Operaciones y Cumplimiento → procedimientos KYC y niveles de verificación

Procedimientos KYC y niveles de validación

1) Por qué se necesita KYC

KYC (Know Your Customer) es la base de la operación responsable y segura de la plataforma iGaming: evita el acceso de menores, reduce los riesgos de frod/lavado, apoya los requisitos de licencias y socios de pago, protege la reputación.

• Confirmar identidad y edad.
• Evaluar el riesgo subyacente del jugador y configurar las medidas risk-based.
• Garantizar la trazabilidad de las transacciones y la comunicación de depozit↔vyvod.
• Apoyar AML/Juego Responsable y los requisitos de los proveedores/reguladores.

2) Principios KYC

1. Risk-Based Approach (RBA): la profundidad de la validación depende del perfil (país, métodos de pago, comportamiento).
2. Disclosure progresivo: recopilamos exactamente tantos datos como sea necesario en el nivel de riesgo actual.
3. Evidence-by-Design: todas las decisiones y documentos se conservan como pruebas (audit trail).
4. Privacy-first: minimización de PDs, enmascaramiento, roles y tiempo de acceso restringido.
5. Re-Verification: revisiones en eventos de riesgo (conclusiones, crecimiento de límites, cambio de datos).
6. Explainable & Consistent: las reglas y excepciones están documentadas y verificables.

3) Niveles de verificación (Tiered KYC)

KYC0 - Preinscripción/Frikshen-light

Recogida del país, edad (self-attest), correo electrónico/teléfono (OTP).
Pre-sancionador/RR-cribado por nombre/teléfono/correo (confianza baja).
Restricciones: sin depósitos/retiros, solo revisión de contenido/bonificaciones sin apuestas.

KYC1 - Identificación básica

Documento de identidad (pasaporte/ID/VOD. identidad) + selfie/biometric liveness (por mercado).
Validación de MRZ/barcode, control de fecha de validez, país de emisión.
Verificación de la edad, examen primario de sanciones/RR.
Los límites de depósitos/apuestas/retiros son básicos.

KYC2 - Confirmación de dirección (PoA)

Documento que confirma la dirección (utility bill/extracto bancario/registro), KBA si es necesario.
Coherencia geográfica: IP/dispositivo/método de pago ≈ dirección de registro.
Límites avanzados y acceso a los resultados.

KYC3 - EDD/SoF/SoW

Por desencadenantes de riesgo: grandes revoluciones/conclusiones, VIP, patrones sospechosos, geo/métodos de alto riesgo.
Fuente de fondos (SoF) y origen de la fortuna (SoW): certificados de ingresos, salarios, impuestos, estados de cuenta.
Posibles entrevistas/explicaciones escritas.
Acceso a altos límites/conclusiones aceleradas - después de la aprobación.

4) Disparadores de elevación/Re-KYC

Financiero: suma de retiro único, volumen de negocios por período, cambios frecuentes en los métodos de pago.
Conductual: perfil anormal de win/loss, actividad nocturna, muchas sesiones cortas.
Técnico: cambio frecuente de dispositivos/IP/ASN, redes proxy/de alto riesgo.
Perfil: discrepancias FIO/dirección/fecha de nacimiento entre las fuentes.
Eventos: cambios en los datos de pago, aumento de los límites, conexión del plan VIP.

5) Sanciones, PEP y medios negativos

Cribado en: registro, finalización de KYC1/2/3, antes de una salida importante, cuando se cambian los detalles.
Revalidar al actualizar los manuales (diario/semanal).
La lógica de las coincidencias: fuzzy match con inminente, triaje manual de casos fronterizos.
Enlaces a fuentes/casos - en la videncia.

6) Documentos y alternativas

ID/pasaporte/aguas. derechos, PoA: factura de servicios públicos, extracto bancario ≤ 3 meses.
Alternativas: eID/BankID/API proactiva de los proveedores, KBA (knowledge-based), confirmación por microtransferencia.
Biometric: selfie con verificación de vida; almacenar patrones biométricos sólo cuando sea necesario y según las normas locales.
Desviaciones: copias en blanco y negro, documentos caducados, fotos borrosas - reglas de auto-rechazo.

7) Data & Privacy

Minimización: solicitamos sólo lo necesario; compartimos los artefactos KYC y los datos de juego/marketing.
Accesos: RBAC/ABAC, registros de lectura/emisión de archivos, watermarks.
Retiro: por jurisdicción/licencia (generalmente 5 + años después de la última operación).
Encriptación: en tránsito/en, claves en HSM/Vault, URL temporales para ver.
Solicitudes del interesado: SLA para exportación/corrección/eliminación dentro de los límites permitidos.

