GH GambleHub

Política AML e combate à lavagem de dinheiro

1) Destino e abrangência

O objetivo da política da AML é prevenir a lavagem de receitas criminosas e o financiamento do terrorismo, garantir que os reguladores cumpram as exigências e proteger a plataforma, os jogadores e os parceiros. A política é aplicada a todos os advogados do grupo, funcionários, comandos de outsourcing e terceiros (PSP, afiliados, provedores de conteúdo) que interagem com os fluxos de dinheiro e dados dos clientes.

Abrangência:
  • Produtos: casino/apostas, transferências P2P, torneios, bónus/cachê, serviços de marketing.
  • Canais: web, aplicativos móveis, integração API, cripto-on/off-ramp.
  • Geografia: Todos os países/estados atendidos com base nos requisitos locais.

2) Suporte regulatório e princípios

A política é baseada em recomendações da FATF (abordagem orientada a risco, KYC/KYB, sanções, monitoramento, relatórios), leis locais AML/CFT (Europa - diretrizes AMLD, Reino Unido - MLR, EUA - BSA/Patriot Act, etc.), além de requisitos de proteção de dados (GDPR/similares).

Princípios básicos:
  • RBA (Risk-Based Approach): os recursos são focados em riscos mais elevados.
  • Proportionality: As medidas correspondem ao risco cliente/transação/produto.
  • Accountability: fixação de soluções, auditoria e rastreabilidade.
  • Private by Design: mínimo de dados, legalidade do processamento, segurança.

3) Papéis e responsabilidades (gerenciamento)

Board/Conselho de Administração: aprova política, apetite de risco, relatório periódico.
Gestão Senior: fornece recursos, KPI, implementação.
MLRO/AML Officer: proprietário de processo, relatórios aos reguladores, SAR/TR, metodologia de monitoramento, interação com LEIA.
Compliance Team: KYC/KYB, sanções/RER, gestão de mala, treinamento.
Risk & Analytics: modelos de varredura, cenários, calibração de regras.
Engineering/Security: integração de provedores, logs, controle de acesso, criptografia.
Operations/Payments: controle de conclusões, verificações manuais, qualidade de dados.

RACI (упрощенно): Board — A, MLRO — R/A, Compliance — R, Risk — R, Eng — C/R, Ops — C/R, Internal Audit — I/C.

4) RBA: modelo de risco

Componentes de perfil:
  • Cliente (país, residência, profissão, RIR/sanções, risco comportamental).
  • Produto (casino/apostas, P2P, cripto, altos limites, cross border).
  • Canal (online, sem presença, ferramentas anônimas).
  • Geografia (jurisdições de alto risco, regimes de sanções).
  • Transações (volume, velocidade de rotação, padrão de cobrança).

Avaliação: Screen inicial de onboarding + fatores dinâmicos (histórico, dispositivos, pattern de pagamento) ⇒ segmentação de baixo/médio/alto risco e escolha de nível de medidas: CDD/EDD/SOW.

5) KYC/KYB e screening de sanções (ligação com AML)

KYC para indivíduos: documento + liveness, endereço, idade, sanções/RER, Adverse Media.
KYB para empresas/afiliadas/provedores: registro, UBO/diretor, sanções/RER, verificação de atividades e fontes de fundos.
Sanções/RER: screening primário e periódico, jogo de fuzis, clering manual.
SOW/SOF: Com limites e anomalias elevados, é a confirmação da origem dos remédios/riqueza.
RE-KYC: Agendado e evento (desencadeadores).

6) Monitoramento de transações e analista comportamental

Cenários (rulas):
  • Rápido ciclo de depósito → saída sem risco real de jogo.
  • Spike por soma/frequência, corte de pagamento («smurfing»).
  • Não correspondência do país IP/BIN/endereço, alteração frequente de métodos de pagamento.
  • Tráfego noturno/de massa atípico, clusters de dispositivos (device graph).
  • Uso de anônimos/VPN, fazendas proxy, troca de sistema operacional/navegador.
  • Patrões de bónus suspeitos, multicaunts, ciclos de charjback.

