Απαιτήσεις KYC και επίπεδα επιθεώρησης

1) Τι είναι το KYC και γιατί χρειάζεται

Το KYC (Know Your Customer) είναι ένα σύνολο διαδικασιών ταυτοποίησης και επαλήθευσης πελατών για τη μείωση των κινδύνων νομιμοποίησης εσόδων από παράνομες δραστηριότητες, χρηματοδότησης της τρομοκρατίας, απάτης και παραβιάσεων των καθεστώτων κυρώσεων. Στο iGaming KYC συμπληρώνεται από επαλήθευση ηλικίας, γεωγραφικούς περιορισμούς, πηγές κεφαλαίων και υπεύθυνο παιχνίδι (όρια, οικονομική προσιτότητα).

• Επιβεβαίωση της ταυτότητας και της ηλικίας του παίκτη.
• Καθορισμός κατοικίας/διεύθυνσης, έλεγχος της γεωγραφικής αποδοχής.
• Εξαιρούνται οι κυρώσεις, οι κίνδυνοι τρομοκρατίας και PEP.
• Κατανόηση των πηγών κεφαλαίων/πλούτου (SOF/SOW) σε υψηλά όρια.
• Εξασφάλιση συνεχούς παρακολούθησης και έγκαιρων αναστροφών.

2) Προσέγγιση βάσει κινδύνου (RBA)

• Γεωγραφία: χώρα εγγραφής/κατοικίας, είσοδοι από δικαιοδοσίες «υψηλού κινδύνου».
• Πληρωμές: μέθοδος, δίαυλος (κάρτα, A2A, κρυπτογράφηση), πρότυπο κατάθεσης/απόσυρσης.
• Συμπεριφορά: ταχύτητα κύκλου εργασιών, στοιχήματα, συστήματα μπόνους, πολλαπλοί υπολογισμοί, ανωμαλίες IP/συσκευής.
• Καθεστώς πελάτη: PEP, κυρώσεις, δυσμενή μέσα ενημέρωσης (δυσμενή μέσα ενημέρωσης).
• Κίνδυνος προϊόντος: καζίνο/στοιχήματα, υψηλά όρια, μεταβιβάσεις P2P.

Η RBA αντικατοπτρίζεται στα επίπεδα KYC (βλέπε παρακάτω), στις ενεργοποιήσεις κλιμάκωσης και στη συχνότητα επανεξέτασης (CDD ↔ EDD).

3) Επίπεδα KYC (παράδειγμα iGaming)

L0 - Βασική ανοχή (προ-έλεγχος ηλικίας & γεωλογικού ελέγχου)

Στόχος: Χοάνη άμεσης επιβίβασης με ελάχιστη τριβή.
Στοιχεία: ηλεκτρονικό ταχυδρομείο/τηλέφωνο, πλήρες όνομα, ημερομηνία γέννησης, χώρα, συγκατάθεση.
Έλεγχοι: ηλικία (ημερομηνία γέννησης + εξωτερική βάση/SDK), IP/GeoIP, συσκευή, βασική λίστα παρακολούθησης.
Περιορισμοί: χαμηλά όρια κατάθεσης/απόσυρσης, όχι P2P, περιορισμένες πριμοδοτήσεις.
Αντιστροφή: όταν επιτυγχάνεται το όριο κύκλου εργασιών/παραγωγής.

L1 - Τυπική ταυτοποίηση (CDD)

Έγγραφα: 1 έγγραφο ταυτότητας (διαβατήριο/ταυτότητα/άδεια νερού) + αυτοβιότητα, σε ορισμένες χώρες - χωριστή επαλήθευση ηλικίας.
Διεύθυνση: δήλωση διεύθυνσης + μαλακός έλεγχος (τηλεφωνικός αγώνας, τράπεζες συγκέντρωσης, αρχεία πιστώσεων, ταχυδρομική DB).
Αυτόματοι έλεγχοι: κυρώσεις/PEP/ανεπιθύμητα μέσα, διπλές συσκευές/πληρωμές, συμπεριφορικά βιομετρικά στοιχεία.
Όρια: μέσα όρια κατάθεσης/απόσυρσης· δυνατότητα συμμετοχής σε τουρνουά/promos.

