Λειτουργίες και συμμόρφωση → διαδικασίες KYC και επίπεδα επιθεώρησης

Διαδικασίες KYC και επίπεδα επιθεώρησης

1) Γιατί KYC

KYC (Know Your Customer) - θεμέλιο της υπεύθυνης και ασφαλούς λειτουργίας της πλατφόρμας iGaming: εμποδίζει την πρόσβαση ανηλίκων, μειώνει τους κινδύνους απάτης/νομιμοποίησης εσόδων από παράνομες δραστηριότητες, υποστηρίζει τις απαιτήσεις των αδειών και των εταίρων πληρωμών, προστατεύει τη φήμη.

• Επιβεβαίωση ταυτότητας και ηλικίας.
• Αξιολόγηση του βασικού κινδύνου του παίκτη και θέσπιση μέτρων βάσει κινδύνου.
• Διασφάλιση της ιχνηλασιμότητας των συναλλαγών και της depozit↔vyvod συνδεσιμότητας.
• Υποστήριξη απαιτήσεων AML/υπεύθυνου παιχνιδιού και παρόχου/ρυθμιστή.

2) Αρχές KYC

1. Προσέγγιση βάσει κινδύνου (RBA): το βάθος της επαλήθευσης εξαρτάται από το προφίλ (χώρα, μέθοδοι πληρωμής, συμπεριφορά).
2. Προοδευτική γνωστοποίηση: Συλλογή ακριβώς όσων δεδομένων απαιτούνται στο τρέχον επίπεδο κινδύνου.
3. Αποδεικτικά στοιχεία - Όλες οι αποφάσεις και τα έγγραφα αποθηκεύονται ως διαδρομή ελέγχου.
4. Πρώτα από όλα: ελαχιστοποίηση των προσωπικών δεδομένων, κάλυψη, ρόλος και χρονικά περιορισμένη πρόσβαση.
5. Εκ νέου επαλήθευση: επαναλαμβανόμενοι έλεγχοι κατά τη διάρκεια συμβάντων κινδύνου (συμπεράσματα, αύξηση ορίων, αλλαγή λεπτομερειών).
6. Επεξηγήσιμοι και συνεπείς κανόνες και εξαιρέσεις είναι τεκμηριωμένοι και επαληθεύσιμοι.

3) Επίπεδα επαλήθευσης (κλιμακωτή KYC)

Προεγγραφή/Φως τριβής

Συλλογή χωρών, ηλικία (αυτοαξιολόγηση), ηλεκτρονικό ταχυδρομείο/τηλέφωνο (OTP).
Προ-κυρώσεις/έλεγχος POP με όνομα/τηλέφωνο/ταχυδρομείο (χαμηλή εμπιστοσύνη).
Περιορισμοί: χωρίς καταθέσεις/αναλήψεις, μόνο εξέταση περιεχομένου/πριμοδότησης χωρίς στοιχήματα.

KYC1 - Βασική ταυτοποίηση

Έγγραφο ταυτότητας (διαβατήριο/ταυτότητα/vod. credential) + selfie/βιομετρική ζωντανότητα (ανά αγορά).
Επικύρωση MRZ/barcode, έλεγχος ημερομηνίας ισχύος, χώρα έκδοσης.
Επαλήθευση ηλικίας, πρωτογενής κύρωση/έλεγχος PEP.
Τα όρια κατάθεσης/ποσοστού/απόσυρσης είναι βασικά.

KYC2 - Επιβεβαίωση διεύθυνσης (PoA)

Έγγραφο που επιβεβαιώνει τη διεύθυνση (λογαριασμός χρησιμότητας/τραπεζική δήλωση/μητρώο), KBA, εάν είναι απαραίτητο.
Γεωγραφική συνέπεια: IP/συσκευή/μέθοδος πληρωμής ≈ διεύθυνση καταχώρισης.
Εκτεταμένα όρια και πρόσβαση ακίδων.

