Monitorowanie i zasady AML

1) Cele monitorowania AML i zasada RBA

• Wczesne wykrycie położenia → warstwowanie → wzory integracji.
• Zmniejszenie ryzyka regulacyjnego i płatniczego (banki/PSP, systemy kart).
• Spójność z podejściem opartym na ryzyku (RBA): Głębokość kontroli i szybkość reakcji zależą od profilu klienta/geo/produktu i ilości.

2) Mapa ryzyka: co bierzemy pod uwagę w modelu

Ryzyko klienta (KYC): wiek konta, poziom/KYC/EDD, SoF/SoW, PEP/media niepożądane.
Geo/jurysdykcja: sankcje, wysokie ryzyko FATF, trasy transgraniczne.
Metody płatności: karty (MCC 7995), A2A, portfele, krypta (in/out).
Wykres zachowania i relacji: wspólne IP/urządzenia/środki płatnicze (wielofunkcyjne/muły).
Transakcje i przepływy środków: prędkość, kwota, częstotliwość, czas do wewnątrz.
Kontekst gier: depozyty → krótka aktywność → wycofanie; anormalna sesja zwraca.

3) architektura monitorowania AML (online + offline)

1. Zbiór wydarzeń w czasie rzeczywistym: depozyty, stawki, wnioski, transfery, zmiany KYC/KYB, wpisy antykonkurencyjne.
2. Zasada Silnik (≥ 50-150 ms na roztwór) :/hold/escalation triggers.
3. Warstwa punktowa/ML: złożony wskaźnik ryzyka, cechy wykresu (muły, „gospodarstwa” rachunków).
4. Zarządzanie sprawami: priorytety, listy kontrolne, linia czasowa, załączniki.
5. DWH & reporting: agregaty, trendy, KPI, szkolenia modelowe.
6. Integracje: dostawcy KYC/KYB, PSP, KYT (crypto), badanie sankcji, zasada podróży.

4) Biblioteka zasad (jądro)

1. Strukturyzacja/smurfing

Wiele depozytów tuż poniżej limitu przeglądu/SoF w krótkim oknie.
Wysoce rozdrobniony obrót → szybkie wyjście do różnych szczegółów.

2. Rapid In-Out/Short Dwell

Depozyt → gra minimalna lub zerowa → szybka wypłata (T + 0/T + 1).
Kwota wyjściowa nie odpowiada profilowi przychodów gracza.

3. Zastosowanie Mule/Proxy

Jedno 'urządzenie/IP' obsługuje wiele kont z różnymi płatnikami.
Wspólne karty/portfele pomiędzy niezależnymi kontami.

4. Warstwowanie metodologią

Łańcuchy/portfele/krypta A2A z przeliczaniem walut i transferami między portfelami subwakietowymi.

5. Nadużycia bonusowe (dotyczy AML)

Klastry sieciowe kont, depozyty synchroniczne dla minimalnych kwot, szybkie wnioski z wygranych bonusowych.

6. Geo/PEP/Media o wysokim ryzyku

Transakcje klienta z tagami EDD lub na wyskakującym meczu sankcji.

7. Pompowanie obciążenia zwrotnego

Seria depozytów z kolejnymi obciążeniami zwrotnymi i terminowe wnioski dotyczące „wypłaty”.

8. Anomalie krypto-on/off-ramp

Wejście/wyjście poprzez adresy wysokiego ryzyka (miksery, sieci ciemne, klastry oszustw), high 'risk _ score' dostawcy KYT.

5) Parametry i progi (przykład normalizacji)

Prędkość: depozyty ≥ N przez 24h; unikalne środki płatnicze ≥ M.
Czas do wewnątrz: procent przewodów ≤ T minut po złożeniu.
Strukturyzacja: udział imprez płatniczych w przedziale „[próg −, próg)” przez 7 dni.
Wykres: stopień (urządzenie/IP/karta)> iloczyn 99. percentyla; bliskość znanych klastrów (osadów).
KYT (krypta): adres/wymiana z kategorią ryzyka ≥ R; połączenia ≤ 2 chmiel z podmiotami zabronionymi.
Ryzyko geologiczne: operacje z/do krajów wysokiego ryzyka lub sankcje.

Progi są adaptacyjne: w dół dla nowych kont/geo wysokiego ryzyka i w górę dla klientów czystej historii i Tier2 +.

6) Zasady przykładowe (pseudo-SQL)

sql
-- Rapid In-Out: Deposit → Quick Withdrawal
IF sum(withdraw. amount WHERE ts BETWEEN now()-1d AND now()
AND withdraw. time_from_last_deposit <= 30m) >= X
AND gameplay. activity_score <= Y
THEN ALERT('RAPID_IN_OUT')

-- Structuring: SoF threshold crushing
IF count(deposit WHERE amount BETWEEN (S-δ) AND (S-1)
AND ts BETWEEN now()-7d AND now()) >= K
THEN ALERT('STRUCTURING')

-- Mule network: a common device/card for ≥ N accounts in 14 days
IF distinct(accounts USING device_id OR card_token) >= N
THEN ALERT('MULE_NETWORK')

-- Crypto KYT: Address/Exchange Risk
IF kyt_risk_score >= R OR kyt_exposure_to_mixer <= 2_hops
THEN ALERT('KYT_HIGH_RISK')

7) Ustalanie priorytetów i kierowanie wpisami

Ciężkość: Wysoka (sankcje/KUT wysokie ryzyko/PEP + anomalia), Średnia (szybkie wbudowanie/strukturyzacja), Niska (prędkość bez wyjścia).
Routing: L1/L2/L3 dochodzeń liniowych, eskalacja do zgodności/prawne.
Terminy: Wysoka analiza ≤ 4 godziny; Średnie - ≤ 24 °; Niskie - ≤ 72 h.
Działania: tymczasowe wstrzymanie/ograniczenie, żądanie dokumentu (SoF/EDD), blokowanie, SAR/STR.

