GH GambleHub

Requisitos de KYC y niveles de verificación

1) Qué es KYC y por qué lo necesita

KYC (Know Your Customer) es un conjunto de procedimientos de identificación y verificación de clientes para reducir los riesgos de lavado de fondos (AML), financiación del terrorismo (CFT), fraude e infracciones de regímenes sancionadores. En iGaming, KYC se complementa con verificación de edad, restricciones geográficas, fuentes de fondos y juego responsable (límites, affordability).

Objetivos clave:
  • Confirmar la identidad y edad del jugador.
  • Establecer residencia/dirección, comprobar la geo-admisibilidad.
  • Excluir los riesgos sancionadores, terroristas y PEP.
  • Entender las fuentes de fondos/riqueza (SOF/SOW) con límites altos.
  • Garantizar la supervisión continua y la reverificación oportuna.

2) Enfoque orientado al riesgo (RBA)

La plataforma identifica el perfil de riesgo del cliente teniendo en cuenta:
  • Geografía: país de registro/residencia, entradas desde jurisdicciones de «alto riesgo».
  • Pagos: método, canal (tarjeta, A2A, encriptos), patrón de depósitos/retiros.
  • Comportamiento: velocidad de rotación, apuestas, esquemas de bonificación, multiaccounting, anomalías IP/Device.
  • Estado del cliente: PEP, sanciones, medios adversos (Adverse Media).
  • Riesgo del producto: casino/apuestas, límites altos, transferencias P2P.

El RBA se refleja en los niveles de KYC (ver más abajo), los desencadenantes de escalamiento y la frecuencia de revisión (CDD ↔ EDD).

3) Niveles KYC (ejemplo para iGaming)

L0 - Tolerancia básica (age & geo pre-check)

Objetivo: embudo de onboarding instantáneo con una fricción mínima.
Datos: e-mail/teléfono, FIO, fecha de nacimiento, país, consentimiento.
Verificaciones: edad (fecha-de-birth + base externa/SDK), IP/GeoIP, dispositivo, watchlist básico.
Restricciones: bajos límites de depósitos/retiros, prohibición de P2P, bonificaciones limitadas.
Reverificación: cuando se alcanza el umbral de volumen de negocios/retirada.

L1 - Identificación estándar (CDD)

Documentos: 1 documento de identidad (pasaporte/DNI/derechos de agua) + selfie-liveness, en determinados países - verificación por edad separada.
Dirección: declaración de dirección + verificación «suave» (teléfono match, bancos agregadores, archivos de crédito, postal DB).
Comprobaciones automáticas: sanciones/PEP/Adverse Media, duplicados de dispositivos/pagos, biometría conductual.
Límites: límites medios de depósitos/retiros; posibilidad de participar en torneos/promociones.

L2 - Validación avanzada (EDD )/Fuentes de fondos (SOF)

Documentos: prueba de dirección (utility bill/extracto bancario ≤3 mes), comprobante de ingresos (estados de cuenta, certificados de ingresos, paginas, contrato), si es necesario - SOW (venta de activos, herencia).
Entrevista/cuestionario de riesgo: breve formulario sobre fuentes de fondos, empleo, volumen de negocios esperado.
Tecnocontrol: activadores reforzados de monitoreo AML, más frecuentes reajustes de sanciones/RR.
Límites: altos; Acceso a programas VIP/pagos de alta solvencia.

L3 - Perfil de alto riesgo/VIP High-Roller/Cross Border

Adicionalmente: informes auditados/confirmación de activos, cartas del banco, declaraciones.
Rezo de cumplimiento manual + principio de «cuatro ojos» (4 ojos).
Frecuencia de monitoreo: alto, revisiones de eventos de transacciones, SOW detallado.

💡 Nota: los títulos «L0-L3» son condicionales; adapte los niveles a sus políticas, reguladores locales y geografía de pagos.

4) Verificación de la personalidad: métodos y calidad

Verificación Dock: OCR + MRZ + NFC (si está disponible), anti-tampón, comparación de retratos.
Selfie-liveness: activo (mímica/movimiento) o pasivo; anti-spoofing (máscaras, re-play).
Biometría: cara-match, a veces voz/behavioral.
Verificación no documental: a través de bancos/agregadores (open-banking), oficinas de crédito, operadores móviles (SIM KYC).
Calidad: requisitos mínimos de resolución, iluminación; desviaciones - «hoja gris» + procesamiento manual.

