Operações e Complaens → Screening de sanções e filtragem PEP

Screening de sanções e filtragem PEP

1) Alvo e área

Reduzir os riscos legais/financeiros e assegurar que as licenças sejam compatíveis com o descumprimento de pessoas/organizações sancionadas, identificar PEP e pessoas associadas, considerar as mídias negativas e tomar medidas proporcionais. Aplica-se a jogadores (KYC), parceiros (KYB), provedores e funcionários com acesso a PDN/finanças.

2) Termos e abrangência

Sanções: proibições/restrições à interação com pessoas/organizações/tribunais/tribunais.
PEP (Politically Exposed Person): funcionários públicos e seus colaboradores mais próximos (RCA).
Adverse media: publicações substancialmente negativas (crimes finais, corrupção etc.).
Match: Correspondência de entrada de perfil com item de lista (exato/provável).
RCA (Relates & Close Associates): cônjuge, filhos, parceiros de negócios, etc.

3) Princípios

1. Risk-Based Approach (RBA): profundidade e frequência dependem do perfil de risco (país, método de pagamento, valores, papel).
2. Explainable Matching: As regras de comparação são transparentes; a justificativa da decisão é armazenada.
3. Evidence-by-Design: Cada «entrada/não» é acompanhada de artefatos.
4. Privaciy-first: mínimo de PDN, acessibilidade rigorosa, retoma legal.
5. Contínuo Screening: eventos → recriação imediata; periodicamente, verificações de batch.
6. One Nature of Truth: um único registro de resultados de screening e soluções (auditoria trail).

4) Fontes e atualizações

Listas de sanções e de controle: globais/regionais/nacionais; indústrias/territoriais; listas de transportadores/navios (se necessário).
PEP/RCA: Em vários níveis (nacionais/regionais/internacionais).
Adverse media: fontes agregadas com categorização de risco.
Atualizações diárias/semanais; guarde a versão do guia e o tempo de download.

5) Política de screening (esqueleto)

Quando verificamos, inscrever-se, antes do primeiro depósito/saída, alterar os adereços de pagamento, atingir liminares de circulação, mudar de perfil/endereço/documento, atualizar as listas.
Os jogadores (KYC), os parceiros/provedores (KYB), os funcionários com disponibilidade (HR/KC).
O que fazemos com as coincidências: triagem → confirmação/exclusão/escalação → medidas: falha/hold/EDD/encerramento.

yaml policy_id: SANC-PEP-POL-001 scope: players, partners, employees triggers:
- on_event: signup, pre_deposit, pre_payout, kyc_update, payout_destination_change
- on_list_update: sanctions    pep    adverse_media risk_bands:
low: [EU_ trusted methods]
high: [high_risk_geo, multiple_payment_methods, turnover>threshold]
actions_by_match:
sanctions_confirmed: block_all & report & freeze_payouts pep_confirmed: edd & enhanced_monitoring adverse_media_high: manual_review & edd review_sla_days: 180 owner: head_of_compliance

6) Algoritmos de mapeamento (matching)

Comparação exata FIO + DR./documento/país.
Mapeamento de fuzzy: toquenização, normalização, translitoração/alíase, distâncias de linha; fonética (por exemplo, Soundex/Metaphone-similares).
Pesos contextuais: data de nascimento> cidadania> endereço> alias> país.
Redução de falsas coincidências: «must-have» campos, liminares de semelhança por tipo de nome, ignorar palavras frequentes.
Sensibilidade por geo: para high-risk geo - abaixo do limite na screen fuzzy.
Lista branca com vencimento: exceções temporárias (whitelist) com motivo e prazo.

7) Desencadeadores de ressecrining

Atualizar a versão das listas.
Eventos de perfil: alterar FIO/endereço/documento, novo método de saída.
Liminares/circulação, aumento de limites, status VIP.
Sinais AML/Risk: velocity, inadequação de fonte-to-fonte, device/IP anomalias.

8) Integração e dados

KYC/KYB: provedores IDV/docs/registos; UBO/Diretor junto a parceiros.
Payments: bloco pré-payout e alinhamento hold/reversão.
Case Management: cartões de jogo, status e registro de decisões.
DWH/BI: vitrines por hit-rate/precisão/à deriva da qualidade.