ML/modelos comportamentais: anomalias prováveis, ligações gráficas, risco-escrutínio dos jogadores/afiliados, segmentação high-roller.

Gestão de cabo: geração de alert → qualificação → solicitação de documentos/explicações → decisão (escalar/bloquear/SAR).

7) «Bandeiras vermelhas» (especificações iGaming)

Depósitos regulares de terceiros/muitos cartões individuais por jogador.
R2P/traduções de torneio entre contas relacionadas.
Forte concordância de perfis (idade, profissão vs circulação).
Migração entre jurisdições sem uma razão explicável.
Cobrança sistemática sem atividade de jogo ou com margem mínima.
Tentar contornar os limites de CUS/conclusões/bónus, «fazendas» de contas.
Afiliados com fonte de tráfego pouco clara ou CR→WD anormalmente alta.

8) SAR/TR: investigações e relatórios internos

O limiar da suspeita é «suspeita razoável», independentemente do valor.
Processo: alert coleta de factos decisão MLRO lançamento SAR/TR dentro do prazo, sem «tipping-off».
Escalonamento: bloqueio temporário, congelamento de fundos sob demanda da LEI/Regulador, plano de comunicação com o cliente.
Documentação: Timeline de eventos, fontes de dados, ações de comando, decisões e justificativas.

9) Armazenamento de dados e segurança

Prazo: normalmente, pelo menos 5 anos após o fim do relacionamento (especificado localmente).
Armazenamento de destino: perfis, documentos, alertas, SAR/TR, registro de acesso, base de provas.
Segurança: criptografia at-rest/in-transit, HSM/segredo-armazenamento, RBAC/ABAC, registros imutáveis (WORM), monitoramento de acesso e ações dos funcionários.

10) Treinamento, controle de qualidade e auditoria

Treinamento: anual para todos, aprofundado para funcionários de risco-função; Testes e certificação.
QA/diagnóstico: Reviravoltas seletivas, verificações duplas (4-eyes), retro em soluções erradas.
Auditoria interna: avaliação independente da conformidade política, regulação e eficiência de processos.
Stress-tests: exercícios de incidentes (sanções, tipologia maior, alertas de massa).

11) Cripto e VASP (se aplicável)

Travel Rule: compartilhamento de atributos do remetente/destinatário entre os provedores.
Analista Blockchain: endereços de risco, cluster, rótulos de sanção/mistura.
Controle de rampa/off: correspondência do dono da carteira, correspondência de dados, limites e registro de endereços externos.
Evolução de preços/volatilidade: regras especiais sobre somas, marcação de conversões «extraordinárias».

12) Interação com terceiros

PSP/bancos/provedores KYC: contratos, SLA, DPIA, planos de teste de resistência a falhas.
Associados: KYB, monitoramento da qualidade do tráfego, proibição de fontes de risco, auditoria pós-clique.
Relações de correspondência: verificação aprofundada dos parceiros, revisão periódica.

13) Arquitetura de soluções AML (recomendações)

Integrações: provedores de CUS/sanções, PSP, antifrode, analista de blockchain.
Pneu de evento: todas as transações/eventos entram em fluxo (Kafka/equivalente) com armazenamento inalterado.
Motor de regras + ML: screen online (milissegundos) e revisões offline (batch/near-real-time).
Sistema da caixa: filas de priorização, modelos de solicitação ao cliente, SLA, integração com e-mails/mensagens.
Observabilidade: logs, métricas, traçados; a versão de regras/modelos e seus efeitos.
Degradação: simplificação segura (fail-open/close de política), backap provedores, retraí/quórum.