5) Edad, geografía y admisibilidad

Edad: verificación automática de la fecha de nacimiento + registros externos/SDK, control secundario en L1.
Geo: bloqueo de países/estados prohibidos; reconciliación IP, GPS/telemetría del dispositivo, tarjeta de país BIN, dirección del documento.
Sutilezas regionales: diferentes evidencias de direcciones/formatos de ID (latín/cirílico, transliteración de nombres, varios idiomas oficiales, cartónimos).

6) Sanciones, PEP y medios adversos

Sanciones: cotejo por listas (UN/EU/OFAC/HMT y local), actualización automática, partido fuzzie con umbral personalizable.
PEP: clasificación (internacional/nacional/local; Personas relacionadas con PEP).
Adverse Media: publicaciones negativas sobre temas clave (fraude, corrupción).
Procedimientos: partidos positivos → validación manual, escalada, informe de cumplimiento.

7) Source of Funds (SOF) и Source of Wealth (SOW)

Cuando se requiere: superar los umbrales de depósitos/retiros, estado VIP, raras transacciones grandes, banderas de riesgo.

Ejemplos de documentos:
  • Extractos bancarios de 3-6 meses, certificados de ingresos, declaraciones de impuestos.
  • Prueba de ingresos no recurrentes: venta de propiedades/acciones, herencia, dividendos, contrato de préstamo.
  • Confirmaciones de estado (IP/empresa), contrato, carta del empleador.

8) KYB (para merchantes/socios/afiliados)

Documentos de registro, estatutos, beneficiarios (UBO), estructura de propiedad.
Directores/UBO: KYC, sanciones/RR.
Prueba de dirección y actividad (sitio web, contratos, cuentas).
Monitoreo de pagos y tráfico (para afiliados): anti-frod, calidad leads, geo y fuente de tráfico.

9) Desencadenantes de re-verificación (rev-KYC) y EDD de evento

Alcanzar los límites de volumen de negocios/conclusiones.
Cambio de FIO/direcciones/instrumentos de pago, patrones sospechosos (depósitos cíclicos/retiros rápidos).
Medios negativos, actualizaciones en las listas de sanciones, nuevos dispositivos/IP del clúster.
Inactividad prolongada + actividad repentina.
«Higiene» de datos: rev-KYC una vez cada 1-3 años (RBA-dependiente).

10) Almacenamiento de datos, privacidad y seguridad

Minimización y propósito: recoger sólo lo necesario para el objetivo (onboarding, AML, edad, región).
Períodos de retención: normalmente 5 años después del cierre de la cuenta/última transacción (especificar por ley local).
Encriptación: en reposo (at-nat) y en tránsito (in-transit); secretos en HSM/vendedor-vault.
Acceso: principio de menor privilegio (RBAC/ABAC), auditoría, registros de acceso.
Derechos del sujeto: acceso/rectificación/eliminación (en su caso), transparencia en el tratamiento.
Vendedores: DPIA/UDPA, transferencias de datos entre países, cláusulas contractuales estándar.

11) Arquitectura e integración de KYC

Flujo de onboarding (recomendación):

1. Registro (L0): e-mail/teléfono → edad/geo pre-check → risk pre-score.

2. L1: doc-verificación + liveness → sanciones/RR → dirección (suave).

3. Apertura de límites/funciones → monitoreo transaccional (comportamiento/pago).

4. Escalar a L2/L3 por disparadores (umbrales, anomalías, VIP).

5. Rugido periódico + EDD de eventos.

Elementos técnicos:
  • Proveedores: proveedor de ID, sanciones/RR, DB de dirección, fingerprint de dispositivo, biometría conductual, banca abierta/PSP.
  • Puerta de enlace para la toma de decisiones: Rules + ML (puntuación de riesgo, comunicaciones gráficas, agrupamiento de dispositivos).
  • Consola de cumplimiento: colas de casos, SLA, «cuatro ojos», plantillas SAR/AMB, informes de exportación.
  • Registros y auditorías: Almacenamiento inmutable (WORM), versionamiento de perfiles, archivo de documentos.
  • Disponibilidad/sostenibilidad: regiones activo-activo, backoff/repeticiones, degradación en modo «solo L0/L1» cuando los vendedores externos no están disponibles.

