KYC Gambling: Guia per a operadors d’iGaming el 2025

Key takeaways (TL;DR)
 

Operar sense KYC en mercats regulats no és viable: cal verificar edat i identitat abans de jugar o dipositar.

El frau es concentra post-KYC; el monitoratge continu, l’EDD per esdeveniments i els controls AML diaris són crítics.

Un flux basat en risc (age-first, document + biometria, senyals de dispositiu/xarxa) redueix fricció sense abaixar el llistó.

Didit demostra onboarding en 25 s, −60% de revisió manual i >70% d’estalvi de costos en producció.

Guanyar en el sector iGaming ja no va només de quotes: va de verificació d’identitat i detecció del frau. El 2025, els atacs s’han sofisticat amb IA generativa i deepfakes, mentre la pressió regulatòria s’accelera a ambdós costats de l’Atlàntic. Les dades són clares: el frau a iGaming s’ha duplicat en dos anys, amb pics d’activitat entre les 4 i les 8 h, quan la vigilància és més baixa; i el Brasil s’ha convertit en el punt crític dels deepfakes, amb una incidència cinc vegades superior als EUA i deu a Alemanya. Un canvi d’escala que no es pot ignorar.

L’augment dels deepfakes no és banal. El 2025, expliquen 1 de cada 20 fallades de verificació d’identitat a escala global, obligant els operadors a reforçar els controls biomètrics i de prova de vida durant l’onboarding. Però les plataformes de gambling han d’entendre la seguretat com un procés continu, no com un filtre d’alta. De fet, la majoria d’intents de frau tenen lloc després de completar el KYC, cosa que exigeix monitoratge constant i diligència deguda sostinguda en dipòsits, apostes i retirades.

Per combatre el frau, els reguladors intenten moure’s ràpid. El Brasil va activar el nou marc d’apostes l’1 de gener de 2025, amb requisits estrictes i controls d’identitat reforçats. Per la seva banda, la UK Gambling Commission exigeix verificar l’edat i la identitat abans de poder jugar, dipositar o fins i tot accedir a jocs free-to-play. La prioritat és clara: protegir els menors.

Com afecta això els equips de compliance i les startups del sector? Reduir fricció és possible, però només si el KYC es dissenya amb decisions per etapes segons risc, verificació d’edat fiable i controls post-onboarding que anticipin els patrons reals d’atac. Aquest article explica com plantejar l’estratègia per protegir ingressos, reputació i compliment el 2025.

Què és el KYC a iGaming i per què ara és crític

KYC (Know Your Customer) és el conjunt de controls que permeten verificar la identitat, avaluar el risc i prevenir delictes financers (AML). A la indústria del joc i les apostes en línia, actua com a filtre en etapes clau del customer journey: l’alta, els dipòsits i les retirades.

La seva rellevància ha crescut per tres motius principals:

1. Exposició al frau i pèrdues directes. Els operadors reporten augments de frau i de costos associats (revisions manuals, abús de bons, compra-venda o robatori de comptes).
2. Compliment i reputació. Els marcs normatius obliguen a controlar la identitat dels jugadors, contrastar amb llistes de sancions i PEPs, conservar evidències de la diligència i reportar a les autoritats. L’incompliment comporta sancions econòmiques, pèrdua de llicències i dany reputacional.
3. Experiència del jugador. El KYC no pot ser un coll d’ampolla: els projectes guanyadors combinen anàlisi documental, biometria, control de senyals (dispositiu, anàlisi d’IP, etc.) i decisions en temps real.

“Casino No-KYC” sota la lupa: conveniència vs. risc legal i de frau

L’interès per casinos sense KYC s’ha disparat en els darrers anys. Des del març de 2022 i fins avui, molts usuaris cerquen alternatives on no hagin de passar per controls de verificació per poder jugar, com reflecteix el gràfic inferior.

Des del punt de vista d’un jugador, buscar un casino sense KYC pot respondre a quatre motivacions:

• Excés de fricció. Usuaris que volen entrar i jugar sense tràmits.
• Temor per la privadesa. Risc percebut d’ús indegut de dades/documents o estigma social.
• Accessos il·legals. Persones que, per ser menors o per ubicació no habilitada, no podrien accedir a plataformes legítimes.
• Intencions malicioses. Evasió de controls de blanqueig o abús de bons de benvinguda.

I, des del punt de vista de l’operador, és legal oferir una alternativa sense KYC? En mercats regulats (UE/UK/EUA) no és legal operar sense KYC: s’han de verificar edat i identitat abans de jugar o dipositar, i complir les obligacions AML (per exemple, AMLR a la UE, UKGC al Regne Unit i BSA als EUA).

Fraus habituals a les plataformes de gambling

Multicomptes

Què és: una mateixa persona crea diversos comptes per exprimir bons o saltar-se límits.

Com es detecta: apareixen “bessons” amb el mateix dispositiu, IP o mètode de pagament.

Què fer: establir límits per dispositiu/llar, demanar verificació extra quan alguna cosa no quadra i aplicar cool-off (descans temporal) o shadow ban (bloqueig silenciós) quan es detecti.

Bonus abuse o abús de promocions

Què és: aprofitar promocions i free bets amb diversos comptes o en coordinació.

Com es detecta: pics de registres durant campanyes, molts usuaris amb el mateix dispositiu o mètode de pagament i retirades ràpides després d’alliberar el bo.

Què fer: limitar bonificacions a identitat i mètode de pagament verificats.

Comptes mula (money mules)

Què és: persones que presten/compren/venen el seu compte per moure diners de tercers.

Com es detecta: dipòsits des de fonts que no encaixen amb el perfil, retirades a comptes nous.

Què fer: controls AML diaris, frenar la retirada fins a verificar l’origen dels fons i relacionar comptes per dispositiu i pagaments.

