Zahlungsarchitektur in iGaming

Zahlungsarchitektur in iGaming

1) Die Rolle von Zahlungen in P&L und Compliance

• Einzahlungskonvertierung (Auth Rate, Friction, 3DS/SCA) und Auszahlungsrate (T + 0/T + 1).
• Kosten: MDR/Interchange, PSP/Bankgebühren, FX/Conversion, Fraud/Charjback.
• Risiko und Regulierung: KYC/AML, Limits und Responsible Gaming (RG), PSD2/SCA/GDPR/PCI DSS.
• Zuverlässigkeit: Fehlertoleranz, PSP-Failover, Risiko-Diversity und stabile SLAs.

2) Ziellandschaft

Eingabekanäle: Karten (Visa/Mastercard/MIR/UnionPay), APM (Apple/Google Pay), Open Banking/Instant Payments (SEPA Instant, Faster Payments, Pix, UPI), E-Wallets, Gutscheine, Cash Terminals (lokal).
Ausgabekanäle: ausgehende SEPA/ACH/FPS, Pix/UPI, Card-to-Card (OCT/Original Credit Transfer), Wallets, lokale Schienen; für „cash at cage“ - Offline-Zahlungen.
Zwischenschichten: PSP-Orchestrator, Anti-Fraud, Compliance-Gateway (KYC/AML/Sanktionen), Ledger (Spiel/Geld), Token-Tresor, Abgleich (Reconciliation), Reporting.

3) Funktionale Domänen

3. 1 Akzeptieren von Zahlungen (Acquiring)

Smart Routing: Auswahl des PSP nach BIN/Land/Bank/Risiko/Kosten-Check; Kaskade (Retry → Alt-PSP) und partielle Zulassungen.
3DS/SCA: Dynamische Orchestrierung (frictionless vs challenge), TRA/Whitelisting, PSD2-Ausnahmen (LVA, MOTO, MIT).
Tokenisierung: Safecards und Netzwerk-Token (NTokens), COF/CIT/MIT Framing, vaulted Karten.
UI/UX: Währungslokalisierung, APM-Autometekt nach GEO/UA, „1-Klick“ nach KYC, transparente Gebühren/Limits.

3. 2 Auszahlungen (Payouts)

Prioritätsregeln: Geschwindigkeit (instant/near-instant), Kosten, Kanalverfügbarkeit.
Anti-Arb und RG: verzögerte Schlussfolgerungen (Cool-Off), Quellenchecks, Velocity-Limits, strittige Gewinne (Fraud/AML).
KYT (Know Your Transaction): Überwachung von Mustern (Mulling/Überholen), Geräte- und Kartenverbindungen, Ausschlusslisten.

3. 3 Betrugsbekämpfung und Risiko

Signale: Fingerprint-Gerät, Verhaltensbiometrie, BIN/Debitkredit, Proxy/VPN, Velocity, Rentime-Events aus dem Spielkern (ungewöhnlich schnelles win→withdraw).
Scoring: ML + Regelhybrid (weighted features, SHAP-Steuerung), A/B auf Schwellenwertpolitik.
3DS-Strategie: Wir zielen nur auf hohe Ziele/hohe Schecks; Optimierung der „challenge rate“ und „frictionless share“.
Charjbeki: Early Alert, Order Insight/CAA, RDR/ODR (Vendor), Beweisdaten (KYC, IP, Login-Trace, Spielprotokoll).

3. 4 KYC/AML/Sanktionen/PEP

Tiering: L0 (E-Mail/Telefon) → L1 (ID/Alter) → L2 (Adressnachweis/SOW/SOF) → L3 (EDD).
Sanktionen/RER: Orchestrierung von Anbietern, Fuzzy-Matching, Auto-Eskalationen.
Transaktionsüberwachung: Regeln + ML, SAR/STR-Szenarien, Schwellenwertberichte, Grenzen für Bargeld/Krypto-Brücken (falls zutreffend).
KYC-Aktualisierungshäufigkeit: risikobasiert; events (Device/Channel/Behavior Change) löst refresh aus.

