiore a 3 ms e throughput di 150.000 transazioni al secondo.

Le Generative Adversarial Network (GAN) possono essere utilizzate per aumentare i dataset creando anomalie sintetiche realistiche, risolvendo il problema critico della scarsità di label nel trading.

Change Point Detection (CPD). Invece di cercare solo outlier, CPD si concentra sull'identificazione del momento esatto in cui le proprietà statistiche del segnale sono cambiate. Questo è fondamentale per passare da un regime di market-making all'altro (ad esempio, da mean-reversion a trend-following).

Il Change Point Detection identifica cambiamenti strutturali nei dati di serie temporali, evidenziando il confine tra diversi regimi di mercato.

Le anomalie non sono una funzionalità opzionale. Sono la base senza la quale l'algo trading diventa un gioco d'azzardo. E prima la costruisci, meno lezioni costose il mercato dovrà insegnarti.

Riferimenti

1. Anomaly detection in cryptocurrency markets using Isolation Forest
2. LOF: Identifying local outliers in high dimensional space
3. Isolation Forest for Anomaly Detection (Sklearn Documentation)
4. PyOD: A Comprehensive Python Toolbox for Outlier Detection
5. Transformer-based models for Limit Order Book anomaly detection
6. Ethical Issues and Market Manipulation in Cryptocurrency

Citazione

@software{soloviov2026anomalydetectionalgotrading,
  author = {Soloviov, Eugen},
  title = {Anomaly Detection for Trading Bot Protection: From Z-Score to Transformer},
  year = {2026},
  url = {https://marketmaker.cc/it/blog/post/anomaly-detection-algotrading},
  version = {0.1.0},
  description = {Quali metodi di rilevamento delle anomalie funzionano davvero nel crypto algo trading, come costruire un'architettura di protezione a cascata e perché questa è la base senza la quale l'algo trading diventa un gioco d'azzardo.}
}