AML politikası ve kara para aklama karşıtı

1) Amaç ve kapsam

AML politikasının amacı, kara para aklama ve terör finansmanını önlemek, düzenleyici gerekliliklere uyumu sağlamak ve platformu, oyuncuları ve ortakları korumaktır. Politika, grubun tüm tüzel kişileri, çalışanları, dış kaynak ekipleri ve nakit akışları ve müşteri verileriyle etkileşime giren üçüncü taraflar (PSP, bağlı kuruluşlar, içerik sağlayıcıları) için geçerlidir.

• Ürünler: casino/bahis, P2P transferleri, turnuvalar, bonuslar/cashback, pazar hizmetleri.
• Kanallar: web, mobil uygulamalar, API entegrasyonları, crypto-on/off-ramp.
• Coğrafyalar: Tüm ülkeler/devletler yerel gereksinimleri dikkate alarak hizmet vermiştir.

2) Düzenleyici destek ve ilkeler

Politikanın temeli FATF tavsiyeleri (risk odaklı yaklaşım, KYC/KYB, yaptırımlar, izleme, raporlama), yerel AML/CFT yasaları (Avrupa - AMLD direktifleri, İngiltere - MLR, ABD - BSA/Patriot Yasası, vb.)

• RBA (Risk Bazlı Yaklaşım): Kaynaklar daha yüksek risklere odaklanır.
• Orantılılık: Önlemler müşteri/işlem/ürün riski ile tutarlıdır.
• Hesap verebilirlik-Çözüm yakalama, denetleme ve izlenebilirlik.
• Tasarımla Gizlilik: minimum veri, işlemenin yasallığı, güvenlik.

3) Roller ve sorumluluklar (yönetim)

Kurul: Politika, risk iştahı, periyodik raporu onaylar.
Üst Yönetim: kaynaklar, KPI'lar, uygulama sağlar.
MLRO/AML Görevlisi: süreç sahibi, düzenleyici raporlama, SAR/STR, izleme metodolojisi, LEA ile etkileşim.
Uyum Ekibi: KYC/KYB, yaptırımlar/PEP, vaka yönetimi, eğitim.
Risk ve Analitik: puanlama modelleri, senaryolar, kural kalibrasyonu.
Mühendislik/Güvenlik: sağlayıcı entegrasyonları, günlükler, erişim kontrolü, şifreleme.
İşlemler/Ödemeler: kurşun kontrolü, manuel kontroller, veri kalitesi.

RACI (упрощенно): Yönetim Kurulu - A, MLRO - R/A, Uyumluluk - R, Risk - R, Eng - C/R, Ops - C/R, İç Denetim - I/C.

4) RBA: risk modeli

• Müşteri (ülke, ikamet, meslek, KKD/yaptırımlar, davranışsal risk).
• Ürün (casino/bahis, P2P, kripto, yüksek limitler, sınır ötesi).
• Kanal (online onboarding, hiçbir varlığı, anonim araçlar).
• Coğrafya (yüksek riskli yargı bölgeleri, yaptırım rejimleri).
• İşlemler (hacim, ciro oranı, bozdurma modelleri).

Derecelendirme: onboarding + dinamik faktörlerde (geçmiş, cihazlar, ödeme modelleri) başlangıç hızı ⇒ düşük/orta/yüksek riskli segmentasyon ve ölçüm seviyesinin seçimi: CDD/EDD/SOW.

5) KYC/KYB ve yaptırım taraması (AML ile ilişki)

Bireyler için KYC: belge + canlılık, adres, yaş, yaptırımlar/REP, Olumsuz Medya.
Şirketler/bağlı kuruluşlar/sağlayıcılar için KYB: kayıt, UBO/direktörler, yaptırımlar/POP, faaliyetlerin doğrulanması ve fon kaynakları.
Yaptırımlar/REP: birincil ve periyodik tarama, bulanık eşleşme, manuel temizleme.
SOW/SOF: yüksek limitler ve anormallikler ile - fonların/servetin kökeninin doğrulanması.
Re-KYC: Planlanmış ve olay tetiklemeli.

6) İşlem izleme ve davranışsal analitik

• Hızlı para yatırma - gerçek oyun riski olmadan para çekme döngüsü.
• Miktarlara/sıklığa göre yapışıklıklar, bölünmüş ödemeler ("smurfing").
• Ülke IP/BIN/adresinin uyumsuzluğu, ödeme yöntemlerinin sık sık değiştirilmesi.
• Atipik gece/kitle trafiği, cihaz kümeleri (cihaz grafiği).
• Anonimleştiriciler/VPN, proxy çiftlikleri, OS/tarayıcı sahteciliği kullanarak.
• Şüpheli bonus kalıpları, çoklu hesaplamalar, ters ibraz döngüleri.

