Monitoramento e regras AML

1) Objetivos de monitoramento AML e princípio RBA

• Detecção precoce de pattern place → layering → integration.
• Redução do risco regulatório e de pagamento (bancos/PSP, esquemas de cartões).
• Coerência com risk-based approach (RBA): a profundidade do controle e a velocidade de resposta dependem do perfil do cliente/geo/produto e soma.

2) Mapa de risco: o que levamos em conta no modelo

Risco do cliente (KYC): idade da conta, Tier/KYC/EDD, SoF/SoW, PEP/adverse media.
Geo/jurisdição: sanções, alto risco FATF, rotas cruzadas.
Métodos de pagamento: cartões (MCC 7995), A2A, carteiras, kripto (entrada/saída).
Comportamento e gráfico de conexões: IP/dispositivos compartilhados/meios de pagamento (multiaccount/mulas).
Transações e movimentação de fundos: velocity, soma, frequência, time-to-withdrawal.
Contexto de jogo: depósitos → atividade curta → conclusão; rendimento anormal das sessões.

3) Arquitetura de monitoramento AML (online + offline)

1. Recolher eventos em tempo real: depósitos, taxas, conclusões, transferências, mudanças KYC/KYB, alertas antifrode.
2. Rule Engine (≥ 50-150 ms para solução): desencadeadores de bloqueio/hold/escalação.
3. Camada Screen/ML: risco-screen composto, indícios gráficos (mulas, «fazendas» de contas).
4. Sistema de caixa (Case Management): priorização, folha de cheque, timeline, anexos.
5. DWH & relatórios: unidades, tendências, KPI, treinamento de modelos.
6. Integração: KYC/KYB, PSP, provedores KYT (kripto), screening de sanções, Travel Rule.

4) Biblioteca de regras (núcleo)

1. Structuring/Smurfing

Muitos depósitos pouco abaixo do limite de revezamento/soF em uma janela curta.
Circulação muito fragmentada → impressão rápida para diferentes adereços.

2. Rapid In–Out / Short Dwell

Depósito → jogo mínimo ou zero → saída rápida (T + 0/T + 1).
Inadequação do valor da saída ao perfil de rendimento do jogador.

3. Mule/Proxy Use

Um 'device/IP' suporta várias contas com pagadores diferentes.
Cartões compartilhados/carteiras entre contas independentes.

4. Layering através da metodologia

Cadeias A2A/carteiras/cripto com conversão de moedas e transferências entre as carteiras.

5. Bónus Abuse (AML-relevante)

Clusters de contas de rede, depósitos sincronizados para valores mínimos, saques rápidos de ganhos de bónus.

6. High-Risk Geo / PEP / Adverse Media

Transações de clientes com marcas EDD ou na correspondência de sanções.

7. Bombing Chargeback

Série de depósitos com mais charjbacks e conclusões pontuais de «cobrança».

8. Crypto-on/anomalias off-ramp

Entrada/saída por endereços de alto risco (mixers, darknet, clusters), alto 'risk _ score' do provedor KYT.

5) Parâmetros e liminares (exemplo de normalização)

Velocity: depósitos de ≥ N por 24h; meios de pagamento exclusivos ≥ M.
Time-to-withdrawal: proporção de conclusões ≤ T minutos após o depósito.
Estruturing: proporção de eventos de pagamento em 7 dias.
Graph: degree (device/IP/card)> quântil do pernoite 99; proximidade com clusters conhecidos (embeddings).
KYT (kripto): endereço/bolsa com a categoria de risco ≥ R; laços de 2 hops com entidades proibidas.
Geo risk: operações de/para países de alto risco ou sanções.

As liminares são adaptáveis, reduzidas para novas contas/geo de alto risco e elevadas para clientes com histórico limpo e Tier2 +.

6) Exemplos de regras (pseudo-SQL)

sql
-- Rapid In-Out: Deposit → Quick Withdrawal
IF sum(withdraw. amount WHERE ts BETWEEN now()-1d AND now()
AND withdraw. time_from_last_deposit <= 30m) >= X
AND gameplay. activity_score <= Y
THEN ALERT('RAPID_IN_OUT')

-- Structuring: SoF threshold crushing
IF count(deposit WHERE amount BETWEEN (S-δ) AND (S-1)
AND ts BETWEEN now()-7d AND now()) >= K
THEN ALERT('STRUCTURING')

-- Mule network: a common device/card for ≥ N accounts in 14 days
IF distinct(accounts USING device_id OR card_token) >= N
THEN ALERT('MULE_NETWORK')

-- Crypto KYT: Address/Exchange Risk
IF kyt_risk_score >= R OR kyt_exposure_to_mixer <= 2_hops
THEN ALERT('KYT_HIGH_RISK')

7) Priorização e rotação de alertas

Severity: High (sanções/CUT high risk/PEP + anomalia), Medium (rapid in-out/estruturing), Low (velocity sem saída).
Roting: Linha de Investimentos L1/L2/L3, escalado para Complance/Departamento Jurídico.
Deadline: High - análise ≤ 4h; Medium — ≤ 24 ч; Low - ≤ 72 h.
Ações: temporário hold/limit, solicitação de documentos (SoF/EDD), bloqueio, SAR/TR.

