AML监控和规则

1）AML监测目标和RBA原则

• 早期发现布局→布局→集成模式。
• 降低监管和支付风险（银行/PSP，卡计划）。
• 与基于风险的approach（RBA）的一致性：控制深度和反应速率取决于客户/地理/产品概况和金额。

2）风险图： 模型中考虑的内容

客户风险（KYC）：帐户年龄，Tier/KYC/EDD，SoF/SoW，PEP/adverse媒体。
地理/管辖权：制裁，FATF的高风险，跨边界路线。
支付方法：卡（MCC 7995），A2A，钱包，加密（进出）。
链接行为和图：常见的IP/设备/支付工具 （multipaccount/mules）。
交易和资金流动：velocity，金额，频率，时间到时间。
游戏背景：存款→短期活动→输出；会期收益异常。

3） AML监视体系结构（在线+离线）

1.实时事件收集：存款，利率，结论，转移，KYC/KYB更改，防冻异物。
2.规则引擎（每个解决方桉≥ 50-150毫秒）：锁定/保持/上报触发器。
3.计分/ML层：复合风险计数，图形（mu子，帐户的"农场"）。
4.案例管理系统（案例管理）：优先级，支票单，时间线，附件。
5.DWH和报告：总量，趋势，KPI，模型培训。
6.整合：KYC/KYB，PSP，提供商KYT（加密），制裁筛查，旅行规则。

4）规则库（内核）

1.Structuring/Smurfing

在短窗口内，很多存款都低于咆哮/SoF限额。
严重零散的周转→快速推断出不同的道具。

2.Rapid In–Out / Short Dwell

存款→最低或零游戏→快速输出（T+0/T+1）。
输出的金额与玩家的收入概况不匹配。

3.Mule/Proxy Use

一个"设备/IP"支持多个具有不同付款人的帐户。
独立帐户之间的共享卡/钱包。

4.通过方法进行分层

A2A/钱包/加密链，货币转换和子钱包之间的转移。

5.Bonus Abuse（AML相关）

网络帐户集群，同步存款的最低金额，快速推断奖金收益。

6.High-Risk Geo / PEP / Adverse Media

使用EDD标签或弹出式授权匹配的客户交易。

7.Chargeback抽水

一系列存款，包括进一步的冲锋枪和及时的"兑现"调查结果。

8.Crypto-on/off-ramp异常

通过高风险地址（混音器，暗网，skam群集），高"risk_score"提供商KYT登录/退出。

5）参数和阈值（规范化示例）

Velocity：24 h的存款≥ N；≥ M.的独特支付方式。
定金后T分钟，定金时间：定金份额。
结构：7天内支付事件在"［threshold − ε，threshold）"范围内的份额。
图形：degree（设备/IP/卡）>99th percentil的配额；靠近已知集群（embeddings）。
KYT（加密）：具有风险类别≥ R的地址/交易所；≤ 2 hops与被禁止的实体的关系。
Geo风险：高风险国家/地区的业务或制裁。

阈值是适应性的：对于新帐户/高风险的同性恋者而言，阈值正在下降，对于具有纯历史和Tier2+的客户而言，阈值正在提高。

6）规则示例（伪SQL）

sql
-- Rapid In-Out: Deposit → Quick Withdrawal
IF sum(withdraw. amount WHERE ts BETWEEN now()-1d AND now()
AND withdraw. time_from_last_deposit <= 30m) >= X
AND gameplay. activity_score <= Y
THEN ALERT('RAPID_IN_OUT')

-- Structuring: SoF threshold crushing
IF count(deposit WHERE amount BETWEEN (S-δ) AND (S-1)
AND ts BETWEEN now()-7d AND now()) >= K
THEN ALERT('STRUCTURING')

-- Mule network: a common device/card for ≥ N accounts in 14 days
IF distinct(accounts USING device_id OR card_token) >= N
THEN ALERT('MULE_NETWORK')

-- Crypto KYT: Address/Exchange Risk
IF kyt_risk_score >= R OR kyt_exposure_to_mixer <= 2_hops
THEN ALERT('KYT_HIGH_RISK')

