GH GambleHub

Política AML y lucha contra el blanqueo de dinero

1) Nombramiento y cobertura

El objetivo de la política AML es prevenir el lavado de ingresos delictivos y la financiación del terrorismo, garantizar el cumplimiento de los requisitos de los reguladores y proteger la plataforma, los jugadores y los socios. La política se aplica a todos los jurados del grupo, empleados, equipos externos, así como a terceros (PSP, afiliados, proveedores de contenido) que interactúan con los flujos de efectivo y los datos de los clientes.

Cobertura:
  • Productos: casino/apuestas, transferencias P2P, torneos, bonos/cashback, servicios de marketing.
  • Canales: web, aplicaciones móviles, integración API, crypto-on/off-ramp.
  • Geografías: todos los países/estados atendidos según las necesidades locales.

2) Soporte normativo y principios

Marco de políticas - Recomendaciones del FATF (enfoque orientado al riesgo, KYC/KYB, sanciones, monitoreo, reporting), leyes locales AML/CFT (Europa - Directivas AMLD, Reino Unido - MLR, Estados Unidos - BSA/Patriot Act, etc p.), así como los requisitos de protección de datos (RGPD/similares).

Principios básicos:
  • RBA (Risk-Based Approach): los recursos se centran en los riesgos más altos.
  • Proportionalidad: las medidas corresponden al riesgo del cliente/transacción/producto.
  • Contabilidad: fijación de soluciones, auditoría y rastreabilidad.
  • Privacidad por Diseño: mínimo de datos, legalidad del procesamiento, seguridad.

3) Funciones y responsabilidades (gestión)

Junta Directiva: aprueba la política, el apetito de riesgo, el informe periódico.
Gestión Senior: proporciona recursos, KPI, implementación.
MLRO/AML Officer: propietario del proceso, informes a los reguladores, SAR/AMB, metodología de monitoreo, interacción con LEA.
Compliance Team: KYC/KYB, sanciones/RER, gestión de casos, capacitación.
Risk & Analytics: modelos de puntuación, scripts, calibración de reglas.
Ingeniería/Seguridad: integración de proveedores, registros, control de acceso, cifrado.
Operaciones/Pagos: control de resultados, validación manual, calidad de datos.

RACI (упрощенно): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4) RBA: modelo de riesgo

Componentes de perfil:
  • Cliente (país, residencia, profesión, RR/sanciones, riesgo conductual).
  • Producto (casino/apuestas, P2P, crypto, límites altos, border cruzado).
  • Canal (on-boarding online, sin presencia, herramientas anónimas).
  • Geografía (jurisdicciones de alto riesgo, regímenes de sanciones).
  • Transacciones (volumen, velocidad de rotación, esquemas de cobro).

Evaluación: Score de inicio de onboarding + factores dinámicos (historial, dispositivos, patrones de pago) ⇒ segmentación en riesgo bajo/medio/alto y selección del nivel de medidas: CDD/EDD/SOW.

5) KYC/KYB y cribado de sanciones (asociación con AML)

KYC para individuos: documento + liveness, dirección, edad, sanciones/RR, Adverse Media.
KYB para empresas/afiliados/proveedores: registro, UBO/directores, sanciones/RR, verificación de actividades y fuentes de fondos.
Sanciones/RER: cribado primario y periódico, fuzzie match, limpieza manual.
SOW/SOF: con límites altos y anomalías - confirmación del origen de los fondos/riqueza.
Re-KYC: en la programación y en el evento (desencadenantes).

6) Monitoreo de transacciones y análisis de comportamiento

Scripts (reglas):
  • Rápido ciclo de depósito → retiro sin riesgo real de juego.
  • Spikes por importe/frecuencia, fraccionamiento de pagos («smurfing»).
  • No coincidencia de país IP/BIN/dirección, cambio frecuente de métodos de pago.
  • Tráfico nocturno/masivo atípico, clústeres de dispositivos (device graph).
  • Uso de anonymizers/VPN, granjas proxy, sustituciones de SO/navegador.
  • Patrones de bonificación sospechosos, multiaccounting, ciclos de charjback.

