GH GambleHub

AML siyasəti və çirkli pulların yuyulmasına qarşı mübarizə

1) Təyinat və əhatə

AML siyasətinin məqsədi çirkli pulların yuyulmasının və terrorizmin maliyyələşdirilməsinin qarşısını almaq, tənzimləyicilərin tələblərinə uyğunluğunu təmin etmək və platformanı, oyunçuları və tərəfdaşları qorumaqdır. Siyasət qrupun bütün hüquqi şəxslərinə, işçilərinə, autsors komandalarına, həmçinin pul axınları və müştəri məlumatları ilə qarşılıqlı əlaqədə olan üçüncü tərəflərə (PSP, affiliats, məzmun provayderləri) şamil edilir.

Əhatə dairəsi:
  • Məhsullar: kazinolar/bahislər, P2P köçürmələri, turnirlər, bonuslar/cashback, bazar xidmətləri.
  • Kanallar: veb, mobil proqramlar, API inteqrasiyası, kripto-on/off-rampa.
  • Coğrafiya: yerli tələblər nəzərə alınmaqla bütün xidmət ölkələr/ştatlar.

2) Normativ dəstək və prinsiplər

Siyasətin əsasını FATF tövsiyələri (risk yönümlü yanaşma, KYC/KYB, sanksiyalar, monitorinq, hesabat), AML/CFT yerli qanunları (Avropa - AMLD direktivləri, Böyük Britaniya - MLR, ABŞ - BSA/Patriot Act və s.), həmçinin məlumatların qorunması tələbləri təşkil edir (GDPR/oxşar).

Əsas prinsiplər:
  • RBA (Risk-Based Approach): resurslar daha yüksək risklərə diqqət yetirir.
  • Proportionality: tədbirlər müştəri/əməliyyat/məhsul riskinə uyğundur.
  • Accountability: həllərin fiksasiyası, audit və izlənilebilirlik.
  • Privacy by Design: minimum məlumat, emal qanuniliyi, təhlükəsizlik.

3) Rollar və məsuliyyət (idarəetmə)

Board/İdarə Heyəti: siyasət, risk-iştah, dövri hesabat təsdiq edir.
Senior Management: resurslar, KPI, tətbiqi təmin edir.
MLRO/AML Officer: proses sahibi, tənzimləyicilərə hesabat, SAR/STR, monitorinq metodologiyası, LEA ilə qarşılıqlı əlaqə.
Compliance Team: KYC/KYB, sanksiyalar/RER, case management, təlim.
Risk & Analytics: skorinq modelləri, ssenarilər, qaydaların kalibrlənməsi.
Engineering/Security: provayderlərin inteqrasiyası, girişlər, giriş nəzarəti, şifrələmə.
Operations/Payments: nəticə nəzarət, əl yoxlamalar, məlumat keyfiyyəti.

RACI (упрощенно): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4) RBA: risk modeli

Profil komponentləri:
  • Müştəri (ölkə, rezidentlik, peşə, RER/sanksiyalar, davranış riski).
  • Məhsul (casino/bahis, P2P, kripto, yüksək limitlər, cross-border).
  • Kanal (onlayn onlayn, heç bir iştirakı, anonim alətlər).
  • Coğrafiya (yüksək riskli yurisdiksiyalar, sanksiya rejimləri).
  • Əməliyyatlar (həcm, dövriyyə sürəti, nağdlaşdırma sxemləri).

Qiymətləndirmə: başlanğıc skor + dinamik amillər (tarix, cihazlar, ödəniş nümunələri) ⇒ aşağı/orta/yüksək risk və tədbir səviyyəsi seçimi seqmentasiya: CDD/EDD/SOW.

5) KYC/KYB və sanksiya skrininqi (AML ilə əlaqə)

Fiziki şəxslər üçün KYC: sənəd + həyat, ünvan, yaş, sanksiyalar/RER, Adverse Media.
Şirkətlər/filiallar/provayderlər üçün KYB: qeydiyyat, UBO/direktor, sanksiyalar/RER, fəaliyyətin və maliyyə mənbələrinin yoxlanılması.
Sanksiyalar/RER: ilkin və dövri skrininq, füzzi matçı, əl klirinqi.
SOW/SOF: yüksək limitlər və anomaliyalar ilə - vəsaitin/sərvətin mənşəyinin təsdiqi.
Re-KYC: cədvəl və hadisə (tetikleyici).

6) Əməliyyatların monitorinqi və davranış analitikası

Ssenarilər (rules):
  • Sürətli depozit dövrü → real oyun riski olmadan çıxarılması.
  • Məbləğlər/tezlik üzrə paylama, ödənişlərin parçalanması («smurfing»).
  • IP/BIN/ünvan ölkəsinin uyğunsuzluğu, ödəniş metodlarının tez-tez dəyişməsi.
  • Tipik olmayan gecə/kütləvi trafik, cihaz klasterləri (device graph).
  • Anonymizer/VPN, proxy fermalarından, OS/brauzer dəyişdirmələrindən istifadə.
  • Şübhəli bonus nümunələri, multiakkounting, çarjbek dövrləri.

