GH GambleHub

AML-politica e lotta al riciclaggio di denaro

1) Destinazione e copertura

Lo scopo della politica AML è prevenire il riciclaggio dei profitti criminali e il finanziamento del terrorismo, garantire la conformità ai regolatori e proteggere la piattaforma, gli attori e i partner. La politica si applica a tutti i legali del gruppo, dipendenti, team esterni e terzi (PSP, affiliati, provider di contenuti) che interagiscono con i flussi di cassa e i dati dei clienti.

Copertura:
  • Prodotti: casinò/scommesse, trasferimenti P2P, tornei, bonus/cache, servizi di marketing.
  • Canali: web, applicazioni mobili, API integrazioni, cripto-on/rampe.
  • Geografie: tutti i paesi/stati serviti in base ai requisiti locali.

2) Supporto e principi normativi

Il fulcro della politica sono le linee guida FATF (approccio orientato al rischio, KYC/KYB, sanzioni, monitoraggio, report), le leggi locali AML/CFT (Europa - direttive AMLD, Regno Unito - MLR, Stati Uniti - BSA/Patriot Act, ecc.) e i requisiti di protezione dei dati (GDPR/simili).

Principi di base:
  • RBA (Risk-Based Approach) - Le risorse si concentrano su rischi più elevati.
  • Proportionality: le misure sono conformi al rischio client/transazione/prodotto.
  • Accountability: fissazione, verifica e tracciabilità delle soluzioni.
  • Privacy by Design: minimo dati, legittimità di elaborazione, protezione.

3) Ruoli e responsabilità (gestione)

Board/Consiglio di Amministrazione: approva politica, rischio-appetito, rapporto periodico.
Gestione Senior: fornisce risorse, KPI, implementazione.
MLRO/AML Officer: proprietario del processo, report ai regolatori, SAR/TR, metodologia di monitoraggio, interazione con LEA.
Compliance Team: KYC/KYB, sanzioni/RER, gestione valigetta, formazione.
Risk & Analytics: modelli di sketch, script, calibrazione delle regole.
Engineering/Security: integrazione di provider, login, controllo degli accessi, crittografia.
Operations/Payments: controllo delle conclusioni, controlli manuali, qualità dei dati.

RACI (упрощенно): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4) RBA - Modello di rischio

Componenti profilo:
  • Cliente (paese, residenza, professione, RER/sanzioni, rischio comportamentale).
  • Prodotto (casinò/scommesse, P2P, cripto, limiti elevati, cross border).
  • Canale (online onboording, nessuna presenza, strumenti anonimi).
  • Geografia (giurisdizioni ad alto rischio, modalità di sanzioni).
  • Transazioni (volume, velocità, schemi di incasso).

Valutazione: screening iniziale + fattori dinamici (cronologia, dispositivi, pattern) segmentazione a basso/medio/alto rischio e scelta di livello di misure: CDD/EDD/SOW.

5) KYC/KYB e screening sanzionatorio (associazione AML)

KYC per individui: documento + liveness, indirizzo, età, sanzioni/RER, Adverse Media.
KYB per aziende/affiliati/provider: registrazione, UBO/direttori, sanzioni/RER, verifica delle attività e delle fonti di fondi.
Sanzioni/RER: screening primario e periodico, partita di fuzzy, clearing manuale.
SOW/SOF: con limiti e anomalie elevati, conferma la provenienza dei mezzi/ricchezza.
RE-KYC - Pianificato ed evento (trigger).

6) Monitoraggio delle transazioni e analisi comportamentali

Script (rule):
  • Un rapido ciclo di deposito non ha alcun rischio di gioco.
  • Spiegamenti per importo/frequenza, frazionamento dei pagamenti («smurfing»).
  • Paese IP/BIN/indirizzo non corrispondente, frequente cambio di metodo di pagamento.
  • Traffico notturno/di massa non comune, cluster di periferiche (device graph).
  • Uso di anonimi/VPN, aziende proxy, sostituzioni di sistema operativo/browser.
  • Cartoni di bonus sospetti, multi - accunting, cicli di charjback.

