KYC-требования и уровни проверки

1) Что такое KYC и зачем он нужен

KYC (Know Your Customer) — это комплекс процедур идентификации и проверки клиентов для снижения рисков отмывания средств (AML), финансирования терроризма (CFT), мошенничества и нарушений санкционных режимов. В iGaming KYC дополняется возрастной проверкой, гео-ограничениями, источниками средств и ответственной игрой (лимиты, affordability).

• Подтвердить личность и возраст игрока.
• Установить резидентство/адрес, проверить гео-допустимость.
• Исключить санкционные, террористические и PEP-риски.
• Понять источники средств/богатства (SOF/SOW) при высоких лимитах.
• Обеспечить непрерывный мониторинг и своевременную реверификацию.

2) Риск-ориентированный подход (RBA)

• География: страна регистрации/проживания, входы с «высокорисковых» юрисдикций.
• Платежи: способ, канал (карта, A2A, крипто-онрампы), паттерн депозитов/выводов.
• Поведение: скорость оборота, ставки, бонусные схемы, мультиаккаунтинг, IP/Device-аномалии.
• Статус клиента: PEP, санкции, неблагоприятные медиа (Adverse Media).
• Продуктовый риск: казино/ставки, высокие лимиты, P2P-переводы.

RBA отражается в уровнях KYC (см. ниже), триггерах эскалации и частоте обзора (CDD ↔ EDD).

3) Уровни KYC (пример для iGaming)

L0 — Базовый допуск (age & geo pre-check)

Цель: мгновенная воронка онбординга при минимальном трении.
Данные: e-mail/телефон, ФИО, дата рождения, страна, согласия.
Проверки: возраст (date-of-birth + внешняя база/SDK), IP/GeoIP, устройство, базовый watchlist.
Ограничения: низкие лимиты депозитов/выводов, запрет на P2P, ограниченные бонусы.
Реверификация: при достижении порога оборота/вывода.

L1 — Стандартная идентификация (CDD)

Документы: 1 документ личности (паспорт/ID/водправ) + селфи-liveness, в отдельных странах — отдельная возрастная верификация.
Адрес: декларация адреса + «мягкая» проверка (phone match, банки-агрегаторы, кредитные файлы, postal DB).
Автоматические проверки: санкции/PEP/Adverse Media, дубликаты устройств/платежей, поведенческая биометрия.
Лимиты: средние лимиты депозитов/выводов; возможность участвовать в турнирах/промо.

L2 — Расширенная проверка (EDD) / Источники средств (SOF)

Документы: доказательства адреса (utility bill/банковская выписка ≤3 мес.), подтверждение доходов (выписки, справки о доходах, пейслипы, контракт), при необходимости — SOW (продажа актива, наследство).
Интервью/анкета риска: краткая форма об источниках средств, занятости, ожидаемом обороте.
Техконтроли: усиленные триггеры AML-мониторинга, более частая пересверка санкций/PEP.
Лимиты: высокие; доступ к VIP-программам/высоколиквидным выплатам.

L3 — Ультра-рисковый профиль / VIP High-Roller / Кросс-бордер

Дополнительно: аудированные отчеты/подтверждение активов, письма из банка, декларации.
Ручной комплаенс-ревью + принцип «четырех глаз» (4-eyes).
Частота мониторинга: высокая, событийные рецензии транзакций, детальный SOW.

4) Проверки личности: методы и качество

Док-верификация: OCR + MRZ + NFC (если доступно), анти-тампер, сравнение портретов.
Селфи-liveness: активная (мимика/движения) или пассивная; анти-спуфинг (маски, ре-плей).
Биометрия: face-match, иногда voice/behavioral.
Недокументарная верификация: через банки/агрегаторы (open-banking), кредитные бюро, мобильные операторы (SIM KYC).
Качество: минимальные требования к резолюции, освещению; отклонения — «серый лист» + ручная обработка.

