AML-моніторинг і правила

1) Цілі AML-моніторингу та принцип RBA

• Раннє виявлення патернів placement → layering → integration.
• Зниження регуляторного та платіжного ризику (банки/PSP, схеми карток).
• Узгодженість з risk-based approach (RBA): глибина контролю і швидкість реакції залежать від профілю клієнта/гео/продукту і суми.

2) Карта ризиків: що враховуємо в моделі

Ризик клієнта (KYC): вік облікового запису, Tier/KYC/EDD, SoF/SoW, PEP/adverse media.
Гео/юрисдикції: санкції, високий ризик FATF, крос-бордер маршрути.
Методи оплати: карти (MCC 7995), A2A, гаманці, крипто (вхід/вихід).
Поведінка і граф зв'язків: загальні IP/пристрої/платіжні засоби (мультиаккаунт/мули).
Транзакції та рух коштів: velocity, сума, частота, time-to-withdrawal.
Ігровий контекст: депозити → коротка активність → висновок; аномальна прибутковість сесій.

3) Архітектура AML-моніторингу (онлайн + офлайн)

1. Збір подій в реальному часі: депозити, ставки, висновки, трансфери, KYC/KYB зміни, алерти антифрода.
2. Rule Engine (≥ 50-150 мс на рішення): тригери блокування/hold/ескалації.
3. Скоринг/ML шар: композитний ризик-скор, граф-ознаки (мули, «ферми» акаунтів).
4. Кейсова система (Case Management): пріоритезація, чек-листи, таймлайн, вкладення.
5. DWH & звітність: агрегати, тренди, KPI, тренування моделей.
6. Інтеграції: KYC/KYB, PSP, провайдери KYT (крипто), санкційний скринінг, Travel Rule.

4) Бібліотека правил (ядро)

1. Structuring/Smurfing

Багато депозитів трохи нижче ліміту рев'ю/SoF за коротке вікно.
Сильно фрагментований оборот → швидке виведення на різні реквізити.

2. Rapid In–Out / Short Dwell

Депозит → мінімальна або нульова гра → швидкий вивід (T + 0/T + 1).
Невідповідність суми виведення профілю доходів гравця.

3. Mule/Proxy Use

Один'device/IP'підтримує кілька акаунтів з різними платниками.
Загальні карти/гаманці між незалежними акаунтами.

4. Layering через методологію

Ланцюжки А2А/гаманці/крипто з конвертацією валют і переносами між суб-гаманцями.

5. Bonus Abuse (AML-релевантний)

Мережеві кластери акаунтів, синхронні депозити на мінімальні суми, швидкі висновки бонусних виграшів.

6. High-Risk Geo / PEP / Adverse Media

Транзакції клієнтів з EDD-мітками або на спливлому санкційному збігу.

7. Chargeback-прокачування

Серії депозитів з подальшими чарджбеками і своєчасними «обналичивающими» висновками.

8. Crypto-on/off-ramp аномалії

Вхід/вихід через адреси з високим ризиком (міксери, даркнет, скам-кластери), високий'risk _ score'провайдера KYT.

5) Параметри і пороги (приклад нормалізації)

Velocity: депозитів ≥ N за 24h; унікальних платіжних засобів ≥ M.
Time-to-withdrawal: частка висновків ≤ T хвилин після депозиту.
Structuring: частка платіжних подій в діапазоні «[threshold − ε, threshold)» за 7 днів.
Graph: degree (device/IP/card)> квантиль 99-го перцентиля; близькість до відомих кластерів (ембеддинги).
KYT (крипто): адреса/біржа з ризик-категорією ≥ R; зв'язку ≤ 2-х хопів із забороненими сутностями.
Geo risk: операції з/в країни з високим ризиком або санкції.

Пороги адаптивні: знижуються для нових акаунтів/високоризикових гео і підвищуються для клієнтів з чистою історією і Tier2 +.

6) Приклади правил (псевдо-SQL)

sql
-- Rapid In-Out: Deposit → Quick Withdrawal
IF sum(withdraw. amount WHERE ts BETWEEN now()-1d AND now()
AND withdraw. time_from_last_deposit <= 30m) >= X
AND gameplay. activity_score <= Y
THEN ALERT('RAPID_IN_OUT')

-- Structuring: SoF threshold crushing
IF count(deposit WHERE amount BETWEEN (S-δ) AND (S-1)
AND ts BETWEEN now()-7d AND now()) >= K
THEN ALERT('STRUCTURING')

-- Mule network: a common device/card for ≥ N accounts in 14 days
IF distinct(accounts USING device_id OR card_token) >= N
THEN ALERT('MULE_NETWORK')

-- Crypto KYT: Address/Exchange Risk
IF kyt_risk_score >= R OR kyt_exposure_to_mixer <= 2_hops
THEN ALERT('KYT_HIGH_RISK')

7) Пріоритезація і маршрутизація алертів

Severity: High (санкції/КУТ high risk/PEP + аномалія), Medium (rapid in-out/structuring), Low (velocity без виведення).
Routing: лінія Investigations L1/L2/L3, ескалація в комплаєнс/юридичний відділ.
Дедлайни: High - розбір ≤ 4 год; Medium — ≤ 24 ч; Low - ≤ 72 год.
Дії: тимчасовий hold/limit, запит документів (SoF/EDD), блокування, SAR/STR.

