AML政策与反洗钱

1）目的和范围

AML政策的目标是防止洗钱和资助恐怖主义，确保遵守监管机构的要求，并保护平台，参与者和合作伙伴。该政策适用于该集团的所有法人实体，员工，外部团队以及与现金流和客户数据交互的第三方（PSP，附属机构，内容提供商）。

• 产品：赌场/赌注，P2P转账，锦标赛，奖金/现金，市场服务。
• 频道：Web，移动应用程序，API集成，加密/后坡道。
• 地理位置：所有服务国家/州均符合当地要求。

2）监管支持与原则

政策依据是FATF（面向风险的方法，KYC/KYB，制裁，监视，报告），当地AML/CFT法律（欧洲-AMLD指令，英国-MLR，美国-BSA/Patriot Act等）以及数据保护要求（欧洲）。GDPR/相似）。

• 澳洲联储（Risk-Based Approach）：资源专注于更高风险。
• Proportionality：措施对应于客户/交易/产品的风险。
• 问责制：决策提交、审计和可追溯性。
• Privacy by Design：最低数据、处理合法性、安全性。

3）角色和责任（管理）

董事会/董事会：批准政策，风险胃口，定期报告。
高级管理：提供资源、KPI、实施。
MLRO/AML官员：流程所有者，向监管机构报告，SAR/STR，监控方法，与LEA的互动。
合规团队：KYC/KYB，制裁/RER，案例管理，培训。
风险与分析：评分模型，脚本，规则校准。
工程/安全：提供商集成、登录、访问控制、加密。
运营/付款：端点控制，手动检查，数据质量。

RACI (упрощенно): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4）澳洲联储： 风险模型

• 客户（国家，居民，职业，RER/制裁，行为风险）。
• 产品（赌场/赌注，P2P，加密，高限额，跨界）。
• 频道（在线登陆，没有存在，匿名工具）。
• 地理（高风险管辖权，制裁制度）。
• 交易（数量，周转率，兑现方案）。

得分：启动盘点+动态因素（历史，设备，支付模式）⇒低风险/中风险/高风险细分以及措施级别的选择：CDD/EDD/SOW。

5）KYC/KYB和制裁筛查（与AML的联系）

个人的KYC：文件+liveness，地址，年龄，制裁/RER，广告媒体。
公司/附属机构/提供商的KYB：注册，UBO/董事，制裁/RER，活动检查和资金来源。
制裁/RER：主要和定期筛查，fuzzi比赛，手工清算。
SOW/SOF：在高限额和异常情况下-确认资金/财富的来源。
Re-KYC：如期和事件（触发器）。

6）交易监控和行为分析

• 快速的存款循环→没有真正的游戏风险的输出。
• 按金额/频率划分，分期付款（"smurfing"）。
• IP/BIN/地址国家/地区不匹配，付款方式频繁更改。
• 非典型夜间/质量流量，设备集群（设备图形）。
• 使用匿名器/VPN、代理场、操作系统/浏览器子菜单。
• 可疑奖励模式，多巡回赛，冲锋队循环。

ML/行为模型：概率异常，图形关系，玩家/关联的风险争夺，高滚动分割。

案例管理：Alert生成→资格→文件/解释请求→解决方案（升级/锁定/SAR）。

7）"红旗"（iGaming特征）

每位玩家的第三方定期存款/许多单位卡。
相关帐户之间的P2R/锦标赛转移。
强烈的轮廓不一致（年龄，职业vs周转）。
司法管辖区之间的迁移没有可解释的原因。
没有游戏活动或最低保证金的系统兑现。
试图绕过KUS/输出/奖金，帐户的"农场"限制。
交通来源不明或CR→WD异常高的athiliats。

8） SAR/STR： 内部调查和报告

怀疑门槛是"合理怀疑"，无论金额如何。
过程：警报→事实收集→ MLRO决定→按时提交SAR/STR，没有"敲门"。
升级：临时锁定，根据LEA/监管机构的要求冻结资金，与客户沟通计划。
记录：事件的时间线，数据源，团队行动，决策和理由。

9）数据存储和安全

时间：通常关系终止后至少5年（当地澄清）。
目标存储：配置文件，文档，Alerta，SAR/STR，访问日志，证据基础。
安全性：at-rest/in-transit加密、HSM/秘密存储、 RBAC/ABAC、不可更改日志（WORM）、访问监控和员工活动。

