GH GambleHub

Матриця ризиків комплаєнсу

1) Призначення та охоплення

Мета: стандартизувати оцінку і управління комплаєнс-ризиками в iGaming, знизити ймовірність штрафів/відгуків ліцензій і забезпечити стійкі операції.
Охоплення: AML/CFT, KYC/KYB, санкції/РЕР, платежі та бонус-абуз, Responsible Gaming (RG), захист даних/PII, реклама/маркетинг, партнери/афіліати/провайдери, регуляторна звітність.

2) Шкали і базова 5 × 5-матриця

Імовірність (L, 1-5):
  • 1 - вкрай рідко (≤1/god)· 2 - рідко (квартал)· 3 - періодично (місяць)· 4 - часто (тиждень)· 5 - дуже часто (дні)
Вплив (I, 1-5):
  • Фінанси: 1:<€5k · 2:€5–25k · 3:€25–100k · 4:€100–500k · 5:>€500k
  • Регуляторика: 1:немає дій· 2:запит· 3:припис· 4:високий ризик штрафу· 5:високий ризик призупинення/відкликання
  • Операції/репутація: 1:мінімально·...· 5:масовий негатив/відтік

Підсумковий бал: R = L × I (1–25)

Зони і пороги:
  • 1-5 Зелена - допустимо, моніторинг.
  • 6-10 Жовта - план зниження і власник.
  • 11-15 Помаранчева - прискорені CAPA, контроль щотижня.
  • 16-25 Червона - негайна ескалація, інцидент-бридж, повідомлення при необхідності.

SLA ескалацій (приклад): Жовта - 24 год· Помаранчева - 4 год· Червона - 15 хв.

3) Категорії комплаєнс-ризиків (сценарії)

1. AML/CFT: смурфінг, змішування коштів, «мули», structuring, відмивання через бонуси/кеш-аути.
2. Санкції/РЕР: обхід юрисдикційних обмежень, помилкові збіги, прострочені списки.
3. KYC/KYB: синтетики, підробка документів, проксі-користувачі, фіктивні партнери.
4. Платіжний фрод/бонус-абуз: чарджбеки, мультиаккаунтинг, ферми пристроїв, CPA-фрод афіліатів.
5. RG (відповідальна гра): порушення лімітів, невідпрацьовані тригери шкідливої ігрової активності.
6. Захист даних/PII: витоку, неправомірна обробка, порушення прав суб'єктів, транскордонні передачі.
7. Реклама/маркетинг: таргетинг на заборонені аудиторії, недобросовісні промо, невідповідність локальним правилам.
8. Вендори/аутсорс: провали KYC-провайдерів, хостинг-партнерів, PSP; ланцюжок субпроцесорів.
9. Регуляторна звітність: прострочення, неповні звіти, неузгодження даних.

4) Матриця ризиків комплаєнсу - шаблон подання

КатегоріяСценарійLIRЗонаKRI/KPIПорігВласникДіїSLA
Санкції/РЕРЗростання hit-rate і FPR після оновлення списків3412Оранж. Hit-rate %, FPR %> 3% hit-rate або FPR> 12%Head of ComplianceВторинний провайдер, ручна вибірка high-value, налаштування правил4 год
KYCСтрибок відмов по liveness4312Оранж. KYC fail %, TATfail%> 15% добаKYC LeadКалібрування порогів, fallback-провайдер, ручні кейси4 год
AMLАномальні висновки (одна карта/багато акк.)3515Оранж. SAR/STR rate, Velocity> X висновків/карту/добуAML LeadЗаморозка, EDD, STR, ліміти1 год
ПлатежіChargeback-rate по регіону4416Красн. CBR %, NFD %>1. 2%Payments/FRMПосилення 3DS/AVS, hold, оффбординг схем15 хв
RGПеревищення лімітів самоконтролю3412Оранж.% порушень, TTR> + 50% до базиRG OfficerКонтакт гравця, тимчасові ліміти/блок, звіт4 год
ДаніPII-інцидент (підтверджений)2510Жовт ./Оранж. #PII records, MTTR> 1000 записівDPOСтримування, повідомлення, CAPA24 год/4 год
РекламаСкарга регулятора на промо248Жовт. Скарги/100k показів> бази × 2Marketing/LegalЗняття креативу, коригування, звіт24 год

Якщо порушені категорії даних, що вимагають повідомлення в 72 ч - негайна ескалація (червона).

