AML-мониторинг және ережелер

1) AML-мониторинг мақсаттары және RBA қағидаты

• placement → layering → integration паттерндерін ерте анықтау.
• Реттеушілік және төлем тәуекелін төмендету (банктер/PSP, карта схемалары).
• risk-based approach (RBA) үйлесімділігі: бақылау тереңдігі және реакция жылдамдығы клиенттің профиліне/гео/өнімге және сомаға байланысты.

2) Тәуекелдер картасы: модельде не ескереміз

Клиенттің тәуекелі (KYC): шот жасы, Tier/KYC/EDD, SoF/SoW, PEP/adverse media.
Гео/юрисдикциялар: санкциялар, FATF жоғары тәуекелі, кросс-бордер бағыттары.
Төлем әдістері: карталар (MCC 7995), A2A, әмияндар, крипто (кіру/шығу).
Байланыстардың тәртібі мен бағандары: жалпы IP/құрылғылар/төлем құралдары (мультиаккаунт/мула).
Транзакциялар және қаражат қозғалысы: velocity, сома, жиілік, time-to-withdrawal.
Ойын контекст: депозиттер → қысқа белсенділік → шығарылым; сессиялардың аномалды кірістілігі.

3) AML-мониторинг архитектурасы (онлайн + офлайн)

1. Нақты уақыттағы оқиғаларды жинау: депозиттер, мөлшерлемелер, қорытындылар, трансферттер, KYC/KYB өзгерістері, антифрод тәуекелдері.
2. Rule Engine (бір шешімге 50-150 мс ≥): блокировка/hold/эскалация триггерлері.
3. Скоринг/ML қабаты: композиттік тәуекел-скор, баған-белгілері (қашар, «ферма» аккаунттары).
4. Кейстік жүйе (Case Management): басымдық, чек-парақтар, таймлайн, тіркемелер.
5. DWH & есеп: агрегаттар, трендтер, KPI, жаттығу модельдері.
6. Интеграция: KYC/KYB, PSP, KYT (крипто) провайдерлері, санкциялық скрининг, Travel Rule.

4) Ережелер кітапханасы (ядро)

1. Structuring/Smurfing

Көп депозиттер қысқа терезеде ревью/SoF лимитінен сәл төмен.
Қатты бөлшектелген айналым → әртүрлі деректемелерге жылдам қорытынды.

2. Rapid In–Out / Short Dwell

Депозит → минималды немесе нөлдік ойын → жылдам шығару (T + 0/T + 1).
Шығару сомасының ойыншының кіріс бейініне сәйкес келмеуі.

3. Mule/Proxy Use

Бір 'device/IP' әртүрлі төлеушілері бар бірнеше аккаунттарды қолдайды.
Тәуелсіз аккаунттар арасындағы ортақ карталар/әмияндар.

4. Әдіснама арқылы Layering

А2А/әмиян/крипто тізбектері валюталарды айырбастаумен және қосалқы әмияндар арасындағы аударымдармен.

5. Bonus Abuse (AML-релевантты)

Аккаунттардың желілік кластерлері, ең аз сомаға синхронды депозиттер, бонустық ұтыстардың жылдам қорытындылары.

6. High-Risk Geo / PEP / Adverse Media

Клиенттердің EDD-таңбалары бар транзакциялары немесе санкциялық сәйкес келуі.

7. Chargeback-айдау

Одан әрі чарджбектер және уақтылы «қолма-қол ақшаға айналдыру» қорытындылары бар депозиттер сериясы.

8. Crypto-on/off-ramp аномалиялары

Жоғары тәуекелі бар мекенжайлар (миксерлер, даркнет, скам-кластерлер) арқылы кіру/шығу, жоғары 'risk _ score' KYT провайдері.