Modelos ML/conductuales: anomalías probabilísticas, conexiones gráficas, riesgo-score de jugadores/afiliados, segmentación high-roller.

Gestión de casos: generación de alertas → calificaciones → solicitud de documentos/explicaciones → solución (escalamiento/bloqueo/SAR).

7) «Banderas rojas» (iGaming-especificidad)

Depósitos regulares de terceros/muchas cartas individuales por jugador.
P2R/transferencias de torneos entre cuentas vinculadas.
Fuerte descoordinación de perfiles (edad, profesión vs volumen de negocios).
Migración entre jurisdicciones sin causa explicable.
Cobro sistemático sin actividad de juego o con un margen mínimo.
Intentos de eludir los límites CUS/retiros/bonos, «granjas» cuentas.
Afiliados con una fuente de tráfico poco clara o CR→WD anormalmente alta.

8) RAE/AMB: investigaciones internas y presentación de informes

Umbral de sospecha: «sospecha fundada» independientemente de la cantidad.
Proceso: alerta → recopilación de hechos → solución MLRO → presentación de SAR/AMB a tiempo, sin «tipping-off».
Escalaciones: bloqueo temporal, congelación de fondos a petición de LEA/regulador, plan de comunicación con el cliente.
Documentación: línea de tiempo de eventos, fuentes de datos, acciones de comando, decisiones y justificación.

9) Almacenamiento de datos y seguridad

Plazos: normalmente al menos 5 años después de la terminación de la relación (especificado localmente).
Almacenamiento objetivo: perfiles, documentos, alertas, SAR/AMB, registro de acceso, base de pruebas.
Seguridad: encriptación en tránsito, HSM/almacenamiento secreto, RBAC/ABAC, registros inmutables (WORM), control de acceso y acciones de los empleados.

10) Formación, control de calidad y auditoría

Capacitación: anual para todos, en profundidad - para el personal de funciones de riesgo; pruebas y certificación.
QA/diagnóstico: casos de rugido selectivo, controles dobles (4-eyes), retro por decisiones erróneas.
Auditoría interna: evaluación independiente del cumplimiento de las políticas, los requisitos regulatorios y la eficacia de los procesos.
Stress-tests: ejercicios de incidentes (sanciones, gran tipología, alertas masivas).

11) Crypto y VASP (si corresponde)

Regla de viaje: intercambio de atributos remitente/destinatario entre proveedores.
Blockchain-analytics: dirección de riesgo-score, clúster, sanciones/etiquetas de mezclador.
Control/off-ramp: cumplimiento del propietario de la cartera, coincidencia de datos, límites y registro de direcciones externas.
Dinámica de precios/volatilidad: reglas especiales sobre sumas, etiquetado de conversiones «inusuales».

12) Interacción con terceros

PSP/bancos/proveedores KYC: contratos, SLA, DPIA, planes de prueba de tolerancia a fallas.
Afiliados: KYB, monitoreo de la calidad del tráfico, prohibición de fuentes de riesgo, auditoría post-clic.
Relaciones corresponsales: verificación a fondo de los socios, revisión periódica.

13) Arquitectura de soluciones AML (recomendaciones)

Integraciones: proveedores de CUS/sanciones, PSP, antifraude, análisis de blockchain.
Bus de eventos: todas las transacciones/eventos caen en un flujo (Kafka/análogo) con almacenamiento inmutable.
Motor de reglas + ML: puntuación en línea (milisegundos) y revisiones fuera de línea (batch/near-real-time).
Sistema de casos: colas con prioridad, plantillas de solicitud al cliente, SLA, integración con correo/mensajeros.
Observabilidad: registros, métricas, trazados; versión de reglas/modelos y su efecto.
Degradación: simplificación segura (fail-open/close por política), proveedores de respaldo, retraídas/quórum.

