GH GambleHub

Auditoria da AML e relatórios

1) Objetivos e contexto

A cadeia AML no iGaming abrange: screening onboarding (KYC/KYB), sanção/PEP/Adverse Media Screening, monitoramento de transações e comportamento, escalação de mala e elaboração de relatórios no FIU (SAR/TR e outros formulários). A auditoria (externa/interna) verifica o design e a eficiência dos controles, a base de provas e a pontualidade da reportagem.

2) Guernance e papéis

Bord/Comitê de Risco: Todos os anos aprova a EWRA (Enterprise-Wide Risk Assessment), uma política de risco.
MLRO (e vice): proprietário de procedimentos, qualidade SAR/TR, contato com o FIU/regulador.
Compliance Ops/FinCrime: verificação de alertas, gerenciamento de malas, QA e treinamento.
Auditoria Internacional/Externo Independente: Verificação independente de design/eficiência dos controles.
Data/Tech: Possuem TMS, modelos e revistas.

3) RBA (Risk-Based Approach) для iGaming

Fatores de risco:
  • Cliente: idade/geo, RER/sanções, SoF/SoW, patterns comportamentais (velocidade/conclusões, quantias atípicas, multi-conta).
  • Produto/canal: Casino/esporte/lima, cripto-on/off-ramp, carteiras anônimas, pagamentos instantâneos.
  • Geografia: alto risco de jurisdições, corredores de transferência de fundos.
  • Provedores/parceiros: PSP/afiliados/agregadores.
  • Transações: estruturação (smurfing), fluxos circulares, intermediários (mule).

Resultado: O screen de risco do cliente/transação controla a profundidade do KYC, a frequência e a sensibilidade das regras TMS.

4) KYC/KYB, SoF/SoW e ciúmes

KYC: verificação de identidade/endereço, idade, comparação com sanções/PEP/Adverse Media.
KYB: Beneficiários (UBO), riscos industriais, sanções ao direito/UBO.
SoF/SoW: confirmação da fonte de fundos/riqueza para high-risk (extratos, dividendos, rendimentos, venda de ativo).
Revezamento: intermitente (12-36 mes) e trigo (aumento da circulação, mudança do perfil comportamental).

5) Sanções/PEP/Adverse Media

Sanções: screening primário para o pagamento e recriação diária de todos os clientes e beneficiários ativos.
PEP: doe diligence reforçado e maior frequência de revo.
Adverse Media: publicações negativas sobre lavagem, fraude, corrupção; com a coincidência → aumento de medidas/escalação.

6) Monitoramento de transações e controle comportamental

Bandeiras vermelhas típicas:
  • A série de pequenos depósitos → uma rápida conversão para a conclusão (atividade mínima de jogo).
  • Conta multi: correspondências de dispositivos/IP/ferramentas de pagamento.
  • Rotação de fundos entre carteiras/cartões (rotas circulares).
  • Uso de provedores de alto risco/jurisdições/proxy.
  • Depósitos de terceiros, frequentes chargeback/renúncia, quedas bruscas/rodas GGR sobre o jogador.
  • Para esportes: apostas em mercados baixos com sincronia suspeita (match-fix red flags).

Regras TMS: velocity (N transações por X min), amount spikes, device/IP clustering, geovelocity, no-play withdrawals, split deposits, duplate instrumentos.

7) Mala, escalação e SAR/TR

Verificação primária de alert → enriquecimento de dados (KYC, pagamentos, histórico, afiliada, dispositivos, geo, Adverse Media).
PR (Pré-SAR Review): Solução MLRO - SAR/TR, monitor, fechar com nota.
SAR/TR: Preparado com base em requisitos locais (descrição de fatos, quantias, participantes, esquemas, justificativa de suspeitas, provas anexas, linha do tempo).
Prazo: «sem demora» de acordo com as regras locais; fixa TAT e SLA na política.
Tipping-off: Não permitir que o cliente revele SAR/TR.

8) Auditoria AML: abrangência e métodos

Abrangência: políticas/procedimentos, EWRA, KYC/KYB, SoF/SoW, sanções/PEP/Adverse Media, modelos TMS e alertas, mala-gerência, SAR/STR-Logs, treinamento, revista, armazenamento, terceirização (PSP/KYC) testes de penetração/disponibilidade.

Métodos:
  • Walkthrough e entrevistas (MLRO, AML-analistas, produto, TI).
  • Doutor: política, SOP, logs, relatórios, amostra de malas (sampling).
  • Teste de design/eficiência: testes de controle (re-performance), backtesting TMS e calibragem.
  • Model Governance: alterações de regras/liminares, documentação, A/B, retoque periódica.
  • Data lineage: rastreamento de campos em relatórios até sistemas primários.

Saídas: relatório de classificação, descobertas (High/Medium/Low), plano de remediação, prazos e responsáveis.

9) Base de provas e armazenamento

Revistas: alertas, malas, decisões de quem/quando/o que mudou (imutability).
Artefactos, capturas de tela, extratos, SoF/SoW, arquivos, exportação de TMS, correspondência.
Prazo de armazenamento: de acordo com a lei local (muitas vezes 5 + anos após o fim do relacionamento).
Privaciy/DPA: Minimização do PII, fundamentos legais, DPIA para controladores high-risk.

10) Relatórios (externo/interno)

Externa: SAR/TR no FIU; Respostas a pedidos de órgãos públicos; formas estatísticas periódicas (jurisdição).
Interna: relatório MLRO border/comitê - dinâmica SAR, FPR (falso rate positivo) TMS, coverage sanções/RER, treinamento, remediação-status.