L2 - Προηγμένη επικύρωση (EDD )/Πηγή (SOF)

Έγγραφα: απόδειξη διεύθυνσης (λογαριασμός χρησιμότητας/τραπεζικός λογαριασμός ≤3 μηνών), επιβεβαίωση εισοδήματος (καταστάσεις, πιστοποιητικά εισοδήματος, paylips, σύμβαση), εάν χρειάζεται - SOW (πώληση περιουσιακού στοιχείου, κληρονομιά).
Ερωτηματολόγιο συνέντευξης/κινδύνου: σύντομη μορφή για τις πηγές κεφαλαίων, την απασχόληση, τον αναμενόμενο κύκλο εργασιών.
Τεχνικός έλεγχος: ενισχυμένοι μηχανισμοί παρακολούθησης της ΟΜΛ, συχνότερη εκ νέου επαλήθευση των κυρώσεων/ΑΠΑ.
Όρια: υψηλά· πρόσβαση σε προγράμματα VIP/πληρωμές υψηλής ρευστότητας.

L3 - Προφίλ κινδύνου/VIP υψηλού κινδύνου/διασυνοριακό

Επιπλέον: ελεγμένες εκθέσεις/επιβεβαίωση περιουσιακών στοιχείων, επιστολές της τράπεζας, δηλώσεις.
Χειροκίνητη επανεξέταση της συμμόρφωσης + 4 οφθαλμοί.
Συχνότητα παρακολούθησης: υψηλή, εξέταση γεγονότων συναλλαγών, λεπτομερής SOW.

4) Έλεγχοι ταυτότητας: μέθοδοι και ποιότητα

Επαλήθευση δεξαμενής: OCR + MRZ + NFC (εάν υπάρχει), αντιπαραβολή, σύγκριση πορτρέτων.
Selfie-liveness: ενεργός (εκφράσεις/κινήσεις προσώπου) ή παθητικός. anti-spoofing (μάσκες, αναπαραγωγή).
Βιομετρικά στοιχεία: πρόσωπο-ταίριασμα, μερικές φορές φωνή/συμπεριφορά.
Επαλήθευση μη τεκμηρίωσης: μέσω τραπεζών/συγκεντρωτών (ανοικτής τραπεζικής), πιστωτικών γραφείων, φορέων εκμετάλλευσης κινητών επικοινωνιών (SIM KYC).
Ποιότητα: ελάχιστες απαιτήσεις για την ευκρίνεια, τον φωτισμό. αποκλίσεις - «γκρι φύλλο» + χειροκίνητη επεξεργασία.

5) Ηλικία, γεωγραφία και παραδεκτό

Αυτόματος έλεγχος ημερομηνίας γέννησης + εξωτερικά μητρώα/SDK, δευτερεύων έλεγχος της L1.
Geo: αποκλεισμός απαγορευμένων χωρών/κρατών· Συμφιλίωση IP, GPS/τηλεμετρία της συσκευής, χώρα BIN του χάρτη, διεύθυνση από το έγγραφο.
Περιφερειακές λεπτότητες: διαφορετικές αποδείξεις διευθύνσεων/μορφότυποι ταυτότητας (λατινικά/κυριλλικά, μεταγραφή ονόματος, πολλαπλές επίσημες γλώσσες, πατρονύμια).

6) Κυρώσεις, PEP και αρνητικά μέσα

Κυρώσεις: αντιστοίχιση καταλόγου (UN/EU/OFAC/HMT και τοπικά), αυτόματη ενημέρωση, ασαφής αντιστοιχία με το προσαρμοσμένο όριο.
PEP: ταξινόμηση (διεθνής/εθνική/τοπική)· Άτομα που σχετίζονται με το PEP).
Αρνητικά μέσα: αρνητικές δημοσιεύσεις για βασικά θέματα (απάτη, διαφθορά).
Διαδικασίες: θετικές αντιστοιχίες → χειροκίνητη επικύρωση, κλιμάκωση, έκθεση συμμόρφωσης.