14) Métricas e KPI de eficiência

SAR Conversion Rate: proporção de alertas que se tornaram SAR/STR.
Time-to-Alert/Time-to-Decision: velocidade de detecção e solução.
Falso Positivo Rate/Precision-Recall em alertas.
Coverage: proporção de transações monitoradas/screening.
Rework/Appeals: proporção de malas revisadas.
Training Complition:% dos funcionários com treinamento relevante.
Vendor SLA: Farmácia de provedores, TTV de CUS/sanções.

15) Folhas de cheque

A linha do cliente:
  • KYC/KYB, idade/geo, sanções/RER, Adverse Media.
  • Mapeamento RBA, limites básicos, dispositivo de fingerprint.
  • Consentimento, privacidade, informação sobre verificações.
Antes do grande limite de saída/alta:
  • Novo screening de sanções, SOF/SOW, se necessário.
  • Mapeamento do dono da ferramenta de pagamento.
  • Verificação comportamental e histórico de transações.
Processo SAR/TR:
  • Recolher factos e documentos.
  • Conclusão interna do MLRO.
  • Fornecimento de relatório dentro do prazo; proibição de tipping-off.
  • Pós-mar, atualização de regras/modelos.

16) Erros típicos e como evitá-los

Selo KYC cego sem RBA: Reforce a análise dinâmica e os limites.
Não há feedback nos modelos: implemente um loop de treinamento (definição → outcome).
Supersecking em vez de gerenciamento de risco: use EDD/SOW e limites controlados, em vez de bans totais.
Não leva em conta as regras/sanções regionais: mantenha os «perfis geo».
Registro de soluções fraco, normalize as justificativas e armazenamento dos artefatos.

17) Modelo de estrutura de política AML (para seu wiki)

1. Introdução e alcance

2. Definições e termos (AML/CFT, CDD/EDD, SOF/SOW, PEP etc.)

3. Marcos regulatórios e links de leis locais

4. Gerenciamento e funções (Board, MLRO, RACI)

5. Metodologia RBA e risco-apetite

6. KYC/KYB e screening de sanções

7. Monitoramento de transações (rulas + ML) e gerenciamento de mala

8. Bandeiras vermelhas e cenários iGaming

9. Procedimentos SAR/TR e interação com reguladores/LEIA

10. Armazenamento de dados, privacidade, segurança

11. Formação de pessoal e conscientização

12. Vendedores e terceiros (SLA, auditoria)

13. Auditoria, QA e melhoria contínua

14. Aplicativos: folhas de cheque, formulários, modelos de cartas, métricas

18) Exemplo de matriz de risco (fatia)

FatorBaixoMédiaAlta
GeoJurisdição de baixo riscoPerfil mistoAlto risco/sanção
ProdutoF2P/limites baixosCasino/apostas com limites médiosR2P/cripto/limites elevados
ClienteRendimentos estáveis, sem PEPInconsistências, arquivo finoPEP/Adverse Media/anomalias
TransaçõesAlinhadosSpike, fragmentaçãoCiclos rápidos cash-out, terceiros

Resultado: baixo/médio/alto risco de medida CDD/EDD + SOF/SOW/restrições/saída.

19) Plano de implementação e manutenção

Definir proprietários de processos e SLA.
Mapa de integração (PSP, KYC, sanções, analista).
Iniciar com um conjunto básico de regras + controle FP/FN.
Calibragem trimestral de cenários, revisão anual da política.
Currículos e supervisão de desempenho.
Relatórios regulares do Board/gestão (KPI, incidentes, mudanças de risco).

Resultado

Uma política AML eficaz não é um documento na prateleira, mas um ciclo vivo: avaliação de risco → controle → monitoramento → investigação → relatórios → melhorias. Construa um processo em torno da RBA, garanta um forte KYC/KYB e um circuito de sanções, implemente um monitoramento qualitativo das transações com a mala e mantenha a disciplina de armazenamento, treinamento e auditoria - reduzindo os riscos regulatórios e de reputação, mantendo a conversão e a sustentabilidade dos negócios.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.