Opérations et conformité → Dépistage des sanctions et filtrage PEP

Dépistage des sanctions et filtrage PEP

1) Objectif et zone

Réduire les risques juridiques/financiers et assurer la conformité des licences : éliminer les personnes/entités sanctionnées, identifier les PPE et les personnes liées, tenir compte des médias négatifs et prendre des mesures proportionnelles. S'applique aux joueurs (KYC), aux partenaires (KYB), aux fournisseurs et aux employés ayant accès au PDn/Finances.

2) Termes et couverture

Sanctions (les sanctions) : les interdictions/restrictions à la coopération avec лицами/организациями/судами/судами.
PEP (Politically Exposed Person) : Fonctionnaires publics et leurs personnes apparentées les plus proches (RCA).
Adverse media : publications significativement négatives (crimes finals, corruption, etc.).
Match : correspondance de l'enregistrement de profil avec l'élément de liste (exact/probabiliste).
RCA (Relations & Fermer Associates) : conjoint (s), enfants, associés d'affaires, etc.

3) Principes

1. Approche fondée sur les risques (RBA) : la profondeur de la vérification et la fréquence dépendent du profil de risque (pays, méthode de paiement, montants, rôle).
2. Match exploitable : les règles de comparaison sont transparentes ; la justification de la décision est conservée.
3. Evidence-by-Design : chaque « coup/non-retour » est accompagné d'artefacts.
4. Privacy-first : minimum de PDn, accès strict, retentissement par la loi.
5. Continuous Screening : événements → recréation immédiate ; périodiquement - contrôles de batch.
6. One Source of Truth : un registre unique des résultats de dépistage et des décisions (piste d'audit).

4) Sources et mises à jour

Listes de sanctions et de contrôle : mondiales/régionales/nationales ; sectoriel/territorial ; listes des transporteurs/navires (si nécessaire).
PEP/RCA : multi-niveaux (national/régional/international).
Adverse media : sources agrégées avec classification des risques.
Mises à jour : quotidiennes/hebdomadaires ; conservez la version du manuel et l'heure de téléchargement.

5) Politique de sélection (cadre)

Lorsque nous vérifions : l'enregistrement, avant le premier dépôt/retrait, lors de la modification des détails de paiement, l'atteinte des seuils de chiffre d'affaires, lors du changement de profil/adresse/document, lors de la mise à jour des listes.
Qui vérifier : joueurs (KYC), partenaires/fournisseurs (KYB), employés avec accès (HR/KC).
Ce que l'on fait en cas de coïncidence : triage → confirmation/exclusion/escalade des mesures → : refus/hold/EDD/fermeture.

yaml policy_id: SANC-PEP-POL-001 scope: players, partners, employees triggers:
- on_event: signup, pre_deposit, pre_payout, kyc_update, payout_destination_change
- on_list_update: sanctions    pep    adverse_media risk_bands:
low: [EU_ trusted methods]
high: [high_risk_geo, multiple_payment_methods, turnover>threshold]
actions_by_match:
sanctions_confirmed: block_all & report & freeze_payouts pep_confirmed: edd & enhanced_monitoring adverse_media_high: manual_review & edd review_sla_days: 180 owner: head_of_compliance

6) Algorithmes d'appariement (matching)

Comparaison exacte : Nom complet + DR/document/pays.
Juxtaposition fuzzy : Tokénisation, normalisation, translittération/alias, distances des lignes ; phonétique (par exemple Soundex/Metaphone-like).
Poids contextuels : date de naissance> citoyenneté> adresse> alias> pays.
Réduction des fausses correspondances : champ « must-have », seuils pour ressembler aux types de noms, ignorer les mots fréquents.
Sensibilité par géo : pour la géo à risque élevé - au-dessous du seuil sur la pente fuzzy.
Listes blanches avec expiration : exceptions temporaires (whitelist) avec cause et durée.

7) Déclencheurs de recadrage

Mise à jour de la version des listes.
Événements de profil : changement de nom/adresse/document, nouvelle méthode de sortie.
Montants de seuil/chiffre d'affaires, augmentation des limites, statut VIP.
Signaux AML/Risk : velocity, incohérence source-to-source, anomalie device/IP.

8) Intégrations et données

KYC/KYB : fournisseurs d'IDV/audits de quai/registres ; UBO/directeur chez les partenaires.
Payments : bloc « pré-payout » et négociation hold/reverse.
Gestion des cas : cartes de match, statut et journal des solutions.
DWH/BI : vitrines par hit-rate/precision/dérive de qualité.

9) Controls-as-Code (fragments)

yaml control_id: SANC-PEP-SIGNUP scope: player_profile trigger:
expr: event in {signup, pre_deposit, pre_payout}
actions:
- screen: sanctions    pep    adverse_media
- block: payout if match_score>=0. 85 until triage_done evidence:
fields: [list_version, query_payload, top_matches]
owner: compliance_ops

yaml control_id: SANC-PEP-RESCREEN scope: population trigger:
expr: sanctions_list. version_changed==true OR pep_list. version_changed==true actions:
- enqueue: rescreen_batch(population_segments=[high_risk, active_payouts])
- notify: compliance_channel

yaml control_id: PEP-MONITOR-01 scope: players trigger:
expr: pep_status==confirmed actions:
- require: edd & source_of_funds
- monitor: payouts frequency>=weekly
- set: limits=pep_limits_schema

yaml control_id: ADV-MEDIA-HI scope: players    partners trigger:
expr: adverse_media. severity in {high, severe}
actions:
- flag: manual_review
- limit: payouts "hold_24h"
- collect: additional_evidence

10) SOP (fragments)

SOP : Le triage de la coïncidence des sanctions/RER

1. Vérifier le contexte : Nom/nom/nationalité/alias/document.
2. Vérifier les sources (ID d'enregistrement, date de mise à jour, statut juridique).
3. Solution : 'confirmed/ false_positive/inclusive'.
4. Pour 'confirmed' : appliquer les mesures (bloc/EDD/rapport), fixer la justification.
5. Pour 'inconclusive' : demander des données supplémentaires (document/confirmation d'adresse).
6. Fermez la case, mettez à jour whitelist/blacklist (le cas échéant), joignez evidence.

