GH GambleHub

Auditoría y presentación de informes de AML

1) Objetivos y contexto

La cadena de AML en iGaming abarca: onboarding (KYC/KYB), sanciones/PEP/Adverse Media Screening, monitoreo de transacciones y comportamientos, escalamiento de casos y preparación de informes en FIU (SAR/AMB y otros formularios). La auditoría (externa/interna) comprueba el diseño y la eficacia de los controles, la base de pruebas y la puntualidad del reporting.

2) La Gobernación y los roles

Bord/Comité de Riesgo: Aprobación anual de la EWRA (Enterprise-Wide Risk Assessment), política y tolerancia al riesgo.
MLRO (y suplente): titular de procedimientos, calidad SAR/AMB, contacto FIU/regulador.
Compliance Ops/FinCrime: verificación de alertas, manejo de casos, QA y entrenamiento.
Auditoría independiente interna/externa: comprobación independiente del diseño/rendimiento de los controles.
Data/Tech: poseen TMS (Transaction Monitoring System), modelos y registros.

3) RBA (Risk-Based Approach) для iGaming

Factores de riesgo:
  • Cliente: edad/geo, RR/sanciones, SoF/SoW, patrones de comportamiento (velocidad de deposición/inferencia, sumas atípicas, multi-cuenta).
  • Producto/canal: casino/deportes/live, cripto-on/off-ramp, monederos anónimos, pagos instantáneos.
  • Geografía: alto riesgo de jurisdicciones, corredores de transferencia de fondos.
  • Proveedores/socios: PSP/afiliados/agregadores.
  • Transacciones: estructuración (smurfing), flujos circulares, intermediarios (mule).

En pocas palabras: el riesgo-score del cliente/transacción controla la profundidad de KYC, la frecuencia de rugido y la sensibilidad de las reglas de TMS.

4) KYC/KYB, SoF/SoW y rugido

KYC: verificación de identidad/dirección, edad, comparación con sanciones/PEP/Adverse Media.
KYB: beneficiarios (UBO), riesgos de la industria, sanciones de jurlizo/UBO.
SoF/SoW: confirmación de la fuente de fondos/riqueza para el alto riesgo (estados de cuenta, dividendos, ingresos, venta de activos).
Rugido: periódico (12-36 meses) y desencadenante (salto de rotación, cambio de perfil de comportamiento).

5) Sanciones/PEP/Adverse Media

Sanciones: cribado primario en onboarding y rescribido diario de todos los clientes activos y destinatarios de pagos.
PEP: due diligence reforzado y mayor frecuencia de rugido.
Adverse Media: publicaciones negativas sobre blanqueo, fraude, corrupción; en caso de coincidencia → aumento de las medidas/escalamiento.

6) Monitoreo de transacciones y control de comportamiento

Banderas rojas típicas:
  • Una serie de pequeños depósitos → una rápida conversión en retiros (mínima actividad de juego).
  • Multi-cuenta: coincidencias de dispositivos/IP/herramientas de pago.
  • Rotación de fondos entre monederos/tarjetas (rutas circulares).
  • Uso de proveedores/jurisdicciones/proxy de alto riesgo.
  • Depósitos de terceros, chargeback/rechazos frecuentes, descensos/aumentos bruscos de GGR por jugador.
  • Para el deporte: apuestas en mercados de bajo rendimiento con una sincronía sospechosa (match-fix red flags).

Reglas TMS: velocity (N transacciones por X min), amount spikes, device/IP clustering, geovelocity, no-play withdrawals, split deposits, duplicate instruments.

7) Casos, escalamiento y SAR/NAT

Validación de alerta primaria → enriquecimiento de datos (KYC, pagos, historial, filiación, dispositivos, geo, Adverse Media).
PR (Pre-SAR Review): Solución MLRO - SAR/NAT, monitor, cerrar con una nota.
SAR/AMB: se prepara según los requisitos locales (descripción de los hechos, cantidades, participantes, esquemas, justificación de sospechas, pruebas adjuntas, línea de tiempo).
Plazos: «sin demora» según las normas locales; fijar TAT y SLA en la política.
Tipping-off: prohibición de revelar al cliente el hecho de presentar un SAR/NAT.

