Niveaux KYC et limites de portefeuille

1) Pourquoi le portefeuille KYC niveaux et limites

• Conformité AML/CFT, sanctions, normes d'âge ;
• limiter les pertes sur les frods/chargbacks/erreurs ;
• Croissance sécurisée de LTV en « déverrouillant » les fonctions lors de la mise à niveau de KYC.

Principe : plus le niveau KYC est élevé, plus les limites (top-up/spend/payout/balance) sont élevées, plus la géographie et les rails disponibles (A2A, cartes, bons) sont larges, plus les barrières aux opérations répétées et aux paiements accélérés sont faibles.

2) Échelle type KYC (contenu approximatif des niveaux)

Niveau 0 - Invité/Anonyme (Lite/Unverified)

Données : email/téléphone, pays de base/IP/appareil.
Accès : affichage limité, parfois micro-paiements/réception de traductions.
Limites : minimum (bas per-txn et jour), pas de paiement/retrait.
Contrôles de risque : velocity/géo rigide, anti-multi-account.

Niveau 1 - Simplifié

Données : Nom, date de naissance, adresse/pays, vérification du téléphone/courrier.
Documents : parfois pas nécessaire, ou auto-vérification par base (liveness/ID-guess).
Accès : top-up en petites sommes, P2P à l'intérieur du régime, limité à pay-in.
Limites : Faible per-txn/24h/7d/30d ; payout est limité.

Niveau 2 - Standard (Full KYC/ID & Address)

Données : document d'identité (passeport/ID), selfie-liveness, confirmation d'adresse (lettre bancaire/utilitaire).
Accès : tous les principaux payeurs, P2P, cash-out à la banque/carte où autorisé.
Limites : moyenne/haute per-txn et périodique ; au-dessus de l'équilibre-cap.

Niveau 3 - Avancé/Professionnel (EDD)

Dop. Données : Proof of Funds/Source of Wealth, statut professionnel/professionnel, bénéficiaires (pour les comptes d'entreprise).
Accès : gros chiffres d'affaires, paiements accélérés, comptes multi-devises, traitement prioritaire.
Limites : élevées ou individuelles ; Seuils personnalisés pour pay-in/payout/balance/FX.

Niveau VIP/High-Net-Worth/Entreprise

Conditions individuelles, gestionnaire, listes blanches des bénéficiaires/pays, accords de paiement SLA.
Les limites et les contrôles sont contractuels, avec une surveillance accrue des anomalies.

3) Types de limites (quels paramètres concevoir)

Per-transaction (MAX_TXN) - plafond d'une opération.
Daily/7d/30d (ROLLOVER caps) - fenêtres glissantes par top-up/dépenses/sorties/volume P2P.
Balance cap est le maximum de fonds sur le portefeuille.
Channel caps - seuils séparés par carte/A2A/bons/crypto-on-ramp (le cas échéant).
Recipient/Counterparty caps - sur les nouveaux bénéficiaires/non testés, limites pour le premier paiement.
Velocity est le nombre de tentatives/échecs, le taux de changement des appareils/méthodes.
Geofencing - pays/devises/rails autorisés (listes allow/deny).
Risk tier multipliers - coefficients de limite par étiquette de risque client/session.
Merchant/vertical caps - profils pour MCC sensibles (iGaming/quasi cache/codes numériques).

4) Règles de mise à niveau de niveau (progression)

Déclencheurs : atteindre 70-90 % de limite par fenêtre, tentative de paiement, entrée dans la verticale sensible, demande d'amélioration de l'équilibre.
Étapes : afficher la liste de vérification des documents, l'ETA, le statut de vérification, les alternatives (par exemple, A2A au lieu des cartes).
Automatisation : récupération automatique des données des bureaux de crédit (si légal), vérification répétée de l'adresse/de l'âge.
La dégradation du niveau : à l'activité suspecte → temporaire даунгрейд des limites, холд des paiements, EDD.

5) Antifrod/AML et liens avec les limites

PEP/Santé screening : à l'onbording et à l'horaire, au changement de données, avant les gros payout.
Adverse media et les listes noires des appareils/cartes/IBAN/BIN.
Scénarios STR/SAR : alertes automatiques et contrôles manuels en cas d'anomalie (structuration, P2P cyclique, « mollah »).
Behavioral & device : fingerprint, émulateurs, proxy/VPN, ligaments de compte.
SCA/Step-Up : si les seuils soft sont dépassés, authentification, retard de sortie, demande PoF/SoW.
Age-gating et RG (pour iGaming) : vérification de l'âge, auto-exclusion, limites du jeu responsable.

6) Architecture « moteur de limite » (moteur de politique)

Design goals : configurabilité, explication des solutions, idempotence et audit.