11) Matriz de risco (RAP)

ÁreaR (crítico)A (corrigível)G (controle)
Sanções/RERSem ressecriningIrregularDiárias + após alterações
TMSSem regras/tunningAlto FPR/alertas mortosModelo RBA + retuna + QA
SAR/STROmissão de prazo/qualidadeDados incompletosSLA/TAT, folha de cheque, QA
KYC/KYBQuebras/não SoF/SoWEscassez de spotRisco de rateio + revezamento
ProvasNão há imutabilidadeDivididoGerente de mala centralizada
TreinamentoDescartávelNereg. atualizaçãoAnualmente + por papéis/testes

12) Folhas de cheque

Antes da auditoria/verificação externa

  • EWRA atual e matriz de risco.
  • Políticas/SOP: KYC/KYB, SoF/SoW, sanções/PEP/Adverse Media, TMS, SAR/TR.
  • Registros de alertas/malas/SAR, logs de alterações TMS.
  • Provas por amostra de mala (scan/extratos/screenshots).
  • Treinamento/testes de funcionários, registros de acesso.
  • Contratos PSP/KYC, relatórios SLA.

Turno operacional (diariamente/semanalmente)

  • Sanções/PEP/Adverse Media Rescrining.
  • QA 10% das malas fechadas.
  • Monitoramento FPR/TPR, retino para drible.
  • Controlar prazos de SAR/TR e desvios de SLA.

13) Registros recomendados (YAML)

13. 1 Registro SAR/TR

yaml sar_id: "SAR-2025-118"
customer_id: "C-774102"
trigger: ["rapid_withdrawals","no_play","high_risk_geo"]
amounts:
deposits_total: 18500 withdrawals_total: 17200 timeline:
first_alert_at: "2025-10-21T14:22Z"
escalated_at: "2025-10-22T10:05Z"
filed_at: "2025-10-23T16:40Z"
fiU_ack_ref: "FIU-ACK-5529"
attachments: ["kyc.pdf","flows.png","device_cluster.csv"]
mlro: "a.petrova"
status: "filed"

13. 2 Registro de Correspondências de Sanções

yaml hit_id: "SAN-2025-311"
subject: { customer_id: "C-660901", name: "Ivan K." }
list: ["OFAC","EU"]
match_score: 92 decision: "false_positive"
analyst: "d.koval"
closed_at: "2025-11-03"
notes: "DOB mismatch; address not matching"

13. 3 Perfil de risco do cliente

yaml customer_id: "C-552201"
risk_score: 78 risk_factors:
geo: "high"
pep: false adverse_media: false product: ["casino","sports"]
payment_methods: ["cards","crypto_onramp"]
behaviour: ["velocity","no_play_withdrawals"]
kyc_level: "enhanced"
review_next: "2026-05-01"
owner: "FinCrimeOps"

13. 4 Alterações nas regras TMS

yaml change_id: "TMS-CH-2025-044"
rule: "no_play_withdrawal_v2"
old_threshold: "withdrawal>500 & play<5 spins"
new_threshold: "withdrawal>300 & play<3 spins"
reason: "trend increase; QA findings"
ab_test: true owner: "FinCrime Analytics"
approved_by: ["MLRO","RiskCom"]
effective_from: "2025-11-10"

14) Playbooks (incidentes)

P-AML-01: Estruturação de depósitos

Alert → agregação por dispositivo/cartão/IP → SoF solicitação → limite/interrupção de pagamento → SAR quando se suspeita razoavelmente → inscrição no registro.

P-AML-02: Coincidência sobre sanções

A verificação automática → manual (DOB/endereço/bio) → quando confirmada - encerramento da conta/mensagem no FIU (se necessário) → documentação.

P-AML-03: Sem conclusões de jogo

Congelamento de saída → verificação de distância entre pit/saída, carteiras cruzadas, ligações com contas → soF/explicação → sar/encerramento.

P-AML-04: Crypto on/off-ramp

Análise chain (rótulos de risco de câmbio/mixers) → SoF (origem de cripto) → limites/bloqueio → SAR/relatórios.

P-AML-05 Suspeita de «mulas «/laços de afiliação

Clusterização de dispositivos/pagamentos → conexão com a fonte de tráfego → interrupção de pagamento à afiliada → SAR/etapas legais.

15) KPI/métricas

SAR Timeliness (média TAT) e SLA cumprimento.
FPR/TPR TMS, Precision @ Top-N por alertas prioritários.
Sanções/PEP Coverage%, recriação diária%.
QA Pass Rate com mala fechada.
Training Complition% por papel.
Modelo Mudança Controle de Compliance% (alterações com aprovação/base de doces).

16) Mini-FAQ

Quando servir SAR/TR? Após a formação de uma suspeita razoável e dentro do prazo estabelecido pelo direito/regulador local.
É possível informar o cliente sobre o SAR? Não, há uma proibição de tipping-off.
É preciso sempre bloquear a conta? Decisão RBA: risco, sanções, ameaças de desvio de fundos e regras de lei local.
Como reduzir FPR? Regras retábeis, fichas comportamentais, segmentação de risco, backtesting periódico/QA.

17) Discleimer

Os requisitos da AML/sanções e os formatos de relatórios variam de país para país e atualizam. Este material é um esqueleto operacional; as datas, formulários e destinatários exatos devem ser controlados com as normas e instruções locais do seu regulador/FIU.

18) Conclusão

Um circuito AML eficiente no iGaming não é apenas um «selo» KYC, mas sim uma ligação de modelo RBA, monitoramento vivo, gestão de mala de qualidade e disciplina de prestação de contas. Auditoria independente regular, base de provas e playbooks claros transformam a complacência em um processo sustentável que protege jogadores, negócios e licenças.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.