8) Auditoría AML: cobertura y métodos

Cobertura: políticas/procedimientos, EWRA, KYC/KYB, SoF/SoW, sanciones/PEP/Adverse Media, modelos y alertas TMS, gestión de casos, registro SAR/NAT, formación, registro, almacenamiento, terceros (PSP/KYC), pruebas de penetración/acceso.

Métodos:
  • Walkthrough y entrevistas (MLRO, análisis AML, producto, TI).
  • Dock-rugir: política, SOP, registros, informes, muestra de casos (sampling).
  • Prueba de diseño/rendimiento: pruebas de control (re-performance), backtesting TMS y calibración.
  • Gobierno modelo: cambios de reglas/umbrales, documentación, A/B, retiro periódico.
  • Enlace de datos: seguimiento de campos en los informes a los sistemas primarios.

Salidas: informe de calificación, hallazgos (High/Medium/Low), plan de remediación, plazos y responsables.

9) Base de pruebas y almacenamiento

Revistas: alertas, casos, soluciones, quién/cuándo/qué cambió (immutabilidad).
Artefactos: capturas de pantalla, extractos, SoF/SoW, hashes de archivos, exportación de TMS, correspondencia.
Períodos de retención: de acuerdo con la ley local (a menudo más de 5 años después del final de la relación).
Privacidad/DPA: minimización de PII, bases legales, DPIA para controles de alto riesgo.

10) Informes (externos/internos)

Externo: SAR/AMB en la FIU; responder a las solicitudes de las autoridades gubernamentales; formularios estadísticos periódicos (por jurisdicción).
Interno: informe MLRO a bordo/comité - Dinámica SAR, FPR (tasa positiva falsa) TMS, cobertura de sanciones/RR, formación, estado de remisión.

11) Matriz de riesgo (RAG)

ZonaR (crítico)A (corregible)G (control)
Sanciones/RRNo hay RescribidoIrregularmenteDiariamente + después de los cambios
TMSNo hay reglas/tuningAlto FPR/alertas muertasModelo RBA + retún + QA
SAR/STROmisión de plazos/calidadDatos incompletosSLA/TAT, hojas de comprobación, QA
KYC/KYBSaltos/no SoF/SoWCarencias de spotEstratificación de riesgo + rugido
PruebasNo hay inmutabilidadDe modo aisladoGestor de casos centralizado
FormaciónUna vezNereg. ActualizaciónCada año + por roles/pruebas

12) Hojas de cheques

Antes de la auditoría/verificación externa

  • EWRA actual y matriz de riesgo.
  • Políticas/SOP: KYC/KYB, SoF/SoW, sanciones/PEP/Adverse Media, TMS, SAR/AMB.
  • Registros de alertas/casos/SAR, registros de cambios de TMS.
  • Pruebas de muestreo de casos (escaneos/extractos/capturas de pantalla).
  • Entrenamiento/pruebas de empleados, registros de acceso.
  • Tratados con proveedores PSP/KYC, informes SLA.

Cambio operativo (diario/semanal)

  • Sanciones/PEP/Revisión de Medios Avanzados.
  • QA 10% casos cerrados.
  • Monitoreo de FPR/TPR, retún en la deriva.
  • Control de los plazos de SAR/AMB y de las desviaciones de SLA.

