AML監控和規則

1）AML監測目標和RBA原則

• 早期發現布局→布局→集成模式。
• 降低監管和支付風險（銀行/PSP，卡計劃）。
• 與基於風險的approach（RBA）的一致性：控制深度和反應速率取決於客戶/地理/產品概況和金額。

2）風險圖： 模型中考慮的內容

客戶風險（KYC）：帳戶年齡，Tier/KYC/EDD，SoF/SoW，PEP/adverse媒體。
地理/管轄權：制裁，FATF的高風險，跨邊界路線。
支付方法：卡（MCC 7995），A2A，錢包，加密（進出）。
鏈接行為和圖：常見的IP/設備/支付工具 （multipaccount/mules）。
交易和資金流動：velocity，金額，頻率，時間到時間。
遊戲背景：存款→短期活動→輸出；會期收益異常。

3） AML監視體系結構（在線+離線）

1.實時事件收集：存款，利率，結論，轉移，KYC/KYB更改，防凍異物。
2.規則引擎（每個解決方案≥ 50-150毫秒）：鎖定/保持/上報觸發器。
3.計分/ML層：復合風險計數，圖形（mu子，帳戶的「農場」）。
4.案例管理系統（案例管理）：優先級，支票單，時間線，附件。
5.DWH和報告：總量，趨勢，KPI，模型培訓。
6.整合：KYC/KYB，PSP，提供商KYT（加密），制裁篩查，旅行規則。

4）規則庫（內核）

1.Structuring/Smurfing

在短窗口內，很多存款都低於咆哮/SoF限額。
嚴重零散的周轉→快速推斷出不同的道具。

2.Rapid In–Out / Short Dwell

存款→最低或零遊戲→快速輸出（T+0/T+1）。
輸出的金額與玩家的收入概況不匹配。

3.Mule/Proxy Use

一個「設備/IP」支持多個具有不同付款人的帳戶。
獨立帳戶之間的共享卡/錢包。

4.通過方法進行分層

A2A/錢包/加密鏈，貨幣轉換和子錢包之間的轉移。

5.Bonus Abuse（AML相關）

網絡帳戶集群，同步存款的最低金額，快速推斷獎金收益。

6.High-Risk Geo / PEP / Adverse Media

使用EDD標簽或彈出式授權匹配的客戶交易。

7.Chargeback抽水

一系列存款，包括進一步的沖鋒槍和及時的「兌現」調查結果。

8.Crypto-on/off-ramp異常

通過高風險地址（混音器，暗網，skam群集），高「risk_score」提供商KYT登錄/退出。

5）參數和閾值（規範化示例）

Velocity：24 h的存款≥ N；≥ M.的獨特支付方式。
定金後T分鐘，定金時間：定金份額。
結構：7天內支付事件在「［threshold − ε，threshold）」範圍內的份額。
圖形：degree（設備/IP/卡）>99th percentil的配額；靠近已知集群（embeddings）。
KYT（加密）：具有風險類別≥ R的地址/交易所；≤ 2 hops與被禁止的實體的關系。
Geo風險：高風險國家/地區的業務或制裁。

閾值是適應性的：對於新帳戶/高風險的同性戀者而言，閾值正在下降，對於具有純歷史和Tier2+的客戶而言，閾值正在提高。

6）規則示例（偽SQL）

sql
-- Rapid In-Out: Deposit → Quick Withdrawal
IF sum(withdraw. amount WHERE ts BETWEEN now()-1d AND now()
AND withdraw. time_from_last_deposit <= 30m) >= X
AND gameplay. activity_score <= Y
THEN ALERT('RAPID_IN_OUT')

-- Structuring: SoF threshold crushing
IF count(deposit WHERE amount BETWEEN (S-δ) AND (S-1)
AND ts BETWEEN now()-7d AND now()) >= K
THEN ALERT('STRUCTURING')

-- Mule network: a common device/card for ≥ N accounts in 14 days
IF distinct(accounts USING device_id OR card_token) >= N
THEN ALERT('MULE_NETWORK')

-- Crypto KYT: Address/Exchange Risk
IF kyt_risk_score >= R OR kyt_exposure_to_mixer <= 2_hops
THEN ALERT('KYT_HIGH_RISK')