3. 5 Ledger, Geldbörsen und Buchhaltung

Die Zweiberücksichtigung: Spiel- Ledger (das Gleichgewicht, der Satz, die Gewinne, die Bonusverpflichtungen) und Geldlich Ledger (deposity/wywody/komissii/nalogi).
Aufgeschobene Verbindlichkeiten: Boni/Freispiele/Jackpots/Progressive - als Verbindlichkeiten.
Abstimmungen: T + 0/T + 1 mit PSP/Banken, discovery Inkonsistenzen, automatische Erstellung von Anpassungen.
Multiwährung/FX: Spot-/Konversionsbuchhaltung, Kursverzeichnis (Anbieter), PnL nach FX-Delta.

4) Nicht funktionale Anforderungen

Verfügbarkeit und Umfang

Aktiv-aktiver Orchestrator (Multi-Region), automatischer PSP-Failover, Degradation unter Beibehaltung des Kernpfades.
SLO/SLA: Empfang ≥ 99. 95%, mittlere Autorisierung <3 s, Kaskadenerfolg <7 s; Auszahlungen instant ≤ 60 s (Anteil), near-instant ≤ 15 min.

Sicherheit und Privatsphäre

PCI DSS: Zonensegmentierung, Abkürzung „Cardholder Data Environment“ (CDE), Tokenisierung, Scan-/Pen-Tests.
DSGVO/lokale Gegenstücke: Datenminimierung, DSR/Löschung, Zugriffsprüfung.
Supply-Chain-Sicherheit: signierte Builds, SBOM, SAST/DAST, Schlüssel/Geheimnisse (HSM/KMS), Tamper-Evident-Protokolle.

5) PSP-Orchestrierung und Routing

Routing-Algorithmus (Referenz)

1. Pre-Scoring: GEO, BIN/IIN, Risikoprofil, Scheck.
2. Kosten-/Erfolgsregeln: Historische Auth Rate × Fee → PSP-Score.
3. Technische Gesundheit: Latenz/Fehler/Fehler - Realtime Strafe.
4. 3DS/SCA Richtlinie: TRA/Exemptions → Flowauswahl.
5. Kaskade: PSP-A → PSP-B → APM → Open Banking; Idempotenz bewahren.

Smart Retry

Wir verbreiten „Reason-Codes“, wenden Time-Backoff an, ändern die 3DS-Strategie, Gateway-Konto, BIN-White/Black-Listen.
Wir speichern „payment intent“ und idempotency key, um eine Doppelbelastung von Ledger zu vermeiden.

6) Regionale Archetypen (schnelle Rezepte)

EU/UK: PSD2/SCA, SEPA Instant, Faster Payments, Karten + Open Banking; das hohe Gewicht der 3DS-Strategie und der Afilliates.
USA: Karten + ACH (zweistufige Prüfungen), PayPal/Cash App; Retention auf sofortige P2P-Auszahlungen, Charjback-Management ist kritisch.
LATHAM: Pix (Brasilien), SPEI (Mexiko), PSE (Kolumbien), Gutscheine/Bargeld; Pfad - APM-schwer, Betrug auf Geräten und Dokumenten.
Türkei/CA: lokale AWS/Krypto-Brücken (wenn erlaubt), Banküberweisungen; hoher Anteil an AML/Sanktionen.
Indien/Asien: UPI, E-Wallets, lokale Kartennetzwerke; Grenzen, velocity und Echtzeit-Risiko.

7) Verantwortungsvolles Spielen (RG) im Zahlungsverkehr

Limits: Einzahlungen/Verluste/Zeit/Auszahlungen; Cool-Off und Selbstausschluss → Sperrung aller Zahlungskanäle.
Affordability: Überprüfung der Verfügbarkeit von Ausgaben (Open Banking/Kreditindikatoren) - weiche Anfragen.
Marketing: Verbot „ohne Risiko“; transparente T&C Boni; Kontrolle der Affiliate/Traffic-Quelle.

8) Berichterstattung, Analyse und Prognose

Tägliche Berichte: Authorizations, Declines by reason, Chargeback rate, Refund rate, Payout time, Net Payment Margin.
Kreuzabgleich: Ledger ↔ PSP Payouts ↔ Bank; Triangulation von Anomalien.
Prognosen: Saisonalität der Umstellung, Elastizität pro Provisions-/Betrugsschwelle, Bedarf an Betriebskapital für Auszahlungen.