7) Πηγή ταμείων (SOF) и Πηγή πλούτου (SOW)

Όταν απαιτείται: υπέρβαση των ορίων κατάθεσης/απόσυρσης, κατάσταση VIP, σπάνιες μεγάλες συναλλαγές, σημαίες κινδύνου.

• Τραπεζικές καταστάσεις για 3-6 μήνες, καταστάσεις εισοδήματος, φορολογικές δηλώσεις.
• Αποδεικτικά στοιχεία για εφάπαξ εισπράξεις: πώληση ακινήτων/μετοχών, κληρονομιά, μερίσματα, δανειακή σύμβαση.
• Επιβεβαίωση κατάστασης (PI/εταιρεία), σύμβαση, επιστολή εργοδότη.

8) KYB (για εμπόρους/εταίρους/θυγατρικές)

Έγγραφα καταχώρισης, καταστατικό, δικαιούχοι (UBO), ιδιοκτησιακή δομή.
Διευθυντές/UBO: KYC, κυρώσεις/PEP.
Απόδειξη της διεύθυνσης και της δραστηριότητας (τόπος, συμβάσεις, λογαριασμοί).
Πληρωμή και παρακολούθηση της κυκλοφορίας (για τις θυγατρικές): καταπολέμηση της απάτης, ποιότητα μολύβδου, γεωγραφική και πηγή κυκλοφορίας.

9) Ενεργοποιήσεις επανεπικύρωσης (rev-KYC) και EDD γεγονότων

Επίτευξη ορίων κύκλου εργασιών/παραγωγής.
Αλλαγή πλήρους επωνυμίας/διεύθυνσης/μέσων πληρωμής, ύποπτα πρότυπα (κυκλικές καταθέσεις/γρήγορα συμπεράσματα).
Αρνητικά μέσα, επικαιροποιήσεις καταλόγων κυρώσεων, νέες συσκευές/συσπειρώσεις IP.
Παρατεταμένη αδράνεια + αιφνίδια δραστηριότητα.
Στοιχεία «υγιεινή»: rev-KYC μία φορά κάθε 1-3 έτη (εξαρτώμενη από την RBA).

10) Αποθήκευση, προστασία της ιδιωτικής ζωής και ασφάλεια των δεδομένων

Ελαχιστοποίηση και στόχος: συλλογή μόνο όσων χρειάζεστε για το στόχο (επιβίβαση, AML, ηλικία, περιοχή).
Περίοδοι διατήρησης: συνήθως 5 έτη μετά το κλείσιμο του λογαριασμού/τελευταία συναλλαγή (έλεγχος τοπικά).
Κρυπτογράφηση: σε ηρεμία και σε διαμετακόμιση. μυστικά σε HSM/πωλητή-θησαυροφυλάκιο.
Πρόσβαση: αρχή των ελάχιστων δικαιωμάτων (RBAC/ABAC), έλεγχος, αρχεία καταγραφής πρόσβασης.
Δικαιώματα επί θεμάτων: πρόσβαση/διόρθωση/διαγραφή (κατά περίπτωση), διαφάνεια κατά την επεξεργασία.
Πωλητές: DPIA/UDPA, διασυνοριακές διαβιβάσεις δεδομένων, τυποποιημένες συμβατικές διατάξεις.

11) Αρχιτεκτονική και Ολοκλήρωση KYC

1. Εγγραφή (L0): e-mail/phone → age/geo pre-check → risk pre-score.

2. L1: doc-επαλήθευση + βιωσιμότητα κυρώσεων/διεύθυνση POP (ήπια).

3. Όρια/λειτουργίες ανοίγματος → παρακολούθηση συναλλαγών (συμπεριφορά/πληρωμή).