5) Параметрлер мен табалдырықтар (қалыпқа келтіру мысалы)

Velocity: депозиттер ≥ N үшін 24h; бірегей төлем құралдары ≥ M.
Time-to-withdrawal: депозиттен кейін ≤ T минут шығарылым үлесі.
Structuring: 7 күн ішінде '[threshold − ε, threshold)' диапазонындағы төлем оқиғаларының үлесі.
Graph: degree (device/IP/card)> 99-шы перцентил квантилі; белгілі кластерлерге жақындығы (эмбеддингтер).
KYT (крипто): мекен-жайы/тәуекел санаты бар биржа ≥ R; 2 хоп ≤ тыйым салынған заттармен байланысы.
Geo risk: тәуекелі жоғары елдерден/елдерге операциялар немесе санкциялар.

Табалдырықтар бейімделеді: жаңа шоттар/тәуекелі жоғары гео үшін төмендетіледі және таза тарихы бар клиенттер үшін көтеріледі және Tier2 +.

6) Ереже үлгілері (псевдо-SQL)

sql
-- Rapid In-Out: Deposit → Quick Withdrawal
IF sum(withdraw. amount WHERE ts BETWEEN now()-1d AND now()
AND withdraw. time_from_last_deposit <= 30m) >= X
AND gameplay. activity_score <= Y
THEN ALERT('RAPID_IN_OUT')

-- Structuring: SoF threshold crushing
IF count(deposit WHERE amount BETWEEN (S-δ) AND (S-1)
AND ts BETWEEN now()-7d AND now()) >= K
THEN ALERT('STRUCTURING')

-- Mule network: a common device/card for ≥ N accounts in 14 days
IF distinct(accounts USING device_id OR card_token) >= N
THEN ALERT('MULE_NETWORK')

-- Crypto KYT: Address/Exchange Risk
IF kyt_risk_score >= R OR kyt_exposure_to_mixer <= 2_hops
THEN ALERT('KYT_HIGH_RISK')

7) Алерталарды басымдандыру және маршруттау

Severity: High (санкциялар/ТБЖ high risk/PEP + аномалия), Medium (rapid in-out/structuring), Low (velocity шығарылмай).
Routing: Investigations L1/L2/L3 желісі, комплаенс/заң бөлімінде эскалация.
Мерзім: High - талдау ≤ 4 сағ; Medium — ≤ 24 ч; Low - ≤ 72 сағ.
Әрекеттер: уақытша hold/limit, құжаттарды сұрау (SoF/EDD), бұғаттау, SAR/STR.

8) Тергеулер: процесс және артефактілер

• Клиент профилі (KYC tiers, SoF/SoW, PEP/sanctions, тарихы).
• Таймлайн: депозиттер/ойын/қорытындылар, IP/құрылғылар, гео, байланыс аккаунттары.
• Төлем сәйкестендіргіштері: PSP ids, ARN/RRN, әмияндар/мекенжайлар.
• KYT-есеп (крипто үшін): қаражат жолы, тәуекел кластерлері, биржа белгілері.
• Нәтижесі: Approve/Close, EDD & monitor, Freeze & Report.

Клиентпен коммуникация: SoF/құжаттардың сұрау үлгілері, жауап беру мерзімі, ұсынбау салдары.

9) SAR/STR және реттегішпен/серіктестермен өзара іс-қимыл

Беру критерийлері: жылыстатуға/қаржыландыруға/санкциялық бұзушылықтарға негізделген күдік.
Мазмұны: қысқаша сипаттама, фактілер және таймлайн, сома/деректемелер, белгілі схемалармен байланыс, шаралар, жауапты адамның байланысы.
Мерзімі: юрисдикциясына байланысты (көбінесе - күдік анықталғаннан кейін «кідіріссіз»).
Құпиялылық: клиентті SAR (tipping-off) фактісі туралы хабардар етуге тыйым салу.
Эквайермен/PSP өзара іс-қимыл: risk intelligence беру (шарт пен заң шеңберінде).

10) Санкциялар және скрининг vs AML-мониторинг

Санкциялы/PEP/Adverse Media скрининг - жеке тұлғаның/компанияның сүзгісі.
AML-мониторинг - мінез-құлық және транзакциялар сүзгісі.
Олар бір-бірін толықтырады: санкциялық хит AML-алерттердің басымдығын арттырады және EDD/hold триггериті.