KYC3 - EDD/SoF/SoW

Ανάλογα με τον κίνδυνο: μεγάλος κύκλος εργασιών/συμπεράσματα, VIP, ύποπτα πρότυπα, γεω/μέθοδοι υψηλού κινδύνου.
Πηγή κεφαλαίων (SoF) και προέλευση του πλούτου (SoW): καταστάσεις εισοδήματος, μισθοί, φόροι, δηλώσεις.
Οι συνεντεύξεις/γραπτές εξηγήσεις είναι δυνατές.
Πρόσβαση σε υψηλά όρια/ταχεία συμπεράσματα - μετά την έγκριση.

4) Σκανδάλες ανόδου επιπέδου/Re-KYC

Οικονομικό ποσό: μεμονωμένη απόσυρση, κύκλος εργασιών για την περίοδο, συχνές μεταβολές των μεθόδων πληρωμής.
Συμπεριφορική: μη φυσιολογικό προφίλ νίκης/απώλειας, νυχτερινή δραστηριότητα, πολλές σύντομες συνεδρίες.
Τεχνικές: συχνές αλλαγές συσκευής/IP/ASN, πληρεξούσια/δίκτυα υψηλού κινδύνου.
Προφίλ: όνομα/διεύθυνση/ημερομηνία γέννησης διαφορές μεταξύ των πηγών.
Γεγονός: αλλαγή των λεπτομερειών πληρωμής, αύξηση των ορίων, σύνδεση ενός σχεδίου VIP.

5) Κυρώσεις, PEP και αρνητικά μέσα ενημέρωσης

Έλεγχος ασφάλειας: καταχώριση, ολοκλήρωση KYC1/2/3, πριν από μείζονα απόσυρση, κατά την αλλαγή των λεπτομερειών.
Επανεπικύρωση κατά την ενημέρωση των βιβλίων αναφοράς (ημερήσια/εβδομαδιαία).
Λογική σύμπτωσης: ασαφής αντιστοιχία με επικείμενη, χειροκίνητη τριάδα οριακών περιπτώσεων.
Παραπομπές σε πηγές/υποθέσεις - αποδεικτικά στοιχεία.

6) Έγγραφα και εναλλακτικές λύσεις

Ταυτότητα/διαβατήριο/νερό. δικαιώματα, PoA: λογαριασμοί επιχειρήσεων κοινής ωφέλειας, τραπεζικός λογαριασμός ≤ 3 μηνών

Εναλλακτικές λύσεις: eID/BankID/προορατικοί πάροχοι API, KBA (βασιζόμενοι στη γνώση), επιβεβαίωση με μικροδιανομή.
Βιομετρικό: selfie with liveness check. αποθηκεύουν πρότυπα βιομετρικών στοιχείων μόνον εφόσον είναι αναγκαίο και σύμφωνα με τους τοπικούς κανονισμούς.
Παρεκκλίσεις: ασπρόμαυρα αντίγραφα, ληγμένα έγγραφα, θολή φωτογραφία - κανόνες αυτόματης απόκλισης.

7) Δεδομένα και προστασία της ιδιωτικής ζωής

Ελαχιστοποίηση: ζητούμε μόνο τα απαραίτητα. ξεχωριστά τεχνουργήματα KYC και δεδομένα παιχνιδιών/μάρκετινγκ.
Πρόσβαση: RBAC/ABAC, αρχεία καταγραφής/έκδοσης, υδατογραφήματα.
Διατήρηση: κατά δικαιοδοσία/άδεια (συνήθως 5 + έτη μετά την τελευταία χειρουργική επέμβαση).
Κρυπτογράφηση: κατά την ανάπαυση/διαμετακόμιση, κλειδιά στο HSM/Vault, προσωρινά URL για προβολή.
Αίτηση υποκειμένου των δεδομένων: SLA για εξαγωγή/διόρθωση/διαγραφή εντός αποδεκτών ορίων.