5) Метрики (KRI/KPI) і орієнтири порогів

AML/Санкції/PEP:
  • Hit-rate санкцій/РЕР на 1k реєстрацій; пороги: >1. 5% (жовта),> 3% (помаранчева/червона за контекстом)
  • FPR санкцій/РЕР; пороги: > 8% (жовта),> 12% (помаранчева)
  • SAR/STR per 10k активних; Time-to-Review (TTR) алерта
KYC/KYB:
  • KYC fail %, Liveness dropout %, avg TAT; пороги: fail%> 12% (жовта),> 15% (помаранчева)
  • KYB: відсоток партнерів без актуальних бенефіціарів/сканів; пороги: > 3% (жовта),> 5% (помаранчева)
Платежі/фрод:
  • Chargeback Rate (CBR); пороги: >0. 8% (жовта),> 1. 2% (червона)
  • Net Fraud Loss % от GGR; поріг: >0. 9% (помаранчева)
RG:
  • Частка самовиключень; скарги/1000 гравців; TTR по RG-тригерам
Дані/PII:
  • Кількість критичних вразливостей в backlog; MTTD/MTTR інциденту; запити суб'єктів даних в SLA
Реклама/маркетинг:
  • Скарги/100k показів; частка відхилених креативів модерацією; порушення гео/віку
Вендори/звітність:
  • SLA провайдерів комплаєнсу; прострочення регуляторних звітів; розбіжності звіт-дані DWH

6) Карта контролів та їх ефективність

Превентивні: санкційний/РЕР-скринінг (онбординг + перед виплатами), 2FA/WebAuthn, ліміти, device-fingerprinting, гео-обмеження, політика реклами за віком/гео, DPIA для нових фіч.
Детективні: real-time антифрод-правила, дублюючий провайдер санкцій, SIEM/SOAR кореляції, тригери RG, аудит логів доступу до PII.
Коригувальні: EDD/EDD +, hold/ліміти, заморожування виводів, тимчасове відключення промо, повідомлення регуляторам/банкам, CAPA.

Оцінка ефективності:
  • Coverage% (охоплення сценаріїв), FPR/FNR, Precision/Recall для правил/моделей, TTR/MTTR, частка інцидентів, що перейшли межі зон.

7) Ризик-апетит і пороги прийняття

Risk Appetite Statement: допустимо сукупний ризик в зоні жовтої при наявності планів зниження; помаранчеві/червоні - тільки з тимчасовими компенсуючими контролями і планом виходу ≤30 днів.
Decision Gates: висновки high-rollers> X без EDD - заборонені; непрозорі партнери - стоп; реклама без age-гарантій - стоп.

8) Ескалації та комунікації (playbook)

Тригери: R≥16; PII-інцидент; санкційний кейс high-value; CBR> порогу; RG-кластери ризику.
Канал: інцидент-бридж (Compliance + Security + Payments + Legal + PR + Ops).
Кроки: 1) стримування 2) підтвердження масштабу 3) обов'язкові повідомлення (по юрисдикції) 4) CAPA-план 5) пост-мортем в 72 ч.