4. Κλιμάκωση για την ενεργοποίηση L2/L3 (κατώτατα όρια, ανωμαλίες, VIP).

5. Περιοδική ανασκόπηση + εκδήλωση ΕΗΑ.

• Πάροχοι: ID-vendor, κυρώσεις/POP, βάσεις δεδομένων διευθύνσεων, δακτυλικά αποτυπώματα συσκευών, συμπεριφορικά βιομετρικά στοιχεία, ανοικτή τραπεζική/PSP.
• Πύλη απόφασης: Κανόνες + ML (βαθμολόγηση κινδύνου, συνδέσεις γραφημάτων, ομαδοποίηση συσκευών).
• Κονσόλα συμμόρφωσης: ουρές αναμονής, SLA, τέσσερα μάτια, υποδείγματα SAR/STR, αναφορές εξαγωγών.
• Αρχεία καταγραφής και ελέγχου: αμετάβλητη αποθήκευση (WORM), έκδοση προφίλ, αρχείο εγγράφων.
• Διαθεσιμότητα/σταθερότητα: περιφέρειες-περιουσιακά στοιχεία, εφεδρικές/επαναλήψεις, υποβάθμιση σε κατάσταση «L0/L1 μόνο» όταν δεν είναι διαθέσιμοι εξωτερικοί πωλητές.

12) Μετατροπή UX και KYC

Γραμμή προόδου και διαχωρισμός-KYC: L0/L1 πρώτα, στη συνέχεια L2 καθώς αυξάνονται τα όρια.
Τοπικοποίηση: γλώσσα, ημερομηνία/μορφή ονόματος, υποδείξεις εγγράφων (π.χ. φωτογραφία, έλεγχος λάμψης).
Επαναφόρτωση: «αποθήκευση και συνέχιση αργότερα», υπενθυμίσεις, ασφαλείς σύνδεσμοι.
Διαθεσιμότητα: κινητά SDK, offline draft mode, συμπίεση εικόνας.
Μη ασφαλής: απαλή βλάβη με εξήγηση, χειροκίνητο κανάλι ελέγχου, SLA για περιπτώσεις.

13) Μετρήσεις ποιότητας KYC

Χρόνος έως την επαλήθευση (TTV): διάμεσος/95ο εκατοστημόριο.
Ρυθμός αυτόματης διέλευσης και ρυθμός αυτόματης αστοχίας, μερίδιο χειροκίνητης επεξεργασίας.
First Pass Yield (FPY) σε έγγραφα.
Ψευδώς θετικό ποσοστό κατά κυρώσεις/PEP, μέσος χρόνος εκκαθάρισης των καταχωρίσεων.
Ανύψωση μετατροπής μετά από επαναλήψεις UX.
Κόστος ανά επαλήθευση και σωρευτικό KYC OPEX.
Λόγος SAR/STR και επιδόσεις κλιμάκωσης.
Ποσοστό ολοκλήρωσης του KYC.

14) Πολιτικές και υποδείγματα (γλώσσα δείγματος)

• L0: έως X €/₴/$/₹ ανά μήνα, καμία απόσυρση ή μικρο-απόσυρση.
• L1: έως Y, τυποποιημένα συμπεράσματα.
• L2: Υψηλά όρια + απαίτηση SOF.
• L3: όρια πριμοδότησης + SOW και μη αυτόματη συμμόρφωση.
• Ενεργοποίηση της EDD: μεγάλες εφάπαξ καταθέσεις, επιταχυνόμενοι κύκλοι depozit→vyvod, συχνή αλλαγή μέσων πληρωμής, VPN/διαμεσολαβητής, αναντιστοιχία χωρών σύμφωνα με IP/BIN/έγγραφο.
• Κυρώσεις/POP: έλεγχος επιβίβασης + σε κάθε πληρωμή. επανεξέταση των «οριακών» αγώνων εντός 24 ωρών.
• Αναστροφή: συμβάν + περιοδική (12- 36 μήνες σύμφωνα με την RBA).
• Κλιμάκωση και SAR/STR: υποχρεωτικά σενάρια και προθεσμίες υποβολής, απαγόρευση ειδοποίησης πελάτη (tipping-off).

