Operazioni e Complaens → Screening delle sanzioni e filtraggio PEP
Screening delle sanzioni e filtraggio PEP
1) Obiettivo e area
Ridurre i rischi legali/finanziari e garantire che le licenze siano conformi a persone/organizzazioni sanzionate, identificare PEP e persone collegate, tenere conto dei media negativi e adottare misure proporzionali. Si applica ai giocatori (KYC), ai partner (KYB), ai provider e ai dipendenti con accesso a PDN/finanza.
2) Termini e copertura
Sanzioni: restrizioni o restrizioni all'interazione con persone/organizzazioni/tribunali/tribunali.
PEP (Politically Exposed Person) - I funzionari pubblici e le persone collegate più vicine (RCA).
Adverse media: pubblicazioni molto negative (frodi, corruzione, ecc.).
Match: corrispondenza di una voce di profilo con una voce di elenco (esatta/probabile).
RCA (Relations & Close Associates) - coniuge, figli, partner d'affari, ecc.
3) Principi
1. Risk-Based Approach (RBA) - La profondità del controllo e la frequenza dipendono dal profilo di rischio (paese, metodo di pagamento, importo, ruolo).
2. Esplainable Matching: le regole di confronto sono trasparenti Conserva la giustificazione della decisione.
3. Evidence-by-Design: ogni «colpo/disattivazione» è accompagnato da manufatti.
4. Privacy-first: minimo PDN, disponibilità rigorose, restrizioni di legge.
5. Continuous Screening - Gli eventi sono stati resi immediati; Controlli periodici su batch.
6. One Source of Truth: un unico registro dei risultati dello screening e delle soluzioni (audittrail).
4) Origini e aggiornamenti
Liste di sanzioni e controllo: globali/regionali/nazionali; settore/territorio; elenchi trasportatori/navi (se necessario).
PEP/RCA: su più livelli (nazionali/regionali/internazionali).
Adverse media: sorgenti aggregate con categorizzazione dei rischi.
Aggiornamenti giornalieri/settimanali; memorizzare la versione del manuale e l'ora di download.
5) Criterio di screening (ossatura)
Quando si verifica: registrazione, prima del primo deposito/ritiro, quando si modificano le informazioni di pagamento, si raggiungono le soglie di circolazione, quando si cambia il profilo/indirizzo/documento, quando si aggiornano gli elenchi.
I giocatori (KYC), i partner/provider (KYB), i dipendenti con disponibilità (HR/KC).
Ciò che facciamo in caso di coincidenza è che il triage è la conferma, l'esclusione/l'escalation della misura: guasto/hold/EDD/chiusura.
yaml policy_id: SANC-PEP-POL-001 scope: players, partners, employees triggers:
- on_event: signup, pre_deposit, pre_payout, kyc_update, payout_destination_change
- on_list_update: sanctions pep adverse_media risk_bands:
low: [EU_ trusted methods]
high: [high_risk_geo, multiple_payment_methods, turnover>threshold]
actions_by_match:
sanctions_confirmed: block_all & report & freeze_payouts pep_confirmed: edd & enhanced_monitoring adverse_media_high: manual_review & edd review_sla_days: 180 owner: head_of_compliance6) Algoritmi di mappatura (matching)
Mappatura esatta: FIO + DR/documento/paese.
Mappatura fuzzy: tornizzazione, normalizzazione, traslazione/aliassi, distanze di riga; fonetica (ad esempio Soundex/Metaphone-simili).
Peso contestuale: data di nascita> cittadinanza> indirizzo> alias> paese.
Riduce le corrispondenze false: «must-have», le soglie di somiglianza per tipo di nome, ignora le parole frequenti.
Sensibilità per geo: per high-risk geo - al di sotto della soglia sulla scansione fuzzy.
Elenchi bianchi con scadenza: eccezioni temporanee (whitelist) con motivo e scadenza.
7) Trigger di recrining
Aggiorna la versione degli elenchi.
Eventi profilo: cambia FIO/indirizzo/documento, nuovo metodo di output.
Soglie/giro, aumento dei limiti, stato VIP.
Segnali AML/Risk: velocity, non corrispondenza source-to-source, device/IP anomalie.
8) Integrazioni e dati
KYC/KYB: provider IDV/Dock Check-In; UBO/Direttore dei soci.
Payments: blocco pre-payout e allineamento hold/reverse.
Case-management: carte di partita, stato e registro delle soluzioni.
DWH/BI: vetrine hit-rate/precision/deriva di qualità.
9) Controlls-as-Code (sezioni)
Screening primario durante la registrazione/output:yaml control_id: SANC-PEP-SIGNUP scope: player_profile trigger:
expr: event in {signup, pre_deposit, pre_payout}
actions:
- screen: sanctions pep adverse_media
- block: payout if match_score>=0. 85 until triage_done evidence:
fields: [list_version, query_payload, top_matches]
owner: compliance_opsyaml control_id: SANC-PEP-RESCREEN scope: population trigger:
expr: sanctions_list. version_changed==true OR pep_list. version_changed==true actions:
- enqueue: rescreen_batch(population_segments=[high_risk, active_payouts])
- notify: compliance_channelyaml control_id: PEP-MONITOR-01 scope: players trigger:
expr: pep_status==confirmed actions:
- require: edd & source_of_funds
- monitor: payouts frequency>=weekly
- set: limits=pep_limits_schemayaml control_id: ADV-MEDIA-HI scope: players partners trigger:
expr: adverse_media. severity in {high, severe}
actions:
- flag: manual_review
- limit: payouts "hold_24h"
- collect: additional_evidence10) SOP (sezioni)
