GH GambleHub

KYC-Anforderungen und Validierungsstufen

1) Was ist KYC und warum wird es benötigt?

KYC (Know Your Customer) ist eine Reihe von Kundenidentifikations- und Verifizierungsverfahren zur Verringerung der Risiken von Geldwäsche (AML), Terrorismusfinanzierung (CFT), Betrug und Verstößen gegen Sanktionsregelungen. Bei iGaming wird KYC durch Altersüberprüfung, Geo-Einschränkungen, Geldquellen und verantwortungsvolles Spielen (Limits, Affordability) ergänzt.

Die Hauptziele sind:
  • Bestätigen Sie die Identität und das Alter des Spielers.
  • Wohnsitz/Adresse festlegen, Geo-Zulässigkeit prüfen.
  • Sanktions-, Terror- und PEP-Risiken ausschließen.
  • Verstehen Sie die Geld-/Vermögensquellen (SOF/SOW) bei hohen Limits.
  • Gewährleistung einer kontinuierlichen Überwachung und rechtzeitigen Überprüfung.

2) Risikoorientierter Ansatz (RBA)

Die Plattform definiert das Risikoprofil des Kunden unter Berücksichtigung von:
  • Geographie: Land der Registrierung/des Wohnsitzes, Eingänge aus „risikoreichen“ Gerichtsbarkeiten.
  • Zahlungen: Methode, Kanal (Karte, A2A, Krypto-Onramps), Ein-/Auszahlungsmuster.
  • Verhalten: Umsatzgeschwindigkeit, Einsätze, Bonusschemata, Multiaccounting, IP/Device-Anomalien.
  • Kundenstatus: PEP, Sanktionen, ungünstige Medien (Adverse Media).
  • Produktrisiko: Casino/Wetten, hohe Limits, P2P-Transfers.

RBA spiegelt sich in KYC-Levels (siehe unten), Eskalationsauslösern und Überprüfungshäufigkeit (CDD ↔ EDD) wider.

3) KYC-Level (Beispiel für iGaming)

L0 - Basistoleranz (age & geo pre-check)

Das Ziel: ein sofortiger Onboarding-Trichter mit minimaler Reibung.
Daten: E-Mail/Telefon, Name, Geburtsdatum, Land, Einwilligungen.
Überprüfungen: Alter (Geburtsdatum + externe Basis/SDK), IP/GeoIP, Gerät, grundlegende Watchlist.
Einschränkungen: niedrige Einzahlungs-/Auszahlungslimits, P2P-Verbot, begrenzte Boni.
Überprüfung: bei Erreichen der Umsatz-/Ausgabeschwelle.

L1 - Standard Identification (CDD)

Dokumente: 1 Identitätsdokument (Reisepass/ID/Wasserrechte) + Selfie-Liveness, in ausgewählten Ländern - separate Altersverifikation.
Adresse: Adresserklärung + „Soft“ -Prüfung (Telefonspiel, Aggregatorbanken, Kreditakten, Postleitzahl).
Automatische Kontrollen: Sanktionen/PEP/Adverse Media, doppelte Geräte/Zahlungen, Verhaltensbiometrie.
Limits: durchschnittliche Einzahlungs-/Auszahlungslimits; Möglichkeit zur Teilnahme an Turnieren/Promo.

L2 - Erweiterte Prüfung (EDD )/Zahlungsquellen (SOF)

Dokumente: Adressnachweise (Gebrauchsrechnung/Kontoauszug ≤3 Monat), Einkommensnachweise (Auszüge, Einkommensbescheinigungen, Peyslips, Vertrag), falls erforderlich - SOW (Verkauf eines Vermögenswerts, Erbschaft).
Interview/Risikofragebogen: Kurzform zu Mittelquellen, Beschäftigung, erwartetem Umsatz.
Technische Kontrollen: verstärkte Auslöser der AML-Überwachung, häufigere Neuanpassung von Sanktionen/RER.
Grenzen: hoch; Zugang zu VIP-Programmen/hochliquiden Auszahlungen.

L3 - Ultra-Risikoprofil/VIP High-Roller/Cross-Border

Optional: geprüfte Berichte/Assetbestätigungen, Briefe von der Bank, Erklärungen.
Manuelle Compliance Revue + Vier-Augen-Prinzip (4-Augen).
Überwachungshäufigkeit: hoch, ereignisgesteuerte Transaktionsrezensionen, detaillierte SOW.

Hinweis: Die Namen „L0-L3“ sind bedingt; Passen Sie die Ebenen an Ihre Richtlinien, lokale Regulierungsbehörden und Zahlungsgeographie an.

4) Identitätsprüfungen: Methoden und Qualität

Dock-Verifikation: OCR + MRZ + NFC (falls verfügbar), Anti-Tamper, Porträtvergleich.
Selfie-Liveness: aktiv (Mimik/Bewegungen) oder passiv; Anti-Spoofing (Masken, Re-Play).
Biometrie: Face-Match, manchmal Voice/Behavioral.
Nicht dokumentierte Verifizierung: über Banken/Aggregatoren (Open-Banking), Kreditbüros, Mobilfunkbetreiber (SIM KYC).
Qualität: Mindestanforderungen an die Auflösung, Beleuchtung; Abweichungen - „graues Blatt“ + manuelle Bearbeitung.