8) Έλεγχος-/Κώδικας πολιτικής (θραύσματα)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (θραύσματα)

SOP: Επαλήθευση KYC1

1. Ελέγξτε την πληρότητα του πακέτου (ID + selfie, download metadata).
2. Επικύρωση του εγγράφου (MRZ/barcode, ημερομηνία, χώρα), επαλήθευση πλήρους ονομασίας/DR.
3. Ταίριασμα selfie (πρόσωπο ταίριασμα, ζωντάνια).
4. Κατάργηση των κυρώσεων/RAP· σε περίπτωση αγώνων → τριάδας.
5. Εκχώρηση KYC1, επικαιροποίηση ορίων, καταγραφή αποδεικτικών στοιχείων.

SOP: KYC2 (PoA)

1. Έλεγχος εγγράφου ≤ 90 ημερών, διεύθυνση σε έγκυρη μορφή/γλώσσα.
2. Αντιστοίχιση της διεύθυνσης με τις μεθόδους IP/συσκευής/πληρωμής.
3. Έκδοση KYC2, επέκταση ορίων/αποτελεσμάτων, καταγραφή αποδεικτικών στοιχείων.

SOP: EDD/SoF (KYC3)

1. Κατάλογος αιτήσεων εγγράφων (μισθοί/φόροι/δηλώσεις) και διευκρινίσεις.
2. Αντιστοίχιση των ποσοτήτων/συχνοτήτων/πηγών με τον όγκο και το προφίλ πωλήσεων.
3. Ψήφισμα: Έγκριση/περιορισμός/κλείσιμο. σχετικά με την υποψία - διαδικασία SAR/AML.
4. Επικαιροποίηση προφίλ κινδύνου, όρια, αποδεικτικά στοιχεία.

10) Ολοκλήρωση

Πάροχοι υπηρεσιών KYC: IDV, PoA, βιομετρικά στοιχεία, κυρώσεις/PEP (βάσει παρτίδας + συμβάντων).
Πληρωμές: έλεγχος από πηγή σε πηγή, ταχύτητα, ισχύει μέχρι την ολοκλήρωση του KYC.
AML/Διαχείριση υποθέσεων: κοινή κάρτα παίκτη, καταστάσεις, SLA.
CRM/Υποστήριξη: πρότυπα επικοινωνίας, KYC, ETA και dunning status.
DWH/BI: εκθέσεις εκδηλώσεων του KYC, εκθέσεις για τις περιόδους αδειοδότησης.

11) KPI/OKR

• διάμεση TAT, PoA TAT, EDD Turnround, Re-KYC TAT.
• Ρυθμός αυτόματης διέλευσης (χωρίς χειροκίνητη συμμετοχή), χειροκίνητη ουρά (χειροκίνητη μετοχή).
• Κυρώσεις/Ποσοστό επιτυχίας PEP και ακρίβεια σε επιβεβαιωμένες περιπτώσεις.

• Ποσοστό εσφαλμένης απόρριψης εγγράφων, Doc Quality Fail%.
• Αναντιστοιχία συχνότητας IP/διεύθυνσης, αποκλεισμός πληρωμής λόγω KYC (διάμεσος χρόνος για ξεκλείδωμα).
• Πληρότητα αποδεικτικών στοιχείων ≥ 98%.

• KYC Drop-off ανά βήματα, CSAT/NPS με διαδικασίες KYC.

12) Κατάλογοι ελέγχου

• Εγκριθείσες άδειες/πολιτικές δεδομένων.
• Διενεργήθηκε αρχική εξέταση κυρώσεων.
• Επιβεβαιώνονται οι δίαυλοι επικοινωνίας (OTP/email).

• Έγκυρη ταυτότητα και selfie, πέρασε ζωντανότητα.
• Όνομα/DR/χώρα αγώνα.
• Κυρώσεις/REP: «σαφής» ή ο δρόμος προς την τριάδα.

• Το PoA είναι νωπό και ευανάγνωστο· η διεύθυνση κανονικοποιείται.
• Γεωγραφική συνέπεια (μέθοδος IP/συσκευής/πληρωμής).

