AML-мониторинг и правила

1) Цели AML-мониторинга и принцип RBA

• Раннее выявление паттернов placement → layering → integration.
• Снижение регуляторного и платежного риска (банки/PSP, схемы карт).
• Согласованность с risk-based approach (RBA): глубина контроля и скорость реакции зависят от профиля клиента/гео/продукта и суммы.

2) Карта рисков: что учитываем в модели

Риск клиента (KYC): возраст аккаунта, Tier/KYC/EDD, SoF/SoW, PEP/adverse media.
Гео/юрисдикции: санкции, высокий риск FATF, кросс-бордер маршруты.
Методы оплаты: карты (MCC 7995), A2A, кошельки, крипто (вход/выход).
Поведение и граф связей: общие IP/устройства/платежные средства (мультиаккаунт/мулы).
Транзакции и движение средств: velocity, сумма, частота, time-to-withdrawal.
Игровой контекст: депозиты → короткая активность → вывод; аномальная доходность сессий.

3) Архитектура AML-мониторинга (онлайн + офлайн)

1. Сбор событий в реальном времени: депозиты, ставки, выводы, трансферы, KYC/KYB изменения, алерты антифрода.
2. Rule Engine (≥ 50–150 мс на решение): триггеры блокировки/hold/эскалации.
3. Скоринг/ML слой: композитный риск-скор, граф-признаки (мулы, «фермы» аккаунтов).
4. Кейсовая система (Case Management): приоритезация, чек-листы, таймлайн, вложения.
5. DWH & отчетность: агрегаты, тренды, KPI, тренировка моделей.
6. Интеграции: KYC/KYB, PSP, провайдеры KYT (крипто), санкционный скрининг, Travel Rule.

4) Библиотека правил (ядро)

1. Structuring/Smurfing

Много депозитов чуть ниже лимита ревью/SoF за короткое окно.
Сильно фрагментированный оборот → быстрый вывод на разные реквизиты.

2. Rapid In–Out / Short Dwell

Депозит → минимальная или нулевая игра → быстрый вывод (T+0/T+1).
Несоответствие суммы вывода профилю доходов игрока.

3. Mule/Proxy Use

Один `device/IP` поддерживает несколько аккаунтов с разными плательщиками.
Общие карты/кошельки между независимыми аккаунтами.

4. Layering через методологию

Цепочки A2A/кошельки/крипто с конвертацией валют и переносами между суб-кошельками.

5. Bonus Abuse (AML-релевантный)

Сетевые кластеры аккаунтов, синхронные депозиты на минимальные суммы, быстрые выводы бонусных выигрышей.

6. High-Risk Geo / PEP / Adverse Media

Транзакции клиентов с EDD-метками или на всплывшем санкционном совпадении.

7. Chargeback-прокачка

Серии депозитов с дальнейшими чарджбеками и своевременными «обналичивающими» выводами.

8. Crypto-on/off-ramp аномалии

Вход/выход через адреса с высоким риском (миксеры, даркнет, скам-кластеры), высокий `risk_score` провайдера KYT.

5) Параметры и пороги (пример нормализации)

Velocity: депозитов ≥ N за 24h; уникальных платежных средств ≥ M.
Time-to-withdrawal: доля выводов ≤ T минут после депозита.
Structuring: доля платежных событий в диапазоне `[threshold − ε, threshold)` за 7 дней.
Graph: degree(device/IP/card) > квантиль 99-го перцентиля; близость к известным кластерам (эмбеддинги).
KYT (крипто): адрес/биржа с риск-категорией ≥ R; связи ≤ 2-х хопов с запрещенными сущностями.
Geo risk: операции из/в страны с высоким риском или санкции.

Пороги адаптивны: снижаются для новых аккаунтов/высокорисковых гео и повышаются для клиентов с чистой историей и Tier2+.

6) Примеры правил (псевдо-SQL)

sql
-- Rapid In-Out: Deposit → Quick Withdrawal
IF sum(withdraw. amount WHERE ts BETWEEN now()-1d AND now()
AND withdraw. time_from_last_deposit <= 30m) >= X
AND gameplay. activity_score <= Y
THEN ALERT('RAPID_IN_OUT')

-- Structuring: SoF threshold crushing
IF count(deposit WHERE amount BETWEEN (S-δ) AND (S-1)
AND ts BETWEEN now()-7d AND now()) >= K
THEN ALERT('STRUCTURING')

-- Mule network: a common device/card for ≥ N accounts in 14 days
IF distinct(accounts USING device_id OR card_token) >= N
THEN ALERT('MULE_NETWORK')

-- Crypto KYT: Address/Exchange Risk
IF kyt_risk_score >= R OR kyt_exposure_to_mixer <= 2_hops
THEN ALERT('KYT_HIGH_RISK')

7) Приоритезация и маршрутизация алертов

Severity: High (санкции/KYT high risk/PEP + аномалия), Medium (rapid in–out/structuring), Low (velocity без вывода).
Routing: линия Investigations L1/L2/L3, эскалация в комплаенс/юридический отдел.
Дедлайны: High — разбор ≤ 4 ч; Medium — ≤ 24 ч; Low — ≤ 72 ч.
Действия: временный hold/limit, запрос документов (SoF/EDD), блокировка, SAR/STR.

