KYC: документы, верификация, SLA

1) Зачем iGaming KYC и как он влияет на монетизацию

• снижает риск блокировок со стороны платежных партнеров и банков,
• уменьшает «friendly fraud» и rate чарджбеков,
• ускоряет выводы (меньше ручных проверок) и повышает LTV,
• выполняет требования регуляторов и поставщиков платежных услуг.

Принцип: risk-based approach — чем выше риск профиля клиента/операции, тем глубже проверка и короче окно толерантности к аномалиям.

2) Уровни (tiers) и триггеры углубления

Tier 0 — Легкая регистрация (pre-KYC)

Сбор: e-mail/телефон, страна, дата рождения.
Пороговые лимиты: минимальные депозиты/ставки, без выводов.
Автоскрининг санкций по базовым данным (грубая фильтрация).

Tier 1 — Базовая идентификация

Документы: один документ с фото (паспорт/ID/водит. удостоверение).
Контроли: лиiveness + face-match, проверка MRZ/голограмм (если поддерживает провайдер).
Лимиты подняты, но вывод ограничен (например, до X в сутки/неделю).

Tier 2 — Адрес/возраст и рисковые рынки

Документы: Proof of Address (PoA) — счет за коммуналку/выписка банка ≤ 3 мес, либо eIDAS/BankID, где доступно.
Дополнительно: источник средств (SoF) для крупных депозитов/высоких оборотов.
Доступ к повышенным лимитам, быстрым выводам.

Tier 3 — Расширенный (Enhanced Due Diligence, EDD)

Документы: SoF/SoW (выписки, зарплатные/налоговые документы, договоры), доп. биометрия/видеозвонок.
Поводы: PEP-совпадения, высокие суммы, нетипичный гео/поведение, сложные паттерны депозит→вывод.
Одобрение вручную с двойным контролем.

Триггеры апгрейда: сумма депозита/вывода, общий оборот за 30/90 дней, совпадение по санкциям/PEP/адверс-медиа, гео/въезд в «серые» зоны, velocity аномалии, запрос на крупный вывод, chargeback-история.

3) Список документов и требования к качеству

• Паспорт, нац. ID, водительское (в зависимости от страны).
• Четкое фото/скан, весь документ целиком, без бликов.
• Проверки: валидность номера, дата истечения, MRZ/баркоды, контроль манипуляций (cropping/Photoshop).

• Коммунальный счет, банковская выписка, налоговое письмо, регистрация по месту жительства.
• Должен содержать ФИО, адрес, дату (≤ 90 дней), источник.

• Выписки по счету/зарплате, договоры, документы о продаже активов, дивиденды.
• Матч ФИО/адреса с учетной записью; логическая связка сумм с поведением в продукте.

• Активная/пассивная ливнес-проверка, сравнение с документом (face-match).
• Защита от «replay/print/3D-масок».

4) Санкции, PEP, адверс-медиа

Санкционные списки: OFAC/EU/UK/UN + локальные; обновление ежедневно/почасово.
PEP: лица, занимающие/занимавшие значимые госколжности, их родственники/связанные лица.
Adverse Media: негативные публикации (мошенничество, отмывание, коррупция).
Алгоритм: fuzzy-matching с порогами, верификация совпадений вручную, документирование решений.
Политика: санкции — стоп, PEP — EDD + лимиты, adverse media — кейс-бай-кейс (EDD).

5) Оркестратор KYC: как связать провайдеров и процессы

• управляет провайдерами (doc-scan/biometry/sanctions/PEP/AML),
• хранит состояние заявки (state machine),
• триггерит апгрейды/реверификацию по событиям (суммы, гео, риск),
• обеспечивает идемпотентность и аудит (кто что проверил и когда),
• агрегирует решение: Approve / Reject / EDD / Manual Review.

• 2+ провайдера на ключевые рынки (кросс-чекаут/фейловер).
• Локальные eID/BankID там, где доступны (НордИкс, Балтии, и т. п.).
• Сегментация данных: документы хранятся в зашифрованном хранилище с KMS/HSM.

6) SLA: целевые времена и приоритеты

• Tier 1 (авто): ≤ 90 сек p95.
• Tier 2 (авто PoA): ≤ 5 мин p95.
• Tier 2 (ручной PoA): ≤ 2 часа p95 (рабочие часы).
• Tier 3 / EDD (ручной): ≤ 24–48 часов (с приоритезацией high-rollers/выводов).

