KYC: документи, верифікація, SLA

1) Навіщо iGaming KYC і як він впливає на монетизацію

• знижує ризик блокувань з боку платіжних партнерів і банків,
• зменшує «friendly fraud» і rate чарджбеков,
• прискорює висновки (менше ручних перевірок) і підвищує LTV,
• виконує вимоги регуляторів і постачальників платіжних послуг.

Принцип: risk-based approach - чим вище ризик профілю клієнта/операції, тим глибше перевірка і коротше вікно толерантності до аномалій.

2) Рівні (tiers) і тригери поглиблення

Tier 0 - Легка реєстрація (pre-KYC)

Збір: e-mail/телефон, країна, дата народження.
Порогові ліміти: мінімальні депозити/ставки, без висновків.
Автоскринінг санкцій за базовими даними (груба фільтрація).

Tier 1 - Базова ідентифікація

Документи: один документ з фото (паспорт/ID/водить. посвідчення).
Контролі: ліiveness + face-match, перевірка MRZ/голограм (якщо підтримує провайдер).
Ліміти підняті, але висновок обмежений (наприклад, до X на добу/тиждень).

Tier 2 - Адреса/вік та ризикові ринки

Документи: Proof of Address (PoA) - рахунок за комуналку/виписка банку ≤ 3 міс, або eIDAS/BankID, де доступно.
Додатково: джерело коштів (SoF) для великих депозитів/високих оборотів.
Доступ до підвищених лімітів, швидких висновків.

Tier 3 - Розширений (Enhanced Due Diligence, EDD)

Документи: SoF/SoW (виписки, зарплатні/податкові документи, договори), доп. біометрія/відеодзвінок.
Приводи: PEP-збіги, високі суми, нетиповий гео/поведінка, складні патерни depozit→vyvod.
Схвалення вручну з подвійним контролем.

Тригери апгрейду: сума депозиту/виведення, загальний оборот за 30/90 днів, збіг за санкціями/РЕР/адверс-медіа, гео/в'їзд в «сірі» зони, velocity аномалії, запит на великий висновок, chargeback-історія.

3) Список документів та вимоги до якості

• Паспорт, нац. ID, водійське (залежно від країни).
• Чітке фото/скан, весь документ цілком, без відблисків.
• Перевірки: валідність номера, дата закінчення, MRZ/баркоди, контроль маніпуляцій (cropping/Photoshop).

• Комунальний рахунок, банківська виписка, податковий лист, реєстрація за місцем проживання.
• Повинен містити ПІБ, адресу, дату (≤ 90 днів), джерело.

• Виписки по рахунку/зарплаті, договори, документи про продаж активів, дивіденди.
• Матч ПІБ/адреси з обліковим записом; логічна зв'язка сум з поведінкою в продукті.

• Активна/пасивна лівнес-перевірка, порівняння з документом (face-match).
• Захист від «replay/print/3D-масок».

4) Санкції, PEP, адверс-медіа

Санкційні списки: OFAC/EU/UK/UN + локальні; оновлення щодня/погодинно.
PEP: особи, які займають/займали значущі держколжності, їх родичі/пов'язані особи.
Adverse Media: негативні публікації (шахрайство, відмивання, корупція).
Алгоритм: fuzzy-matching з порогами, верифікація збігів вручну, документування рішень.
Політика: санкції - стоп, PEP - EDD + ліміти, adverse media - кейс-бай-кейс (EDD).

5) Оркестратор KYC: як зв'язати провайдерів і процеси

• управляє провайдерами (doc-scan/biometry/sanctions/PEP/AML),
• зберігає стан заявки (state machine),
• тригерит апгрейди/реверифікацію по подіям (суми, гео, ризик),
• забезпечує ідемпотентність і аудит (хто що перевірив і коли),
• агрегує рішення: Approve / Reject / EDD / Manual Review.

• 2 + провайдера на ключові ринки (крос-чекаут/фейловер).
• Локальні eID/BankID там, де доступні (НордІкс, Балтії, і т.п.).
• Сегментація даних: документи зберігаються в зашифрованому сховищі з KMS/HSM.

6) SLA: цільові часи та пріоритети

• Tier 1 (авто): ≤ 90 сек p95.
• Tier 2 (авто PoA): ≤ 5 хв p95.
• Tier 2 (ручний PoA): ≤ 2 години p95 (робочі години).
• Tier 3/EDD (ручний): ≤ 24-48 годин (з пріоритезацією high-rollers/висновків).