• Το πλήρες σύνολο των εγγράφων, τα ποσά αντιστοιχούν στον κύκλο εργασιών.
• Καθορισμένη απόφαση και αιτιολόγηση (αποδεικτικά στοιχεία), επικαιροποιημένο προφίλ κινδύνου.

• Λόγος και ημερομηνία, κλειδαριές/όρια που εφαρμόζονται σωστά.
• Ανακοίνωση που αποστέλλεται στον παίκτη (ΠΩΑ/βήματα).

13) Αντι-μοτίβα

Καθολικές «βαριές» δοκιμές για όλους - υψηλές αστοχίες και κόστος.
Χειροκίνητοι έλεγχοι χωρίς SLA/κορμούς καταγραφής και διπλό έλεγχο.
Αποθήκευση βιομετρικών στοιχείων/εγγράφων χωρίς αυστηρούς λόγους και διατήρηση.
Δεν υπάρχει σύνδεση με τις πληρωμές: η απόσυρση είναι δυνατή πριν από την KYC2/3.
Έλλειψη επανεξέτασης των κυρώσεων και επανάληψη γεγονότων-KYC.
Δύο εκδόσεις της αλήθειας: KYC in Excel και δεδομένα συναλλαγών σε DWH χωρίς σύνδεση.

14) 30/60/90 - σχέδιο εφαρμογής

• Έγκριση της πολιτικής KYC (βαθμίδες, ενεργοποιήσεις, SLA, διατήρηση).
• Σύνδεση IDV/κυρώσεων/PEP, ροή KYC1 και PoA.
• Δημιουργία κώδικα ελέγχου-ως: εκ νέου KYC για αλλαγή εκταμίευσης, ανάκληση κυρώσεων.
• Ενεργοποίηση αποθήκευσης αποδεικτικών στοιχείων και RBAC.

• Διαδικασίες EDD/SoF, επικοινωνίες πρωταθλητών και διαχείριση υποθέσεων.
• Ολοκλήρωση με πληρωμές (πηγή-πηγή, ταχύτητα), αυτόματο μπλοκ μέχρι KYC2/3.
• Ταμπλό KPI (TAT, Auto-pass, χειροκίνητη ουρά, Hit-Rate).
• Πιλοτική βιομετρική διαβίωση/BankID (όπου υπάρχει).

• Μείωση της ουράς 30%, διάμεσος στόχος ΤΑΤ, Ψευδής Απόρριψη .
• Επανεξέταση του KYC και επιβολή κυρώσεων για την επανεξέταση των κανονισμών, έλεγχος συμμόρφωσης.
• Δεσμευτικές εντολές KPI προς OKR (συμμόρφωση/επιχειρήσεις/πληρωμές/υποστήριξη).

15) ΣΥΧΝΈΣ ΕΡΩΤΉΣΕΙΣ

Ε: Πότε να ζητήσετε διεύθυνση (PoA)

A: Όταν επιτυγχάνεται το κατώφλι των καταθέσεων/συμπερασμάτων, η γεω/μέθοδος δεν συμμορφώνεται ή σύμφωνα με τις απαιτήσεις της χώρας/της άδειας.

Για ποιους λόγους εγκρίθηκε το SoF/SoW

A: Σε υψηλές τιμές RPM/VIP, ανωμαλίες, γεω/μέθοδοι υψηλού κινδύνου, πριν από μείζονα απόσυρση.

Ε: Πώς θα μειωθούν οι αποτυχίες του KYC

A: Κινητό κίνητρο/ocr επικύρωση, σαφείς απαιτήσεις φωτογραφίας, υποστήριξη BankID/eID, διαχωρισμός βαθμίδων, γρήγορη ανατροφοδότηση.

Ε: Πώς να προστατεύσετε την ιδιωτική ζωή

A: Ελαχιστοποίηση, κρυπτογράφηση, αυστηρά αρχεία καταγραφής RBAC/πρόσβασης, αυτόματη διατήρηση και πολιτική διαγραφής.