7） Alert的優先排序和路由

Severity： High （制裁/KUT 高風險/PEP+異常）、Medium（快速出局/結構化）、Low（無結論的優勢）。
路由：調查線L1/L2/L3，升級為合規性/法律部門。
截止日期：高-分析≤ 4小時；Medium — ≤ 24 ч;Low-≤ 72小時。
活動：臨時保存/限制，文件查詢（SoF/EDD），鎖定，SAR/STR。

8）調查： 過程和文物

• 客戶簡介（KYC tiers，SoF/SoW，PEP/sanctions，歷史）。
• 時間線：存款/遊戲/結論、IP/設備、地理、通信帳戶。
• 支付標識符：PSP ids, ARN/RRN,錢包/地址。
• KYT報告（用於加密）：資金路徑、風險集群、交易所標簽。
• 結果：Approve/Close，EDD和monitor，Freeze和Report。

與客戶的溝通：SoF/文檔查詢模板、響應時間表、未交付的後果。

9） SAR/STR和與監管機構/合作夥伴的互動

提交標準：合理懷疑洗錢/融資/制裁違規行為。
內容：簡要說明，事實和時間線，金額/詳細信息，與已知計劃的聯系，措施，負責人的聯系。
時間：根據管轄範圍（通常在確定懷疑後「毫不拖延」）。
隱私：禁止告知客戶有關SAR事實的信息（tipping-off）。
與收件人/PSP的互動：風險智力的轉移（在合同和法律範圍內）。

10）制裁和篩查vs AML監視

制裁/PEP/廣告媒體篩選是個人/公司過濾器。
AML監視是一種行為和事務過濾器。
它們是互補的：制裁打擊提高了AML的優先級和EDD/hold觸發。

11）加密流： KYT，Travel Rule，官方/坡道

KYT（知道您的交易）：地址/交換風險提供商,鏈跟蹤,源/收件人分類。
旅行規則：在閾值轉移（如果適用）時,VASP之間交換發送方/接收方屬性。
私募股權政策：白名單交易所/提供商，高風險P2P網站禁令，金額/頻率限制，加密進入後的主要結論保持不變。

12）度量、質量控制和模型風險

• 警報Precision/Recall（案例上的手動標簽）。
• 在SLA中關閉的High Alert股份。
• 平均調查時間（p50/p95）。
• SAR轉換（Alerts →報告）。
• 在同一簇上重復變量（recurrence）。
• 假陽性鎖定的比例（每個轉換的沖擊）。

模型/規則驗證：背景測試,特征穩定性,漂移（PSI）,每季度一次-通過規則的咆哮,每年-獨立驗證。

13）治理和責任（政府）

AML策略：角色（MLRO/合規之頭），閾值，地理矩陣，禁止來源列表。
更改控制：RFC到新規則/閾值,更改日誌,A/B業務影響評估。
培訓：年度培訓，知識測試，案例庫。
審核和重建：根據要求存儲案例/解決方案/數據（通常為5年以上）,安全存儲,通過RBAC訪問。

14）反模式

「一刀切」：所有國家/方法/客戶的門檻相同。
沒有在線的噴氣監測是「追趕」控制。
缺乏圖分析→ 不會捕獲多級/mu子。
在加密流中忽略KYT/Travel Rule。
調查沒有明確的SLA，Alerts正在挖掘「債務」。
缺少AML ↔ KYC/KYB/Payments Orchestrator連接（沒有電線/限制）。

15）實施支票

• 風險評估：按客戶/地理/方法/產品劃分的風險圖。
• Rule Engine online+rules library （structuring, rapid in-out, mule, KYT, geo）。
• 得分/ML+圖形特征；閾值校準和優先級。
• 帶有模板、時間線、支票單和SLA的案例系統。
• 整合：KYC/KYB，制裁/RER，PSP，KYT，旅行規則。
• SAR/STR流程，「Freeze&Report」劇本，禁止打勾。
• 質量指標（precision/recall, SLA, SAR-conversion）, dashbords和alertes。
• 變更管理和年度獨立測試。
• 數據存儲/訪問策略、加密、審核。
• 團隊培訓（Payments/Risk/Compliance/Support）和定期演習。

16）摘要

iGaming中強大AML監視是一個在線規則引擎+ML/圖表，與KUS/KIVER/制裁/KUT掛鉤，明確的SLA調查，SAR/STR紀律以及不斷校準閾值以降低實際風險。這樣的輪廓切斷了洗錢，將合作夥伴基礎設施保留在銀行/PSP的「綠區」中，並且幾乎沒有擊敗真正的參與者。