5) Возраст, география и допустимость

Возраст: автоматическая проверка даты рождения + внешние реестры/SDK, вторичный контроль на L1.
Гео: блокировка запрещенных стран/штатов; сверка IP, GPS/телеметрия устройства, BIN-страна карты, адрес из документа.
Региональные тонкости: разные доказательства адреса/форматы ID (латиница/кириллица, транслитерация имен, несколько официальных языков, патронимы).

6) Санкции, PEP и неблагоприятные медиа

Санкции: сопоставление по спискам (UN/EU/OFAC/HMT и локальные), авто-обновление, фуззи-матч с настраиваемым порогом.
PEP: классификация (международные/национальные/местные; PEP-связанные лица).
Adverse Media: негативные публикации по ключевым темам (мошенничество, коррупция).
Процедуры: позитивные матчи → ручная валидация, эскалация, отчет комплаенса.

7) Source of Funds (SOF) и Source of Wealth (SOW)

Когда требуется: превышение порогов депозитов/выводов, VIP-статус, редкие большие транзакции, риск-флаги.

• Выписки банка за 3–6 мес., справки о доходах, налоговые декларации.
• Доказательства единовременных поступлений: продажа недвижимости/акций, наследство, дивиденды, договор займа.
• Подтверждения статуса (ИП/компания), контракт, письмо работодателя.

8) KYB (для мерчантов/партнеров/аффилиатов)

Регистрационные документы, устав, бенефициары (UBO), структура владения.
Директора/UBO: KYC, санкции/PEP.
Доказательства адреса и деятельности (сайт, договоры, счета).
Мониторинг платежей и трафика (для аффилиатов): анти-фрод, качество лидов, гео и источник трафика.

9) Триггеры повторной проверки (rev-KYC) и событийная EDD

Достижение лимитов оборота/выводов.
Смена ФИО/адреса/платежных инструментов, подозрительные паттерны (цикличные депозиты/быстрые выводы).
Негативные медиа, обновления в санкционных списках, новые устройства/IP кластера.
Длительная неактивность + внезапная активность.
«Гигиена» данных: рев-KYC раз в 1–3 года (RBA-зависимо).

10) Хранение данных, приватность и безопасность

Минимизация и цель: собирайте только необходимое для цели (онбординг, AML, возраст, регион).
Сроки хранения: обычно 5 лет после закрытия счета/последней транзакции (уточняйте по локальному праву).
Шифрование: в покое (at-rest) и в транзите (in-transit); секреты в HSM/вендор-vault.
Доступ: принцип наименьших привилегий (RBAC/ABAC), аудит, журналы доступа.
Права субъекта: доступ/исправление/удаление (где применимо), прозрачность по обработке.
Вендоры: DPIA/UDPA, межстрановые трансферы данных, стандартные договорные положения.

11) Архитектура и интеграция KYC

1. Регистрация (L0): e-mail/телефон → возраст/geo pre-check → risk pre-score.

2. L1: doc-верификация + liveness → санкции/PEP → адрес (мягкий).

3. Открытие лимитов/функций → транзакционный мониторинг (поведенческий/платежный).

4. Эскалация до L2/L3 по триггерам (пороги, аномалии, VIP).

5. Периодический ревью + событийный EDD.

• Провайдеры: ID-вендор, санкции/PEP, адресные БД, device fingerprint, поведенческая биометрия, open-banking/PSP.
• Шлюз принятия решений: Rules + ML (скоринг рисков, графовые связи, кластеризация устройств).
• Консоль комплаенса: очереди кейсов, SLA, «четыре глаза», шаблоны SAR/STR, экспорт отчетов.
• Логи и аудит: неизменяемое хранилище (WORM), версионирование профилей, архив документов.
• Доступность/устойчивость: актив-актив регионы, backoff/повторы, деградация в режим «только L0/L1» при недоступности внешних вендоров.

