Operațiuni și conformitate → procedurile KYC și nivelurile de inspecție

Proceduri și niveluri de inspecție KYC

1) De ce KYC

KYC (Know Your Customer) - fundamentul funcționării responsabile și sigure a platformei iGaming: împiedică accesul minorilor, reduce riscurile de fraudă/spălare, susține cerințele licențelor și partenerilor de plată, protejează reputația.

• Confirmă identitatea şi vârsta.
• Evaluați riscul de bază al jucătorului și stabiliți măsuri bazate pe risc.
• Asigurați trasabilitatea tranzacțiilor și conectivitatea depozit↔vyvod.
• Sprijiniți cerințele AML/Responsible Gaming și ale furnizorilor/autorităților de reglementare.

2) Principiile KYC

1. Abordarea bazată pe risc (RBA): profunzimea verificării depinde de profil (țară, metode de plată, comportament).
2. Dezvăluire progresivă: Colectați exact cât mai multe date necesare la nivelul actual de risc.
3. Dovezi-prin-Design - Toate deciziile și documentele sunt salvate ca o pistă de audit.
4. Confidențialitate: minimizarea datelor cu caracter personal, mascarea, rolul și accesul limitat în timp.
5. Re-verificare: verificări repetate în timpul evenimentelor de risc (concluzii, creșterea limitelor, modificarea detaliilor).
6. Explicabil și consecvent - Regulile și excepțiile sunt documentate și verificabile.

3) Niveluri de verificare (niveluri KYC)

KYC0 - Pre-înregistrare/Lumină de frecare

Colectarea de țară, vârstă (auto-atestat), e-mail/telefon (OTP).
Pre-sancțiune/POP screening după nume/telefon/poștă (încredere scăzută).
Limitări: fără depuneri/retrageri, doar recenzie conținut/bonus fără pariuri.

KYC1 - Identificarea de bază

Actul de identitate (pașaport/ID/vod. acreditare) + selfie/biometric livness (pe piață).
MRZ/validarea codului de bare, controlul datei de valabilitate, țara de emitere.
Verificarea vârstei, sancțiunea primară/screening-ul PEP.
Limitele de depunere/rată/retragere sunt de bază.

KYC2 - Confirmarea adresei (PoA)

Documentul care confirmă adresa (factura de utilitate/extrasul de cont/registru), KBA, dacă este necesar.
Geo-consistență: IP/dispozitiv/metodă de plată ≈ adresa de înregistrare.
Limite extinse și acces la pini.

KYC3 - EDD/SoF/SoW

Prin factorii declanșatori de risc: cifre de afaceri mari/concluzii, VIP, modele suspecte, geo/metode cu risc ridicat.
Sursa de fonduri (SoF) și originea averii (SoW): declarații de venit, salariu, impozite, declarații.
Interviurile/explicațiile scrise sunt posibile.
Accesul la limite ridicate/concluzii accelerate - după aprobare.

4) Declanșatoare de creștere a nivelului/Re-KYC

Financiar: valoarea retragerii unice, cifra de afaceri pentru perioada, modificările frecvente ale metodelor de plată.
Comportament: profil de castig/pierdere anormal, activitate nocturna, multe sedinte scurte.
Tehnic: modificări frecvente ale dispozitivului/IP/ASN, proxy/rețele cu risc ridicat.
Profil: nume/adresă/data nașterii discrepanțe între surse.
Eveniment: schimbarea detaliilor de plată, creșterea limitelor, conectarea unui plan VIP.

5) Sancțiuni, PEP și mass-media negative

Screening la: înregistrare, finalizarea KYC1/2/3, înainte de retragerea majoră, la schimbarea detaliilor.
Revalidați atunci când cărțile de referință sunt actualizate (zilnic/săptămânal).
Coincidență logică: meci fuzzy cu triaj iminent, manual de cazuri borderline.
Trimiteri la surse/cazuri - în probe.

6) Documente și alternative

ID/pașaport/apă. drepturi, PoA: factură de utilități, extras de cont ≤ 3 luni

Alternative: furnizori eID/BankID/API proactiv, KBA (bazat pe cunoștințe), confirmare prin microtransaction.
Biometric: selfie cu verificare de viață; stocați șabloane biometrice numai dacă este necesar și în conformitate cu reglementările locale.
Abateri: copii alb-negru, documente expirate, fotografii neclare - reguli de auto-abatere.

7) Date și confidențialitate

Minimizare: solicităm doar necesarul; separarea artefactelor KYC și a datelor de joc/marketing.
Accesări: RBAC/ABAC, jurnale de citire/emitere a fișierelor, filigrane.
Retentie: pe jurisdictie/licenta (de obicei 5 + ani dupa ultima interventie chirurgicala).
Criptare: în repaus/în tranzit, chei în HSM/Vault, adrese URL temporare pentru vizualizare.
Persoana vizată solicită: SLA pentru export/corecție/ștergere în limite acceptabile.