ML/davranış modelləri: ehtimal anomaliyalar, qrafik əlaqələr, oyunçuların/affiliatların risk sürəti, yüksək roller seqmentasiyası.

Case Management: Generation alert → ixtisas → sənəd/izahat sorğusu → həll (eskalasiya/blok/SAR).

7) «Qırmızı bayraqlar» (iGaming-spesifikasiyası)

Üçüncü şəxslərdən müntəzəm depozitlər/bir oyunçu üçün bir çox vahid kartlar.
Bağlı hesablar arasında P2P/turnir köçürmələri.
Profillərin güclü uyğunsuzluğu (yaş, peşə vs dövriyyə).
Heç bir səbəb olmadan yurisdiksiyalar arasında miqrasiya.
Oyun fəaliyyəti olmadan və ya minimum marja ilə sistematik nağdlaşdırma.
KUS/RUB/bonuslar, «ferma» hesabları limitlərini aşmaq cəhdləri.
Qeyri-müəyyən trafik mənbəyi və ya anormal yüksək CR → WD ilə afiliates.

8) SAR/STR: daxili araşdırmalar və hesabatlar

Şübhə həddi: məbləğindən asılı olmayaraq «əsaslandırılmış şübhə».
Proses: alert → faktların toplanması → MLRO həlli → «tipping-off» olmadan vaxtında SAR/STR çatdırılması.
Eskalasiya: müvəqqəti bloklama, LEA/tənzimləyicinin tələbi ilə vəsaitlərin dondurulması, müştəri ilə ünsiyyət planı.
Sənədləşdirmə: hadisələrin taymline, məlumat mənbələri, komanda hərəkətləri, qərarlar və əsaslandırma.

9) Məlumatların saxlanması və təhlükəsizlik

Şərtlər: adətən münasibətlərin dayandırılmasından sonra ən azı 5 il (yerli olaraq dəqiqləşdirilir).
Məqsədli saxlama: profillər, sənədlər, alertlər, SAR/STR, giriş jurnalı, sübut bazası.
Təhlükəsizlik: şifrələmə at-rest/in-tranzit, HSM/gizli saxlama, RBAC/ABAC, dəyişməz jurnallar (WORM), giriş və iş monitorinqi.

10) Təlim, keyfiyyətə nəzarət və audit

Təlim: hər kəs üçün illik, dərin - risk funksiyaları işçiləri üçün; testlər və sertifikatlaşdırma.
QA/diaqnostika: seçici review cases, ikiqat yoxlamalar (4-eyes), səhv qərarlar retro.
Daxili audit: siyasətə, tənzimləmə tələblərinə və proseslərin effektivliyinə uyğunluğun müstəqil qiymətləndirilməsi.
Stress-tests: insidentlər üzrə məşqlər (sanksiyalar, böyük tipologiya, kütləvi həyəcanlar).

11) Kriptovalyutası və VASP (mümkünsə)

Travel Rule: Provayderlər arasında göndərici/alıcı atributlarının mübadiləsi.
Blockchain analitikası: risk-skor ünvanları, klaster, sanksiya/mikser etiketləri.
O/off-rampa nəzarət: cüzdan sahibinin uyğunluğu, məlumatların üst-üstə düşməsi, limitlər və xarici ünvanların jurnalı.
Qiymət dinamikası/dəyişkənlik: məbləğlər üzrə xüsusi qaydalar, «qeyri-adi» konvertasiyaların etiketlənməsi.

12) Üçüncü tərəflərlə qarşılıqlı əlaqə

PSP/banklar/KYC provayderləri: müqavilələr, SLA, DPIA, uğursuzluq test planları.
Affiliates: KYB, trafik keyfiyyətinin monitorinqi, risk mənbələrinin qadağan edilməsi, post-tıklama auditi.
Müxbir əlaqələr: tərəfdaşların dərin yoxlanılması, dövri baxış.

13) AML həlli arxitekturası (tövsiyələr)

İnteqrasiya: KUS/sanksiyalar, PSP, antifrod, blokçeyn analitikası provayderləri.
Hadisə şini: Bütün əməliyyatlar/hadisələr dəyişməz saxlama ilə axına (Kafka/analoq) düşür.
Qaydaların mühərriki + ML: onlayn skorinq (millisaniyələr) və oflayn baxışlar (batch/near-real-time).
Case sistemi: prioritetləşdirmə ilə növbələr, müştəri sorğu şablonları, SLA, poçt/messencerlərlə inteqrasiya.
Müşahidə: log, metrika, izləmə; qaydaların/modellərin versiyası və onların təsiri.
Deqradasiya: təhlükəsiz sadələşdirmə (siyasətdə fail-open/close), backup provayderləri, retrai/kvorum.