Robatori de comptes (Account Takeover)

Què és: algú entra en un compte legítim i l’utilitza per apostar o retirar fons.

Com es detecta: inicis de sessió des de països llunyans (impossible travel), canvi sobtat de dispositiu o un historial d’IP inusual.

Què fer: sol·licitar autenticació biomètrica quan canviïn les condicions, activar 2FA, avisar el titular i revisar mètodes de pagament abans de les retirades.

Marcs regulatoris per regions: com operar en un entorn globalitzat?

En un entorn global, els operadors han d’oferir alternatives multijurisdiccionals per treballar amb seguretat en diferents països i complir normatives diverses. Com s’aconsegueix?

• Parametritzant llindars per país.
• Registre traçable de decisions (aprovats/rebutjats amb motius).
• Autenticacions biomètriques quan canviï el risc (dipòsits, retirades altes, alertes de transacció, etc.).

Principals marcs normatius per a operadors de gambling

• Unió Europea
  • AMLR 2024 (Reglament 2024/1624): harmonitza regles de KYC/CDD, titularitat real i límits a instruments anònims.
  • AMLA 2024 (Reglament 2024/1620): crea l’Autoritat Europea contra el Blanqueig (seu a Frankfurt) per a una supervisió coordinada.
  • AMLD6 i AMLD5: marcs de referència fins a l’aplicació plena del paquet 2024.
• Regne Unit (UK)
  • UKGC – Age & ID verification: exigeix verificar edat i identitat abans de jugar o dipositar.
  • Financial Risk Checks (SR 3.4.4): comprovacions de vulnerabilitat amb enfocament “sense fricció”.
  • Guia AML per a casinos: guia AML aplicable a casinos remots i presencials.
• Estats Units (EUA)
  • BSA / FinCEN (31 CFR Part 1021): els casinos són “institucions financeres” a efectes de la BSA; exigeix programa AML, CTR (≥ 10.000 $), SAR, conservació de registres i formació.
  • Marc estatal (p. ex., Nova Jersey, Nevada): regles estrictes d’identitat i geolocalització; requisits addicionals per estat i vertical.

Retenció i traçabilitat: és recomanable conservar evidències de CDD/EDD i els motius de decisió durant ≈5 anys (conforme a marcs AML comuns), per a auditories i supervisió.

Com dissenyar un flux de KYC per a iGaming amb poca fricció (pas a pas)

Si l’objectiu és maximitzar l’onboarding i la velocitat, minimitzant falsos positius i esforç manual, aquest esquelet funciona:

1. Control d’edat intel·ligent. Estimació d’edat ràpida per filtrar menors de manera evident, amb suport documental si la senyal és dubtosa.
2. ID Verification (verificació de document). Validar l’autenticitat del document i extreure dades mitjançant OCR.
3. Biometria i liveness. Garantir que el document pertany a l’usuari (Face Match 1:1) i que és present, evitant deepfakes, vídeos o màscares (detecció de liveness).
4. Controls d’AML screening en temps real. Comprovacions inicials i diàries davant llistes de vigilància, sancions i PEPs.
5. Senyals de xarxa i dispositiu. Geolocalització per IP/GPS, detecció de VPN/proxy i anàlisi de velocitat d’esdeveniments.
6. Decisió i fallbacks. Aprovació instantània quan tot quadra; step-up a EDD o revisió manual si hi ha senyals de risc.
7. Autenticació per a accions de risc. Davant retirades voluminoses o altres senyals, sol·licitar biometria per garantir seguretat.

Quins KPIs han de monitoritzar els equips de plataformes iGaming?

• Pass rate (per país i mètode)
• Temps total de verificació
• Abandonament per pas
• Percentatge de revisions manuals
• Hit rate contra PEP/sancions
• Precisió de liveness

Monitoratge post-onboarding i desencadenants: del dipòsit a la retirada

La major part del frau ja no s’atura durant l’alta: una gran porció ocorre després de la verificació inicial. Per això:

• Control d’esdeveniments. Dipòsits/acumulats superiors a llindars, retirades voluminoses, velocitat atípica, canvis de dispositiu/ubicació, pics de chargebacks.
• Reverificació selectiva. Selfie de control, verificació de l’origen dels fons o revisió documental més profunda.
• Controls diaris automàtics. Screening diari contra llistes de vigilància i sancions per detectar canvis sense fricció.

Didit per a iGaming: una plataforma de KYC que redueix el frau i accelera l’onboarding

Els equips de compliance i els founders s’enfronten a la mateixa tempesta: pics de frau, normatives canviants per país i fricció que redueix la conversió. Didit resol aquests punts de dolor amb una plataforma KYC per a iGaming que permet crear fluxos de verificació personalitzats: verificació d’edat per filtrar menors en segons, document i liveness quan cal, senyals de xarxa i AML screening amb controls diaris per mantenir el risc sota control.

El resultat és un onboarding ràpid i operatiu. En producció, un operador líder del sector va reduir el temps mitjà d’alta a 25 s, va retallar un 60% les revisions manuals i, amb els controls diaris, va elevar la qualitat del monitoratge continu. El conjunt va suposar >70% d’estalvi davant del proveïdor anterior.

Per accelerar el go-live, Didit ofereix integració per API i no-code (enllaços de verificació). Els fluxos no-code es configuren en minuts; les integracions per API solen resoldre’s en hores. A més, Didit és l’únic proveïdor amb un pla de KYC gratuït i il·limitat. El reconeixement com a High Performer a G2 reforça la confiança del mercat, amb més de 3.000 empreses que ja han integrat la tecnologia.

Resultat: menys frau, menys fricció i més conversió, amb compliment sòlid a les jurisdiccions clau del joc en línia.