ML/davranış modelleri: olasılıksal anomaliler, grafik bağlantıları, oyuncuların/iştiraklerin risk hızı, yüksek silindirli segmentasyon.

Vaka Yönetimi: Uyarı Oluşturma - Yeterlilik - Belge/Açıklama Talebi - Karar (Eskalasyon/Engelleme/SAR)

7) "Kırmızı Bayraklar" (iGaming-özgüllük)

Üçüncü taraflardan düzenli para yatırma/oyuncu başına birçok tek kart.
Bağlantılı hesaplar arasında P2P/tournament transferler.
Profillerin güçlü yanlış hizalanması (yaş, meslek vs ciro).
Açıklanabilir bir sebep olmadan yetki alanları arası göç.
Oyun aktivitesi veya minimum marjlar olmadan sistematik para çekme.
CUS/çıktılar/bonuslar, "çiftlik" hesaplarının sınırlarını atlamaya çalışır.
Belirsiz trafik kaynağı veya anormal derecede yüksek CR - WD ile afili.

8) SAR/STR: iç soruşturma ve raporlama

Şüphe eşiği: Miktarına bakılmaksızın "makul şüphe".
Proses: uyarı - gerçek toplama - MLRO çözümü - SAR/STR gönderimi zamanında, devrilmeden.
Eskalasyon: geçici engelleme, LEA/düzenleyicinin talebi üzerine fonların dondurulması, müşteri ile iletişim planı.
Dokümantasyon: olay zaman çizelgeleri, veri kaynakları, ekip eylemleri, kararlar ve gerekçe.

9) Veri depolama ve güvenlik

Şartlar: Kural olarak, ilişkinin sona ermesinden en az 5 yıl sonra (yerel olarak belirtilir).
Hedef depolama: profiller, belgeler, uyarılar, SAR/STR, erişim günlüğü, kanıt tabanı.
Güvenlik: At-rest/in-transit şifreleme, HSM/gizli depolama, RBAC/ABAC, değişmez günlükleri (WORM), erişim ve çalışan eylemleri izleme.

10) Eğitim, kalite kontrol ve denetim

Eğitim: Herkes için yıllık, derinlemesine - risk fonksiyonlarının çalışanları için; Testler ve sertifikasyon.
QA/teşhis: seçici vaka incelemeleri, çift kontroller (4 göz), hatalı kararlarda retro.
İç denetim: Politikalara, düzenleyici gerekliliklere ve süreç etkinliğine uyumun bağımsız olarak değerlendirilmesi.
Stres testleri: olay egzersizleri (yaptırımlar, büyük tipoloji, kitle uyarıları).

11) Kripto ve VASP (varsa)

Seyahat Kuralı: Sağlayıcılar arasında gönderici/alıcı niteliklerinin değişimi.
Blockchain analitiği: adreslerin, kümelerin, yaptırımların/karıştırıcı etiketlerinin risk oranı.
It/off-ramp kontrolü: cüzdan sahibi uyumluluğu, veri eşleştirme, limitler ve harici adres günlüğü.
Fiyat dinamikleri/volatilite: miktarlar için özel kurallar, "olağandışı" dönüşümlerin işaretlenmesi.

12) Üçüncü taraflarla etkileşim

PSP/bankalar/KYC sağlayıcıları: sözleşmeler, SLA, DPIA, hata toleransı test planları.
İştirakler: KYB, trafik kalitesi izleme, risk kaynaklarının yasaklanması, tıklama sonrası denetim.
Muhabir ilişkileri: ortakların derinlemesine doğrulanması, periyodik inceleme.

13) AML çözüm mimarisi (öneriler)

Entegrasyonlar: CUS/yaptırım sağlayıcıları, PSP, dolandırıcılıkla mücadele, blockchain analitiği.
Olay yolu: Tüm işlemler/olaylar değiştirilemez depolama alanına sahip bir iş parçacığına (Kafka/eşdeğeri) düşer.
Kural motoru + ML: çevrimiçi puanlama (milisaniye) ve çevrimdışı revizyonlar (toplu/neredeyse gerçek zamanlı).
Vaka sistemi: öncelikli kuyruklar, müşteri istek şablonları, SLA, posta/anlık mesajlaşma ile entegrasyon.
Gözlemlenebilirlik: günlükler, metrikler, izler; Kural/model versiyonu ve etkisi.
Degradation: güvenli basitleştirme (fail-open/close by policy), yedekleme sağlayıcıları, retrai/quorum.