5) Alter, Geographie und Zulässigkeit

Alter: Automatische Überprüfung des Geburtsdatums + externe Register/SDK, sekundäre Kontrolle auf L1.
Geo: Blockierung verbotener Länder/Staaten; IP-Abgleich, GPS/Gerätetelemetrie, BIN-Land der Karte, Adresse aus dem Dokument.
Regionale Feinheiten: unterschiedliche Adressnachweise/ID-Formate (lateinisch/kyrillisch, Transliteration von Namen, mehrere Amtssprachen, Patronyme).

6) Sanktionen, PEP und ungünstige Medien

Sanktionen: Vergleich nach Listen (UN/EU/OFAC/HMT und lokal), Auto-Update, Fuzzy-Match mit anpassbarem Schwellenwert.
PEP: Klassifikation (international/national/lokal; PEP-bezogene Personen).
Adverse Media: Negative Veröffentlichungen zu Schlüsselthemen (Betrug, Korruption).
Verfahren: positive Matches → manuelle Validierung, Eskalation, Compliance-Bericht.

7) Source of Funds (SOF) и Source of Wealth (SOW)

Bei Bedarf: Überschreitung der Ein-/Auszahlungsschwellen, VIP-Status, seltene große Transaktionen, Risikoflaggen.

Beispiele für Dokumente:
  • Kontoauszüge für 3-6 Monate, Einkommensnachweise, Steuererklärungen.
  • Nachweis von Einmalerlösen: Verkauf von Immobilien/Aktien, Erbschaft, Dividende, Darlehensvertrag.
  • Statusnachweise (IP/Firma), Vertrag, Arbeitgeberbrief.

8) KYB (für Händler/Partner/Affiliates)

Registrierungsunterlagen, Satzung, Begünstigte (UBO), Eigentümerstruktur.
Direktoren/UBO: KYC, Sanktionen/RER.
Adress- und Tätigkeitsnachweise (Website, Verträge, Rechnungen).
Überwachung von Zahlungen und Traffic (für Affiliates): Anti-Betrug, Lead-Qualität, Geo und Traffic-Quelle.

9) Re-Check Trigger (rev-KYC) und Event EDD

Erreichen von Umsatz-/Lead-Grenzen.
Änderung des Namens/der Adresse/der Zahlungsinstrumente, verdächtige Muster (zyklische Einzahlungen/schnelle Schlussfolgerungen).
Negative Medien, Updates auf Sanktionslisten, neue Geräte/IP-Cluster.
Längere Inaktivität + plötzliche Aktivität.
„Hygiene“ Daten: rev-KYC alle 1-3 Jahre (RBA-abhängig).

10) Datenspeicherung, Privatsphäre und Sicherheit

Minimierung und Zweck: Sammeln Sie nur das, was Sie für den Zweck benötigen (Onboarding, AML, Alter, Region).
Aufbewahrungsfristen: in der Regel 5 Jahre nach Schließung des Kontos/der letzten Transaktion (nach lokalem Recht angeben).
Verschlüsselung: im Ruhezustand (at-rest) und im Transit (in-transit); Geheimnisse im HSM/Vendor-Vault.
Zugang: Prinzip der kleinsten Rechte (RBAC/ABAC), Audit, Zugriffsprotokolle.
Rechte des Subjekts: Zugang/Berichtigung/Löschung (falls zutreffend), Transparenz der Verarbeitung.
Anbieter: DPIA/UDPA, länderübergreifende Datentransfers, Standardvertragsklauseln.

11) KYC Architektur und Integration

Onboarding Flow (Empfehlung):

1. Anmeldung (L0): E-Mail/Telefon → Alter/geo pre-check → Risiko pre-score.

2. L1: doc-Verifikation + Lebendigkeit → Sanktionen/RER → Adresse (weich).

3. Öffnen von Limits/Funktionen → Transaktionsüberwachung (Verhalten/Zahlung).

4. Eskalation auf Trigger- L2/L3 (Schwellenwerte, Anomalien, VIPs).

5. Periodische Revue + Event EDD.

Technische Elemente:
  • Anbieter: ID-Anbieter, Sanktionen/PEP, Addressed DB, Device Fingerprint, Verhaltensbiometrie, Open-Banking/PSP.
  • Entscheidungs-Gateway: Rules + ML (Risiko-Scoring, Grafik-Links, Geräte-Clustering).
  • Compliance-Konsole: Fallwarteschlangen, SLAs, vier Augen, SAR/STR-Vorlagen, Export von Berichten.
  • Protokolle und Audit: Unveränderliche Speicherung (WORM), Versionierung von Profilen, Dokumentenarchiv.
  • Verfügbarkeit/Nachhaltigkeit: Asset-Asset-Regionen, Backoff/Wiederholungen, Degradation in den Modus „nur L0/L1“, wenn externe Anbieter nicht verfügbar sind.

