Opérations et conformité → procédures KYC et niveaux de vérification

Procédures KYC et niveaux de vérification

1) Pourquoi KYC est nécessaire

KYC (Know Your Customer) est le fondement d'une exploitation responsable et sûre de la plate-forme iGaming : empêche l'accès des mineurs, réduit les risques de froid/blanchiment, soutient les exigences des licences et des partenaires de paiement, protège la réputation.

• Confirmer l'identité et l'âge.
• Évaluer le risque de base du joueur et configurer les mesures de risque.
• Assurer la traçabilité des transactions et la communication des depozit↔vyvod.
• Soutenir AML/Responsible Gaming et les exigences des fournisseurs/régulateurs.

2) Principes KYC

1. Approche fondée sur les risques (RBA) : la profondeur de la vérification dépend du profil (pays, méthodes de paiement, comportement).
2. Divulgation progressive : nous collectons exactement autant de données que nécessaire au niveau de risque actuel.
3. Evidence-by-Design : toutes les décisions et documents sont conservés comme preuve (piste d'audit).
4. Privacy-first : Minimisation du PDn, masquage, accès au rouleau et temps limité.
5. Re-Verification : revérification des événements à risque (conclusions, augmentation des limites, changement de détails).
6. Explaitable & Consistent : les règles et exceptions sont documentées et vérifiables.

3) Niveaux de vérification (KYC Tiered)

KYC0 - Pré-enregistrement/Frikshen-light

Collecte pays, âge (self-attest), email/téléphone (OTP).
Pré-sanction/RER-dépistage par nom/téléphone/courrier (faible confiance).
Restrictions : pas de dépôts/retraits, seulement un aperçu du contenu/bonus sans paris.

KYC1 - Identification de base

Document d'identité (passeport/ID/eaux. carte d'identité) + selfie/biometric liveness (par marché).
Validation MRZ/barcode, contrôle de la date de validité, pays d'émission.
Vérification de l'âge, dépistage primaire des sanctions/RER.
Les limites de dépôt/taux/retraits sont de base.

KYC2 - Confirmation d'adresse (PoA)

Document confirmant l'adresse (projet de loi d'utilité/relevé bancaire/registre), KBA si nécessaire.
Géo-cohérence : IP/périphérique/méthode de paiement ≈ adresse d'enregistrement.
Limites étendues et accès aux conclusions.

KYC3 - EDD/SoF/SoW

Selon les déclencheurs de risque : grands tours/conclusions, VIP, modèles suspects, géo/méthodes à haut risque.
Source des fonds (SoF) et origine de la fortune (SoW) : certificats de revenus, salaires, impôts, relevés.
Des interviews/explications écrites sont possibles.
Accès aux limites élevées/conclusions accélérées - après approbation.

4) Déclencheurs d'élévation de niveau/Re-KYC

Financier : montant du retrait unique, chiffre d'affaires sur la période, changements fréquents des méthodes de paiement.
Comportement : profil anormal win/loss, activité nocturne, nombreuses sessions courtes.
Technique : changements fréquents d'appareils/IP/ASN, réseaux proxy/à haut risque.
Profil : incohérences de nom/adresse/date de naissance entre les sources.
Evénement : modification des détails de paiement, augmentation des limites, connexion du plan VIP.

5) Sanctions, PEP et médias négatifs

Screening à : enregistrement, achèvement de la KYC1/2/3, avant la grande conclusion, lorsque les détails changent.
Revalider lors de la mise à jour des manuels (quotidiens/hebdomadaires).
Logique des coïncidences : fuzzy match avec bientôt, triage manuel des cas limites.
Les références sources/cas sont dans evidence.

6) Documents et alternatives

ID/passeport/eaux. droits, PoA : facture communale, relevé bancaire ≤ 3 mois.
Alternatives : eID/BankID/API proactives des fournisseurs, KBA (knowledge-based), confirmation par microtranscription.
Biometric : selfie avec contrôle de liveness ; stocker les modèles de biométrie uniquement si nécessaire et selon les normes locales.
Déviations : copies en noir et blanc, documents périmés, photos floues - règles de déviation automatique.

7) Data & Privacy

Minimisation : nous ne demandons que le nécessaire ; nous partageons les artefacts KYC et les données de jeu/marketing.
Accès : RBAC/ABAC, journaux de lecture/émission de fichiers, watermarks.
Retenshn : par juridiction/licence (généralement 5 ans et plus après la dernière opération).
Cryptage : at rest/in transit, clés dans HSM/Vault, URL temporaire à visualiser.
Demandes de la personne concernée : SLA pour l'exportation/correction/suppression dans les limites autorisées.