8) Dochodzenia: procesy i artefakty

• Profil klienta (poziomy KYC, SoF/SoW, PEP/sankcje, historia).
• Linia czasu: depozyty/play/wyjścia, IP/urządzenia, geo, podłączone konta.
• Identyfikatory płatności: identyfikatory PSP, ARN/RRN, portfele/adresy.
• Raport KYT (dla krypto): ścieżka funduszy, klastry ryzyka, znaczniki wymiany.
• Wynik: Zatwierdzenie/Zamknij, EDD & monitor, Zamrożenie & Raport.

Komunikacja z klientem: szablony żądania SoF/dokumentu, czas odpowiedzi, konsekwencje nieprzedstawienia.

9) SAR/STR i interakcje z regulatorem/partnerami

Kryteria składania wniosków: uzasadnione podejrzenie naruszenia przepisów dotyczących prania pieniędzy/finansowania/sankcji.
Treść: krótki opis, fakty i harmonogram, kwoty/szczegóły, związek ze znanymi systemami, środki, kontakt osoby odpowiedzialnej.
Warunki: w zależności od jurysdykcji (często - „bezzwłocznie” po ustaleniu podejrzenia).
Poufność: zakaz informowania klienta o fakcie SAR (tipping-off).
Interakcja z nabywcą/PSP: przekazywanie informacji o ryzyku (w ramach umowy i prawa).

10) Sankcje i badania przesiewowe w porównaniu z monitorowaniem AML

Sankcje/PEP/Adverse Media screening - personality/company filter.
Monitorowanie AML jest filtrem zachowań i transakcji.
Uzupełniają się one nawzajem: uderzenie w sankcje podnosi priorytet wpisów dotyczących AML i uruchomienia PWMW.

11) Crypto Streams: KYT, Rule Travel, off-/on-ramp

KYT (Know Your Transaction): adres/dostawcy ryzyka wymiany, śledzenie w łańcuchu, kategoryzacja źródła/odbiorcy.
Reguła podróży: wymiana atrybutów nadawcy/odbiorcy między VASP podczas transferów progowych (w stosownych przypadkach).
Polityka Off-/On-ramp: giełdy/dostawcy na białej liście, zakaz witryn P2P wysokiego ryzyka, limity kwot/częstotliwości, trzymanie wyjść podstawowych po wpisie krypto.

12) Wskaźniki, kontrola jakości i ryzyko modelowe

• Alert Precision/Recall.
• Udział wysokich wpisów zamkniętych w SLA.
• Średni czas badania (p50/p95).
• SAR-konwersja (alerty → raporty).
• Powtarzające się wpisy na tych samych klastrach (powtarzanie).
• Procent fałszywie dodatnich zamków (wpływ na konwersję).

Walidacja modeli/zasad: backtesting, stabilność funkcji, dryf (PSI), kwartalny przegląd reguł, corocznie - niezależna weryfikacja.

13) Zarządzanie i odpowiedzialność

Polityka AML: role (MLRO/Head of Compliance), progi, geo-matryca, wykaz źródeł zakazanych.
Kontrola zmian: RFC dla nowych zasad/progów, dziennik zmian, ocena wpływu działalności A/B.
Szkolenie: roczne szkolenia, testy wiedzy, biblioteka przypadków.
Audyt i zatrzymywanie: przechowywanie spraw/rozwiązań/danych zgodnie z wymaganiami (zwykle 5 + lat), chronione przechowywanie, dostęp za pośrednictwem RBAC.

14) Anty-wzory

„Jeden rozmiar dla wszystkich”: te same progi dla wszystkich krajów/metod/klientów.
Monitorowanie reaktywne bez kontroli „nadrabiania zaległości”.
Brak analizy wykresów → wielofunkcyjne/muły nie są złapane.
Ignorowanie reguły KYT/Travel na temat nici kryptograficznych.
Nie ma jasnych SLA dla dochodzeń, alerty palą się z „długiem”.
Brak komunikacji między AML a KYC/KYB/Payments Orchestrator (brak limitów blokady/przewodów).

15) Lista kontrolna wdrażania

• Ocena ryzyka: mapa ryzyka według klienta/geo/metoda/produkt.
• Rule Engine online + rule library (structuring, rapid in-out, mule, KYT, geo).
• Cechy wykresu punktowego/ML +; kalibracja progowa i ustalanie priorytetów.
• System przypadku z szablonami, liniami czasowymi, listami kontrolnymi i SLA.
• Integracje: KYC/KYB, Sankcje/PEP, PSP, KYT, Rule Travel.
• Procesy SAR/STR, playbook „Freeze & Report”, zakaz cipping-off.
• Wskaźniki jakości (precyzja/wycofanie, SLA, konwersja SAR), deski rozdzielcze i wpisy.
• Zarządzanie zmianami i roczne niezależne testy.
• Polityka zatrzymywania/dostępu do danych, szyfrowanie, audyt.
• Szkolenie zespołu (płatności/ryzyko/zgodność/wsparcie) i regularne ćwiczenia.

16) Podsumowanie

Silny monitoring AML w iGaming to internetowy silnik reguł + ML/wykres powiązany z ASC/ASC/sankcje/ASC, jasne badania SLA, dyscyplina SAR/STR oraz stałe kalibracje progów przy rzeczywistym ryzyku. Taki układ odcina pranie, utrzymuje infrastrukturę partnerską w „zielonej strefie” z bankami/PSP i prawie nie uderza w konwersję graczy bona fide.