8) Controls-/Policy-as-Code (fragmente)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) POS (fragmente)

POS: Verificarea KYC1

1. Verificați completitudinea pachetului (ID + selfie, metadate de descărcare).
2. Validați documentul (MRZ/cod de bare, data, țara), verificați numele complet/DR.
3. Meci selfie (meci de fata, liveness).
4. Eliminarea sancțiunilor/RAP; în caz de meciuri → triaj.
5. Atribuie KYC1, actualizează limitele, înregistrează dovezi.

POS: KYC2 (PoA)

1. Verificați documentul ≤ 90 de zile, adresa în format/limbă validă.
2. Adresa de meci la IP/dispozitiv/metode de plată.
3. Problema KYC2, extinderea limitelor/ieșirilor, înregistrarea dovezilor.

SOP: EDD/SoF (KYC3)

1. Solicita lista documentelor (salariu/taxe/declaratii) si clarificari.
2. Potriviți cantitățile/frecvențele/sursele cu volumul și profilul vânzărilor.
3. Rezoluție: Aprobați/restricționați/închideți; privind suspiciunea - procesul SAR/AML.
4. Actualizați profilul de risc, limitele, dovezile.

10) Integrări

Furnizori KYC: IDV, PoA, biometrice, sancțiuni/PEP (lot + eveniment-condus).
Plăți: control sursă-sursă, viteză, deține până la finalizarea KYC.
AML/Case-management: joint player card, statusuri, SLA.
CRM/Suport: șabloane de comunicare, KYC, ETA și statusuri dunning.
DWH/BI: vitrine ale evenimentelor KYC, raportarea perioadelor de licență.

11) KPI/OKR

• KYC1 TAT mediană, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• Rata de trecere automată (fără participare manuală), coada manuală (cota manuală).
• Sancțiuni/PEP Rata de succes și precizie privind cazurile confirmate.

• Rata falsă de respingere a documentelor, calitatea Doc eșuează%.
• Frecvența de nepotrivire IP/Adresa, Payout Blocat din cauza KYC (timpul median pentru a debloca).
• Dovezi Caracterul complet ≥ 98%.

• KYC Drop-off pe trepte, CSAT/NPS prin procese KYC.

12) Liste de verificare

• Consimțământul datelor/politicile adoptate.
• S-a efectuat screeningul inițial al sancțiunii.
• Canalele de comunicare sunt confirmate (OTP/e-mail).

• Valid ID și selfie, a trecut liveness.
• Nume/DR/country match.
• Sancțiuni/REP: „clar” sau calea spre triaj.

• PoA este proaspăt și ușor de citit; adresa este normalizată.
• Geo-consistență (IP/dispozitiv/metodă de plată).

• Setul complet de documente, sumele corespund cifrei de afaceri.
• Decizia și justificarea fixate (dovezi), profilul de risc actualizat.

• Motivul și data, încuietori/limite aplicate corect.
• Comunicarea trimisă jucătorului (ETA/pași).

13) Anti-modele

Testarea universală „grea” pentru toate - defecțiuni și costuri ridicate.
Verificări manuale fără SLA/busteni și control dublu.
Depozitarea datelor biometrice/documentelor fără motive stricte și păstrarea acestora.
Nu există nici o legătură cu plățile: retragerea este posibilă înainte de KYC2/3.
Lipsa rescreeningului sancțiunilor și a reevaluării evenimentelor KYC.
Două versiuni ale adevărului: KYC în Excel și datele tranzacției în DWH fără andocare.

14) 30/60/90 - plan de implementare

• Aprobarea politicii KYC (niveluri, triggere, SLA, retenție).
• Conectați IDV/sancțiuni/PEP, executați KYC1 și fluxul PoA.
• Configurați Control-as-Code: re-KYC pentru schimbare de plată, anularea sancțiunilor.
• Activați stocarea probelor și RBAC.

• Procese EDD/SoF, comunicații champlon și case-management.
• Integrarea cu plăți (sursă-sursă, viteză), auto-blocare până la KYC2/3.
• Tablouri de bord KPI (TAT, Auto-pass, Manual Tail, Hit-Rate).
• Viața biometrică pilot/BankID (acolo unde este disponibil).

• Reducerea manuală a cozii ≥ 30%, KYC1 țintă mediană TAT ≤, Fals Respinge ↓.
• Re-KYC și reglementările privind rescreeningul sancțiunilor, auditul conformității.
• Legarea KPI la comenzile OKR (Conformitate/Ops/Plăți/Suport).

15) ÎNTREBĂRI FRECVENTE

Î: Când să solicitați o adresă (PoA)?
R: Când se atinge pragul de depozite/concluzii, geo/metoda nu se conformează sau în conformitate cu cerințele țării/licenței.

Î: Când este necesar SoF/SoW?
R: La RPM/VIP ridicat, anomalii, geo/metode cu risc ridicat, înainte de retragerea majoră.

Î: Cum de a reduce eșecurile pe KYC?
R: Solicitări mobile/validare ocr, cerințe clare de fotografie, suport BankID/eID, separare pas, feedback rapid.

Î: Cum să protejați confidențialitatea?
R: Minimizare, criptare, stricte RBAC/acces busteni, retenție automată și politica de ștergere.