• Авто-выплата после успешного Tier 1/2: ≤ 15 мин p95.
• Если требуется реверификация/EDD: пауза ≤ 24 часа с прозрачной коммуникацией.

• По истечении документов/смене ФИО/адреса/гео или достижении порога — ≤ 24 часа.

• Регулярно (ежесуточно) + при каждом крупном платеже/выводе — on-demand ≤ 60 сек.

7) Решения и условия (decisioning matrix)

8) UX и прозрачность (не ломая конверсию)

Показывайте чек-лист документов и статус по шагам.
Поддержка мобильной загрузки, авто-обрезка/детекция бликов.
Локализация подсказок, допустимые форматы PoA по стране.
Прозрачные сроки: таймер SLA и «что дальше».
Альтернативные каналы: видеоверификация при повторных провалах ливнес.

9) Реверификация и жизненный цикл

Сроки истечения документов: напоминания T–30/T–7.
Изменение риска (гео/поведение) → «точечная» реверификация полей.
Переезд/смена имени → PoA/ID update.
Dormant accounts → re-KYC перед крупной активностью.

10) Данные, хранение и приватность

Минимизация: храните только необходимые поля; документы в зашифрованном блоб-хранилище.
Доступ: RBAC, mTLS, временные токены, аудит обращений.
Retention: хранение согласно регуляторике (часто 5 лет после последней транзакции), затем удаление/анонимизация.
GDPR/DSR: процессы доступа/исправления/удаления; логи решений — обезличены.

11) Мониторинг и метрики

Качество/скорость

KYC pass rate (Tier1/Tier2/Tier3), доля авто-аппрува.
Время онбординга p50/p95, share ручных кейсов.
Drop-off на шагах (ID, ливнес, PoA, SoF).

Риск/комплаенс

Доля совпадений санкций/PEP, EDD-кейсов.
Chargeback rate до/после KYC, фрод-инциденты по сегментам.
Ошибки/false matches в санкциях/PEP.

Операции

SLA hit rate (по онбордингу/выводам/EDD).
Повторные запросы документов (%), причины отклонений.
Стоимость KYC на пользователя (в т.ч. ручной труд).

12) Интеграция с платежами и антифродом

KYC-сигналы → скоринг транзакций (повышение/понижение порога 3DS/TRA).
При velocity/фрод-флагах — триггер EDD/SoF перед выводом.
BIN/гео-политики: для «тяжелых» эмитентов — требовать Tier 2 раньше.

13) Выбор провайдеров и дубль-сорсинг

Критерии: покрытие документов, точность ливнес/биометрии, скорость, SDK-качество, цена, приватность, «privacy by design».
Failover на второго провайдера при деградации/региональных провалах.
Контрактные SLA и AoC (attestation of compliance), DPIA/обработка данных.

14) Анти-паттерны

Универсальный «жесткий» KYC для всех стран/рисков → падение конверсии.
Ручная проверка там, где 95% авто-кейсов — узкие горлышки.
Отсутствие реверификации/истечения документов — рост риска на выводах.
Хранение лишних PII без цели и ретеншн-политики — риски GDPR.
Игнорировать SoF для high-rollers — риск AML/санкций.

15) Чек-лист внедрения (коротко)

• Определены tiers, лимиты и триггеры апгрейда.
• Подключен KYC Orchestrator, 2+ провайдера на ключевых рынках.
• Включены ливнес/face-match, MRZ/анти-тампер.
• Санкции/PEP/adverse media — ежедневный re-screen + on-demand.
• SLA по онбордингу/выводам/EDD, алерты T–3/T–1.
• Процедуры SoF/SoW для крупных сумм и EDD.
• Шифрование, RBAC, ретеншн, DPIA/GDPR-фреймворк.
• UX-мастер с подсказками и локальными PoA-требованиями.
• Метрики и дэшборды (pass rate, SLA, drop-off, cost/KYC).
• Плейбуки эскалаций и отказов (шаблоны писем, логирование решений).

16) Резюме

Эффективный KYC в iGaming — это оркестрация провайдеров, risk-based уровни, быстрый авто-аппрув простых кейсов и строгий EDD там, где есть риск. Четкие SLA, прозрачный UX, минимизация и защита данных, регулярный re-screening и интеграция с антифродом делают выводы быстрыми, соответствие — устойчивым, а монетизацию — предсказуемой.