SOP: Triaggio della corrispondenza delle sanzioni/RER
1. Controlla il contesto: FIO/DR/cittadinanza/alias/documento.
2. Controlla origini (ID record, data di aggiornamento, stato legale).
3. La soluzione è «confirmed/false _ positive/inconclusive».
4. Per «confirmed»: applica le misure (block/EDD/report), fissa la giustificazione.
5. Per «inconclusive» - Richiedi informazioni aggiuntive (documento/conferma indirizzo).
6. Chiudi la valigetta, aggiorna whitelist/blacklist (se applicabile), applica evidence.
Recrining durante l'aggiornamento degli elenchi
1. Avvio automatico del battello, segmenti: pagamenti attivi, high-risk.
2. Rapporto sulle nuove partite, SLA distribuzione valigette.
3. Account collegati indirettamente (RCA) - in una coda separata.
SOP Comunicazione con il giocatore/partner
1. Termini neutrali, senza rivelazione di criteri interni.
2. Data e elenco dei documenti richiesti (se necessario per EDD).
3. Fissazione delle comunicazioni nella valigetta, promemoria e deadline.
11) Privacy, sicurezza, controllo
RBAC/ABAC - Solo Compliance/MLRO ha accesso ai dettagli delle partite e ai documenti.
Retenschn: conservare i risultati ed evidence secondo i tempi giurisdizionali; pulizia automatica.
Crittografia in transit/at rest; chiavi in HSM/Vault.
Controllo: cronologia di letture/soluzioni, versioni di regole/soglie, risultati di autoveicoli.
12) Dashboard e metriche
Screening Overview: quantità di controlli, hit-rate per segmento, fetta fuzzy.
Quality: Precision/Recall valigette confermate, False Positive Rate, Time-to-Triage (P50/P95).
Latency: tempo di risposta dei provider, coda di recrining.
Drift: cambia la distribuzione dei nomi/geo, aumenta la percentuale di corrispondenze non chiare.
Conformità SLA per report e scalate
KPI/OKR (idee di destinazione):- Precision per le sanzioni 95%, PEP 90%.
- Time-to-Triage (P95): 24 ore (sanzioni), 48 ore (PEP/adverse).
- False Positive Rate senza perdere Recall.
- Il recrining SLA è stato aggiornato al 98% in tempo.
- Evidence Completeness ≥ 98%.
13) Assegno fogli
Screening onboording:- Le sorgenti di elenco sono connesse e le versioni sono logiche.
- Criterio RBA approvato, soglie di fuzzy concordate.
- Il processo e i ruoli di triage (Compliance/MLRO) sono assegnati.
- Integrazioni: KYC/KYB/Payments/Case-tool.
- Dashboard e alert sono dispiegati.
- Sono stati mappati i campi chiave (FIO/DR/cittadinanza/alias).
- Sorgenti e data di scrittura verificate.
- La soluzione e le misure sono fissate; notifiche inviate.
- Evidence è allegato, whitelist/blacklist aggiornato (se necessario).
- Le regole e le soglie sono passate.
- Controllo trimestrale delle soluzioni (semilibertà).
- Il monitoraggio Draft è normale; le soglie sono riviste.
14) Anti-pattern
«Una soglia per tutti», senza considerare geo e qualità dei dati.
Nessun registro della versione degli elenchi e delle basi della soluzione.
Permanente permant whitelist senza scadenza e senza motivo.
Due versioni della verità: le soluzioni Excel e i singoli logi in vendita.
Ritardi ingiustificati dei pagamenti senza ETA e comunicazioni.
Restrining disattivato durante gli aggiornamenti degli elenchi.
15) Piano 30/60/90
30 giorni (fondamenta):- Approva criterio SANC-PEP, soglie matching, ruoli e SLA.
- Connetti i provider di elenco logge'list _ variante '.
- Attiva tre controlli di base: SIGNUP, PRE _ PAYOUT, RESCREEN.
- Espandere la valigetta, i dashboard e il deposito evidence.
- Aggiungi i media RCA/Adwers, i segmenti high-risk e VIP.
- Ottimizza fuzzy (trasmissioni/aliassi), riduce FPR del 20%.
- Automatizza il recrining in base agli eventi e agli aggiornamenti degli elenchi.
- Abilita i controlli di qualità e trimestrali.
- Raggiungi KPI Precision/Recall e Time-to-Triage.
- Integra con AML (EDD/SoF) e payout-gate (source-to-source).
- Abilita KPI nei comandi OKR, esegue un controllo esterno/interno.
16) FAQ
Come distinguere un singolo uomo da una vera coincidenza?
A: Utilizzare campi di conferma (DR/documento/cittadinanza), contesto per geo e alias; per i frontalieri, triaggio manuale con soglia di sicurezza.
Dobbiamo scansionare gli affiliati e la loro UBO?
A: Sì. KYB è obbligatorio: UBO/direttori + sanzioni/RER + media negativi; quando si modifica UBO - re-fede e recrining.
Q: Cosa fare con una sanzione confermata?
A: blocco immediato, pagamenti freeze, notifiche a regolatori/banche su requisiti di giurisdizione, conservazione del pacchetto completo di evidence.
Q: Perché adverse media se ci sono sanzioni?
A: Spesso è un segnale di rischio precoce (prima delle sanzioni). Utilizzare per il monitoraggio EDD e le restrizioni preventive.