1. Catalogue : niveaux KYC, pays, devises, canaux, profils MCC, listes de sanctions/RER (cache avec TTL).

2. Moteur de politique : règles déclaratives (par exemple CEL/JSON/YAML), priorités, version des règles, tests AB.

3. Rate-limit/Windowing : stockage de compteurs (Redis/Scylla), fenêtres coulissantes, atomicité.

4. Risk scoring : fiches appareil/comportement/canal, modèle (score), mapping score→multiplikatory limites.

5. L'API de décision : 'canTopUp/pay/payout ?' → une réponse motivée ('reason _ code', 'next _ required _ action').

6. Explainability : Journal des règles, quel seuil a fonctionné, quel document est nécessaire.

7. Admin UI : modification des seuils/règles avec versioning et appât à deux étages.

8. Audit/Trail : journal de décision immuable (hash-chain), stockage des versions des règles.

• Idempotentialité au niveau des mandats et des demandes limites.
• Fiabilité : quorum/réplique, dégradation par « défaut sécurisé » (mieux vaut une défaillance qu'un dépassement de limite).
• Observabilité : métriques hit-rate selon les règles, proportion step-up, temps moyen de décision.

7) modèles UX (limites transparentes = moins de tiquets)

Label de niveau dans le profil et à la caisse : « Basic/Verified/Pro ».
Limite restante : « Vous pouvez remplir avant X aujourd'hui » + date de réinitialisation de la fenêtre.
Raison de l'échec : « Dépassement de la limite journalière de niveau 1 » → bouton « Augmenter le niveau ».
On-page KYC : téléchargement de documents sans départ de chekout, conseils étape par étape, exemple de photo.
Verrouillage doux : lors du premier refus - méthodes alternatives (A2A/portefeuilles locaux), paiement partiel, split.
Payout-safety : avertissements lors du premier retrait sur un nouveau compte, hold-up avant de passer EDD.

8) Exemple de matrice de limites (modèle simplifié)

9) Caractéristiques pour iGaming et les verticaux sensibles

Géo/licences : afficher le portefeuille/les paiements uniquement dans les pays/états autorisés.
Jeu responsable : propres limites du joueur (dépôts/consommation/temps), cooling-off, auto-exclusion - synchroniser avec les limites du portefeuille.
Bonus-abyse : seuils distincts pour les nouveaux comptes, interdiction de retirer instantanément des fonds bonus, step-up pour les « équivalents cache ».
Contrôle de payout : EDD renforcé sur les gains importants, report des paiements jusqu'à settlement, vérification de la source des fonds.

10) Métriques et alertes

Taux approval par niveaux/canaux/géo.
Decline breakdown : limites vs risque vs technique. erreurs.
Taux Step-Up et conversion KYC-upgrade (view→start→submit→pass).
Payout hold time, part d'escalade dans EDD, partager VIP.
Taux de SAR/STR, déclenchement des sanctions/RER.
Complaint/ODR pour des raisons de « limite/vérification ».
Alertie : sursaut de refus sur une règle/un pays/un BIN/un appareil en particulier.

11) Chèque-liste de sortie dans la prod

1. Modèle des niveaux et matrice des limites dans le service config ; le versioning et le recul.
2. Moteur de politique avec explain-logs et idempotence des solutions.
3. Fournisseurs KYC : ID-vérification, livness, adresse, sanctions/RER, adverse media.
4. Risk-scoring et velocity-limites en temps réel (faibles retards).
5. UX : limites transparentes, on-page KYC, alternatives en cas de panne.
6. Payout-gates : holds/step-up pour les nouveaux destinataires et les sommes importantes.
7. AML/Conformité : procédures EDD, playbooks STR/SAR, stockage des registres/preuves.
8. Observabilité : Dashboards par limite/CUS/risque, alertes pour les racynchrons et dégradation des fournisseurs.
9. Pack test : e2e pour tous les niveaux (succès/échec par limite), escalade en EDD, changement de documents, dégradation des services KYC, échauffement des guichets.

12) Réponses rapides pour Sapport

Pourquoi refuser ? - Dépassement de la limite journalière Level X. Augmentation disponible : télécharger le document Y.
Quand la limite sera-t-elle réinitialisée ? - Après N heures (nous affichons l'heure exacte de la fenêtre).
Pourquoi ne pas le retirer ? - Nouveau destinataire/compte, besoin de step-up/attente N heures.
Comment augmenter le niveau ? - Bouton « Augmenter », liste de documents, ETA, statut de vérification en temps réel.

Résumé

Construisez les limites de portefeuille comme une configuration + moteur de politique liée aux niveaux KYC et à l'évaluation des risques. Rendre transparentes les causes des pannes, offrir une mise à niveau KYC et d'autres rails. Pour iGaming - En outre, mettre en œuvre les limites du jeu responsable, le contrôle de payout dur et la surveillance des sanctions/RER. Une forte observabilité (métriques, explain-logs, alertes) transforme les limites d'un « frein » en un levier de croissance et de sécurité contrôlé.