KYC: dokumenty, weryfikacja, SLA

1) Dlaczego iGaming KYC i jak wpływa na monetyzację

• zmniejsza ryzyko zablokowania przez partnerów płatniczych i banki,
• zmniejsza „przyjazne oszustwa” i obciążenie zwrotne,
• przyspiesza wnioski (mniejsza liczba kontroli ręcznych) i zwiększa LTV,
• spełnia wymogi organów regulacyjnych i dostawców usług płatniczych.

Zasada: podejście oparte na ryzyku - im większe ryzyko profilu klienta/operacyjnego, tym głębsza kontrola i krótsze okno tolerancji na anomalie.

2) Poziomy i wyzwalacze wgniecenia

Poziom 0 - Łatwa rejestracja (pre-KYC)

Kolekcja: e-mail/telefon, kraj, data urodzenia.
Limity progowe: minimalne depozyty/stawki, brak wniosków.
Automatyczna kontrola sankcji zgodnie z podstawowymi danymi (filtrowanie grube).

Poziom 1 - Podstawowa identyfikacja

Dokumenty: jeden dokument ze zdjęciem (paszport/ID/napędy. certyfikat).
Sterowanie: liability + face-match, MRZ/hologram verification (jeśli obsługiwany przez dostawcę).
Limity są zwiększane, ale wycofanie jest ograniczone (np. do X dziennie/tydzień).

Tier II - adres/rynek wiekowy i rynki ryzyka

Dokumenty: Dowód adresu (PoA) - rachunek użytkowy/wyciąg bankowy ≤ 3 miesiące, lub eIDAS/BankID, jeśli jest dostępny.
Dodatkowe: źródło funduszy (SoF) na duże depozyty/wysoki obrót.
Dostęp do zwiększonych limitów, szybkie wnioski.

Poziom 3 - Zwiększona należyta staranność (EDD)

Dokumenty: SoF/SoW (oświadczenia, dokumenty dotyczące wynagrodzenia/podatków, umowy), dodatkowe dane biometryczne/wideo.
Powody: mecze PEP, wysokie sumy, nietypowe geo/zachowanie, złożony depozit → wzory vyvod.
Ręczna aprobata z podwójnym sterowaniem.

Wyzwalacze aktualizacji: kwota depozytu/wypłaty, całkowity obrót przez 30/90 dni, zbieg okoliczności w sankcjach/POP/media adresowe, geo/wejście do stref „szarych”, anomalie prędkości, żądanie dużego wycofania, historia obciążenia zwrotnego.

3) Wykaz dokumentów i wymagań jakościowych

• Paszport, Nat. ID, prawo jazdy (w zależności od kraju).
• Wyczyść zdjęcie/skan, cały dokument, bez blasku.
• Kontrole: ważność numeru, data ważności, MRZ/kody kreskowe, kontrola manipulacji (uprawa/Photoshop).

• Rachunek użytkowy, wyciąg bankowy, list podatkowy, rejestracja w miejscu zamieszkania.
• Musi zawierać pełną nazwę, adres, datę (≤ 90 dni), źródło.

• Sprawozdania z rachunku/wynagrodzenia, umowy, dokumenty sprzedaży aktywów, dywidendy.
• Pełna nazwa/adres pasuje do konta; logiczne skojarzenie ilości z zachowaniem się w produkcie.

• Aktywna/pasywna kontrola burzy, porównanie z dokumentem (match face-match).
• Ochrona przed „maskami replay/print/3D”.

4) Sankcje, PEP, media adresowe

Wykaz sankcji: OFAC/EU/UK/UN + local; aktualizować codziennie/co godzinę.
PEP: osoby zajmujące/zajmujące znaczące stanowiska rządowe, ich krewni/osoby powiązane.
Negatywne media: negatywne publikacje (oszustwa, pranie pieniędzy, korupcja).
Algorytm: fuzzy-matching z progami, ręczna weryfikacja meczów, dokumentowanie decyzji.
Polityka: sankcje - stop, PEP - limity EDD +, negatywne media - przypadek indywidualny (EDD).

5) KYC Orchestrator: Jak połączyć dostawców i procesy

• zarządza dostawcami (doc-scan/biometria/sankcje/PEP/AML),
• przechowuje stan aplikacji (maszyna stanu),
• uaktualnienia/cofnięcia zdarzeń (kwoty, geo, ryzyko),
• zapewnia idempotencję i audyt (kto sprawdził, co i kiedy),
• zagreguje rozwiązanie: Approve/Reject/EDD/Manual Review.

• 2 + dostawcy na kluczowe rynki (cross check/feilover).
• Lokalny dokument eID/BankID, jeśli jest dostępny (NordX, Baltics, itp.).
• Segmentacja danych: Dokumenty są przechowywane w zaszyfrowanej pamięci masowej z KMS/HSM.

6) SLA: czasy docelowe i priorytety

• Poziom dokładności 1 (auto): ≤ 90sec p95.
• Poziom 2 (auto PoA): ≤ 5 min p95.
• Poziom 2 (instrukcja PoA): ≤ 2 godziny p95 (godziny pracy).
• Poziom 3/EDD (podręcznik): ≤ 24-48 godzin (priorytetowe wałki/przewody).

