Polityka AML i przeciwdziałanie praniu pieniędzy

1) Cel i zasięg

Celem polityki AML jest zapobieganie praniu pieniędzy i finansowaniu terroryzmu, zapewnienie zgodności z wymogami regulacyjnymi oraz ochrona platformy, graczy i partnerów. Polityka dotyczy wszystkich podmiotów prawnych grupy, pracowników, zespołów outsourcingowych, a także osób trzecich (PSP, podmiotów stowarzyszonych, dostawców treści) interakcji z przepływami pieniężnymi i danymi klienta.

• Produkty: kasyno/zakłady, transfery P2P, turnieje, bonusy/cashback, usługi marketplace.
• Kanały: web, aplikacje mobilne, integracje API, crypto-on/off-ramp.
• Geografie: wszystkie kraje/państwa obsługiwane, biorąc pod uwagę lokalne wymagania.

2) Wsparcie regulacyjne i zasady

Podstawą polityki są zalecenia FATF (podejście ukierunkowane na ryzyko, KYC/KYB, sankcje, monitorowanie, sprawozdawczość), lokalne przepisy dotyczące AML/CFT (Europa - dyrektywy AMLD, UK - MLR, USA - BSA/Patriot Act itp.), a także wymogi w zakresie ochrony danych (RODO/podobne).

• RBA (podejście oparte na ryzyku): Zasoby koncentrują się na wyższym ryzyku.
• Proporcjonalność: Środki są zgodne z ryzykiem klienta/transakcji/produktu.
• Odpowiedzialność-Przechwytywanie, audyt i identyfikowalność rozwiązań.
• Prywatność według projektu: minimalne dane, legalność przetwarzania, bezpieczeństwo.

3) Role i obowiązki (zarządzanie)

Zarząd: zatwierdza politykę, apetyt na ryzyko, raport okresowy.
Senior Management: zapewnia zasoby, KPI, wdrożenie.
Urzędnik MLRO/AML: właściciel procesów, sprawozdawczość regulacyjna, SAR/STR, metodologia monitorowania, interakcja z LEA.
Zespół ds. zgodności: KYC/KYB, sankcje/PEP, zarządzanie sprawami, szkolenia.
Risk & Analytics: modele punktacji, scenariusze, kalibracja reguł.
Inżynieria/Bezpieczeństwo: integracje dostawców, dzienniki, kontrola dostępu, szyfrowanie.
Operacje/Płatności: kontrola ołowiu, kontrole ręczne, jakość danych.

RACI (ровена): Board - A, MLRO - R/A, Compliance - R, Risk - R, Eng - C/R, Ops - C/R, Internal Audit - I/C.

4) RBA: model ryzyka

• Klient (kraj, miejsce zamieszkania, zawód, ŚOI/sankcje, ryzyko behawioralne).
• Produkt (kasyno/zakłady, P2P, krypta, wysokie limity, transgraniczne).
• Kanał (online na pokładzie, brak obecności, anonimowe narzędzia).
• Geografia (jurysdykcje wysokiego ryzyka, systemy sankcji).
• Transakcje (wolumen, stopa obrotu, wzory wypłat).

Ocena: prędkość wyjściowa na pokładzie + czynniki dynamiczne (historia, urządzenia, schematy płatności) • segmentacja na niskie/średnie/wysokie ryzyko oraz wybór poziomu środków: CDD/EDD/SOW.

5) KYC/KYB i kontrola sankcji (stowarzyszenie z AML)

KYC dla osób fizycznych: dokument + pobudka, adres, wiek, sankcje/REP, media niepożądane.
KYB dla firm/podmiotów powiązanych/dostawców: rejestracja, UBO/dyrektorzy, sankcje/POP, weryfikacja działań i źródeł funduszy.
Sankcje/REP: podstawowe i okresowe badania przesiewowe, rozmyty mecz, ręczne rozliczenie.
SOW/SOF: z wysokimi limitami i anomaliami - potwierdzenie pochodzenia funduszy/bogactwa.
Re-KYC: zaplanowane i uruchomione zdarzenie.

6) Monitorowanie transakcji i analityka behawioralna

• Szybki depozyt → cykl wypłat bez realnego ryzyka gry.
• Przyczepności według kwot/częstotliwości, płatności podzielone („smurfing”).
• Niedopasowanie adresu IP/BIN/adresu kraju, częsta zmiana metod płatności.
• Nietypowy ruch nocny/masowy, klastry urządzeń (wykres urządzenia).
• Korzystanie z anonimizatorów/VPN, farm proxy, OS/spoofing przeglądarki.
• Podejrzane wzory bonusowe, wielokrotność, cykle obciążeń zwrotnych.