RACI:
  • Responsible: власник категорії (AML/KYC/RG/Privacy/Ads/Payments)
  • Accountable: Head of Compliance
  • Consulted: Legal, DPO, Security, SRE, Finance
  • Informed: C-level, Support/VIP, партнери/PSP (за необхідності)

9) Реєстр ризиків - структура запису

ID· Категорія· Сценарій· Причини/уразливості· L· I· R· Зона· KRI/KPI· Поріг/умова ескалації· Поточні/плановані контролі· Власник (бізн ./тех.) · Статус/САРА· Терміни· Дата перегляду

Приклад:
ID: AML-012Категорія: СанкціїСценарій: збіг PEP у VIP перед кешаутом
L/I: 3 × 4 = 12 (помаранчева)Поріг: hit-rate> 3% доби → ескалація
Контролі: другий провайдер, ручна верифікація, hold T + 1
CAPA: налаштувати fuzzy-matching, навчити групу ручної перевіркиТермін: 14 днів

10) Доменні приклади (міні-playbook'і)

A. AML/Санкції

Умова: аномальне зростання STR і санкційних хітів.
Дії: включити вторинний провайдер; уточнити списки; знизити чутливість для низького ризику/підсилити для high-risk; провести EDD по кластерам.

B. KYC/KYB

Умова: liveness-fail>15%.
Дії: перемикання на fallback; ручний потік для VIP; перевірка SDK/камера; тимчасові ліміти.

C. платежі/бонус-абуз

Умова: CBR>1. 2% або сплеск multi-account.
Дії: підсилити velocity/девайс-сигнатури; 3DS обов'язковий; ліміти на бонуси; пост-кампейн аудит афіліатів.

D. RG

Умова: тригери шкідливої активності у кластера гравців.
Дії: контакт/рада, обмеження депозитів, тимчасове блокування, документування дій.

E. дані/PII

Умова: непідтверджений витік.
Дії: containment (ключі/доступи), форензика, DPIA, повідомлення (якщо потрібно), обов'язковий пост-мортем.

F. реклама

Умова: скарга на промо неповнолітнім.
Дії: миттєвий офф, аудит джерела/таргету, оновлення політик, інформування регулятора при необхідності.

11) Вендори і третій контур

Перед онбордингом: due diligence, санкції/РЕР, SOC2/ISO27001, DPIA/DTIA, DPA/SCCs.
В експлуатації: моніторинг SLA, інциденти, субпроцесори, гео локалізації даних.
Offboarding: відгук доступів, видалення/повернення даних, акт закриття.

12) Вбудовування в процеси

CAB/Change-control: зміни в правилах антифроду/комплаєнсу проходять через CAB з оцінкою впливу на KRI/FPR/FNR.
CI/CD: тести відповідності (policy-as-code) в пайплайнах; «вбивчі» правила - тільки через feature-прапори.
Звітність: щоденний снепшот KRIs; щотижневий ризик-комітет; щомісячні ретро з оновленням матриці.

13) Чек-лист зрілості матриці

  • Шкали L/I затверджені та задокументовані

Категорії та сценарії покривають 95% інцидентів минулого року

  • KRIs автоматизовані (дашборди, алерти, SLA реакцій)
  • Є другий провайдер для санкцій/КУС і план перемикання
  • RACI зрозумілий, оновлений контакто-лист і шаблони комунікацій
  • CAPA-трекер в єдиній системі і закривається в термін
  • Щоквартальний перегляд risk appetite і порогів

14) Дорожня карта впровадження (приклад)

Тижні 1-2: інвентаризація ризиків, узгодження шкал, чорнова матриця, призначення власників.
Тижні 3-4: автоматизація KRIs, інтеграція алертів, RACI/ескалації, шаблони звітів.
Місяць 2: підключення вторинних провайдерів, SOAR-плейбуки, навчання команд.
Місяць 3 +: стрес-тести, аудит ефективності, коригування порогів і політик.

TL; DR

Єдина 5 × 5-матриця + вимірні KRIs і чіткі пороги → передбачувані ескалації і швидкі рішення. Результат - менше штрафів і інцидентів, вище стійкість і відповідність вимогам у всіх юрисдикціях.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.