SOP : Rescrining lors de la mise à jour des listes

1. Démarrage automatique de batch, segments : paiements actifs, risque élevé.
2. Rapport sur les nouveaux matchs, SLA Répartition des cas.
3. Les comptes indirectement liés (RCA) sont dans une file d'attente distincte.

SOP : Communication avec le joueur/partenaire

1. Formulation neutre, sans divulgation de critères internes.
2. Calendrier et liste des documents demandés (si nécessaire EDD).
3. Fixez les communications dans la mallette, les rappels et les doublures.

11) Vie privée, sécurité, audit

RBAC/ABAC : l'accès aux détails des matchs et des documents est réservé à Compliance/MLRO.
Rétention : conserver les résultats et l'évidence selon les délais de compétence ; auto-nettoyage.
Cryptage : in transit/at rest ; clés dans HSM/Vault.
Audit : journal de lecture/décisions, versions des règles/seuils, résultats des tests automatiques.

12) Dashboards et métriques

Screening Aperçu : volume des vérifications, taux de hit par segment, proportion de fuzzy.
Qualité : Presse/Recall cas confirmés, Taux positif faux, Time-to-Triage (P50/P95).
Latency : temps de réponse des fournisseurs, file de recadrage.
Drift : changement des distributions nom/géo, augmentation de la proportion de correspondances incertaines.
Conformité : respect de l'ALS sur les rapports et les escalades.

• Precision sur les sanctions ≥ 95 %, PEP ≥ 90 %.
• Time-to-Triage (P95) ≤ 24 h (sanctions), ≤ 48 h (PEP/adverse).
• Taux positif faux ↓ QoQ sans perte de Recall.
• SLA de recadrage lors de la mise à jour des listes ≥ 98 % à temps.
• Evidence Completeness ≥ 98%.

13) Chèques-feuilles

• Les sources de liste sont connectées, les versions sont logées.
• La politique de RBA est approuvée, les seuils de fuzzy sont convenus.
• Le processus de triage et les rôles (Compliance/MLRO) sont assignés.
• Intégrations : KYC/KYB/Payments/Case-tool.
• Dashboards et alertes déployés.

• On compare les principaux champs (Nom/Nom/Nationalité/Alias).
• Les sources et la date d'enregistrement ont été vérifiées.
• La décision et les mesures sont fixées ; les notifications ont été envoyées.
• Evidence joint, whitelist/blacklist mis à jour (si nécessaire).

• Les autotests des règles/seuils sont passés.
• Audit trimestriel des décisions (sempling).
• Drift-monitoring est normal ; les seuils ont été révisés.

14) Anti-modèles

« Un seuil pour tous » sans tenir compte de la géo et de la qualité des données.
Absence de journalisation de la version des listes et des motifs de la décision.
Whitelist permanent permanent sans expiration du délai et la raison.
Deux versions de la vérité : solutions Excel et logs séparés dans la vente.
Retards de paiement injustifiés sans ETA et communications.
Rescrining désactivé lors des mises à jour des listes.

15) 30/60/90 - plan

• Approuver la politique SANC-PEP, les seuils de matching, les rôles et les SLA.
• Connecter les fournisseurs de listes ; loger 'list _ version'.
• Inclure trois contrôles de base : 'SIGNUP', 'PRE _ PAYOUT', 'RESCREEN'.
• Développer la gestion de cas, dashboards et evidence-storage.

• Ajoutez RCA/advers media, segments high-risk et VIP.
• Optimiser fuzzy (les translitérations/aliasy), réduire FPR ≥ 20 %.
• Automatiser le recadrage des événements et des mises à jour des listes.
• Inclure l'échantillonnage de qualité et les audits trimestriels.

• Atteindre les objectifs KPI Precision/Recall et Time-to-Triage.
• Intégrer avec AML (EDD/SoF) et payout-gates (source-to-source).
• Inclure le KPI dans l'OKR des commandes, effectuer un audit externe/interne.

16) FAQ

Q : Comment distinguer un homo d'une vraie coïncidence ?
A : Utiliser les champs justificatifs (DR/document/citoyenneté), le contexte par géo et alias ; pour les frontaliers, un triage manuel avec un seuil de confiance.

Q : Faut-il dépister les affiliés et leur UBO ?
A : Oui. KYB est obligatoire : UBO/directeurs + sanctions/RER + médias négatifs ; lorsque l'UBO change, c'est la ré-foi et le rescrining.

Q : Que faire avec une sanction confirmée ?
A : Bloc immédiat, freeze paiement, notifications aux régulateurs/banques sur les exigences de la juridiction, garder le paquet complet evidence.

Q : Pourquoi adverse media s'il y a des sanctions ?
R : C'est souvent un signal de risque précoce (avant les sanctions). Utiliser pour la DDE/surveillance et les restrictions préventives.