11) Крипто-ағындар: KYT, Travel Rule, off-/on-ramp

KYT (Know Your Transaction): мекенжайлар/биржалар үшін тәуекел провайдерлері, on-chain трассировкасы, көздерді/алушыларды санаттау.
Travel Rule: шекті аудармалар кезінде VASP арасында жіберуші/алушы атрибуттарын алмасу (қолданылатын жерде).
Off-/On-ramp саясаты: биржалардың/провайдерлердің white-list, тәуекелі жоғары P2P-алаңдарға тыйым салу, сома/жиілік бойынша лимиттер, крипто кіргеннен кейін бастапқы қорытындыларға hold.

12) Өлшемдер, сапаны бақылау және модельдік тәуекел

• Alert Precision/Recall (кейстер бойынша қол белгілері).
• SLA-да жабылған High-альянстардың үлесі.
• Тергеудің орташа уақыты (p50/p95).
• SAR-conversion (алерттар → есептер).
• Бір кластерлер бойынша қайталама алерталар (recurrence).
• Жалған оң бұғаттаулардың үлесі (конверсияға impact).

Үлгілерді/ережелерді валидациялау: backtesting, белгілердің тұрақтылығы, дрейф (PSI), тоқсанына бір рет - ережелерді қайта қарау, жыл сайын - тәуелсіз тексеру.

13) Басқару және жауапкершілік (governance)

AML саясаты: рөлдер (MLRO/Head of Compliance), табалдырықтар, гео-матрица, тыйым салынған көздердің тізімі.
Change-control: RFC жаңа ережелер/табалдырықтар, өзгерістер журналы, A/B-бизнеске әсерін бағалау.
Оқыту: жыл сайынғы тренингтер, білім тестілері, кейстер кітапханасы.
Аудит және ретеншн: талаптарға сәйкес (әдетте 5 + жыл) кейстерді/шешімдерді/деректерді сақтау, қорғалған сақтау орындары, RBAC бойынша қол жеткізу.

14) Қарсы үлгілер

«Барлығына бір өлшем»: барлық елдер/әдістер/клиенттер үшін бірдей шектер.
Онлайн емес реактивті мониторинг - «қуып жетуші» бақылау.
Баған-талдаудың болмауы → мультиаккаунттар/қашырлар ұсталмайды.
KYT/Travel Rule крипто ағындарында елемеу.
Тергеуге нақты SLA жоқ, тәуекелдер «борышпен» жиналады.
AML, KYC/KYB/Payments Orchestrator байланысының болмауы («сымда» hold/лимиттер жоқ).

15) Енгізу чек-парағы

• Risk Assessment: клиенттер/гео/әдістер/өнімдер бойынша тәуекелдер картасы.
• Rule Engine онлайн + ережелер кітапханасы (structuring, rapid in-out, mule, KYT, geo).
• Скоринг/ML + баған-белгілері; шектерді калибрлеу және басымдық беру.
• Үлгілер, таймлайндар, чек парақтары және SLA бар кейстік жүйе.
• Интеграция: KYC/KYB, санкциялар/РЕР, PSP, KYT, Travel Rule.
• SAR/STR процестері, «Freeze & Report» playbook, tipping-off тыйым салу.
• Сапа өлшемдері (precision/recall, SLA, SAR-conversion), дашбордтар мен алерталар.
• Өзгерістерді басқару және жыл сайынғы тәуелсіз тестілеу.
• Деректерді сақтау/қол жеткізу саясаты, шифрлау, аудит.
• Командаларды оқыту (Payments/Risk/Compliance/Support) және тұрақты жаттығулар.

16) Түйіндеме

iGaming-тегі күшті AML-мониторинг - бұл онлайндық Rule Engine + ML/баған, КУЖ/КУЖ-мен байланысқан, нақты SLA тергеулері, SAR/STR тәртібі және нақты тәуекелмен шектерді үнемі калибрлеу. Мұндай контур тазартуды тоқтатып, банктерден/PSP-ден «жасыл аймақта» серіктестік инфрақұрылымды ұстап қалады және адал ойыншылардың конверсиясына соқтырмайды.