Modele ML/behawioralne: anomalie probabilistyczne, połączenia wykresowe, prędkość ryzyka graczy/podmiotów powiązanych, segmentacja wałków.

Zarządzanie sprawami: generowanie wpisów → kwalifikacja → wniosek o dokumenty/wyjaśnienia → decyzja (eskalacja/blokowanie/SAR).

7) „Czerwone flagi” (specyfika iGaming)

Regularne wpłaty od osób trzecich/wiele pojedynczych kart na gracza.
P2P/tournament transfery między powiązanymi kontami.
Silne błędne uzgodnienie profili (wiek, zawód i obroty).
Migracja między jurysdykcjami bez wyraźnego powodu.
Systematyczne wypłaty bez aktywności gier lub minimalnych marginesów.
Próby ominięcia limitów CUS/outputs/bonuses, rachunków "farm'.
Afiliuje z niejasnym źródłem ruchu lub nienormalnie wysokim CR → WD.

8) SAR/STR: wewnętrzne dochodzenia i sprawozdawczość

Próg podejrzenia: „uzasadnione podejrzenie” niezależnie od ilości.
Proces: alert → kolekcja faktów → rozwiązanie MLRO → złożenie SAR/STR na czas, bez wywrotki.
Eskalacja: tymczasowe blokowanie, zamrożenie środków na żądanie LEA/regulatora, plan komunikacji z klientem.
Dokumentacja: harmonogram zdarzeń, źródła danych, działania zespołu, decyzje i uzasadnienie.

9) Przechowywanie danych i bezpieczeństwo

Warunki: co do zasady, co najmniej 5 lat od zakończenia stosunku (określone lokalnie).
Przechowywanie docelowe: profile, dokumenty, wpisy, SAR/STR, dziennik dostępu, baza dowodów.
Bezpieczeństwo: szyfrowanie podczas odpoczynku/tranzytu, HSM/tajne przechowywanie, RBAC/ABAC, rejestry niezmienne (WORM), monitorowanie dostępu i działania pracowników.

10) Szkolenia, kontrola jakości i audyt

Szkolenia: roczne dla każdego, dogłębne - dla pracowników funkcji ryzyka; testy i certyfikacja.
QA/diagnostyka: selektywne przeglądy przypadków, podwójne kontrole (4-oczy), retro na błędnych decyzjach.
Audyt wewnętrzny: niezależna ocena zgodności z polityką, wymogami regulacyjnymi i skuteczności procesu.
Testy warunków skrajnych: ćwiczenia incydentalne (sankcje, duża typologia, wpisy masowe).

11) Krypta i VASP (w stosownych przypadkach)

Zasada podróży: wymiana atrybutów nadawcy/odbiorcy między dostawcami.
Analityka blockchain: wskaźnik ryzyka adresów, klastrów, sankcji/znaczników miksera.
Kontrola it/off-ramp: zgodność właściciela portfela, dopasowanie danych, ograniczenia i zewnętrzny dziennik adresów.
Dynamika/zmienność cen: specjalne zasady dotyczące kwot, oznaczanie „nietypowych” konwersji.

12) Interakcje ze stronami trzecimi

Dostawcy PSP/banków/KYC: kontrakty, SLA, DPIA, plany testów tolerancji błędów.
Podmioty powiązane: KYB, monitorowanie jakości ruchu, zakaz źródeł ryzyka, audyt po kliknięciu.
Relacje korespondencyjne: dogłębna weryfikacja partnerów, przegląd okresowy.

13) architektura rozwiązań AML (zalecenia)

Integracja: CUS/dostawcy sankcji, PSP, zwalczanie nadużyć finansowych, analityka blockchain.
Autobus zdarzeń: wszystkie transakcje/wydarzenia wchodzą w gwint (Kafka/ekwiwalent) z niezmienną pamięcią masową.
Zasady silnika + ML: punktacja online (milisekundy) i wersje offline (partia/blisko-w czasie rzeczywistym).
System spraw: priorytetowe kolejki, szablony żądań klienta, SLA, integracja z pocztą/komunikatorami błyskawicznymi.
Obserwowalność: kłody, mierniki, ślady; wersja reguły/modelu i efekt.
Degradacja: bezpieczne uproszczenie (otwarte/zamknięte przez politykę), dostawcy kopii zapasowych, retrai/quorum.