12) UX y conversión KYC

«Progress-bar» y paso a paso (split-KYC): primero L0/L1, luego L2 a medida que crecen los límites.
Localización: idioma, formato de fechas/nombres, sugerencias de documentos (ejemplo de fotos, control de glare).
Volver a cargar: «guardar y continuar más tarde», recordatorios, enlaces seguros.
Disponibilidad: SDK móviles, modo de borrador fuera de línea, compresión de imágenes.
Fail-safe: fallo suave con explicación, canal de verificación manual, SLA por caso.

13) Métricas de calidad KYC

Tiempo-a-Verify (TTV): mediana/95 percentil.
Rate Auto-Pass y rate Auto-Fail, una fracción del procesamiento manual.
First Pass Yield (FPY) por documentos.
Tasa Positiva de False por Sanción/RER, tiempo promedio de compensación de alertas.
Conversión uplift después de iteraciones UX.
Costo por Verificación y KYC OPEX agregados.
RAE/NAT ratio y rendimiento de las escaladas.
Re-KYC completion rate.

14) Políticas y plantillas (formulación aproximada)

Matriz de límite:
  • L0: hasta X €/₴/$/₹ por mes, sin salida o con microescala.
  • L1: antes de Y, conclusiones estándar.
  • L2: límites altos + requisito SOF.
  • L3: límites premium + SOW y cumplimiento manual.
  • Desencadenantes EDD: grandes depósitos no recurrentes, ciclos de depozit→vyvod acelerados, cambios frecuentes de medios de pago, VPN/proxy, no coincidencia de países por IP/BIN/documento.
  • Sanciones/RR: cribado en onboarding + en cada pago; rugido de coincidencias «fronterizas» durante las 24 horas
  • Reverificación: evento + periódico (12-36 meses por RBA).
  • Escalaciones y SAR/AMB: scripts obligatorios y plazos de presentación, prohibición de notificar al cliente (tipping-off).

15) Riesgos frecuentes y cómo cerrarlos

Personalidades sintéticas → multisignal: documento + facial + dispositivo graph + open-banking.
Multiacounting → biometría conductual, gráfico de dispositivo de cookies, dirección/clústeres de pago.
Bonificación abusiva → límites al nivel KYC, reglas de velocidad, «bonificación diferida» parcial.
Frod con documentos → lectura de chips NFC, liveness pasivo, análisis de textura.
Archivo delgado (thin-file) → fuentes alternativas (datos telco, banca abierta), verificación manual.
Transliteraciones/alias → normalización de la FIO, alfabetos locales, fuzzie match.

16) Mini hojas de cheques

Onboarding (operativo):
  • Edad, geo, IP/Dispositivo.
  • Documento + selfie-liveness.
  • Sanciones/PEP/Adverse Media.
  • Dirección (soft) → al límite: dirección (hard).
  • Reglas automáticas y puntuación ML.
  • Comunicación transparente, consentimiento.
Antes de una conclusión importante:
  • Rev-cribado de sanciones/RR.
  • SOF (cuando se supera el umbral).
  • Comprobar la coincidencia del titular del instrumento de pago.
  • Seguimiento conductual y de pagos (anomalías).
Examen periódico:
  • La integridad de los registros y la pertinencia de los documentos.
  • Formación del equipo y registro de auditoría.
  • Planes de prueba de vendedores (SLA, tolerancia a fallas).
  • DPIA/seguridad y accesos.

17) Preguntas frecuentes (breves)

¿Puedo entrar en el juego hasta la L1? Sí, con L0 con límites estrictos y edad/geo-control - pero los límites de salida/alto sólo después de L1.
¿Cuándo se requiere SOF/SOW? Cuando se superan los umbrales de volumen de negocios/salida, estado VIP, patrones sospechosos o a petición del regulador.
¿Es necesario hacer un cribado en cada pago? Se recomienda una revisión breve de las sanciones y un seguimiento del comportamiento.
¿Cómo no «matar» la conversión? Divida KYC en etapas, mejore UX, aplique fuentes de datos alternativas y pase automático.

Resultado

Un KYC eficiente es el equilibrio entre la protección del negocio y un UX fluido. Construya los niveles de L0-L3 bajo su perfil de riesgo, automatice el cribado, implemente SOF/SOW para alto riesgo, mida las métricas de calidad y asegure una auditoría sin cambios. Así que permanecerá en cumplimiento sin perder la conversión y LTV.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.