7） Alert的优先排序和路由

Severity： High （制裁/KUT 高风险/PEP+异常）、Medium（快速出局/结构化）、Low（无结论的优势）。
路由：调查线L1/L2/L3，升级为合规性/法律部门。
截止日期：高-分析≤ 4小时；Medium — ≤ 24 ч;Low-≤ 72小时。
活动：临时保存/限制，文件查询（SoF/EDD），锁定，SAR/STR。

8）调查： 过程和文物

• 客户简介（KYC tiers，SoF/SoW，PEP/sanctions，历史）。
• 时间线：存款/游戏/结论、IP/设备、地理、通信帐户。
• 支付标识符：PSP ids, ARN/RRN,钱包/地址。
• KYT报告（用于加密）：资金路径、风险集群、交易所标签。
• 结果：Approve/Close，EDD和monitor，Freeze和Report。

与客户的沟通：SoF/文档查询模板、响应时间表、未交付的后果。

9） SAR/STR和与监管机构/合作伙伴的互动

提交标准：合理怀疑洗钱/融资/制裁违规行为。
内容：简要说明，事实和时间线，金额/详细信息，与已知计划的联系，措施，负责人的联系。
时间：根据管辖范围（通常在确定怀疑后"毫不拖延"）。
隐私：禁止告知客户有关SAR事实的信息（tipping-off）。
与收件人/PSP的互动：风险智力的转移（在合同和法律范围内）。

10）制裁和筛查vs AML监视

制裁/PEP/广告媒体筛选是个人/公司过滤器。
AML监视是一种行为和事务过滤器。
它们是互补的：制裁打击提高了AML的优先级和EDD/hold触发。

11）加密流： KYT，Travel Rule，官方/坡道

KYT（知道您的交易）：地址/交换风险提供商,链跟踪,源/收件人分类。
旅行规则：在阈值转移（如果适用）时,VASP之间交换发送方/接收方属性。
私募股权政策：白名单交易所/提供商，高风险P2P网站禁令，金额/频率限制，加密进入后的主要结论保持不变。

12）度量、质量控制和模型风险

• 警报Precision/Recall（案例上的手动标签）。
• 在SLA中关闭的High Alert股份。
• 平均调查时间（p50/p95）。
• SAR转换（Alerts →报告）。
• 在同一簇上重复变量（recurrence）。
• 假阳性锁定的比例（每个转换的冲击）。

模型/规则验证：背景测试,特征稳定性,漂移（PSI）,每季度一次-通过规则的咆哮,每年-独立验证。

13）治理和责任（政府）

AML策略：角色（MLRO/合规之头），阈值，地理矩阵，禁止来源列表。
更改控制：RFC到新规则/阈值,更改日志,A/B业务影响评估。
培训：年度培训，知识测试，案例库。
审核和重建：根据要求存储桉例/解决方桉/数据（通常为5年以上）,安全存储,通过RBAC访问。

14）反模式

"一刀切"：所有国家/方法/客户的门槛相同。
没有在线的喷气监测是"追赶"控制。
缺乏图分析→ 不会捕获多级/mu子。
在加密流中忽略KYT/Travel Rule。
调查没有明确的SLA，Alerts正在挖掘"债务"。
缺少AML ↔ KYC/KYB/Payments Orchestrator连接（没有电线/限制）。

15）实施支票

• 风险评估：按客户/地理/方法/产品划分的风险图。
• Rule Engine online+rules library （structuring, rapid in-out, mule, KYT, geo）。
• 得分/ML+图形特征；阈值校准和优先级。
• 带有模板、时间线、支票单和SLA的桉例系统。
• 整合：KYC/KYB，制裁/RER，PSP，KYT，旅行规则。
• SAR/STR流程，"Freeze&Report"剧本，禁止打勾。
• 质量指标（precision/recall, SLA, SAR-conversion）, dashbords和alertes。
• 变更管理和年度独立测试。
• 数据存储/访问策略、加密、审核。
• 团队培训（Payments/Risk/Compliance/Support）和定期演习。

16）摘要

iGaming中强大AML监视是一个在线规则引擎+ML/图表，与KUS/KIVER/制裁/KUT挂钩，明确的SLA调查，SAR/STR纪律以及不断校准阈值以降低实际风险。这样的轮廓切断了洗钱，将合作伙伴基础设施保留在银行/PSP的"绿区"中，并且几乎没有击败真正的参与者。