Operazioni e Complaens per le procedure KYC e i livelli di verifica

Procedure KYC e livelli di convalida

1) A cosa serve KYC

KYC (Know Your Customer) è la base di una piattaforma iGaming responsabile e sicura: impedisce l'accesso ai minori, riduce i rischi di frode/riciclaggio, supporta i requisiti di licenze e partner di pagamento, protegge la reputazione.

• Confermare l'identità e l'età.
• Valutare il rischio di base del giocatore e impostare le misure risk-based.
• Garantire la tracciabilità delle transazioni e la comunicazione depozit↔vyvod.
• Supportare AML/Secondable Gaming e i requisiti dei provider/regolatori.

2) Principi KYC

1. Risk-Based Approach (RBA) - La profondità del controllo dipende dal profilo (paese, metodi di pagamento, comportamento).
2. Progressive Disclosure raccoglie esattamente quanti dati sono necessari al livello di rischio corrente.
3. Evidence-by-Design - Tutte le soluzioni e i documenti vengono salvati come prove.
4. Privacy-first: minimizzazione dei PDN, occultamento, accesso a tempo e tempo limitati.
5. Re-Verification: controlli ripetuti per gli eventi di rischio (conclusioni, aumento dei limiti, cambio di identità).
6. Esplainable & Consistent: regole ed eccezioni documentate e verificabili.

3) Livelli di convalida (Tiered KYC)

KYC0 - Pre-regolazione/Fricchen-light

Raccolta paese, età (self-attest), email/telefono (OTP).
Pre-sanzione/screening RR per nome/telefono/posta (scarsa fiducia).
Restrizioni: senza depositi/conclusioni, solo una panoramica di contenuti/bonus senza scommesse.

KYC1 - Identificazione di base

Documento di identità (passaporto/ID/acqua. ID) + selfie/biometric liveness (mercato).
Convalida MRZ/Barkod, controllo della data di validità, paese di rilascio.
Controllo dell'età, sanzioni primarie/screening RR.
I limiti di deposito/tasso/conclusione sono di base.

KYC2 - Conferma indirizzo (PoA)

Documento che conferma l'indirizzo (utility bill/estratto conto bancario/registro), KBA se necessario.
Geo-coerenza: IP/dispositivo/metodo di pagamento, indirizzo di registrazione.
Limiti avanzati e accesso all'output.

KYC3 - EDD/ SoF/SoW

I fattori di rischio sono: grandi giri/conclusioni, VIP, pattern sospetti, geo/tecniche ad alto rischio.
La fonte dei fondi (SoF) e la provenienza della fortuna (SoW) sono i redditi, gli stipendi, le tasse, gli estratti conto.
Magari interviste/spiegazioni scritte.
Accesso a limiti elevati/conclusioni accelerate dopo l'approvazione.

4) Innalzatori di livello/Re-KYC

Finanziari: importo dell'output singolo, giro d'affari, frequenti modifiche ai metodi di pagamento.
Comportamento: profilo win/loss anomalo, attività notturna, molte sessioni brevi.
Tecnico: frequente cambio di dispositivi/IP/ASN, proxy/reti ad alto rischio.
Profili: non corrispondenze FIO/indirizzo/data di nascita tra le sorgenti.
Eventi: modifica dei dati di pagamento, aumento dei limiti, connessione del piano VIP.

5) Sanzioni, PEP e media negativi

Screening a: registrazione, completamento di KYC1/2/3, prima del grande output, quando le informazioni vengono modificate.
Rilascia durante l'aggiornamento delle guide (giornaliero/settimanale).
La logica delle coincidenze è fuzzy match con il prossimo triaggio manuale dei casi di confine.
I riferimenti alle sorgenti/valigette sono in evidence.

6) Documenti e alternative

ID/passaporto/acqua. diritti, PoA: conto pubblico, estratto conto bancario, 3 ≤.
Alternative: eID/BankID/API proattive dei provider, KBA (knowledge-based), conferma di microtranazione.
Biometric - Selfie con controllo liveness; memorizzare i modelli di biometrico solo se necessario e in base alle norme locali.
Deviazioni: copie in bianco e nero, documenti scaduti, foto sfocate - regole di deviazione automatica.

7) Data & Privacy

Minimizzazione: chiediamo solo ciò di cui avete bisogno; condividiamo gli artefatti KYC e i dati di gioco/marketing.
Disponibili: RBAC/ABAC, registri di lettura/rilascio di file, watermarks.
Retenschn: giurisdizione/licenza (solitamente 5 + anni dopo l'ultima operazione).
Crittografia: at rest/in transit, chiavi in HSM/Vault, URL temporanei da visualizzare.
Le richieste del soggetto dati sono SLA per l'esportazione/correzione/rimozione entro limiti validi.