8) Расследования: процесс и артефакты

• Профиль клиента (KYC tiers, SoF/SoW, PEP/sanctions, история).
• Таймлайн: депозиты/игра/выводы, IP/устройства, гео, связные аккаунты.
• Платежные идентификаторы: PSP ids, ARN/RRN, кошельки/адреса.
• KYT-отчет (для крипто): путь средств, рисковые кластеры, метки бирж.
• Результат: Approve/Close, EDD & monitor, Freeze & Report.

Коммуникация с клиентом: шаблоны запросов SoF/документов, сроки ответа, последствия непредоставления.

9) SAR/STR и взаимодействие с регулятором/партнерами

Критерии подачи: обоснованное подозрение на отмывание/финансирование/санкционные нарушения.
Содержание: краткое описание, факты и таймлайн, суммы/реквизиты, связь с известными схемами, меры, контакт ответственного.
Сроки: в зависимости от юрисдикции (часто — «без промедления» после установления подозрения).
Конфиденциальность: запрет информирования клиента о факте SAR (tipping-off).
Взаимодействие с эквайером/PSP: передача risk intelligence (в рамках договора и закона).

10) Санкции и скрининг vs AML-мониторинг

Санкционный/PEP/Adverse Media скрининг — фильтр личности/компании.
AML-мониторинг — фильтр поведения и транзакций.
Они дополняют друг друга: санкционный хит повышает приоритет AML-алертов и триггерит EDD/hold.

11) Крипто-потоки: KYT, Travel Rule, off-/on-ramp

KYT (Know Your Transaction): провайдеры риска для адресов/бирж, трассировка on-chain, категоризация источников/получателей.
Travel Rule: обмен атрибутами отправителя/получателя между VASP при пороговых переводах (где применимо).
Off-/On-ramp политики: white-list бирж/провайдеров, запрет P2P-площадок с высоким риском, лимиты по суммам/частоте, hold на первичные выводы после входа крипто.

12) Метрики, контроль качества и модельный риск

• Alert Precision/Recall (ручные метки по кейсам).
• Доля High-алертов, закрытых в SLA.
• Среднее время расследования (p50/p95).
• SAR-conversion (алерты → отчеты).
• Повторные алерты по одним и тем же кластерам (recurrence).
• Доля ложноположительных блокировок (impact на конверсию).

Валидирование моделей/правил: backtesting, стабильность признаков, дрейф (PSI), раз в квартал — ревью правил, ежегодно — независимая проверка.

13) Управление и ответственность (governance)

Политика AML: роли (MLRO/Head of Compliance), пороги, гео-матрица, список запрещенных источников.
Change-control: RFC на новые правила/пороги, журнал изменений, A/B-оценка влияния на бизнес.
Обучение: ежегодные тренинги, тесты знаний, библиотека кейсов.
Аудит и ретеншн: хранение кейсов/решений/данных согласно требованиям (обычно 5+ лет), защищенные хранилища, доступ по RBAC.

14) Анти-паттерны

«Один размер на всех»: одинаковые пороги для всех стран/методов/клиентов.
Реактивный мониторинг без онлайна — «догоняющий» контроль.
Отсутствие граф-аналитики → не ловятся мультиаккаунты/мулы.
Игнорирование KYT/Travel Rule при крипто-потоках.
Нет четких SLA на расследования, алерты копятся «долгом».
Отсутствие связи AML ↔ KYC/KYB/Payments Orchestrator (нет hold/лимитов «на проводе»).

15) Чек-лист внедрения

• Risk Assessment: карта рисков по клиентам/гео/методам/продуктам.
• Rule Engine онлайн + библиотека правил (structuring, rapid in–out, mule, KYT, geo).
• Скоринг/ML + граф-признаки; калибровка порогов и приоритизация.
• Кейсовая система с шаблонами, таймлайнами, чек-листами и SLA.
• Интеграции: KYC/KYB, санкции/PEP, PSP, KYT, Travel Rule.
• Процессы SAR/STR, playbook «Freeze & Report», запрет tipping-off.
• Метрики качества (precision/recall, SLA, SAR-conversion), дашборды и алерты.
• Управление изменениями и ежегодное независимое тестирование.
• Политики хранения/доступа к данным, шифрование, аудит.
• Обучение команд (Payments/Risk/Compliance/Support) и регулярные учения.

16) Резюме

Сильный AML-мониторинг в iGaming — это онлайновый Rule Engine + ML/граф, увязанный с KYC/KYB/санкциями/KYT, четкие SLA расследований, дисциплина SAR/STR, и постоянная калибровка порогов под реальный риск. Такой контур отсекает отмывание, удерживает партнерскую инфраструктуру в «зеленой зоне» у банков/PSP и почти не бьет по конверсии добросовестных игроков.