• Авто-виплата після успішного Tier 1/2: ≤ 15 хв p95.
• Якщо потрібна реверифікація/EDD: пауза ≤ 24 години з прозорою комунікацією.

• Після закінчення документів/зміни ПІБ/адреси/гео або досягнення порогу - ≤ 24 години.

• Регулярно (щодоби) + при кожному великому платежі/виведенні - on-demand ≤ 60 сек.

7) Рішення та умови (decisioning matrix)

8) UX і прозорість (не ламаючи конверсію)

Показуйте чек-лист документів і статус за кроками.
Підтримка мобільного завантаження, авто-обрізка/детекція відблисків.
Локалізація підказок, допустимі формати PoA по країні.
Прозорі терміни: таймер SLA і «що далі».
Альтернативні канали: відеоверифікація при повторних провалах зливнес.

9) Реверифікація та життєвий цикл

Терміни закінчення документів: нагадування T-30/T-7.
Зміна ризику (гео/поведінка) → «точкова» реверифікація полів.
Переїзд/зміна імені → PoA/ID update.
Dormant accounts → re-KYC перед великою активністю.

10) Дані, зберігання та приватність

Мінімізація: зберігайте тільки необхідні поля; документи в зашифрованому блоб-сховищі.
Доступ: RBAC, mTLS, тимчасові токени, аудит звернень.
Retention: зберігання згідно з регуляторикою (часто 5 років після останньої транзакції), потім видалення/анонімізація.
GDPR/DSR: процеси доступу/виправлення/видалення; логи рішень - знеособлені.

11) Моніторинг і метрики

Якість/швидкість

KYC pass rate (Tier1/Tier2/Tier3), частка авто-апрува.
Час онбордингу p50/p95, share ручних кейсів.
Drop-off на кроках (ID, лівнес, PoA, SoF).

Ризик/комплаєнс

Частка збігів санкцій/РЕР, EDD-кейсів.
Chargeback rate до/після KYC, фрод-інциденти по сегментах.
Помилки/false matches в санкціях/РЕР.

Операції

SLA hit rate (за онбордингом/висновками/EDD).
Повторні запити документів (%), причини відхилень.
Вартість KYC на користувача (в т.ч. ручна праця).

12) Інтеграція з платежами та антифродом

KYC-сигнали → скоринг транзакцій (підвищення/зниження порогу 3DS/TRA).
При velocity/фрод-прапорах - тригер EDD/SoF перед виведенням.
BIN/гео-політики: для «важких» емітентів - вимагати Tier 2 раніше.

13) Вибір провайдерів і дубль-сорсинг

Критерії: покриття документів, точність лівнес/біометрії, швидкість, SDK-якість, ціна, приватність, «privacy by design».
Failover на другого провайдера при деградації/регіональних провалах.
Контрактні SLA і AoC (attestation of compliance), DPIA/обробка даних.

14) Анти-патерни

Універсальний «жорсткий» KYC для всіх країн/ризиків → падіння конверсії.
Ручна перевірка там, де 95% авто-кейсів - вузькі горлечка.
Відсутність реверифікації/закінчення документів - зростання ризику на висновках.
Зберігання зайвих PII без мети і ретеншн-політики - ризики GDPR.
Ігнорувати SoF для high-rollers - ризик AML/санкцій.

15) Чек-лист впровадження (коротко)

• Визначені tiers, ліміти і тригери апгрейда.
• Підключений KYC Orchestrator, 2 + провайдера на ключових ринках.
• Включені лівнес/face-match, MRZ/анти-тампер.
• Санкції/PEP/adverse media - щоденний re-screen + on-demand.
• SLA з онбордингу/висновків/EDD, алерти T-3/T-1.
• Процедури SoF/SoW для великих сум і EDD.
• Шифрування, RBAC, ретеншн, DPIA/GDPR-фреймворк.
• UX-майстер з підказками і локальними PoA-вимогами.

Метрики і дешборди (pass rate, SLA, drop-off, cost/KYC).

• Плейбуки ескалацій і відмов (шаблони листів, логування рішень).

16) Резюме

Ефективний KYC в iGaming - це оркестрація провайдерів, risk-based рівні, швидкий авто-апрув простих кейсів і строгий EDD там, де є ризик. Чіткі SLA, прозорий UX, мінімізація і захист даних, регулярний re-screening і інтеграція з антифродом роблять висновки швидкими, відповідність - стійким, а монетизацію - передбачуваною.