8) Розслідування: процес і артефакти

• Профіль клієнта (KYC tiers, SoF/SoW, PEP/sanctions, історія).
• Таймлайн: депозити/гра/висновки, IP/пристрої, гео, зв'язні акаунти.
• Платіжні ідентифікатори: PSP ids, ARN/RRN, гаманці/адреси.
• KYT-звіт (для крипто): шлях коштів, ризикові кластери, мітки бірж.
• Результат: Approve/Close, EDD & monitor, Freeze & Report.

Комунікація з клієнтом: шаблони запитів SoF/документів, терміни відповіді, наслідки ненадання.

9) SAR/STR та взаємодія з регулятором/партнерами

Критерії подачі: обґрунтована підозра на відмивання/фінансування/санкційні порушення.
Зміст: короткий опис, факти і таймлайн, суми/реквізити, зв'язок з відомими схемами, заходи, контакт відповідального.
Терміни: залежно від юрисдикції (часто - «без зволікання» після встановлення підозри).
Конфіденційність: заборона інформування клієнта про факт SAR (tipping-off).
Взаємодія з еквайром/PSP: передача risk intelligence (в рамках договору і закону).

10) Санкції та скринінг vs AML-моніторинг

Санкційний/PEP/Adverse Media скринінг - фільтр особистості/компанії.
AML-моніторинг - фільтр поведінки і транзакцій.
Вони доповнюють один одного: санкційний хіт підвищує пріоритет AML-алертів і тригерит EDD/hold.

11) Крипто-потоки: KYT, Travel Rule, off-/on-ramp

KYT (Know Your Transaction): провайдери ризику для адрес/бірж, трасування on-chain, категоризація джерел/одержувачів.
Travel Rule: обмін атрибутами відправника/одержувача між VASP при порогових переказах (де застосовується).
Off-/On-ramp політики: white-list бірж/провайдерів, заборона P2P-майданчиків з високим ризиком, ліміти по сумах/частоті, hold на первинні висновки після входу крипто.

12) Метрики, контроль якості та модельний ризик

• Alert Precision/Recall (ручні мітки за кейсами).
• Частка High-алертів, закритих в SLA.
• Середній час розслідування (p50/p95).
• SAR-conversion (алерти → звіти).
• Повторні алерти по одним і тим же кластерам (recurrence).
• Частка хибнопозитивних блокувань (impact на конверсію).

Валідування моделей/правил: backtesting, стабільність ознак, дрейф (PSI), раз на квартал - рев'ю правил, щорічно - незалежна перевірка.

13) Управління та відповідальність (governance)

Політика AML: ролі (MLRO/Head of Compliance), пороги, гео-матриця, список заборонених джерел.
Change-control: RFC на нові правила/пороги, журнал змін, A/B-оцінка впливу на бізнес.
Навчання: щорічні тренінги, тести знань, бібліотека кейсів.
Аудит і ретеншн: зберігання кейсів/рішень/даних згідно з вимогами (зазвичай 5 + років), захищені сховища, доступ по RBAC.

14) Анти-патерни

«Один розмір на всіх»: однакові пороги для всіх країн/методів/клієнтів.
Реактивний моніторинг без онлайну - «наздоганяючий» контроль.
Відсутність граф-аналітики → не ловляться мультиаккаунти/мули.
Ігнорування KYT/Travel Rule при крипто-потоках.
Немає чітких SLA на розслідування, алерти копляться «боргом».
Відсутність зв'язку AML ↔ KYC/KYB/Payments Orchestrator (немає hold/лімітів «на дроті»).

15) Чек-лист впровадження

• Risk Assessment: карта ризиків по клієнтам/гео/методам/продуктам.
• Rule Engine онлайн + бібліотека правил (structuring, rapid in-out, mule, KYT, geo).
• Скоринг/ML + граф-ознаки; калібрування порогів і пріоритизація.
• Кейсова система з шаблонами, таймлайнами, чек-листами і SLA.
• Інтеграції: KYC/KYB, санкції/РЕР, PSP, KYT, Travel Rule.
• Процеси SAR/STR, playbook «Freeze & Report», заборона tipping-off.
• Метрики якості (precision/recall, SLA, SAR-conversion), дашборди та алерти.
• Управління змінами та щорічне незалежне тестування.
• Політики зберігання/доступу до даних, шифрування, аудит.
• Навчання команд (Payments/Risk/Compliance/Support) і регулярні навчання.

16) Резюме

Сильний AML-моніторинг в iGaming - це онлайновий Rule Engine + ML/граф, пов'язаний з КУС/КУВ/санкціями/КУТ, чіткі SLA розслідувань, дисципліна SAR/STR, і постійне калібрування порогів під реальний ризик. Такий контур відсікає відмивання, утримує партнерську інфраструктуру в «зеленій зоні» у банків/PSP і майже не б'є по конверсії сумлінних гравців.