AML-політика і боротьба з відмиванням грошей

1) Призначення та охоплення

Мета AML-політики - запобігти відмиванню злочинних доходів і фінансуванню тероризму, забезпечити відповідність вимогам регуляторів і захистити платформу, гравців і партнерів. Політика застосовується до всіх юросіб групи, співробітників, аутсорс-команд, а також до третіх сторін (PSP, афіліати, провайдери контенту), які взаємодіють з грошовими потоками і даними клієнтів.

• Продукти: казино/ставки, P2P-переклади, турніри, бонуси/кешбек, маркетплейсні послуги.
• Канали: веб, мобільні додатки, API-інтеграції, крипто-он/офф-рамп.
• Географія: всі обслуговувані країни/штати з урахуванням локальних вимог.

2) Нормативна опора і принципи

Основа політики - рекомендації FATF (ризик-орієнтований підхід, KYC/KYB, санкції, моніторинг, звітність), локальні закони AML/CFT (Європа - директиви AMLD, Великобританія - MLR, США - BSA/Patriot Act тощо), а також вимоги щодо захисту даних (GDPR/аналогічні).

• RBA (Risk-Based Approach): ресурси фокусуються на більш високих ризиках.
• Proportionality: заходи відповідають ризику клієнта/транзакції/продукту.
• Accountability: фіксація рішень, аудит і трассируемость.
• Privacy by Design: мінімум даних, законність обробки, безпека.

3) Ролі та відповідальність (управління)

Board/Рада директорів: затверджує політику, ризик-апетит, періодичний звіт.
Senior Management: забезпечує ресурси, KPI, впровадження.
MLRO/AML Officer: власник процесу, звітність регуляторам, SAR/STR, методологія моніторингу, взаємодія з LEA.
Compliance Team: KYC/KYB, санкції/РЕР, кейс-менеджмент, навчання.
Risk & Analytics: моделі скорингу, сценарії, калібрування правил.
Engineering/Security: інтеграції провайдерів, логи, контроль доступу, шифрування.
Operations/Payments: контроль висновків, ручні перевірки, якість даних.

RACI (спрощено): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4) RBA: Модель ризиків

• Клієнт (країна, резидентство, професія, РЕР/санкції, поведінковий ризик).
• Продукт (казино/ставки, P2P, крипто, високі ліміти, крос-бордер).
• Канал (онлайн-онбординг, без присутності, анонімні інструменти).
• Географія (високоризикові юрисдикції, режими санкцій).
• Транзакції (обсяг, швидкість обороту, схеми переведення в готівку).

Оцінка: стартовий швидкість з онбордингу + динамічні фактори (історія, пристрої, платіжні патерни) ⇒ сегментація на низький/середній/високий ризик і вибір рівня заходів: CDD / EDD / SOW.

5) KYC/KYB і санкційний скринінг (зв'язок з AML)

KYC для фізичних осіб: документ + liveness, адреса, вік, санкції/РЕР, Adverse Media.
KYB для компаній/афіліатів/провайдерів: реєстрація, UBO/директора, санкції/РЕР, перевірка діяльності та джерел коштів.
Санкції/РЕР: первинний і періодичний скринінг, фуззі-матч, ручний кліринг.
SOW/SOF: при високих лімітах і аномаліях - підтвердження походження коштів/багатства.
Re-KYC: за розкладом і подієво (тригери).

6) Моніторинг транзакцій і поведінкова аналітика

• Швидкий цикл депозит → виведення без реального ігрового ризику.
• Спайки по сумах/частоті, дроблення платежів («smurfing»).
• Розбіжність країни IP/BIN/адреси, часта зміна методів оплати.
• Нетиповий нічний/масовий трафік, кластери пристроїв (device graph).
• Використання анонімайзерів/VPN, проксі-ферм, підміни ОС/браузера.
• Підозрілі бонусні патерни, мультиаккаунтинг, чарджбек-цикли.

ML/поведінкові моделі: імовірнісні аномалії, графові зв'язки, ризик-скор гравців/афіліатів, сегментація high-roller.

Кейс-менеджмент: генерація алерта → кваліфікація → запит документів/пояснень → рішення (ескалація/блокування/SAR).

7) «Червоні прапори» (iGaming-специфіка)

Регулярні депозити від третіх осіб/багато одиничних карт на одного гравця.
Р2Р/турнірні перекази між пов'язаними акаунтами.
Сильне неузгодження профілів (вік, професія vs оборот).
Міграція між юрисдикціями без поясненої причини.
Систематичне переведення в готівку без ігрової активності або з мінімальною маржею.
Спроби обійти ліміти КУС/висновків/бонусів, «ферми» акаунтів.
Афіліати з неясним джерелом трафіку або аномально високим CR→WD.

8) SAR/STR: внутрішні розслідування та звітність

Поріг підозри: «обґрунтована підозра» незалежно від суми.
Процес: алерт → збір фактів → рішення MLRO → подача SAR/STR в термін, без «tipping-off».
Ескалації: тимчасове блокування, заморожування коштів на вимогу LEA/регулятора, план комунікації з клієнтом.
Документування: таймлайн подій, джерела даних, дії команди, рішення та обґрунтування.

9) Зберігання даних і безпека

Терміни: як правило, не менше 5 років після припинення відносин (уточнюються локально).
Цільове зберігання: профілі, документи, алерти, SAR/STR, журнал доступу, доказова база.
Безпека: шифрування at-rest/in-transit, HSM/секрет-сховище, RBAC/ABAC, незмінні журнали (WORM), моніторинг доступу і дій співробітників.

