KYC-вимоги та рівні перевірки

1) Що таке KYC і навіщо він потрібен

KYC (Know Your Customer) - це комплекс процедур ідентифікації та перевірки клієнтів для зниження ризиків відмивання коштів (AML), фінансування тероризму (CFT), шахрайства та порушень санкційних режимів. У iGaming KYC доповнюється віковою перевіркою, гео-обмеженнями, джерелами засобів і відповідальною грою (ліміти, affordability).

• Підтвердити особистість і вік гравця.
• Встановити резидентство/адресу, перевірити гео-допустимість.
• Виключити санкційні, терористичні та PEP-ризики.
• Зрозуміти джерела коштів/багатства (SOF/SOW) при високих лімітах.
• Забезпечити безперервний моніторинг і своєчасну реверифікацію.

2) Ризик-орієнтований підхід (RBA)

• Географія: країна реєстрації/проживання, входи з «високоризикових» юрисдикцій.
• Платежі: спосіб, канал (карта, A2A, крипто-онрампи), патерн депозитів/висновків.
• Поведінка: швидкість обороту, ставки, бонусні схеми, мультиаккаунтинг, IP/Device-аномалії.
• Статус клієнта: PEP, санкції, несприятливі медіа (Adverse Media).
• Продуктовий ризик: казино/ставки, високі ліміти, P2P-перекази.

RBA відображається в рівнях KYC (див. нижче), тригерах ескалації і частоті огляду (CDD ↔ EDD).

3) Рівні KYC (приклад для iGaming)

L0 - Базовий допуск (age & geo pre-check)

Мета: миттєва воронка онбордингу при мінімальному терті.
Дані: e-mail/телефон, ПІБ, дата народження, країна, згоди.
Перевірки: вік (date-of-birth + зовнішня база/SDK), IP/GeoIP, пристрій, базовий watchlist.
Обмеження: низькі ліміти депозитів/висновків, заборона на P2P, обмежені бонуси.
Реверифікація: при досягненні порогу обороту/виведення.

L1 - Стандартна ідентифікація (CDD)

Документи: 1 документ особи (паспорт/ID/водправ) + селфі-liveness, в окремих країнах - окрема вікова верифікація.
Адреса: декларація адреси + «м'яка» перевірка (phone match, банки-агрегатори, кредитні файли, postal DB).
Автоматичні перевірки: санкції/PEP/Adverse Media, дублікати пристроїв/платежів, поведінкова біометрія.
Ліміти: середні ліміти депозитів/висновків; можливість брати участь у турнірах/промо.

L2 - Розширена перевірка (EDD )/Джерела коштів (SOF)

Документи: докази адреси (utility bill/банківська виписка ≤3 міс.), підтвердження доходів (виписки, довідки про доходи, пейсліпи, контракт), при необхідності - SOW (продаж активу, спадщина).
Інтерв'ю/анкета ризику: коротка форма про джерела коштів, зайнятість, очікуваний оборот.
Техконтролі: посилені тригери AML-моніторингу, більш часта пересвердка санкцій/РЕР.
Ліміти: високі; доступ до VIP-програм/високоліквідних виплат.

L3 - Ультра-ризиковий профіль/VIP High-Roller/Крос-бордер

Додатково: аудійовані звіти/підтвердження активів, листи з банку, декларації.
Ручний комплаєнс-рев'ю + принцип «чотирьох очей» (4-eyes).
Частота моніторингу: висока, подієві рецензії транзакцій, детальний SOW.

4) Перевірки особи: Методи та якість

Док-верифікація: OCR + MRZ + NFC (якщо доступно), анти-тампер, порівняння портретів.
Селфі-liveness: активна (міміка/руху) або пасивна; анти-спуфінг (маски, ре-плей).
Біометрія: face-match, іноді voice/behavioral.
Недокументарна верифікація: через банки/агрегатори (open-banking), кредитні бюро, мобільні оператори (SIM KYC).
Якість: мінімальні вимоги до резолюції, висвітлення; відхилення - «сірий лист» + ручна обробка.

