GH GambleHub

AML Audit et rapports

1) Objectifs et contexte

La chaîne AML d'iGaming couvre : l'onbording (KYC/KYB), les sanctions/PEP/Adverse Media Screening, le suivi des transactions et des comportements, l'escalade des cas et la préparation des rapports à la FIU (SAR/STR et autres formes). L'audit (externe/interne) vérifie la conception et l'efficacité des contrôles, la base de données probantes et la rapidité des rapports.

2) Gubernance et rôles

Bord/Comité des risques : Approbation annuelle de l'EWRA (Enterprise-Wide Risk Assessment), de la politique et du risque.
MLRO (et adjoint) : titulaire des procédures, qualité SAR/STR, contact avec l'UFI/régulateur.
Compliance Ops/FinCrime : vérification des alertes, gestion des cas, QA et formation.
Audit interne/externe indépendant : vérification indépendante de la conception/efficacité des contrôles.
Data/Tech : propriétaires de TMS (Transaction Monitoring System), modèles et journaux.

3) RBA (Risk-Based Approach) для iGaming

Facteurs de risque :
  • Client : âge/géo, RER/sanctions, SoF/SoW, schémas comportementaux (taux de dep/inférences, montants atypiques, multi-comptes).
  • Produit/canal : Casino/Sport/Vie, crypto-on/off-ramp, portefeuilles anonymes, paiements instantanés.
  • Géographie : risque élevé pour les juridictions, couloirs de transfert de fonds.
  • Fournisseurs/partenaires : PSP/affiliations/agrégateurs.
  • Transactions : structuration (smurfing), flux circulaires, intermédiaires (mule).

Résultat : le risque du client/transaction contrôle la profondeur de KYC, la fréquence de la rumeur et la sensibilité des règles TMS.

4) KYC/KYB, SoF/SoW et rhubarbe

KYC : vérification de l'identité/adresse, âge, comparaison avec les sanctions/PEP/Adverse Media.
KYB : bénéficiaires (UBO), risques sectoriels, sanctions juridiques/UBO.
SoF/SoW : confirmation de la source de fonds/richesse pour le risque élevé (relevés, dividendes, revenus, vente d'actifs).
Revue : périodique (12-36 mois) et trigger (surtension, changement de profil comportemental).

5) Sanctions/PEP/Adverse Media

Sanctions : dépistage primaire lors de l'onbording et recadrage quotidien de tous les clients actifs et bénéficiaires de paiements.
PEP : diligence raisonnable renforcée et taux de rhubarbe élevé.
Adverse Media : publications négatives sur le blanchiment, la fraude, la corruption ; en cas de coïncidence → renforcement des mesures/escalade.

6) Suivi des transactions et contrôle du comportement

Drapeaux rouges typiques :
  • Une série de petits dépôts → une conversion rapide en retraits (activité de jeu minimale).
  • Multi-comptes : correspondances d'appareils/IP/instruments de paiement.
  • Rotation des fonds entre les portefeuilles/cartes (itinéraires circulaires).
  • Utilisation de fournisseurs/juridictions/proxy à haut risque.
  • Dépôts de tiers, chargeback fréquents/abandons, forte baisse/croissance de GGR par joueur.
  • Pour le sport : parier sur des marchés à faible marge avec une synchronisation suspecte (match-fix red flags).

Règles TMS : velocity (N transactions pour X min), amount spikes, device/IP clustering, geovelocity, no-play withdrawals, split deposits, instruments duplicate.

7) Cas, escalade et SAR/STR

Vérification d'alerte primaire → enrichissement de données (KYC, paiements, historique, source d'affiliation, appareils, géo, Adverse Media).
PR (Pre-SAR Review) : Solution MLRO - SAR/STR, surveiller, fermer avec une note.
SAR/STR : préparé selon les exigences locales (description des faits, montants, participants, schémas, justification des soupçons, preuves jointes, ligne temporelle).
Délai : « sans délai » selon les règles locales ; fixez les TAT et les SLA en politique.
Tipping-off : interdiction de divulguer au client le fait de déposer un SAR/STR.