10）培训、质量控制和审计

培训：每年为所有人提供培训，深入为工作人员提供风险职能；测试和认证。
QA/诊断：抽样桉例咆哮，双重检查（4-eyes），复古错误解决方桉。
内部审计：独立评估政策合规性、监管要求和流程效率。
压力测试：事件练习（制裁，大类型，大量Alerta）。

11） Crypto和VASP（如果适用）

旅行规则：在提供商之间交换发件人/收件人属性。
区块链分析：地址、群集、制裁/混音器标签的风险范围。
他/后坡道控制：钱包所有者的匹配，数据匹配，限制和外部地址日志。
价格动态/波动：关于金额的特殊规则，标记"异常"转换。

12）与第三方的互动

PSP/银行/提供商 KYC：合同，SLA，DPIA，容错测试计划。
附属机构：KYB，交通质量监控，禁止风险来源，后点击审核。
通讯员关系：深入审查伙伴，定期审查。

13） AML解决方桉体系结构（建议）

整合：CUS/制裁提供商，PSP，反欺诈和区块链分析。
事件总线：所有事务/事件都进入具有不可变存储的线程（Kafka/对应）。
+ML规则引擎：在线计分（毫秒）和离线修订（batch/near-real-time）。
案例系统：优先级队列，客户查询模板，SLA，与邮件/信使集成。
可观察性：逻辑，度量，跟踪；规则/模型的版本及其效果。
降级：安全简化（按策略开口/关闭）,备用提供商,retrai/法定人数。

14）绩效指标和KPI

SAR转换率：成为SAR/STR的变量比例。
时间到警报/时间到决定：检测和解决方案的速度。
Alert中的False 正价/Precision-Recall。
Coverage：通过监视/筛选的交易比例。
Rework/Appeals：对裁决进行审查的桉例份额。
培训完成：有相关培训的员工百分比。
Vendor SLA：提供商的药房，CUS/制裁的 TTV。

15）支票单

• KYC/KYB，年龄/地理，制裁/RER，广告媒体。
• 澳洲联储评分，基线限制，设备指纹。
• 同意、隐私、检查信息。

• 重新制裁筛查，如有必要，SOF/SOW。
• 支付工具所有者的匹配。
• 行为验证和交易历史记录。

• 收集事实和文件。
• MLRO内部结论。
• 按时提交报告；禁止打勾。
• 后海，规则/模型更新。

16）典型的错误以及如何避免它们

没有RBA的KYC盲点：增强动态分析和限制。
模型中缺乏反馈：实施学习循环（决策→结果）。
超耐用的"derisking"代替风险管理：使用EDD/SOW和受控限制，而不是完全禁忌。
不考虑区域规则/制裁：保持"地理概况"。
弱决策日志：标准化工件原理和存储。

17） AML策略结构模板（适用于您的维基）

1.导言和范围

2.定义和术语（AML/CFT，CDD/EDD，SOF/SOW，PEP等）

3.监管框架和对地方法律的引用

4.管理和角色（董事会，MLRO，RACI）

5.澳洲联储方法与风险胃口

6.KYC/KYB和制裁筛查

7.事务监控（rules+ML）和桉例管理

8."红旗"和iGaming脚本

9.SAR/STR 程序以及与监管机构/LEA的互动

10.数据存储、隐私、安全

11.员工培训和意识

12.供应商和第三方（SLA,审计）

13.审计，质量保证和持续改进

14.应用： 支票单、表格、信件模板、指标

18）风险矩阵示例（片段）

结果：低/平均/高风险→措施：CDD/EDD+SOF/SOW/限制/退出。

19）实施和维持计划

确定流程所有者和SLA。
集成图（PSP，KYC，制裁，分析）。
使用基本规则集+FP/FN控制启动。
情景季度校准，年度政策修订。
课程和通过控制。
常规委员会/管理报告（KPI，事件，风险变化）。

底线

有效的AML策略不是"货架文档"，而是实时循环：风险评估→控制→监测→调查→报告→改进。建立围绕RBA的流程，提供强大的KYC/KYB和制裁回路，实施高质量的案例管理交易监控，并遵守数据存储，培训和审计纪律-这样你就可以降低监管和声誉风险，同时保持业务转换和可持续性。