5) Вік, географія і допустимість

Вік: автоматична перевірка дати народження + зовнішні реєстри/SDK, вторинний контроль на L1.
Гео: блокування заборонених країн/штатів; звірка IP, GPS/телеметрія пристрою, BIN-країна карти, адреса з документа.
Регіональні тонкощі: різні докази адреси/формати ID (латиниця/кирилиця, транслітерація імен, кілька офіційних мов, патроніми).

6) Санкції, PEP і несприятливі медіа

Санкції: зіставлення за списками (UN/EU/OFAC/HMT і локальні), авто-оновлення, фуззі-матч з настроюваним порогом.
PEP: класифікація (міжнародні/національні/місцеві; PEP-пов'язані особи).
Adverse Media: негативні публікації за ключовими темами (шахрайство, корупція).
Процедури: позитивні матчі → ручна валідація, ескалація, звіт комплаєнсу.

7) Source of Funds (SOF) и Source of Wealth (SOW)

Коли потрібно: перевищення порогів депозитів/висновків, VIP-статус, рідкісні великі транзакції, ризик-прапори.

• Виписки банку за 3-6 міс., довідки про доходи, податкові декларації.
• Докази одноразових надходжень: продаж нерухомості/акцій, спадщина, дивіденди, договір позики.
• Підтвердження статусу (ІП/компанія), контракт, лист роботодавця.

8) KYB (для мерчантів/партнерів/афіліатів)

Реєстраційні документи, статут, бенефіціари (UBO), структура володіння.
Директори/UBO: KYC, санкції/РЕР.
Докази адреси та діяльності (сайт, договори, рахунки).
Моніторинг платежів і трафіку (для афіліатів): анти-фрод, якість лідів, гео і джерело трафіку.

9) Тригери повторної перевірки (rev-KYC) і подієва EDD

Досягнення лімітів обороту/висновків.
Зміна ПІБ/адреси/платіжних інструментів, підозрілі патерни (циклічні депозити/швидкі висновки).
Негативні медіа, оновлення в санкційних списках, нові пристрої/IP кластера.
Тривала неактивність + раптова активність.
«Гігієна» даних: рев-KYC раз на 1-3 роки (RBA-залежно).

10) Зберігання даних, приватність і безпека

Мінімізація та мета: збирайте тільки необхідне для мети (онбординг, AML, вік, регіон).
Терміни зберігання: зазвичай 5 років після закриття рахунку/останньої транзакції (уточнюйте за локальним правом).
Шифрування: в спокої (at-rest) і в транзиті (in-transit); секрети в HSM/вендор-vault.
Доступ: принцип найменших привілеїв (RBAC/ABAC), аудит, журнали доступу.
Права суб'єкта: доступ/виправлення/видалення (де застосовується), прозорість по обробці.
Вендори: DPIA/UDPA, міждержавні трансфери даних, стандартні договірні положення.

11) Архітектура та інтеграція KYC

1. Реєстрація (L0): e-mail/телефон → вік/geo pre-check → risk pre-score.

2. L1: doc-верифікація + liveness → санкції/РЕР → адреса (м'який).

3. Відкриття лімітів/функцій → транзакційний моніторинг (поведінковий/платіжний).

4. Ескалація до L2/L3 за тригерами (пороги, аномалії, VIP).

5. Періодичний рев'ю + подієвий EDD.

• Провайдери: ID-вендор, санкції/РЕР, адресні БД, device fingerprint, поведінкова біометрія, open-banking/PSP.
• Шлюз прийняття рішень: Rules + ML (скоринг ризиків, графові зв'язки, кластеризація пристроїв).
• Консоль комплаєнсу: черги кейсів, SLA, «чотири ока», шаблони SAR/STR, експорт звітів.
• Логи і аудит: незмінне сховище (WORM), версіонування профілів, архів документів.
• Доступність/стійкість: актив-актив регіони, backoff/повтори, деградація в режим «тільки L0/L1» при недоступності зовнішніх вендорів.