14) Métricas y KPI de eficiencia

Tasa de Conversión SAR: proporción de alertas que se han convertido en SAR/NAT.
Time-to-Alert/Time-to-Decision: velocidad del niño y soluciones.
False Positive Rate/Precision-Recall en alertas.
Cobertura: proporción de transacciones que han sido monitoreadas/examinadas.
Rework/Appeals: porcentaje de casos con revisión de la solución.
Formación Completion:% de los empleados con formación actualizada.
Vendor SLA: aptime de proveedores, TTV por CUS/sanciones.

15) Hojas de cheques

Onboarding del cliente:
  • KYC/KYB, edad/geo, sanciones/RR, Adverse Media.
  • Puntuación RBA, límites básicos, dispositivo de huella dactilar.
  • Consentimiento, privacidad, información de verificación.
Antes de la salida mayor/límite alto:
  • Nuevo examen de sanciones, SOF/SOW si es necesario.
  • Asignación del propietario del instrumento de pago.
  • Verificación conductual e historial de transacciones.
Proceso SAR/NAT:
  • Recopilación de hechos y documentos.
  • Conclusión interna de la MLRO.
  • Presentar un informe a tiempo; prohibición de tipping-off.
  • Post-mar, actualización de reglas/modelos.

16) Errores típicos y cómo evitarlos

«Marca» ciega de KYC sin RBA: refuerza la analítica dinámica y los límites.
Falta de retroalimentación en los modelos: implemente un bucle de aprendizaje (decision → outcome).
«Derisking» supergestivo en lugar de gestión de riesgos: use EDD/SOW y límites controlados en lugar de baños totales.
No se tienen en cuenta las normas o sanciones regionales: mantener los «geo-perfiles».
Débil registro de soluciones: estandarice las justificaciones y el almacenamiento de artefactos.

17) Plantilla de estructura de política AML (para su wiki)

1. Introducción y ámbito

2. Definiciones y términos (AML/CFT, CDD/EDD, SOF/SOW, PEP, etc.)

3. Marco normativo y referencias a las leyes locales

4. Administración y roles (Board, MLRO, RACI)

5. Metodología RBA y riesgo-apetito

6. KYC/KYB y cribado de sanciones

7. Monitoreo de transacciones (reglas + ML) y gestión de casos

8. «Banderas rojas» y scripts de iGaming

9. Procedimientos SAR/NAT e interacción con los reguladores/LEA

10. Almacenamiento de datos, privacidad, seguridad

11. Formación y sensibilización del personal

12. Vendedores y terceros (SLA, auditoría)

13. Auditoría, QA y mejora continua

14. Aplicaciones: hojas de cheques, formularios, plantillas de correo electrónico, métricas

18) Ejemplo de matriz de riesgo (fragmento)

FactorBajoMedioAlto
geoJurisdicción de bajo riesgoPerfil mixtoAlto riesgo/sanciones
ProductoF2P/límites bajosCasino/apuestas con límites mediosP2R/cripto/límites altos
ClienteIngresos estables, sin PEPInconsistencias, archivo delgadoPEP/Adverse Media/anomalías
TransaccionesIgualSpikes, aplastamientoCiclos rápidos cash-out, terceros

Resultado: riesgo bajo/medio/alto → medidas: CDD/EDD + SOF/SOW/restricciones/salida.

19) Plan de implementación y mantenimiento

Identificar propietarios de procesos y SLA.
Mapa de integraciones (PSP, KYC, sanciones, análisis).
Ejecutar con un conjunto básico de reglas + control FP/FN.
Calibración trimestral de escenarios, revisión anual de políticas.
Programas de formación y control de paso.
Informes periódicos de Board/Management (KPI, incidentes, cambios en los riesgos).

Resultado

Una política AML eficaz no es un «documento en el estante», sino un ciclo vivo: evaluación de riesgos → medidas de control → monitoreo → investigación → presentación de informes → mejoras. Construya el proceso alrededor de la RBA, asegure un fuerte circuito de KYC/KYB y sanciones, implemente un monitoreo de calidad de las transacciones con la gestión de casos y cumpla con la disciplina de almacenamiento de datos, capacitación y auditoría, de modo que reduzca los riesgos regulatorios y de reputación mientras mantiene la conversión y la sostenibilidad del negocio.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.