ML/modelli comportamentali: anomalie probabilistiche, collegamenti grafici, rischio-scansione giocatori/affiliati, segmentazione high-roller.

Gestione case: generazione di alert, qualifica, richiesta di documenti/spiegazioni, soluzione (escalation/blocco/SAR).

7) Bandiere rosse (specifica iGaming)

Depositi regolari da terzi/un sacco di carte singole per giocatore.
P2R/traduzioni di torneo tra account collegati.
Forte coerenza dei profili (età, professione vs giro).
Migrazione tra giurisdizioni senza spiegazioni.
Incassi sistematici senza attività di gioco o con margini minimi.
Tentativi di aggirare i limiti del CUS/conclusioni/bonus, «fattorie» account.
Afiliati con una fonte di traffico non chiara o .

8) SAR/TR - Indagini e rapporti interni

La soglia del sospetto è «sospetto fondato», indipendentemente dalla somma.
Processo: l'alert raccoglie i fatti, la soluzione MLRO, il lancio SAR/STRR entro il termine, senza «tipping-off».
Escalation: blocco temporaneo, congelamento dei fondi su richiesta LEA/regolatore, piano di comunicazione con il cliente.
Documentazione: timeline degli eventi, origini dati, azioni del team, decisioni e giustificazioni.

9) Storage e sicurezza

Tempi: di solito almeno 5 anni dopo la fine della relazione (chiariti localmente).
Storage di destinazione: profili, documenti, alert, SAR/TR, registro di accesso, base di prova.
Sicurezza: crittografia at-rest/in-transit, HSM/segreto-storage, RBAC/ABAC, registri invariati (WORM), monitoraggio dell'accesso e delle attività dei dipendenti.

10) Formazione, controllo qualità e controllo

Formazione annuale per tutti, approfondita per i dipendenti a rischio-funzione test e certificazione.
QA/diagnostica: valigette selettive, controlli doppi (4-eyes), retro per soluzioni errate.
Verifica interna: valutazione indipendente della conformità, dei requisiti di regolazione e dell'efficacia dei processi.
Stress-test - esercizi di incidenti (sanzioni, grande tipologia, alert di massa).

11) Cripto e VASP (se applicabile)

Travel Rule - Condivisione degli attributi del mittente/destinatario tra i provider.
L'analista Blockchain è un gruppo di indirizzi a rischio, cluster, icone di sanzione/mixer.
Controllo rampe: corrispondenza del proprietario del portafoglio, corrispondenza dei dati, limiti e registro degli indirizzi esterni.
Le dinamiche dei prezzi/volatilità sono le regole specifiche sugli importi, l'etichettatura delle conversioni «insolite».

12) Interazione con terzi

PSP/banche/provider KYC: contratti, SLA, DPIA, test-roadmap.
Affiliati: KYB, monitoraggio della qualità del traffico, proibizione delle fonti di rischio, controllo post-click.
Relazioni corrispondenti: verifica approfondita dei partner, revisione periodica.

13) Architettura AML (raccomandazioni)

Integrazioni: provider CUS/sanzioni, PSP, antifrode, blockchain analyst.
Bus eventi: tutte le transazioni/eventi entrano nel flusso (Kafka/analogo) con lo storage invariato.
Motore delle regole + ML: scorrimento online (millisecondi) e revisione offline (batch/near-real-time).
Sistema case: code di priorità, modelli di query client, SLA, integrazione con posta elettronica/messaggistica.
Osservabilità: fogli, metriche, tracciabili; la versione delle regole/modelli e i relativi effetti.
Degrado: semplificazione sicura (fail-open/close), pacap provider, retrai/quorum.

14) Metriche e KPI di efficienza

SAR Conversion Rate: percentuale di alert diventati SAR/STRR.
Time-to-Alert/Time-to-Decection - Velocità dei dettagli e soluzione.
False Positive Rate/Precision-Recall in alert.
Coverage: percentuale di transazioni monitorate/screening.
Rework/Appeals: quota di valigette con revisione della soluzione.
Training Complition:% dei dipendenti con formazione aggiornata.
Vendor SLA: farmacia fornitore di servizi, TTV CUS/sanzioni.