13) Registros recomendados (YAML)

13. 1 Registro SAR/AMB

yaml sar_id: "SAR-2025-118"
customer_id: "C-774102"
trigger: ["rapid_withdrawals","no_play","high_risk_geo"]
amounts:
deposits_total: 18500 withdrawals_total: 17200 timeline:
first_alert_at: "2025-10-21T14:22Z"
escalated_at: "2025-10-22T10:05Z"
filed_at: "2025-10-23T16:40Z"
fiU_ack_ref: "FIU-ACK-5529"
attachments: ["kyc.pdf","flows.png","device_cluster.csv"]
mlro: "a.petrova"
status: "filed"

13. 2 Registro de coincidencias de sanciones

yaml hit_id: "SAN-2025-311"
subject: { customer_id: "C-660901", name: "Ivan K." }
list: ["OFAC","EU"]
match_score: 92 decision: "false_positive"
analyst: "d.koval"
closed_at: "2025-11-03"
notes: "DOB mismatch; address not matching"

13. 3 Perfil de riesgo del cliente

yaml customer_id: "C-552201"
risk_score: 78 risk_factors:
geo: "high"
pep: false adverse_media: false product: ["casino","sports"]
payment_methods: ["cards","crypto_onramp"]
behaviour: ["velocity","no_play_withdrawals"]
kyc_level: "enhanced"
review_next: "2026-05-01"
owner: "FinCrimeOps"

13. 4 Cambios en las reglas TMS

yaml change_id: "TMS-CH-2025-044"
rule: "no_play_withdrawal_v2"
old_threshold: "withdrawal>500 & play<5 spins"
new_threshold: "withdrawal>300 & play<3 spins"
reason: "trend increase; QA findings"
ab_test: true owner: "FinCrime Analytics"
approved_by: ["MLRO","RiskCom"]
effective_from: "2025-11-10"

14) Playbucks (incidentes)

P-AML-01: Estructuración de depósitos

Alerta → agregación por dispositivo/tarjeta/IP → solicitud SoF → límite/pausa de pago → SAR cuando se sospecha razonablemente → una entrada en el registro.

P-AML-02: Superposición de sanciones

Autoblock → verificación manual (DOB/dirección/bio) → cuando se confirma - cierre de cuenta/mensaje a la FIU (si es necesario) → documentación.

P-AML-03: Conclusiones sin juego

Congelación de la retirada → verificación de la distancia de salida/salida, billeteras cruzadas, conexiones a cuentas → SoF/explicación → SAR/cierre.

P-AML-04: Crypto on/off-ramp

Análisis de cadena (etiquetas de riesgo de intercambiadores/mezcladores) → SoF (fuente de cripto) → límites/bloqueo → RAE/informes.

P-AML-05: Sospecha de «mulas «/ligamentos afiliados

Clustering de dispositivos/pagos → comunicación con el origen del tráfico → pausa de acumulación al afiliado → pasos legales/SAR.

15) KPI/métricas

SAR Timeliness (TAT medio) y SLA cumplimiento.
FPR/TPR TMS, Precision @ Top-N por alertas prioritarias.
Sanctions/PEP Coverage%, Rescribido diario%.
QA Pass Rate por casos cerrados.
Formación Completion% por roles.
Model Change Control Compliance% (cambios con aprobación/base de acoplamiento).

16) Mini preguntas frecuentes

¿Cuándo debo presentar el SAR/AMB? Después de la formación de una sospecha razonable y dentro de los plazos establecidos por la derecha/regulador local.
¿Se puede informar al cliente acerca de la RAE? No, hay una prohibición de tipping-off.
¿Es necesario bloquear siempre la cuenta? Decisión sobre RBA: riesgo, sanciones, amenazas de retiro de fondos y reglas de ley local.
¿Cómo puedo reducir la FPR? Retyun de reglas, fiches de comportamiento, segmentación de riesgo, retroalimentación periódica/QA.

17) Diskleimer

Los requisitos de AML/sanciones y los formatos de presentación de informes varían de un país a otro y se actualizan. Este material es el marco operativo; consulte los plazos, formularios y destinatarios exactos con las normas e instrucciones locales de su regulador/FIU.

18) Conclusión

Un circuito AML eficaz en iGaming no es solo un «tackle» KYC, sino un conjunto de modelos RBA, monitoreo en vivo, gestión de casos de calidad y disciplina de reporting. La auditoría independiente periódica, la base de pruebas y los playbooks claros convierten el cumplimiento en un proceso sostenible que protege a los jugadores, el negocio y la licencia.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.