10) Навчання, контроль якості та аудит

Навчання: щорічне для всіх, поглиблене - для співробітників ризик-функцій; тести та сертифікація.
QA/діагностика: вибіркові рев'ю кейсів, подвійні перевірки (4-eyes), ретро за помилковими рішеннями.
Внутрішній аудит: незалежна оцінка відповідності політиці, регуляторним вимогам та ефективності процесів.
Stress-tests: вправи по інцидентах (санкції, велика типологія, масові алерти).

11) Крипто і VASP (якщо застосовується)

Travel Rule: обмін атрибутами відправника/одержувача між провайдерами.
Blockchain-аналітика: ризик-скор адрес, кластери, санкційні/міксер-мітки.
Он/офф-рамп контроль: відповідність власника гаманця, збіг даних, ліміти і журнал зовнішніх адрес.
Динаміка цін/волатильність: спеціальні правила по сумах, маркування «незвичайних» конвертацій.

12) Взаємодія з третіми сторонами

PSP/банки/провайдери KYC: договори, SLA, DPIA, тест-плани відмовостійкості.
Афіліати: KYB, моніторинг якості трафіку, заборона ризик-джерел, аудит пост-кліка.
Кореспондентські відносини: поглиблена перевірка партнерів, періодичний огляд.

13) Архітектура AML-рішення (рекомендації)

Інтеграції: провайдери КУС/санкцій, PSP, антифрод, блокчейн-аналітика.
Шина подій: всі транзакції/події потрапляють в потік (Kafka/аналог) з незмінним сховищем.
Рушій правил + ML: онлайн-скоринг (мілісекунди) і офлайн-перегляди (батч/near-real-time).
Кейс-система: черги з пріоритизацією, шаблони запитів клієнту, SLA, інтеграція з поштою/месенджерами.
Спостережуваність: логи, метрики, трасування; версія правил/моделей та їх ефект.
Деградація: безпечне спрощення (fail-open/close з політики), бекап-провайдери, ретраї/кворум.

14) Метрики і KPI ефективності

SAR Conversion Rate: частка алертів, що стали SAR/STR.
Time-to-Alert / Time-to-Decision: швидкість детекту і рішення.
False Positive Rate/Precision-Recall в алертах.
Coverage: частка транзакцій, що пройшли моніторинг/скринінг.
Rework/Appeals: частка кейсів з переглядом рішення.
Training Completion: % співробітників з актуальним навчанням.
Vendor SLA: аптайм провайдерів, TTV за КУС/санкціями.

15) Чек-листи

• KYC/KYB, вік/гео, санкції/РЕР, Adverse Media.
• RBA-скоринг, базові ліміти, фінгерпринт пристрою.
• Згоди, приватність, інформування про перевірки.

• Повторний санкційний скринінг, SOF/SOW при необхідності.
• Зіставлення власника платіжного інструменту.
• Поведінкова перевірка та історія транзакцій.

• Збір фактів і документів.
• Внутрішній висновок MLRO.
• Подача звіту в строк; заборона tipping-off.
• Пост-морем, оновлення правил/моделей.

16) Типові помилки і як їх уникати

Сліпа «галочка» KYC без RBA: підсилюйте динамічну аналітику і ліміти.
Відсутність зворотного зв'язку в моделях: впроваджуйте петлю навчання (decision → outcome).
Наджорстке «дерискинг» замість управління ризиком: використовуйте EDD/SOW і контрольовані ліміти, а не тотальні бани.
Неврахування регіональних правил/санкцій: підтримуйте «гео-профілі».
Слабкий журнал рішень: стандартизуйте обґрунтування та зберігання артефактів.

17) Шаблон структури AML-політики (для вашої wiki)

1. Введення та область дії

2. Визначення та терміни (AML/CFT, CDD/EDD, SOF/SOW, PEP тощо)

3. Нормативна база та посилання на локальні закони

4. Управління та ролі (Board, MLRO, RACI)

5. RBA-методологія та ризик-апетит

6. KYC/KYB і санкційний скринінг

7. Моніторинг транзакцій (rules + ML) та кейс-менеджмент

8. «Червоні прапори» і сценарії iGaming

9. SAR/STR-процедури та взаємодія з регуляторами/LEA

10. Зберігання даних, приватність, безпека

11. Навчання персоналу та обізнаність

12. Вендори і треті сторони (SLA, аудит)

13. Аудит, QA і безперервне поліпшення

14. Додатки: чек-листи, форми, шаблони листів, метрики

18) Приклад матриці ризиків (фрагмент)

Результат: низький/середній/високий ризик → заходи: CDD/EDD + SOF/SOW/обмеження/вихід.

19) План впровадження та підтримки

Визначити власників процесів і SLA.
Карта інтеграцій (PSP, KYC, санкції, аналітика).
Запуск з базовим набором правил + контроль FP/FN.
Щоквартальне калібрування сценаріїв, щорічний перегляд політики.
Навчальні програми та контроль проходження.
Регулярні звіти Board/менеджменту (KPI, інциденти, зміни в ризиках).

Підсумок

Ефективна AML-політика - це не «документ на полиці», а живий цикл: ризикова оцінка → заходи контролю → моніторинг → розслідування → звітність → поліпшення. Побудуйте процес навколо RBA, забезпечте сильний KYC/KYB і санкційний контур, впровадьте якісний моніторинг транзакцій з кейс-менеджментом і дотримуйтесь дисципліни зберігання даних, навчання та аудиту - так ви знизите регуляторні та репутаційні ризики, зберігши при цьому конверсію і стійкість бізнесу.