9) KPIs/Metriken (Benchmarks)

Auth Rate (Karten): EU 85-92%, US 80-88%, LATAM 70-85% (vor der Orchestrierung).
Share of Instant Payouts: ≥ 70% auf „Auto“ Schecks.
Chargeback Rate: < 0. 5% nach Anzahl, 0. 9% nach Volumen (je nach Produkt/Region).
3DS Challenge Rate: <10-20% (segmental), Frictionless ≥ 70%.
PSP Konzentration: Herfindahl-Index <0. 35 (Diversifizierung).
OPEX für Zahlungen (in% der Anzahlung): Zielkorridor 1. 2–2. 0% bei ausgereifter Orchestrierung.

10) Vorfälle und Nachhaltigkeit

Playbooks: massive Declines (issuer/PSP outage), 3DS ACS Degradation, Pix/UPI Delays, Bank-Urlaub, Chargebacks Anstieg.
Robustheitskennzeichen: Begriff „grace balance“ für kurze Zeit (nur für sichere Profile), Auto-Switch APM, „queued payouts“ bei Bankausfall, „circuit breaker“ bei Anomalien.
Mitteilungen: Status-Seite, Benachrichtigungsvorlagen, Vergütungen/Gutscheine.

11) Compliance Checklisten

PCI DSS

• CDE-Segmentierung, Tokenisierung, PAN außerhalb von Anwendungen.
• Jährliche Zertifizierung, Scans, Pen-Tests, Zugangsregister.

GDPR/Privacy

• Datenminimierung, DSR/Löschung, DPIA für Betrugsbekämpfung, At-Rest/In-Transit-Verschlüsselung.
• DPAs mit PSPs/Anbietern, grenzüberschreitende Ströme.

KYC/AML

• CDD/EDD-Richtlinien, Sanktionen/PEER, KYT, STR/SAR-Szenarien.
• Schwellenwerte und Revisionen; Entscheidungsprotokoll.

RG/Marketing

• Limits/Selbstausschluss, sichtbare Disclaimer.
• Prüfung von Affiliates, Verbot von Jugend-Targeting.

12) Architektonische Referenz (Schichten)

1. Checkout Layer (UI/Lokalisierung/APM Discovery).
2. Payment Orchestrator (routing, retries, rules, A/B).
3. Risk Engine (device, behavior, ML, 3DS policy).
4. Compliance Hub (KYC, sanctions, KYT, RG).
5. Wallet & Ledgers (Spiel/Geld, Bonus-Verbindlichkeiten).
6. Reconciliation & Reporting (PSP/Bank/GL, Steuern).
7. Observability & Security (metrics/logs/traces, PCI/GDPR).
8. Data/ML (Betrugsmodelle, LTV-Scoring, Personalisierung von Limits).

13) Roadmap für die Umsetzung

Phase 0 (2-4 Wochen): Prüfung der aktuellen PSP/Metriken, GAP nach PCI/KYC/RG, KPI-Inszenierung, Auswahl des Orchestrators.
Phase 1 (6-8 Wochen): Multi-PSP-Empfang + Open Banking/APM, grundlegende Betrugsbekämpfung, 3DS-Politik, Tokenisierung.
Phase 2 (8-12 Wochen): Instant-Zahlungen, KYT, vollständige T + 0/T + 1-Überleitungen, CFO-Berichterstattung.
Phase 3 (12 + Wochen): ML-Betrug, dynamisches Value/Success-Routing, Affordability, Real-Time „Circuit Breaker“.

14) Was ist wichtig zu erinnern

Bei der Zahlungsarchitektur geht es um Orchestrierung: Die richtige Kombination aus Kanälen, PSP und Anti-Fraud steigert die Conversion und senkt die Kosten.
Sicherheit/Compliance (PCI, DSGVO, KYC/AML, RG) - Grundlage; Ohne sie ist die Skalierung gefährlich.
Abstimmungen und Buchhaltung sind eine Säule für CFO/Audit: T + 0/T + 1, vollständige Traceability, getrennte Ledger.
Regionalität entscheidet: Öffnen Sie die lokalen Schienen (Pix/UPI/SEPA Instant/FPS) und passen Sie die UX- und 3DS-Strategie an die emittierende Bank/Region an.