KYC/AML-Integration mit Prüfanbietern

1) Warum es notwendig ist und welche KPIs wichtig sind

Ziele: Compliance, Verhinderung von Betrug/Geldwäsche, Reduzierung von Chargebacks und Partner-/Zahlungsrisiken bei minimaler Reibung.

Schlüsselmetriken:

Zustimmungsrate (nach Marktsegmenten/Zahlungen/VIP), FPR/FNR, Onboarding-Zeit (p95), Verifizierungskosten pro Spieler.
Trefferquote bei Sanktionen/PEP/Adverse Media, Anteil manueller Fälle, Anteil nicht abgeschlossener Prüfungen.
SLA des Anbieters (Aptime, Latency, p95 Response), Retrays/Integrationsfehler.

2) Grundlegende Integrationsarchitektur

Ebenen:

1. Orchestrator (Ihr Risk-Onboarding-Service): Routet Anfragen zwischen Anbietern nach Regeln/Ländern/Überprüfungstypen.

2. Providers SDK/API: KYC (ID + Liveness), AML (санкции/PEP/Adverse Media), Address, Age, Device.

3. Feature Store/Risk Engine: Speichert Ergebnisse, Flaggen, Scoring und Anti-Fraud-Fiches.

4. Case Management: Manuelle Prüfungen, Appelle, Second-Line Review.

5. Audit & Compliance: unveränderliche Entscheidungsprotokolle, Versionierung von Regeln/Modellen, Berichte an den Regulator.

Ereignisströme:

Registrierung → Alter/ID (Minimum KYC nach Gerichtsbarkeit).
First Deposit/Withdrawal → Enhanced Due Diligence (EDD für Beträge/Risiken)
Recurring AML Screening: Neustart der Sanktionen/RER nach Zeitplan (täglich/wöchentlich).
Triggerbasiert: Änderung der Identität/Gerät/Geo → Re-Screen.

3) Arten von Inspektionen und was genau sie tun

Dokumentenprüfung: Reisepass/ID/Gewässer. Bescheinigung/Aufenthaltsgenehmigung; OCR + MRZ/Barcode, Echtheitscheck.

Liveness & Biometrics: Aktiv/Passiv-Liveness, Face-Match (selfie↔document).

Address Verification: Nachweis der Adresse (Utility Bill/Kontoauszug), manchmal - Adressregister.

Sanktionen/PEP/Watchlists: OFAC/UN/EU/UK HMT + lokal; politisch exponierte Personen; Listen unerwünschter Medien/Gerichtschroniken (Adverse Media).

Age Verification: Geburtsdatum vs lokale Schwellenwerte.

Gerät/E-Mail/Telefon: Risikosignale (einmalige Domains, virtuelle Nummern, Proxy/Hosting).

KYB (für Partner/Händler): gesetzliche Dokumente, Begünstigte (UBO), Registrierungsregister, negative Nachrichten.

4) Orchestrierung und risikobasierter Ansatz

Routing-Regeln: Land des Dokuments → Anbieter A, wenn es keine Abdeckung gibt → Anbieter B; VIP/hoher Betrag → EDD-Paket.

Step-up-Logik: Soft-Check (Datenquellen) → Bei Risiko fordern wir Selfies/Dokumente an.

Zusammensetzung: Die Kombination aus AML-Screening + IDV + Adresse hängt von der Gerichtsbarkeit (MGA/UKGC/Curacao usw.) und dem Lebenszyklusstadium (Onboarding vs Payout) ab.

Re-Screening: periodisch (z.B. täglich bei Sanktionen) und ereignisbezogen (Länder-/Dokumentenwechsel).

5) API-Design und Integrationsmuster

Idempotency & retries: alle Anrufe - mit dem Schlüssel der Idempotency; exponentielle Retrays, Timeouts, Circuit-Breaker.

Webhooks: asynchrone Zustände (processing → completed → reviewed).

Eingangsvalidierung: Formatkontrolle (MRZ, ISO-Land, Dokument-Tips).

Aufbewahrung von Artefakten: Verschlüsselung, TTL/Retention nach Jurisdiktionen, Zugang nach dem Prinzip „minimal notwendig“.