• Automatyczna wypłata po udanym poziomie 1/2: ≤ 15 min p95.
• Jeśli wymagane jest odwrócenie/PWMW: wstrzymać ≤ 24 godziny z przezroczystą komunikacją.

• Po wygaśnięciu dokumentów/zmianie pełnej nazwy/adresu/geo lub osiągnięciu progu - ≤ 24 godziny.

• Regularnie (dziennie) + dla każdej dużej płatności/wypłaty - na żądanie ≤ 60 sek.

7) Macierz decyzyjna

8) UX i przejrzystość (nie łamanie konwersji)

Pokaż listę kontrolną dokumentu i stan w krokach.
Mobilne wsparcie rozruchowe, automatyczne wykrycie/odblaski.
Lokalizacja wierszy, poprawne formaty PoA według krajów.
Przejrzyste terminy: timer SLA i „co dalej”.
Alternatywne kanały: weryfikacja wideo w przypadku powtarzających się awarii pryszniców.

9) Weryfikacja i cykl życia

Terminy wygaśnięcia dokumentu - T-30/T-7 przypomnienia

Zmiana ryzyka (geo/zachowanie) → cofnięcie pola „punkt”.
Przenieść/zmienić nazwę → aktualizacja PoA/ID.
Uśpione rachunki → re-KYC przed główną działalnością.

10) Dane, przechowywanie i prywatność

Minimalizacja: zachować tylko wymagane pola; dokumenty w zaszyfrowanej pamięci masowej blob.
Dostęp: RBAC, mTLS, tymczasowe żetony, żądania audytu.
Zatrzymanie: zatrzymanie zgodnie z przepisami (często 5 lat po ostatniej transakcji), a następnie usunięcie/anonimizacja.
RODO/DSR: procesy dostępu/naprawy/usuwania; dzienniki decyzji są bezosobowe.

11) Monitorowanie i mierniki

Jakość/prędkość

KYC pass rate (Tier1/Tier2/Tier3), auto-app share.
Czas wejścia na pokład p50/p95, udział przypadków ręcznych.
Spadek na etapach (ID, opady deszczu, PoA, SoF).

Ryzyko/zgodność

Udział sankcji/mecze RAP, przypadki PWMW.
Wskaźnik obciążenia zwrotnego przed/po KYC, incydenty oszustwa według segmentów.
Błędy/fałszywe mecze w sankcjach/PEP.

Operacje

Wskaźnik trafienia SLA (przez wejście na pokład/wyjścia/EDD).
Powtarzające się wnioski o dokumenty (%), przyczyny odchyleń.
Koszt KYC na użytkownika (w tym ręczna praca).

12) Integracja z płatnościami i zwalczanie nadużyć finansowych

Sygnały KYC → punktacja transakcji (3DS/TRA próg w górę/w dół).
Dla flag prędkości/oszustwa, EDD/SoF wyzwalacz przed wyjściem.
BIN/geo-politycy: dla „ciężkich” emitentów - wymagać Tier II wcześniej.

13) Wybór dostawcy i podwójne zaopatrzenie

Kryteria: pokrycie dokumentów, dokładność pryszniców/biometrii, prędkość, jakość SDK, cena, prywatność, „prywatność według projektu”.
Niepowodzenie drugiego dostawcy w przypadku awarii/awarii regionalnych.
Kontrakt SLA i AoC (zaświadczenie zgodności), DPIA/przetwarzanie danych.

14) Anty-wzory

Uniwersalny „twardy” KYC dla wszystkich krajów/ryzyka → spadek konwersji.
Ręczne sprawdzenie, gdzie 95% skrzyń samochodowych to wąskie szyje.
Brak cofnięcia/wygaśnięcia dokumentów - zwiększone ryzyko wniosków.
Przechowywanie nadwyżek PII bez celów i polityki zatrzymywania to ryzyko związane z RODO.
Ignoruj SoF dla dużych walców - ryzyko AML/sankcji.

15) Lista kontrolna wdrażania (krótki)

• Zdefiniowano poziomy dokładności, limity i wyzwalacze uaktualniania.
• Connected KYC Orchestrator, dostawca 2 + na kluczowych rynkach.
• W tym livnes/face-match, MRZ/anty-manipulator.
• Sankcje/PEP/negatywne media - dzienny przegląd + na żądanie.
• SLA poprzez wejście na pokład/wyjścia/EDD, wpisy T-3/T-1.
• Procedury SOF/SOW dla dużych kwot i PWMW.
• Szyfrowanie, RBAC, retencja, ramy DPIA/RODO.
• Kreator UX z wskazówkami i lokalnymi wymaganiami PoA.
• Mierniki i deski rozdzielcze (pass rate, SLA, drop-off, cost/KYC).
• Odtwarzacze eskalacji i odrzucenia (szablony liter, rejestrowanie decyzji).

16) Podsumowanie

Skuteczny KYC w iGaming jest dostawcą orkiestry, poziomy oparte na ryzyku, szybkie automatyczne stosowanie prostych przypadków i ścisłego EDD, gdzie istnieje ryzyko. Jasne SLA, przejrzyste UX, minimalizacja i ochrona danych, regularne ponowne badanie i integracja z przeciwdziałaniem oszustwom sprawiają, że wnioski są szybkie, stabilne i przewidywalne.