GH GambleHub

Matriz de Risco da Complacência

1) Destino e abrangência

O objetivo é normalizar a avaliação e gerenciamento de riscos de compliance no iGaming, reduzir a possibilidade de multas/revogação de licenças e garantir operações sustentáveis.
Abrangência: AML/CFT, KYC/KYB, sanções/RER, pagamentos e bónus-abuse, Sorriso Gaming (RG), proteção de dados/PII, publicidade/marketing, associados/afiliados/provedores, relatórios regulatórios.

2) Escalas e base 5 x 5-matriz

Probabilidade (L, 1-5):
  • 1 - muito raramente (≤1/god) _ 2 - raramente (trimestre) _ 3 - periodicamente (mês) - muitas vezes (semana) = 5 - muito frequentemente (dias)
Influência (I, 1-5):
  • Finanças: 1: <€5k _ 2: €5-25k = 3: €25-100k = 4: €100-500k = 5:> €500k
  • Regulação: 1: não há ação\2: Consulta: 3: Ordem de 4: alto risco de multa: 5: alto risco de suspensão/revogação
  • Transacções/reputação: 1: Mínimo _ 5: negatividade em massa/desvio

Pontuação final: R = L x I (1-25)

Zonas e liminares:
  • 1-5 Verde - aceitável, monitorização.
  • 6-10 Amarelo - plano de redução e proprietário.
  • 11-15 Laranja - CAPA acelerada, controle todas as semanas.
  • 16-25 Vermelho - escalada imediata, incidente de bridge, notificações, se necessário.

SLA escalações (exemplo): Amarelo - 24 h, laranja - 4 h, vermelho - 15 min.

3) Categorias de risco de complacência (cenários)

1. AML/CFT: Smurfing, mistura de fundos, «mulas», estruturing, lavagem através de bónus/kesh-outs.
2. Sanções/RER: contornar restrições jurisdicionais, falsas coincidências, listas atrasadas.
3. KYC/KYB: Sintéticos, falsificação de documentos, usuários proxy, parceiros falsos.
4. Frode de pagamento/bónus abuse: charjbecks, multiacaunting, aparelhos de fazenda, CPA-frod afiliados.
5. RG (jogo responsável): violações de limites, desencadeadores não funcionais de atividade de jogo prejudicial.
6. Protecção de dados/PII: vazamentos, processamento indevido, violação dos direitos das entidades, transferências.
7. Publicidade/Marketing: meta de público proibido, promoções desleais, não conformidade com as regras locais.
8. Vendedores/outdoors: falhas de fornecedores KYC, parceiros de hospedagem, PSP; cadeia de subprocessadores.
9. Relatórios regulatórios: atrasos, relatórios incompletos, concordância de dados.

4) Matriz de risco de complacência - modelo de representação

CategoriaCenárioLIRÁreaKRI/KPILimiarProprietárioAçõesSLA
Sanções/RERCrescimento do hit-rate e FPR após atualizar listas3412Orange. Hit-rate %, FPR %> 3% hit-rate ou FPR> 12%Head of ComplianceProvedor secundário, amostra manual high-value, configuração de regras4 h
KYCSalto de falha liveness4312Orange. KYC fail %, TATfail%> 15% do diaKYC LeadCalibrar liminares, provedor falback, malas manuais4 h
AMLConclusões anormais (um mapa/muito ack.)3515Orange. SAR/STR rate, Velocity> X conclusões/mapa/diaAML LeadCongelamento, EDD, TR, limites1 h
PagamentosChargeback-rate por região4416Krasn. CBR %, NFD %>1. 2%Payments/FRMEndurecimento 3DS/AVS, hold, esquemas off-board15 min
RGExcesso de limites de autocontrole3412Orange.% de violações, TTR> + 50% para a base de dadosRG OfficerContato do jogador, limite de tempo/bloco, relatório4 h
DadosIncidente PII (confirmado)2510Gelt ./Orange. #PII records, MTTR> 1000 entradasDPODissuasões, notificações, CAPA24 h/4 h
PublicidadeQueixa do regulador sobre a promoção248Gelatina. Queixas/100k exibições> bases x 2Marketing/LegalLevantamento de criatividade, ajustes, relatório24 h

Se forem afetadas categorias de dados que requerem uma notificação de 72 horas - escalação imediata (vermelha).

5) Métricas (KRI/KPI) e liminares de referência

AML/Sanções/PEP:
  • Hit-rate sanções/RER para 1k registros; liminares:> 1. 5% (amarelo),> 3% (laranja/vermelho no contexto)
  • FPR sanções/RER; liminares:> 8% (amarelo),> 12% (laranja)
  • SAR/TR para 10k ativos; Time-to-Review (TTR) alerta
KYC/KYB:
  • KYC fail %, Liveness dropout %, avg TAT; liminares: fail%> 12% (amarelo),> 15% (laranja)
  • KYB: Porcentagem de parceiros sem beneficiários/raias relevantes; liminares:> 3% (amarelo),> 5% (laranja)
Pagamentos/frod:
  • Chargeback Rate (CBR); liminares:> 0. 8% (amarelo),> 1. 2% (vermelho)
  • Net Fraud Loss % от GGR; limiar:> 0. 9% (laranja)
RG:
  • Proporção de expressões; queixas/mil jogadores; TTR por triggers RG
Dados/PII:
  • Vulnerabilidades críticas no backlog; MTTD/MTTR incidente; consultas de sujeitos de dados no SLA
Publicidade/marketing:
  • Queixas/100k exibições; A proporção de criativos rejeitados pela moderação; violações geo/idade
Vendedores/relatórios:
  • Provedores de complacência SLA; atrasos de relatórios regulatórios; discrepâncias relatório-dados DWH

6) Cartão de controle e sua eficiência

Preventivo: sanção/RER screening (onboarding + antes dos pagamentos), 2FA/WebAuthn, limites, device-fingerprinting, geo-restrições, política de publicidade por idade/geo, DPIA para novas fichas.
Detetive: reais-time regras antifrod, provedor de sanções duplicado, correlações SIEM/SOAR, desencadeadores RG, auditoria de logs de acesso PII.
Correções: EDD/EDD +, hold/limites, congelamento de conclusões, desligamento temporário da promoção, notificações a reguladores/bancos, CAPA.