8) Controls-/Policy-as-Code (fragments)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (fragments)

SOP : Vérification des KYC1

1. Vérifiez l'exhaustivité du lot (ID + selfies, métadonnées de téléchargement).
2. Valider le document (MRZ/barcode, délai, pays), vérifier le nom/DR.
3. Faire correspondre les selfies (face match, liveness).
4. Chasser les sanctions/RER ; en cas de coïncidence, → triage.
5. Attribuer des KYC1, mettre à jour les limites, écrire evidence.

SOP: KYC2 (PoA)

1. Vérifier le document ≤ 90 jours, adresse dans un format/une langue valide.
2. Mappez l'adresse à l'adresse IP/périphérique/mode de paiement.
3. Émettre des KYC2, étendre les limites/conclusions, enregistrer evidence.

SOP: EDD/SoF (KYC3)

1. Demandez une liste de documents (salaires/impôts/relevés) et des explications.
2. Comparer les montants/fréquences/sources avec le chiffre d'affaires et le profil.
3. Décision : approuver/limiter/clore ; en cas de suspicion - processus SAR/AML.
4. Mettre à jour le profil de risque, les limites, evidence.

10) Intégration

Fournisseurs KYC : IDV, PoA, biometric, sanctions/RER (batch + event-driven).
Payments : contrôle source-to-source, velocity, holds jusqu'à ce que KYC soit terminé.
AML/Gestion de cas : carte de joueur conjointe, statuts, SLA.
CRM/Support : modèles de communication, statuts KYC, ETA et rappels.
DWH/BI : vitrines d'événements KYC, rapports sur les périodes de licence.

11) KPI/OKR

• KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• Taux auto-pass (sans participation manuelle), Manual Tail (part manuelle).
• Santé/PEP Hit Rate et Precision sur les cas confirmés.

• Faux taux de modification des documents, Doc Quality Fail %.
• Mismatch IP/Address Fréquence, Payout Blocked due to KYC (médiane du temps avant le déverrouillage).
• Evidence Completeness ≥ 98%.

• KYC Drop-off par étapes, CSAT/NPS par processus KYC.

12) Chèques-feuilles

• Les accords/politiques de données ont été adoptés.
• Le dépistage primaire des sanctions a été effectué.
• Canaux de communication confirmés (OTP/email).

• Validen ID et selfie, passé liveness.
• Coïncidence FIO/DR/pays.
• Sanctions/RER : « clear » ou route vers le triage.

• PoA frais et lisible ; l'adresse est normalisée.
• Géo-cohérence (IP/appareil/mode de paiement).

• Ensemble complet de documents, les montants correspondent au chiffre d'affaires.
• Décision et justification fixées (evidence), profil de risque mis à jour.

• Cause et date, verrous/limites correctement appliqués.
• Communication au joueur envoyée (ETA/étapes).

13) Anti-modèles

La vérification universelle « lourde » pour tout le monde est un échec et un coût élevés.
Contrôles manuels sans SLA/logs et double contrôle.
Stockage biométrique/documents sans fondement strict et retenti.
Aucun lien avec les paiements : le retrait est possible jusqu'à KYC2/3.
L'absence de recadrage des sanctions et de l'événement re-KYC.
Deux versions de la vérité : KYC dans Excel et données de transaction dans DWH sans accostage.

14) 30/60/90 - plan de mise en œuvre

• Approuver la politique KYC (tiers, déclencheurs, SLA, rétentions).
• Connectez IDV/sanctions/PEP, démarrez le flow KYC1 et PoA.
• Configurer Controls-as-Code : re-KYC avec payout-change, recadrage de sanctions.
• Activer evidence-storage et RBAC.

• Processus EDD/SoF, champlon de communication et gestion de cas.
• Intégration avec les paiements (source-to-source, velocity), bloc automatique jusqu'à KYC2/3.
• Dashboards KPI (TAT, Auto-pass, Manual Tail, Hit-Rate).
• Pilote biometric liveness/BankID (si disponible).

• Réduction de Manual Tail ≥ 30 %, KYC1 TAT médian ≤ cible, Faux Reject ↓.
• Règlement re-KYC et recadrage des sanctions, vérification de la conformité.
• Lier les KPI aux commandes OKR (Compliance/Ops/Payments/Support).

15) FAQ

Q : Quand demander une adresse (PoA) ?
R : Lorsque le seuil de dépôt/retrait est atteint, que la géo/méthode n'est pas conforme ou que le pays/licence est requis.

Q : Quand avez-vous besoin de SoF/SoW ?
R : Avec des rotations/VIP élevées, des anomalies, des géo/méthodes à haut risque, avant une grande conclusion.

Q : Comment réduire les rejets sur KYC ?
R : Conseils mobiles/validation ocr, exigences de photo compréhensibles, support BankID/eID, séparation par étapes, rétroaction rapide.

Q : Comment protéger la vie privée ?
R : Minimisation, cryptage, rigoureux RBAC/journaux d'accès, retouche automatique et politique de suppression.