15) Συχνοί κίνδυνοι και τρόπος κάλυψής τους

Συνθετικές προσωπικότητες → πολυσημασμένες: σύγκριση εγγράφου + προσώπου + γράφημα συσκευής + ανοικτού τραπεζικού συστήματος.
Multiounting → συμπεριφορικά βιομετρικά στοιχεία, γραφική παράσταση συσκευών χωρίς cookie, συμπλέγματα διευθύνσεων/πληρωμών.
Bonus bonus → όρια μέχρι το επίπεδο KYC, κανόνες ταχύτητας, μερική «αναβολή bonus».
Απάτη με έγγραφα → ανάγνωση NFC του μικροκυκλώματος, παθητική ζωντάνια, ανάλυση υφής.
Λεπτό αρχείο (λεπτό αρχείο) → εναλλακτικές πηγές (telco data, open-banking), χειροκίνητη επαλήθευση.
Μεταγραφή/ψευδώνυμα → ομαλοποίηση του πλήρους ονόματος, τοπικά αλφάβητα, ασαφής αντιστοιχία.

16) Μικροί κατάλογοι ελέγχου

• Ηλικία, Geo, IP/συσκευή.
• Έγγραφο + selfie-liveness.
• Κυρώσεις/PEP/Αρνητικά Μέσα Ενημέρωσης.
• Διεύθυνση (μαλακή) → στο όριο: διεύθυνση (σκληρή).
• Αυτόματοι κανόνες και βαθμολόγηση ML.
• Διαφανής επικοινωνία, συναίνεση.

• Αναθεωρημένες κυρώσεις/REP.
• SOF (σε περίπτωση υπέρβασης του ορίου).
• Ελέγχει εάν ο ιδιοκτήτης του μέσου πληρωμών ταιριάζει.
• Παρακολούθηση συμπεριφοράς και πληρωμών (ανωμαλίες).

• Πληρότητα των αρχείων και καταλληλότητα των εγγράφων.
• Ομαδική εκπαίδευση και διαδρομή ελέγχου.
• Σχέδια δοκιμών πωλητών (SLA, ανοχή βλάβης).
• DPIA/ασφάλεια και πρόσβαση.

17) Συχνές ερωτήσεις (σύντομες)

Μπορώ να παίξω μέχρι το L1 Ναι, με L0 με σκληρά όρια και ηλικία/γεω-έλεγχο - αλλά απόσυρση/υψηλά όρια μόνο μετά την L1.
Πότε να απαιτηθεί SOF/SOW Σε περίπτωση υπέρβασης των ορίων κύκλου εργασιών/παραγωγής, κατάσταση VIP, ύποπτα πρότυπα ή κατόπιν αιτήματος της ρυθμιστικής αρχής.
Χρειάζομαι έλεγχο σε κάθε πληρωμή Συνιστάται σύντομη ανάκληση των κυρώσεων και παρακολούθηση της συμπεριφοράς.
Πώς να μην «σκοτώσεις» τη μετατροπή Διαίρεση του KYC σε στάδια, βελτίωση του UX, χρήση εναλλακτικών πηγών δεδομένων και αυτόματη διέλευση.

Σύνολο

Η αποτελεσματική KYC αποτελεί ισορροπία μεταξύ της προστασίας των επιχειρήσεων και της ομαλής UX. Δημιουργία L0-L3 επιπέδων στο προφίλ κινδύνου σας, αυτοματοποιημένος έλεγχος, εφαρμογή SOF/SOW για υψηλού κινδύνου, μέτρηση μετρήσεων ποιότητας και παροχή αμετάβλητου ελέγχου. Έτσι θα παραμείνετε σε συμμόρφωση χωρίς να χάσετε τη μετατροπή και το LTV.