14) Metrik və KPI effektivliyi

SAR Conversion Rate: SAR/STR olan alertlərin payı.
Time-to-Alert/Time-to-Decision: detektiv və həll sürəti.
False Positive Rate/Precision-Recall.
Coverage: monitorinq/skrininqdən keçmiş əməliyyatların payı.
Rework/Appeals: həll yenidən baxılması ilə cases payı.
Training Completion: Cari təlim ilə işçilərin%.
Vendor SLA: aptaym provayderləri, KUS/sanksiyalar üzrə TTV.

15) Çek vərəqləri

Müştəri sövdələşməsi:
  • KYC/KYB, yaş/geo, sanksiyalar/RER, Adverse Media.
  • RBA-skor, əsas limitlər, parça çap cihazı.
  • Razılıq, gizlilik, yoxlamalar haqqında məlumat.
Böyük/yüksək limitdən əvvəl:
  • Yenidən sanksiya ekran, SOF/SOW lazım olduqda.
  • Ödəniş alətinin sahibinin müqayisəsi.
  • Davranış yoxlaması və əməliyyat tarixi.
SAR/STR prosesi:
  • Faktların və sənədlərin toplanması.
  • MLRO daxili rəy.
  • Hesabatın vaxtında təqdim edilməsi; tipping-off qadağası.
  • Post-dəniz, qaydaları/modelləri yeniləmək.

16) Tipik səhvlər və onlardan necə qaçmaq olar

RBA olmadan kor KYC «işarəsi»: dinamik analitikanı və limitləri gücləndirin.
Modellərdə geribildirim yoxdur: təlim döngəsini tətbiq edin (decision → outcome).
Riskləri idarə etmək əvəzinə super sərt «derisking»: ümumi qadağan deyil, EDD/SOW və nəzarət edilən limitlərdən istifadə edin.
Regional qaydaların/sanksiyaların nəzərə alınmaması: «geo-profilləri» saxlayın.
Zəif həll jurnalı: artefaktların əsaslandırılması və saxlanmasını standartlaşdırın.

17) AML siyasət strukturu şablon (sizin wiki üçün)

1. Giriş və əhatə dairəsi

2. Təriflər və şərtlər (AML/CFT, CDD/EDD, SOF/SOW, PEP və s.)

3. Normativ baza və yerli qanunlara istinadlar

4. İdarəetmə və rollar (Board, MLRO, RACI)

5. RBA metodologiyası və risk iştahı

6. KYC/KYB və sanksiya skrininqi

7. Əməliyyatların monitorinqi (rules + ML) və keys-menecment

8. «Qırmızı bayraqlar» və iGaming ssenariləri

9. SAR/STR prosedurları və tənzimləyicilərlə qarşılıqlı əlaqə/LEA

10. Məlumatların saxlanması, məxfiliyi, təhlükəsizliyi

11. Kadr hazırlığı və məlumatlılıq

12. Satıcılar və üçüncü tərəflər (SLA, audit)

13. Audit, QA və davamlı təkmilləşdirmə

14. Proqramlar: yoxlama vərəqləri, formalar, məktub şablonları, metriklər

18) Risk matrisi nümunəsi (fraqment)

FaktorAşağıOrtaYüksək
GeoAşağı vergi yurisdiksiyasıQarışıq profilYüksək risk/sanksiya
MəhsulF2P/aşağı limitlərCasino/orta limitli bahislərP2P/kripto/yüksək limitlər
MüştəriSabit gəlir, PEP olmadanUyğunsuzluqlar, nazik faylPEP/Adverse Media/Anomaliyalar
ƏməliyyatlarDüzTikanlar, parçalanmaSürətli cash-out dövrləri, üçüncü şəxslər

Nəticə: aşağı/orta/yüksək risk → tədbirlər: CDD/EDD + SOF/SOW/məhdudiyyətlər/çıxış.

19) Tətbiq və dəstək planı

proses sahibləri və SLA müəyyən.
İnteqrasiya xəritəsi (PSP, KYC, sanksiyalar, analitika).
Əsas qaydalar dəsti + FP/FN nəzarəti ilə başlayın.
Rüblük ssenarilərin kalibrlənməsi, siyasətə illik yenidən baxılması.
Tədris proqramları və keçid nəzarəti.
Board/menecmentə müntəzəm hesabatlar (KPI, insidentlər, risk dəyişiklikləri).

Yekun

Effektiv AML siyasəti «rəfdə sənəd» deyil, canlı dövrdür: riskli qiymətləndirmə → nəzarət tədbirləri → monitorinq → araşdırma → hesabat → təkmilləşdirmə. RBA ətrafında bir proses qurun, güclü KYC/KYB və sanksiyalar dövrünü təmin edin, keyfiyyətli cass-menecment əməliyyatlarının monitorinqini həyata keçirin və məlumatların saxlanması, təlim və audit intizamına riayət edin - beləliklə, biznesin dönüşümünü və sabitliyini qoruyaraq tənzimləyici və reputasiya risklərini azaldacaqsınız.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.