8) Investigações: processo e artefatos

• Perfil do cliente (KYC tiers, SoF/SoW, PEP/sanções, histórico).
• Timeline: depósitos/jogo/conclusões, IP/dispositivos, geo, contas de contato.
• Identificadores de pagamento: PSP ids, ARN/RRN, carteiras/endereços.
• Relatório KYT (para kripto): caminho de fundos, clusters de risco, marcas de bolsa.
• Resultado: Approve/Close, EDD & monitor, Freeze & Report.

Comunicação com o cliente: modelos de solicitação SoF/documentos, data de resposta, consequências de não entrega.

9) SAR/TR e interação com o regulador/parceiros

Critérios de apresentação: suspeita razoável de lavagem/financiamento/violações de sanções.
Conteúdo: resumo, factos e timeline, somas/adereços, comunicação com esquemas conhecidos, medidas, contato do responsável.
Prazo: dependendo da jurisdição (muitas vezes, «sem demora» após a definição da suspeita).
Privacidade: não pode informar o cliente sobre o fato SAR (tipping-off).
Interação com Equeyer/PSP: transferência de risk inteligência (dentro do contrato e da lei).

10) Sanções e monitoramento vs AML

Sanção/PEP/Adverse Media screening - filtro de personalidade/empresa.
O monitoramento AML é um filtro de comportamento e transações.
Eles são complementares: o êxito de sanções aumenta a prioridade dos alertas AML e desencadeia o EDD/hold.

11) Fluxos de cripto: KYT, Travel Rule, off-/on-ramp

KYT (Know Your Transmissão): provedores de risco para endereços/bolsas, rastreamento on-chain, categorização de fontes/destinatários.
Travel Rule: Compartilhamento de atributos do remetente/destinatário entre VASP nas transferências de liminares (quando aplicável).
Políticas Off-/On-ramp: white-list bolsas/provedores, proibição de locais P2P de alto risco, limites de soma/frequência, hold para conclusões primárias após a entrada da cripto.

12) Métricas, controle de qualidade e risco de modelo

• Alert Precision/Recall.
• Proporção de alertas High fechados na SLA.
• Tempo médio de investigação (p50/p95).
• SAR-conversion (alertas → relatórios).
• Alertas repetidas para os mesmos clusters (recurrence).
• Proporção de bloqueios falsos (impact para conversão).

Validação de modelos/regras: backtesting, estabilidade de sinais, deriva (PSI), reviravolta de regras uma vez por trimestre, verificação independente por ano.

13) Gerenciamento e responsabilidade (governance)

Política da AML: papéis (MLRO/Head of Compliance), liminares, geo-matriz, lista de fontes proibidas.
Mudança-controle: RFC para novas regras/liminares, registro de alterações, A/B avaliação do impacto no negócio.
Treinamento anual, testes de conhecimento, biblioteca de malas.
Auditoria e retenção: armazenamento de mala/soluções/dados de acordo com os requisitos (normalmente 5 + anos), armazenamento seguro, acesso RBAC.

14) Anti-pattern

«Um tamanho para todos»: liminares iguais para todos os países/métodos/clientes.
O monitoramento a jato, sem internet, é um controlo.
A falta de analistas de conde não é → apanhada por mulicaunts/mulas.
Ignorar KYT/Travel Rule nos fluxos de cripto.
Não há um SLA claro para as investigações. Os alertas estão a investigar o dever.
Nenhuma ligação AML ↔ KYC/KYB/Payments Orquestrator (sem hold/limites «no fio»).

15) Folha de cheque de implementação

• Risk Assessment: mapa de risco por cliente/geo/técnicas/produtos.
• Rule Engine online + biblioteca de regras (estruturing, rapid in-out, mule, KYT, geo).
• Mapeamento/ML + gráficos; calibrar liminares e priorizar.
• Sistema de capas com padrões, timelines, cheques e SLA.
• Integração: KYC/KYB, sanções/RER, PSP, KYT, Travel Rule.
• Processos SAR/TR, playbook «Freeze & Report», proibição tipping-off.
• Métricas de qualidade (precisão/recall, SLA, SAR-conversion), dashboards e alertas.
• Gerenciamento de alterações e teste independente anual.
• Políticas de armazenamento/acesso a dados, criptografia, auditoria.
• Treinamento de comandos (Payments/Risk/Compliance/Apoio) e exercícios regulares.

16) Resumos

Um forte monitoramento AML no iGaming é o Rule Engine + ML/grafo online, ligado ao CUS/KUV/sanções/CUT, investigação SLA clara, disciplina SAR/TR, e calibragem constante de liminares de risco real. Esse padrão corta a lavagem, mantém a infraestrutura de parceiros na área verde dos bancos/PSP e quase não bate na conversão de jogadores de boa fé.