8) Audit AML : couverture et méthodes

Couverture : politiques/procédures, EWRA, KYC/KYB, SoF/SoW, sanctions/PEP/Adverse Media, modèles TMS et alertes, gestion de cas, SAR/STR Logs, formation, journalisation, stockage, tierces parties (PSP) P/KYC), tests de pénétration/accès.

Méthodes :
  • Walkthrough et interviews (MLRO, analyse AML, produit, IT).
  • Doc Revew : politique, SOP, logs, rapports, échantillons de cas (sampling).
  • Test de conception/efficacité : tests de contrôle (re-performance), backtesting TMS et étalonnage.
  • Gouvernance du modèle : modifications des règles/seuils, documentation, A/B, retouches périodiques.
  • Data lineage : trace des champs dans les rapports avant les systèmes primaires.

Sorties : rapport de notation, découvertes (High/Medium/Low), plan de remédiation, échéancier et responsable.

9) Base de preuves et stockage

Revues : alertes, mallettes, décisions, qui/quand/ce qui a changé (immutabilité).
Artefacts : captures d'écran, extraits, SoF/SoW, hachages de fichiers, exportation à partir de TMS, correspondance.
Durée de conservation : conformément à la loi locale (souvent 5 ans et plus après la fin de la relation).
Privacy/DPA : minimisation des PII, bases légales, DPIA pour les contrôles à haut risque.

10) Rapports (externes/internes)

Externe : SAR/STR dans le FIU ; les réponses aux demandes des organismes publics ; formulaires statistiques périodiques (par juridiction).
Interne : rapport MLRO bordu/commission - dynamique SAR, FPR (faux taux positif) TMS, coverage sanctions/RER, formation, remediation-status.

11) Matrice des risques (RAG)

ZoneR (critique)A (corrigeable)G (contrôle)
Sanctions/RERPas de recadrageIrrégulièrementTous les jours + après les changements
TMSAucune réglementation/tuningHaut FPR/alerts mortsModèle RBA + retune + QA
SAR/STRTemps de passe/qualitéDonnées incomplètesSLA/TAT, chèques-feuilles, QA
KYC/KYBDiscontinuités/Aucun SoF/SoWDéficits de spotRisque-stratification + rhubarbe
PreuvesPas d'immutabilitéРазрозненноGestionnaire de cas centralisé
FormationEst à une seule foisNereg. mise à jourAnnuellement + par rôle/tests

12) Chèques-feuilles

Avant l'audit/vérification externe

  • EWRA à jour et matrice des risques.
  • Politiques/SOP : KYC/KYB, SoF/SoW, sanctions/PEP/Adverse Media, TMS, SAR/STR.
  • Registres Alert/Case/SAR, logs de changement TMS.
  • Preuve par échantillon de cas (scans/extraits/captures d'écran).
  • Formation/tests des employés, journaux d'accès.
  • Contrats avec les fournisseurs de PSP/KYC, rapports de SLA.

Changement opérationnel (quotidien/hebdomadaire)

  • Sanctions/PEP/Adverse Media recreening.
  • QA 10 % des cas fermés.
  • Surveillance FPR/TPR, Retyun à la dérive.
  • Contrôle des délais de SAR/STR et des écarts par rapport aux SLA.