8) Controls-/Policy-as-Code (fragmentos)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (fragmentos)

SOP: Verificación de KYC1

1. Comprobar la integridad del paquete (ID + selfies, metadatos de descarga).
2. Validar el documento (MRZ/barcode, plazo, país), verificar FIO/DR.
3. Asignar selfies (face match, liveness).
4. Alejar las sanciones/RR; cuando hay coincidencias → triaje.
5. Asigne KYC1, actualice los límites, escriba evidence.

SOP: KYC2 (PoA)

1. Comprobar el documento ≤ 90 días, dirección en formato/idioma válido.
2. Asignar una dirección a IP/dispositivo/métodos de pago.
3. Emitir KYC2, ampliar los límites/conclusiones, escribir evidence.

SOP: EDD/SoF (KYC3)

1. Solicitar una lista de documentos (salarios/impuestos/estados de cuenta) y explicaciones.
2. Correlacionar cantidades/frecuencias/fuentes con el volumen de negocios y el perfil.
3. Decisión: Aprobar/limitar/cerrar; si se sospecha, es un proceso SAR/AML.
4. Actualizar perfil de riesgo, límites, evidence.

10) Integraciones

Proveedores de KYC: IDV, PoA, biometric, sanciones/RR (batch + event-driven).
Pagos: control source-to-source, velocity, colinas hasta completar KYC.
AML/Case-management: tarjeta conjunta del jugador, estados, SLA.
CRM/Support: plantillas de comunicación, estados KYC, ETA y recordatorios.
DWH/BI: escaparates de eventos KYC, informes de períodos de licencia.

11) KPI/OKR

• KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• Nota automática (sin participación manual), Tail manual (cuota manual).
• Sanctions/PEP Hit Rate y Precision por casos confirmados.

• False Reject Rate de documentos, Doc Quality Fail%.
• Mismatch IP/Address frecuencia, Payout Blocked due to KYC (mediana de tiempo antes del desbloqueo).
• Evidence Completeness ≥ 98%.

• KYC Drop-off por pasos, CSAT/NPS por procesos KYC.

12) Hojas de cheques

• Se aceptan los acuerdos/políticas de datos.
• Se realizó un cribado primario de sanciones.
• Canales de comunicación confirmados (OTP/email).

• Validen ID y selfie, pasado liveness.
• Coincidencia FIO/RD/país.
• Sanciones/RER: «clear» o el camino al triaje.

• PoA fresco y legible; la dirección está normalizada.
• Coherencia geográfica (IP/dispositivo/método de pago).

• El paquete completo de documentos, los importes corresponden al volumen de negocios.
• La decisión y la justificación han sido fijadas (prevence), perfil de riesgo actualizado.

• Causa y fecha, bloqueos/límites aplicados correctamente.
• Comunicación al jugador enviada (ETA/pasos).

13) Anti-patrones

La verificación «pesada» universal para todos es de alto impacto y costos.
Controles manuales sin SLA/registros y doble control.
Almacenamiento de biométricos/documentos sin bases estrictas y retén.
No hay relación con los pagos: la retirada es posible antes de KYC2/3.
Falta de revisión de sanciones y re-KYC de eventos.
Dos versiones de la verdad: KYC en Excel y datos de transacciones en DWH sin acoplamiento.

14) 30/60/90 - Plan de implementación

• Aprobar la política de KYC (tirantes, desencadenantes, SLA, retén).
• Conectar IDV/sanciones/PEP, ejecutar KYC1 y PoA-flow.
• Configurar Controls-as-Code: re-KYC en payout-change, revisión de sanciones.
• Habilitar el almacenamiento de información y RBAC.

• Procesos EDD/SoF, champán de comunicaciones y gestión de casos.
• Integración con pagos (source-to-source, velocity), auto-bloque hasta KYC2/3.
• Dashboards KPI (TAT, Auto-pass, Tail Manual, Hit-Rate).
• Biometric liveness/BankID (donde está disponible) piloto.

• Reducción del Tail Manual ≥ 30%, KYC1 media TAT ≤ objetivo, False Reject ↓.
• Reglamento re-KYC y revisión de sanciones, auditoría de cumplimiento.
• Enlace de KPI a los comandos OKR (Compliance/Ops/Payments/Support).

15) FAQ

P: ¿Cuándo solicitar una dirección (PoA)?
R: Cuando se alcanza el umbral de depósitos/retiros, no se cumple el geo/método o según los requisitos del país/licencia.

P: ¿Cuándo necesita SoF/SoW?
R: A altas revoluciones/VIP, anomalías, geo/métodos de alto riesgo, antes de una salida mayor.

P: ¿Cómo reducir las fallas en KYC?
R: Consejos móviles/validación ocr, requisitos de fotos claras, soporte para BankID/eID, división en pasos, retroalimentación rápida.

P: ¿Cómo proteger la privacidad?
R: Minimización, encriptación, registros de acceso RBAC/rigurosos, retén automático y política de eliminación.