Avaliação de desempenho:
  • Coverage% (abrangência de cenários), FPR/FNR, Precision/Recall para regras/modelos, TTR/MTTR, proporção de incidentes que ultrapassaram os limites das zonas.

7) Risco-apetite e liminares de aceitação

Risk Appetite Statement: Aceitemos o risco agregado na área amarela se houver planos de redução; laranja/vermelho - apenas com controles temporários compensatórios e plano de saída de ≤30 dias.
Decision Gates: conclusões de high-rollers> X sem EDD - não permitidas; parceiros opacos - pare; publicidade sem garantia age - pare.

8) Escaladas e comunicações (playbook)

Triggers: R≥16; Incidente PII; mala de sanção high-value; CBR> liminares; Clusters de risco RG.
Canal: Incidente de bridge (Compliance + Security + Payments + Legal + PR + Ops).
Passos: 1) contenção 2) confirmação de escala 3) notificações obrigatórias (jurisdição) 4) plano CAPA 5) pós-mortem às 72 h.

RACI:
  • Resolvível: proprietário da categoria (AML/KYC/RG/Private/Ads/Payments)
  • Accountable: Head of Compliance
  • Consulted: Legal, DPO, Security, SRE, Finance
  • Informed: C-level, Apoio/VIP, parceiros/PSP (por necessidade)

9) Registro de risco - estrutura de gravação

A Categoria de ID É um Cenário de Causa/Vulnerabilidade. Os Controladores Atuais/Planejados. O Proprietário (Bisn/Técnico). \ Status/SARA: Data de revisão

Exemplo:
ID: AML-012Categoria: SançõesCenário: correspondência do PEP em VIP antes do cachê
L/I: 3 x 4 = 12 (laranja)Limite: hit-rate> 3% do dia → escalação
Controladores: segundo provedor, verificação manual, hold T + 1
CAPA: configurar fuzzy-matching, treinar um grupo de verificação manualPrazo: 14 dias

10) Exemplos de domínio (mini-playbook 'e)

A. AML/Sanções

A condição é o crescimento anormal da TR e dos êxitos de sanção.
Ações: ativar o provedor secundário; refinar as listas; reduzir a sensibilidade para baixo risco/aumentar para high-risk; EDD por clusters.

B. KYC/KYB

Condição: liveness-fail> 15%.
Ações: mudar para fallback; fluxo manual para VIP; verificação de SDK/câmera; Limites de tempo.

Pagamentos/bônus-abuse

Condição CBR> 1. 2% ou saliência multi-account.
Ações: reforçar velocity/assinaturas; 3DS obrigatório; limites de bónus; uma auditoria pós-Campein dos afiliados.

D. RG

Condição: desencadeadores de atividade prejudicial em um cluster de jogadores.
Ações: contato/conselho, restrição de depósitos, bloqueio temporário, documentação de ações.

E. Dados/PII

A condição é uma fuga não confirmada.
Ações containment (chaves/acessibilidade), forense, DPIA, notificações (se necessário), pós-mortem obrigatório.

F. Publicidade

A condição é queixar-se de menores de idade.
Ações: off instantâneo, auditoria de origem/destino, atualização de políticas, informação do regulador, se necessário.

11) Vendedores e terceiro circuito

Antes de doe diligence, sanções/RER, SOC2/ISO27001, DPIA/DTIA, DPA/SCCs.
Em operação: monitoramento de SLA, incidentes, subprocessadores, geo de localização de dados.
Offboarding: levantamento de acessos, remoção/retorno de dados, ato de fechamento.

12) Incorporação a processos

FAB/Mudança-controle: As alterações nas regras de antifrode/complacência passam pelo FAB, com a avaliação do impacto no KRI/FPR/FNR.
CI/CD: testes de conformidade (policy-as-código) em pipas; Regras «assassinas» - apenas através de feições-bandeiras.
Relatórios: downshot diário KRIs; comitê de risco semanal; Retrô mensal com atualização da matriz.

13) Folha de cheque de maturidade da matriz

  • Escalas L/I aprovadas e documentadas
  • Categorias e cenários cobrem 95% dos incidentes do ano passado
  • KRIs automatizados (dashboards, alertas, SLA reações)
  • Há um segundo provedor de sanções/CUS e um plano de mudança
  • O RACI está claro, atualizado a folha de contato e os modelos de comunicação
  • Rastreador CAPA em um único sistema e fecha dentro do prazo
  • Revisão trimestral de risk appetite e liminares

14) Mapa de tráfego de implementação (exemplo)

Semanas 1-2, inventário de risco, alinhamento de escalas, matriz rascunhada, atribuição de proprietários.
Semanas 3-4: KRIs automação, integração de alertas, RACI/Escalonamento, modelos de relatórios.
Mês 2: conexão de provedores secundários, playbooks SOAR, treinamento de comandos.
Mês 3 +, testes de stress, auditoria de desempenho, correção de liminares e políticas.

TL; DR

Unificado 5 x 5-matriz + medíveis KRIs e liminares claros → escaladas previsíveis e soluções rápidas. Resultado: menos multas e incidentes, maior resistência e conformidade em todas as jurisdições.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.