Beispielabfrage (Pseudo):

http
POST /kyc/start
{
"user_id": "u_123",  "flows": ["IDV","AML"],  "country_hint": "DE",  "document_types": ["PASSPORT","NATIONAL_ID"],  "webhook_url": "https://risk. example. com/webhooks/kyc"
}

Antwort des Anbieters:

json
{
"session_id": "sess_abc",  "status": "pending",  "redirect_url": "https://provider/flow/sess_abc"
}

Webhook-Ergebnis:

json
{
"session_id": "sess_abc",  "status": "approved",  "checks": {
"idv": {"liveness": "pass", "face_match": 0. 92, "doc_authenticity": "pass"},   "aml": {"sanctions": "clear", "pep": "clear", "adverse_media": "none"}
},  "risk_score": 18
}

6) Datenqualität: typische Probleme und Lösungen

Transliteration/Namensvariabilität: Verwenden Sie phonotische Algorithmen, Normalisierung, Alias-Tabellen.

Nicht-lateinische Skripte: Vergleich von Namen in kyrillischen/arabischen Ulmen/Hanzys → lokale Vergleichsmodule.

Geburtsdatum/Adresse: Formatierung, Cross-Check mit Dokument und Zahlungsadresse (BIN/AVS).

Falsche Übereinstimmungen bei Sanktionen/RER: Einstellung von Fuzzy-Score und Eskalationsregeln (junge Namensvetter, häufige Nachnamen).

Fotoqualität: UX-Hinweise (Licht, Rahmen, Highlights), automatische Schärfe/Winkelkontrolle.

7) SLA, Beobachtbarkeit und Warnungen

Latenzziele: interaktives Onboarding ≤ 60-120 ms pro Kataloganfrage/Screening + asynchrone Schritte ≤ 2-3 Minuten (Dokumente).

Titel: ≥ 99. 9% auf kritische Endpunkte; Dual-Provider (aktiv-aktiv/aktiv-standby).

Alerts: 'error _ rate' Wachstum, 'hit _ rate' Degradation, 'review _ rate' Sprung, 'stille Fenster' von Webhooks, OCR/Liveness Verzögerungen.

Logs/Tracing: Korrelations-ID von Front bis Provider; masked payloads; Speicherung der Entscheidung und der Gründe.

8) Fallmanagement

Fallwarteschlange: Priorität nach Betrag/Risiko/Region.

Playbooks: Was vom Kunden angefordert werden soll (Selfie erneut, anderes Dokument, Adressnachweis).

SLA für manuelle Fälle: p95 ≤ 24 Stunden; high-value ≤ 2 ч.

Appelle: Wiederholungsspiel + unabhängiger Reviewer; Dokumentation der Gründe für die Ablehnung (adverse action notice).

9) Compliance und Datenschutz

GDPR/local pendants: purpose limitation, data minimization, Recht auf Zugang/Löschung (falls zutreffend).

PCI DSS: Wenn Zahlungsdaten betroffen sind.

PSD2/SCA: Korrelation mit starker Authentifizierung bei Zahlungsschritten.

Retention: Speichern Sie nur die erforderlichen Artefakte und nur so viel, wie das Gesetz/die Regulierungsbehörde verlangt.

Erklärbarkeit: Fix „decision rationale“ - worauf das System setzte (liveness fail, doc mismatch, PEP hit).

10) Kosten und Beschaffungsmodell

Preise: Per-Check, Pauschalpreise, regionale Quoten, Zuschläge für EDD/Adverse Media.

Optimierung: risikobasierte Orchestrierung (billiger Anbieter → teuer bei Folback), Zwischenspeicherung der Ergebnisse auf TTL, Re-Screen auf Delta.

RFP-Checkliste: Deckungen nach Dokumenten/Ländern, Genauigkeit von Liveness/Face-Match, Aktualisierungsrate von Sanktionen/PPP, Latenz, Webhooks, SDK, Berichte, DPIA/Zertifizierung, On-Prem-Optionen, gerichtliche/regulatorische Praxis, Referenzen von iGaming.

11) KYB: wenn Sie mit B2B/Partnern arbeiten

Dokumente: Eingemeindung, Satzung, Bankbriefe, Direktoren/Vollmachten.