13) Registres recommandés (YAML)

13. 1 Registre SAR/STR

yaml sar_id: "SAR-2025-118"
customer_id: "C-774102"
trigger: ["rapid_withdrawals","no_play","high_risk_geo"]
amounts:
deposits_total: 18500 withdrawals_total: 17200 timeline:
first_alert_at: "2025-10-21T14:22Z"
escalated_at: "2025-10-22T10:05Z"
filed_at: "2025-10-23T16:40Z"
fiU_ack_ref: "FIU-ACK-5529"
attachments: ["kyc.pdf","flows.png","device_cluster.csv"]
mlro: "a.petrova"
status: "filed"

13. 2 Registre des chevauchements de sanctions

yaml hit_id: "SAN-2025-311"
subject: { customer_id: "C-660901", name: "Ivan K." }
list: ["OFAC","EU"]
match_score: 92 decision: "false_positive"
analyst: "d.koval"
closed_at: "2025-11-03"
notes: "DOB mismatch; address not matching"

13. 3 Profil de risque du client

yaml customer_id: "C-552201"
risk_score: 78 risk_factors:
geo: "high"
pep: false adverse_media: false product: ["casino","sports"]
payment_methods: ["cards","crypto_onramp"]
behaviour: ["velocity","no_play_withdrawals"]
kyc_level: "enhanced"
review_next: "2026-05-01"
owner: "FinCrimeOps"

13. 4 Modifications des règles TMS

yaml change_id: "TMS-CH-2025-044"
rule: "no_play_withdrawal_v2"
old_threshold: "withdrawal>500 & play<5 spins"
new_threshold: "withdrawal>300 & play<3 spins"
reason: "trend increase; QA findings"
ab_test: true owner: "FinCrime Analytics"
approved_by: ["MLRO","RiskCom"]
effective_from: "2025-11-10"

14) Pleybooks (incidents)

P-AML-01 : Structuration des dépôts

Alert → l'agrégation par périphérique/carte/IP → SoF demande → limite/pause de paiement → SAR en cas de suspicion justifiée → entrée dans le registre.

P-AML-02 : Coïncidence des sanctions

L'auto-bloc → la vérification manuelle (DOB/adresse/bio) → lors de la confirmation - fermeture du compte/message à la FIU (si nécessaire) → documentation.

P-AML-03 : Sans conclusions de jeu

Le gel de la sortie → la vérification de la distance entre la sortie/sortie, les portefeuilles croisés, les communications avec les comptes → SoF/explication → SAR/fermeture.

P-AML-04: Crypto on/off-ramp

Analyse de la chaîne (risque-étiquettes échangeurs/mixeurs) → SoF (source crypto) → limites/blocage → SAR/déclaration.

P-AML-05 : Suspicion de « mules « /lien d'affiliation

Clustering de périphériques/paiements → communication avec la source de trafic → pause de facturation à l'affiliation → SAR/étapes légales.

15) KPI/métriques

SAR Timel....( TAT moyen) et SLA conformité.
FPR/TPR TMS, Précision @ Top-N sur les alertes prioritaires.
Santé/PEP Coverage %, recadrage quotidien %.
QA Pass Rate par case fermée.
Formation Completion % par rôle.
Model Change Control Compliance % (modifications avec approbation/base de données).

16) Mini-FAQ

Quand dois-je soumettre un RS/RTS ? Après la formation d'une suspicion justifiée et dans les délais fixés par le droit/régulateur local.
Est-il possible de signaler un SAR à un client ? Non, l'interdiction de tipping-off est en vigueur.
Dois-je toujours bloquer mon compte ? Décision sur la RBA : risque, sanctions, menaces de retrait et règles de la loi locale.
Comment réduire le RPF ? Retyun des règles, fiches comportementales, segmentation par risque, backtesting périodique/QA.

17) Diskleimer

Les exigences en matière de LAM/sanctions et les formats de déclaration varient d'un pays à l'autre et sont mis à jour. Ce matériau est un cadre opérationnel ; Vérifiez les dates exactes, les formulaires et les destinataires avec les normes locales et les instructions de votre régulateur/FIU.

18) Conclusion

Le circuit AML efficace dans iGaming n'est pas seulement une « coche » KYC, mais un ensemble de modèles RBA, une surveillance en direct, une gestion de cas de qualité et une discipline de rapport. Un audit indépendant régulier, une base de données probantes et des playbacks clairs transforment la conformité en un processus durable qui protège les joueurs, les entreprises et les licences.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.