14) Wskaźniki wydajności i KPI

Wskaźnik konwersji SAR: Odsetek wpisów, które stały się SAR/STR.
Czas do ostrzeżenia/czas do decyzji: szybkość wykrywania i podejmowania decyzji.
False Positive Rate/Precision-Recall w wpisach.
Zasięg: odsetek transakcji monitorowanych/przesiewanych.
Przeróbka/Odwołania: udział spraw ze zmianą rozwiązania.
Ukończenie szkolenia:% pracowników z odpowiednim szkoleniem.
Sprzedawca SLA: dostawcy uptime, TTV na CUS/sankcje.

15) Listy kontrolne

• KYC/KYB, age/geo, sanctions/PEP, Adverse Media.
• Punktacja RBA, podstawowe limity, odcisk palca urządzenia.
• Zgoda, prywatność, zgłaszanie kontroli.

• Ponowna kontrola sankcji, w razie potrzeby SOF/SOW.
• Dopasowanie właściciela instrumentu płatniczego.
• Walidacja behawioralna i historia transakcji.

• Zbieranie faktów i dokumentów.
• Wewnętrzna opinia MLRO.
• Składanie sprawozdań na czas; zakaz cynkowania.
• Zasady/modele aktualizacji po morzu.

16) Typowe błędy i jak ich uniknąć

Pole wyboru Blind KYC bez RBA: wzmocnienie dynamicznej analityki i ograniczeń.
Brak informacji zwrotnych w modelach: wdrożenie decyzji → pętla wyników.
Ultra-twarde „wykolejanie” zamiast zarządzania ryzykiem: używać EDD/SOW i kontrolowanych limitów zamiast całkowitych zakazów.
Nieuwzględnienie przepisów/sankcji regionalnych: utrzymanie „profilu geograficznego”.
Słaby dziennik decyzji: Standaryzuj uzasadnienie i przechowywanie artefaktów.

17) szablon struktury polityki AML (dla Twojej wiki)

1. Wprowadzenie i zakres

2. Definicje i terminy (AML/CFT, CDD/EDD, SOF/SOW, PEP itp.)

3. Ramy regulacyjne i odniesienia do przepisów lokalnych

4. Zarządzanie i role (zarząd, MLRO, RACI)

5. Metodologia RBA i apetyt ryzyka

6. KYC/KYB i kontrola sankcji

7. Monitorowanie transakcji (zasady + ML) i zarządzanie sprawami

8. „Czerwone flagi” i skrypty iGaming

9. Procedury SAR/STR i interakcje regulacyjne/LEA

10. Przechowywanie danych, prywatność, bezpieczeństwo

11. Szkolenie i świadomość personelu

12. Sprzedawcy i osoby trzecie (SLA, audyt)

13. Audyt, zapewnianie jakości i ciągła poprawa

14. Dodatki: listy kontrolne, formularze, szablony listów, mierniki

18) Przykład macierzy ryzyka (fragment)

Wynik: niskie/średnie/wysokie ryzyko → środki: CDD/EDD + SOF/SOW/ograniczenia/wydajność.

19) Plan realizacji i utrzymania

Identyfikacja właścicieli procesów i SLA.
Mapa integracji (PSP, KYC, sankcje, analityka).
Uruchom z podstawowym zestawem reguł + sterowanie FP/FN.
Kwartalna kalibracja scenariusza, roczny przegląd polityki.
Programy nauczania i kontrola.
Regularne sprawozdania zarządu (KPI, incydenty, zmiany ryzyka).

Razem

Skuteczna polityka AML nie jest „dokumentem na półce”, ale cyklem życia: ocena ryzyka → środki kontroli → monitorowanie → badanie → sprawozdawczość → poprawa. Budowanie procesu wokół RBA, zapewnienie silnego KYC/KYB i pętli sankcji, wdrożenie wysokiej jakości monitorowania transakcji z zarządzaniem sprawami i przestrzeganie dyscypliny przechowywania danych, szkolenia i audytu - w ten sposób zmniejszysz ryzyko regulacyjne i reputacyjne, przy jednoczesnym zachowaniu konwersji i trwałości biznesu.