Screening: Sanktionen/RER für UBOs und Direktoren, Adverse Media für Marke/juristische Person.

Re-Screen-Auslöser: Wechsel von Direktor/Adresse/Begünstigtem, starker Umsatzanstieg.

12) UX und Conversion: Wie man Onboarding nicht „bricht“

Mobile-first: SDK mit Auto-Submissions (Rahmen, Neigung, Blendschutz).

Hyde für den Benutzer: was im Voraus vorzubereiten (Dokument, Beleuchtung), wie lange wird der Prozess dauern.

Fortschrittsbalken und klare Zustände.

Graceful fallback: Wenn die Kamera/Sensoren nicht verfügbar sind → ein alternativer Thread (manueller Upload + nachträgliche Verifizierung).

13) Vorfälle und Folbacks

Fail-Safe-Modus: Wenn der Anbieter fällt - Wechsel auf Reserve + Anwendung von minimal ausreichenden Regeln.

Degradationspolitik: Wir erlauben nur Einzahlungen mit geringem Limit ohne Auszahlung, bis die Überprüfung abgeschlossen ist.

Verzögerte Verifizierung: Ausgabe von Zeitlimits mit dem Hinweis, dass eine Vertrauensstellung erforderlich ist.

14) Integrationstest und Zertifizierung

Sandboxing-Anbieter: Skripte von „glücklichen „/„ unglücklichen “Pfaden, Edge-Cases (Highlights, beschnittenes Dokument, Zwillinge).

Vertragstests: Fixierung des Antwortschemas, Migration von API-Versionen.

Last: Peak Releases/Promo (x5-x10 Verkehr), lange Webhooks, Reorder Veranstaltungen.

DR-Übungen: Ausschalten eines Anbieters, Herunterfallen von Webhooks, Rollback-Version.

15) Musterentscheidungsregeln

Beispiel decision-table (vereinfacht):

Bedingung	Die Handlung	Der Kommentar
Sanctions=hit (strong match)	DENY	Eskalation in Compliance, Bericht
PEP=possible + Adverse=negative	REVIEW/EDD	Dop. Mittelquellen
Liveness=fail или FaceMatch<0. 8	RETRY (1-2 mal) → REVIEW	Die UX-Vorsagen
Address=fail + High-risk country	HOLD	Adressnachweis erneut
Clean KYC/AML + Low risk score	APPROVE	Grenzen der Politik

16) Beispiel für einen vollständigen Fall (abgekürzt)

Szenario: neuer Spieler aus Deutschland, 300 € Einzahlung, Bonusanfrage.

1. Soft check (AML fast): clear.

2. IDV: Reisepass + Selfie, Lebendigkeit = Pass, face_match=0. 93, doc=authentic.

3. Adresse: utility bill bestanden.

4. Entscheidung: APPROVE, Auszahlungslimit bis zu 2.000 €, wiederholter AML-Rückbildschirm täglich.

5. Audit: Die Versionen von Engine, Provider, Regeln, Fichi und rationale werden aufgezeichnet.

17) Checkliste Umsetzung

Orchestrator c failover und Routing nach Jurisdiktionen.
Verträge/SLAs/Preisschilder, DPIAs und rechtliche Vereinbarungen.
Webhooks, Idempotenz, Retrays, Tracing.
Case Management und EDD-Playbooks.
Periodischer Re-Screen (Sanktionen/PEP) und ereignisbasierte Auslöser.
Qualitätsüberwachung (Trefferquote, FPR/FNR, Durchlaufzeit).
Retention/Delete and Access Policy (RBAC).
DR-Plan und Degradationsübungen.

Zusammenfassung

Bei einer starken KYC/AML-Integration geht es nicht darum, „einen Anbieter zu verbinden“, sondern eine Orchestrierung aus mehreren Quellen aufzubauen, bei der Entscheidungen risikobasiert, transparent und schnell getroffen werden. Kombinieren Sie IDV, Liveness, Sanktion/Peer und Adresse, implementieren Sie Case Management und rigide Audits, halten Sie Folback-Anbieter und vergessen Sie nicht UX - so erfüllen Sie die Anforderungen der Aufsichtsbehörden und behalten Sie eine hohe Onboarding-Conversion bei.