8) Controlls-/Policy-as-Code (frammenti)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (sezioni)

SOP Verifica KYC1

1. Controlla l'integrità del pacchetto (ID + selfie, metadati di caricamento).
2. Convalida documento (MRZ/Barkod, scadenza, paese), incrocia FIO/DR.
3. Mappa selfie (faccia match, liveness).
4. Cacciare le sanzioni/RER; in caso di coincidenza con il triage.
5. Assegna KYC1, aggiorna limiti, registra evidence.

SOP: KYC2 (PoA)

1. Controlla il documento per 90 giorni, indirizzo in formato/lingua valido.
2. Mappare l'indirizzo a IP/dispositivo/metodi di pagamento.
3. Distribuisci KYC2, estendi limiti/conclusioni, scrivi evidence.

SOP: EDD/SoF (KYC3)

1. Richiedi un elenco di documenti (stipendi/tasse/estratti conto) e spiegazioni.
2. Mappare gli importi/le frequenze/le origini al giro e al profilo.
3. Decisione approvare/limitare/chiudere; in caso di sospetto, processo SAR/AML.
4. Aggiorna profilo di rischio, limiti, evidence.

10) Integrazioni

Provider KYC: IDV, PoA, biometrico, sanzioni/RER (batch + event-driven).
Payments: source-to-source, velocity, hold fino al completamento di KYC.
AML/Case-management - Tessera collaborativa del giocatore, States, SLA.
CRM/Support: modelli di comunicazione, stati KYC, ETA e avvisi.
DWH/BI: vetrine degli eventi KYC, report sui periodi di licenza.

11) KPI/OKR

• KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• Auto-pass Rate (senza partecipazione manuale), Manuale Tail (parte manuale).
• Sanction/PEP Hit Rate e Precision per valigette confermate.

• False Reject Rate documenti, Doc Quality Fail%.
• Mismatch IP/Address frequenza, Payout Blocked due to KYC (tempo medio prima dello sblocco).
• Evidence Completeness ≥ 98%.

• KYC Drop-off per passo, CSAT/NPS per processo KYC.

12) Assegno fogli

• Consenso/regole dei dati accettati.
• È stato effettuato uno screening di sanzioni primario.
• I canali di comunicazione sono stati confermati (OTP/email).

• Validen ID e selfie, superato liveness.
• Corrispondenza FIO/DR/Paese.
• Sanzioni/RER: «clear» o percorso di triage.

• fresco e leggibile; L'indirizzo è normale.
• Geo-coerenza (IP/dispositivo/metodo di pagamento).

• Pacchetto completo di documenti, gli importi corrispondono al giro d'affari.
• La soluzione e la giustificazione sono fissati (evidence) e il profilo di rischio è stato aggiornato.

• Causa e data, blocchi/limiti applicati correttamente.
• La comunicazione al giocatore è stata inviata (ETA/passi).

13) Anti-pattern

Verifica universale «pesante» per tutti: guasti e costi elevati.
Controlli manuali senza SLA/cassetti e doppio controllo.
Conservazione di biometrici/documenti privi di fondamento e ritensh.
Nessun collegamento con i pagamenti: il ritiro è possibile prima di KYC2/3.
Nessuna restrizione di sanzioni e eventi re-KYC.
Due versioni della verità: KYC in Excel e dati delle transazioni in DWH senza attracco.

14) 30/60/90 - Piano di implementazione

• Approva il criterio KYC (tiers, trigger, SLA, retensh).
• Connetti IDV/sanzioni/PEP, avvia KYC1 e PoA.
• Configura Controlls-as-Code: re-KYC al payout-change, recrining delle sanzioni.
• Abilita lo storage evidence e RBAC.

• Processi EDD/SoF, champlon delle comunicazioni e case-management.
• Integrazione con i pagamenti (source-to-source, velocity), unità auto fino a KYC2/3.
• Dashboard KPI (TAT, Auto-pass, Manuale Tail, Hit-Rate).
• Il pilota biometrico liveness/BankID (dove disponibile).

• Riduzione di Manual Tail del 30%, KYC1 median TAT del target, False Reject .
• Regolamento re-KYC e recrining delle sanzioni, controllo della conformità.
• Riferimento KPI ai comandi OKR (Compliance/Ops/Payments/Support).

15) FAQ

Q: Quando richiedere l'indirizzo (PoA)?
A: Al raggiungimento della soglia di depositi/conclusioni, non conformità geo/metodo o in base ai requisiti del paese/licenza.

Quand'è che hai bisogno di un SoF/SoW?
A: A giri elevati/VIP, anomalie, geo/metodi ad alto rischio, prima del grande output.

Q: Come ridurre i guasti di KYC?
A: Suggerimenti mobili/ocr-convalida, requisiti di fotografia comprensibili, supporto per la BankID/eID, suddivisione in passi, feedback rapido.

Come proteggere la privacy?
A: Minimi, crittografia, rigidi RBAC/registri di accesso, ritocco automatico e criteri di rimozione.