12) UX и конверсия KYC

«Прогресс-бар» и поэтапность (split-KYC): сначала L0/L1, затем L2 по мере роста лимитов.
Локализация: язык, формат дат/имен, подсказки по документам (пример фото, glare-контроль).
Повторная загрузка: «сохранить и продолжить позже», напоминания, secure-линки.
Доступность: мобильные SDK, офлайн-режим черновика, компрессия изображений.
Fail-safe: мягкий отказ с объяснением, канал на ручную проверку, SLA по кейсам.

13) Метрики качества KYC

Time-to-Verify (TTV): медиана/95-й перцентиль.
Auto-pass rate и Auto-fail rate, доля ручной обработки.
First Pass Yield (FPY) по документам.
False Positive rate по санкциям/PEP, среднее время клиринга алертов.
Conversion uplift после UX-итераций.
Cost per Verification и совокупные KYC OPEX.
SAR/STR ratio и результативность эскалаций.
Re-KYC completion rate.

14) Политики и шаблоны (примерные формулировки)

• L0: до X €/₴/$/₹ в месяц, без вывода или с микровыводом.
• L1: до Y, стандартные выводы.
• L2: высокие лимиты + требование SOF.
• L3: премиальные лимиты + SOW и ручной комплаенс.
• EDD-триггеры: крупные единовременные депозиты, ускоренные циклы депозит→вывод, частая смена платежных средств, VPN/прокси, несовпадение стран по IP/BIN/документу.
• Санкции/PEP: скрининг при онбординге + при каждой выплате; ревью «пограничных» совпадений в течение 24 ч.
• Реверификация: событийная + периодическая (12–36 мес. по RBA).
• Эскалации и SAR/STR: обязательные сценарии и сроки подачи, запрет уведомления клиента (tipping-off).

15) Частые риски и как их закрывать

Синтетические личности → мультисигнал: документ+лицосравнение+device graph+open-banking.
Мультиаккаунтинг → поведенческая биометрия, cookie-less device graph, адрес/платежные кластеры.
Бонус-абьюз → лимиты до KYC-уровня, velocity-правила, частичный «отложенный бонус».
Фрод с документами → NFC-чтение чипа, пассивный liveness, текстурный анализ.
Тонкий файл (thin-file) → альтернативные источники (телко-данные, open-banking), ручная проверка.
Транслитерации/алиасы → нормализация ФИО, локальные алфавиты, фуззи-матч.

16) Мини-чек-листы

• Возраст, гео, IP/Device.
• Документ + селфи-liveness.
• Санкции/PEP/Adverse Media.
• Адрес (soft) → при лимите: адрес (hard).
• Автоматические правила и ML-скоринг.
• Прозрачная коммуникация, согласия.

• Рев-скрининг санкций/PEP.
• SOF (при превышении порога).
• Проверка совпадения владельца платежного инструмента.
• Поведенческий и платежный мониторинг (аномалии).

• Полнота записей и актуальность документов.
• Обучение команды и журнал аудита.
• Тест-планы вендоров (SLA, отказоустойчивость).
• DPIA/безопасность и доступы.

17) FAQ (коротко)

Можно ли пускать в игру до L1? Да, при L0 с жесткими лимитами и возраст/гео-контролем — но вывод/высокие лимиты только после L1.
Когда требовать SOF/SOW? При превышении порогов оборота/вывода, VIP-статусе, подозрительных паттернах или по требованию регулятора.
Нужно ли скрининг при каждой выплате? Рекомендуется короткий санкционный рескрининг и поведенческий мониторинг.
Как не «убить» конверсию? Делите KYC на этапы, улучшайте UX, применяйте альтернативные источники данных и автопроход.

Итог

Эффективный KYC — это баланс между защитой бизнеса и плавным UX. Стройте уровни L0–L3 под свой риск-профиль, автоматизируйте скрининг, внедряйте SOF/SOW для high-risk, измеряйте метрики качества и обеспечьте неизменяемый аудит. Так вы останетесь в комплаенсе, не теряя конверсию и LTV.