12) UX і конверсія KYC

«Прогрес-бар» і поетапність (split-KYC): спочатку L0/L1, потім L2 в міру зростання лімітів.
Локалізація: мова, формат дат/імен, підказки за документами (приклад фото, glare-контроль).
Повторне завантаження: «зберегти і продовжити пізніше», нагадування, secure-лінки.
Доступність: мобільні SDK, офлайн-режим чернетки, компресія зображень.
Fail-safe: м'яка відмова з поясненням, канал на ручну перевірку, SLA за кейсами.

13) Метрики якості KYC

Time-to-Verify (TTV): медіана/95-й перцентиль.
Auto-pass rate і Auto-fail rate, частка ручної обробки.
First Pass Yield (FPY) за документами.
False Positive rate по санкціях/РЕР, середній час клірингу алертів.
Conversion uplift після UX-ітерацій.
Cost per Verification і сукупні KYC OPEX.
SAR/STR ratio і результативність ескалацій.
Re-KYC completion rate.

14) Політики та шаблони (зразкові формулювання)

• L0: до X €/₴/$/₹ на місяць, без виводу або з мікровиводом.
• L1: до Y, стандартні висновки.
• L2: високі ліміти + вимога SOF.
• L3: преміальні ліміти + SOW і ручний комплаєнс.
• EDD-тригери: великі одноразові депозити, прискорені цикли depozit→vyvod, часта зміна платіжних засобів, VPN/проксі, розбіжність країн по IP/BIN/документу.
• Санкції/РЕР: скринінг при онбордингу + при кожній виплаті; рев'ю «прикордонних» збігів протягом 24 год.
• Реверифікація: подієва + періодична (12-36 міс. за RBA).
• Ескалації та SAR/STR: обов'язкові сценарії і терміни подачі, заборона повідомлення клієнта (tipping-off).

15) Часті ризики і як їх закривати

Синтетичні особистості → мультисигнал: документ + обличчя + device graph + open-banking.
Мультиаккаунтинг → поведінкова біометрія, cookie-less device graph, адреса/платіжні кластери.
Бонус-аб'юз → ліміти до KYC-рівня, velocity-правила, частковий «відкладений бонус».
Фрод з документами → NFC-читання чіпа, пасивний liveness, текстурний аналіз.
Тонкий файл (thin-file) → альтернативні джерела (телко-дані, open-banking), ручна перевірка.
Транслітерації/аліаси → нормалізація ПІБ, локальні алфавіти, фуззі-матч.

16) Міні-чек-листи

• Вік, гео, IP/Device.
• Документ + селфі-liveness.
• Санкції/PEP/Adverse Media.
• Адреса (soft) → при ліміті: адреса (hard).
• Автоматичні правила і ML-скоринг.
• Прозора комунікація, згоди.

• Рев-скринінг санкцій/РЕР.
• SOF (при перевищенні порога).
• Перевірка збігу власника платіжного інструменту.
• Поведінковий і платіжний моніторинг (аномалії).

• Повнота записів і актуальність документів.
• Навчання команди і журнал аудиту.
• Тест-плани вендорів (SLA, відмовостійкість).
• DPIA/безпека і доступи.

17) FAQ (коротко)

Чи можна пускати в гру до L1? Так, при L0 з жорсткими лімітами і вік/гео-контролем - але висновок/високі ліміти тільки після L1.
Коли вимагати SOF/SOW? При перевищенні порогів обороту/виведення, VIP-статусі, підозрілих патернах або на вимогу регулятора.
Чи потрібно скринінг при кожній виплаті? Рекомендується короткий санкційний рескринінг і поведінковий моніторинг.
Як не «вбити» конверсію? Діліть KYC на етапи, покращуйте UX, застосовуйте альтернативні джерела даних і автопрохід.

Підсумок

Ефективний KYC - це баланс між захистом бізнесу і плавним UX. Будуйте рівні L0-L3 під свій ризик-профіль, автоматизуйте скринінг, впроваджуйте SOF/SOW для high-risk, вимірюйте метрики якості і забезпечте незмінний аудит. Так ви залишитеся в комплаєнсі, не втрачаючи конверсію і LTV.