15) Assegno fogli

Onboarding del cliente:
  • KYC/KYB, età/geo, sanzioni/RER, Adverse Media.
  • Scansione RBA, limiti di base, dispositivo di fingerprint.
  • Consenso, privacy, informazioni sui controlli.
Prima dell'output/del limite elevato:
  • Nuovo screening sanzionatorio, SOF/SOW se necessario.
  • Mappatura del proprietario dello strumento di pagamento.
  • Verifica comportamentale e cronologia delle transazioni.
Processo SAR/START:
  • Raccolta di fatti e documenti.
  • Conclusione interna MLRO.
  • Invio di un rapporto entro la data di scadenza; divieto di tipping-off.
  • Post-mare, aggiornamento delle regole/modelli.

16) Errori tipici e come evitarli

Casella di spunta cieca KYC senza RBA: rinforza l'analisi dinamica e i limiti.
Nessun feedback nei modelli: implementare un loop di apprendimento (decection d'outcome).
«Deriscing» al posto della gestione dei rischi: usate EDD/SOW e limiti controllati, non bani totali.
Non tenere conto delle regole/sanzioni regionali: supporta i profili geo.
Il registro delle soluzioni è debole: standardizzare le giustificazioni e la conservazione degli artefatti.

17) Modello di struttura delle regole AML (per il wiki)

1. Introduzione e ambito

2. Definizioni e termini (AML/CFT, CDD/EDD, SOF/SOW, PEP, ecc.)

3. Regole e collegamenti alle leggi locali

4. Gestione e ruoli (Board, MLRO, RACI)

5. Metodologia RBA e rischio-appetito

6. KYC/KYB e screening sanzionatorio

7. Monitoraggio delle transazioni (rule + ML) e gestione della valigetta

8. Le bandiere rosse e gli script

9. Procedure SAR/TR e interazione con i regolatori/LEA

10. Storage, privacy, sicurezza

11. Formazione del personale e consapevolezza

12. Venditori e terzi (SLA, auditing)

13. Controllo, QA e miglioramento continuo

14. Applicazioni: fogli di assegno, moduli, modelli di posta, metriche

18) Esempio di matrice di rischio (frammento)

FattoreBassoMediaAlto
GeoGiurisdizione a basso rischioProfilo mistoAlto rischio/sanzione
ProdottoF2P/limiti bassiCasinò/scommesse con limiti mediP2R/cripto/limiti elevati
ClientRedditi stabili, senza PEPNon corrispondenze, file sottilePEP/Adverse Media/anomalie
TransazioniRigheSpieghe, frantumazioneCicli rapidi cash-out, terze parti

Risultato: rischio basso/medio/alto di misura: CDD/EDD + SOF/SOW/restrizioni/uscita.

19) Piano di implementazione e manutenzione

Identificare i proprietari di processi e SLA.
Mappa delle integrazioni (PSP, KYC, sanzioni, analisi).
Avvia con un set di regole di base + controllo FP/FN.
Calibrazione trimestrale degli scenari, revisione annuale delle politiche.
Programmi di studio e controllo dei risultati.
Rapporti regolari Board/Management (KPI, incidenti, cambiamenti nei rischi).

Totale

Una politica AML efficace non è un documento sullo scaffale, ma un ciclo vivo, ovvero una valutazione dei rischi, un controllo, un monitoraggio, un'indagine, un rapporto e un miglioramento. Costruisci un processo attorno a RBA, assicuri un forte KYC/KYB e un circuito sanzionatorio, implementi un monitoraggio qualitativo delle transazioni con la valigetta e rispetti la disciplina di conservazione, formazione e verifica, riducendo i rischi regolatori e di reputazione, mantenendo al contempo la conversione e la sostenibilità aziendale.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.