12) UX und KYC-Konvertierung

„Progress-Bar“ und Phase (Split-KYC): zuerst L0/L1, dann L2, wenn die Grenzen steigen.
Lokalisierung: Sprache, Datums-/Namensformat, Hinweise auf Dokumente (Beispielfoto, glare-control).
Re-Download: „speichern und später fortsetzen“, Erinnerungen, sichere Links.
Verfügbarkeit: mobile SDKs, Offline-Entwurfsmodus, Bildkompression.
Fail-safe: Soft-Fail mit Erklärung, Kanal zur manuellen Überprüfung, SLA per Case.

13) KYC Qualitätsmetriken

Time-to-Verify (TTV): Median/95. Perzentil.
Auto-Pass-Rate und Auto-Fail-Rate, Anteil der manuellen Verarbeitung.
First Pass Yield (FPY) durch Dokumente.
False Positive Rate für Sanktionen/RER, durchschnittliche Alert-Clearing-Zeit.
Conversion uplift nach UX-Iterationen.
Kosten pro Verifizierung und kumulative KYC OPEX.
SAR/STR-Verhältnis und Wirksamkeit von Eskalationen.
Re-KYC completion rate.

14) Richtlinien und Vorlagen (Beispielformulierungen)

Schwellenwertmatrix der Grenzwerte:
  • L0: bis zu X €/₴/$/₹ pro Monat, ohne Abzug oder mit Mikroauslass.
  • L1: bis Y, Standard-Pins.
  • L2: Hohe Grenzwerte + SOF-Anforderung.
  • L3: Prämienlimits + SOW und manuelle Compliance.
  • EDD-Trigger: große einmalige Einlagen, beschleunigte depozit→vyvod, häufige Änderungen der Zahlungsmittel, VPN/Proxy, Nichtübereinstimmung der Länder nach IP/BIN/Dokument.
  • Sanktionen/RER: Screening beim Onboarding + bei jeder Auszahlung; Revue „Grenze“ Zufälle innerhalb von 24 Stunden.
  • Wiederholung: ereignisgesteuert + periodisch (12-36 Monate nach RBA).
  • Eskalationen und SAR/STR: verbindliche Szenarien und Abgabefristen, Verbot der Kundenmitteilung (Tipping-off).

15) Häufige Risiken und wie man sie schließt

Synthetische Persönlichkeiten → Multisignal: Dokument + Gesichtsvergleich + Gerätegraph + Open-Banking.
Multiaccounting → Verhaltensbiometrie, Cookie-less-Device-Graph, Adresse/Zahlungscluster.
Bonus-Missbrauch → Limits bis zum KYC-Level, Velocity-Regeln, teilweise „verzögerter Bonus“.
Betrug mit Dokumenten → NFC-Lesen des Chips, passive Lebendigkeit, Texturanalyse.
Dünne Datei (thin-file) → alternative Quellen (Telo-Daten, Open-Banking), manuelle Überprüfung.
Transliterationen/Aliases → Normalisierung des vollständigen Namens, lokale Alphabete, Fuzzy-Match.

16) Mini-Checklisten

Onboarding (operativ):
  • Alter, Geo, IP/Device.
  • Dokument + selfie-liveness.
  • Sanctions/PEP/Adverse Media.
  • Adresse (soft) → bei Limit: Adresse (hard).
  • Automatische Regeln und ML-Scoring.
  • Transparente Kommunikation, Zustimmungen.
Vor dem großen Abschluss:
  • Rev-Screening von Sanktionen/RER.
  • SOF (bei Überschreitung der Schwelle).
  • Überprüfung der Übereinstimmung des Inhabers des Zahlungsinstruments.
  • Verhaltens- und Zahlungsüberwachung (Anomalien).
Regelmäßige Überprüfung:
  • Vollständigkeit der Aufzeichnungen und Aktualität der Dokumente.
  • Teamschulung und Prüfprotokoll.
  • Testpläne der Anbieter (SLA, Fehlertoleranz).
  • DPIA/Sicherheit und Zugänge.

17) FAQ (kurz)

Kann ich bis L1 ins Spiel gehen? Ja, bei L0 mit engen Limits und Alter/Geo-Control - aber Output/hohe Limits erst nach L1.
Wann ist SOF/SOW erforderlich? Bei Überschreitung von Umsatz-/Ausgabeschwellen, VIP-Status, verdächtigen Mustern oder auf Verlangen der Regulierungsbehörde.
Brauche ich bei jeder Auszahlung ein Screening? Ein kurzes Sanktionsreskrining und Verhaltensmonitoring wird empfohlen.
Wie kann man eine Conversion nicht „töten“? Teilen Sie KYC in Stufen, verbessern Sie UX, wenden Sie alternative Datenquellen und Auto-Progress an.

Summe

Effektives KYC ist die Balance zwischen Geschäftsschutz und reibungsloser UX. Bauen Sie L0-L3-Level für Ihr Risikoprofil auf, automatisieren Sie das Screening, implementieren Sie SOF/SOW für High-Risk, messen Sie Qualitätsmetriken und stellen Sie ein unveränderliches Audit sicher. So bleiben Sie bei der Compliance, ohne Conversion und LTV zu verlieren.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.