14) Performans Metrikleri ve KPI'lar

SAR Dönüşüm Oranı: SAR/STR haline gelen uyarıların oranı.
Time-to-Alert/Karar Verme Süresi: algılama ve karar verme hızı.
Uyarılarda Yanlış Pozitif Hız/Hassas Hatırlama.
Kapsam: İzlenen/taranan işlemlerin yüzdesi.
Rework/Appeals: çözüm revizyonu ile vakaların paylaşımı.
Eğitim Tamamlama: İlgili eğitime sahip çalışanların yüzdesi.
Satıcı SLA: çalışma süresi sağlayıcıları, CUS/yaptırımlar üzerine TTV.

15) Kontrol listeleri

• KYC/KYB, yaş/coğrafi, yaptırımlar/PEP, Olumsuz Medya.
• RBA puanlama, temel limitler, cihaz parmak izi.
• Onay, gizlilik, çeklerin raporlanması.

• Yeniden yaptırım taraması, gerekirse SOF/SOW.
• Ödeme aracının sahibinin eşleştirilmesi.
• Davranışsal doğrulama ve işlem geçmişi.

• Gerçekleri ve belgeleri toplamak.
• Dahili MLRO görüşü.
• Zamanında rapor sunumu; devrilme yasağı.
• Deniz sonrası, güncelleme kuralları/modelleri.

16) Tipik hatalar ve bunlardan nasıl kaçınılacağı

RBA'sız kör KYC onay kutusu: Dinamik analitiği ve sınırları güçlendirin.
Modellerde geribildirim eksikliği: bir karar uygulamak - sonuç döngüsü.
Risk yönetimi yerine ultra sert "derisking": Toplam yasaklardan ziyade EDD/SOW ve kontrollü limitleri kullanın.
Bölgesel kuralları/yaptırımları dikkate almamak: "coğrafi profilleri" korumak.
Zayıf Karar Günlüğü: Mantıksal ve artefakt depolamayı standartlaştırın.

17) AML ilke yapısı şablonu (wiki'niz için)

1. Giriş ve kapsam

2. Tanımlar ve terimler (AML/CFT, CDD/EDD, SOF/SOW, PEP, vb.)

3. Düzenleyici çerçeve ve yerel yasalara referanslar

4. Yönetim ve Roller (Yönetim Kurulu, MLRO, RACI)

5. RBA metodolojisi ve risk iştahı

6. KYC/KYB ve yaptırım taraması

7. İşlem izleme (kurallar + ML) ve vaka yönetimi

8. "Kırmızı Bayraklar've iGaming Komut Dosyaları

9. SAR/STR Prosedürleri ve Düzenleyici Etkileşimler/LEA

10. Veri depolama, gizlilik, güvenlik

11. Personel eğitimi ve farkındalık

12. Satıcılar ve Üçüncü Taraflar (SLA, Denetim)

13. Denetim, Kalite Güvence ve sürekli iyileştirme

14. Ekler: kontrol listeleri, formlar, harf şablonları, metrikler

18) Risk matrisi örneği (fragman)

Sonuç: Düşük/orta/yüksek risk - önlemler: CDD/EDD + SOF/SOW/sınırlamalar/verim.

19) Uygulama ve bakım planı

Süreç sahiplerini ve SLA'ları tanımlayın.
Entegrasyon haritası (PSP, KYC, yaptırımlar, analitik).
Temel kural kümesi + FP/FN kontrolü ile çalıştırın.
Üç aylık senaryo kalibrasyonu, yıllık politika incelemesi.
Müfredat ve geçiş kontrolü.
Düzenli Yönetim Kurulu/Yönetim raporları (KPI'lar, olaylar, risk değişiklikleri).

Toplam

Etkili bir AML politikası "raftaki bir belge'değil, bir yaşam döngüsüdür: risk değerlendirmesi - kontrol önlemleri - izleme - soruşturma - raporlama - iyileştirme. RBA etrafında bir süreç oluşturun, güçlü bir KYC/KYB ve yaptırım döngüsü sağlayın, vaka yönetimi ile işlemlerin yüksek kalitede izlenmesini sağlayın ve veri depolama, eğitim ve denetim disiplinine uyun - bu şekilde dönüşüm ve iş sürdürülebilirliğini korurken düzenleyici ve itibar risklerini azaltacaksınız.