9) Controls-as-Code (fatias)

yaml control_id: SANC-PEP-SIGNUP scope: player_profile trigger:
expr: event in {signup, pre_deposit, pre_payout}
actions:
- screen: sanctions    pep    adverse_media
- block: payout if match_score>=0. 85 until triage_done evidence:
fields: [list_version, query_payload, top_matches]
owner: compliance_ops

yaml control_id: SANC-PEP-RESCREEN scope: population trigger:
expr: sanctions_list. version_changed==true OR pep_list. version_changed==true actions:
- enqueue: rescreen_batch(population_segments=[high_risk, active_payouts])
- notify: compliance_channel

yaml control_id: PEP-MONITOR-01 scope: players trigger:
expr: pep_status==confirmed actions:
- require: edd & source_of_funds
- monitor: payouts frequency>=weekly
- set: limits=pep_limits_schema

yaml control_id: ADV-MEDIA-HI scope: players    partners trigger:
expr: adverse_media. severity in {high, severe}
actions:
- flag: manual_review
- limit: payouts "hold_24h"
- collect: additional_evidence

10) SOP (fatias)

SOP: triagem de correspondência de sanções/RER

1. Verificar o contexto: FIO/DR./cidadania/alias/documento.
2. Comparar fontes (ID de gravação, data de atualização, status legal).
3. Solução: 'confirmed/falso _ positivo/inconclusive'.
4. Para 'confermed': aplicar medidas (block/EDD/relatório), registrar justificativa.
5. Para 'indonclusive': solicitar mais dados (documento/confirmação de endereço).
6. Fechar a mala, atualizar whitelist/blacklist (se aplicável), anexar evidence.

SOP: Reescriting quando as listas são atualizadas

1. Arranca automaticamente o batch, segmentos: pagamentos ativos, high-risk.
2. Relatório de novos jogos, SLA de distribuição de malas.
3. Contas relacionadas indiretamente (RCA) - em uma fila separada.

SOP: Comunicação com o jogador/parceiro

1. Termos neutros, sem a divulgação de critérios internos.
2. Data e lista dos documentos solicitados (se necessário EDD).
3. A fixação das comunicações na mala, lembretes e deadline.

11) Privacidade, segurança, auditoria

RBAC/ABAC: Acesso a detalhes de jogos e documentos - somente em Compliance/MLRO.
Retenschn: armazenar resultados e evidence por prazos jurisdicionais; Limpeza automática.
Criptografia: in transit/at rest; chaves no HSM/Vault.
Auditoria: registro de leitura/decisão, versões de regras/liminares, resultados de autopeças.

12) Dashboards e métricas

Screening Overview: quantidade de verificações, hit-rate por segmento, fatia de fuzzy.
Quality: Precision/Recall de malas confirmadas, Falso Positivo Rate, Time-to-Triage (P50/P95).
Latency: hora de resposta dos provedores, fila de recrining.
Draft: mudança de distribuição de nomes/geo, aumento da proporção de correspondências inseguras.
Compliance: Cumprimento de SLA de relatórios e escalas.

• Precision de sanções ≥ 95%, PEP ≥ 90%.
• Time-to-Triage (P95) ≤ 24 h (sanções), ≤ 48 h (PEP/adverse).
• Falso Positivo Rate ↓ QoQ sem perda de recall.
• O screening SLA quando as listas são atualizadas ≥ 98% dentro do prazo.
• Evidence Completeness ≥ 98%.

13) Folhas de cheque

• As fontes das listas estão conectadas e as versões são logadas.
• Política RBA aprovada, liminares de fuzzy acordados.
• O processo triage e os papéis (Compliance/MLRO) foram atribuídos.
• Integração: KYC/KYB/Payments/Case-tool.
• Dashboards e alertas estão implantados.

• Os campos-chave (FIO/DR/cidadania/alias) foram comparados.
• As fontes e a data de gravação foram verificadas.
• A decisão e as medidas foram registradas; notificações enviadas.
• Evidence está anexado, whitelist/blacklist atualizado (se necessário).

• Os eixos de regras/liminares passaram.
• Auditoria trimestral de soluções (semilocalização).
• Monitoramento Draft normal; liminares revistos.

14) Anti-pattern

«Um limiar para todos» sem considerar a geo e a qualidade dos dados.
Não há registro da versão das listas nem da base da solução.
Permanente permant whitelist sem vencimento ou causa.
Duas versões da verdade: soluções Excel e logs individuais em venda.
Atrasos de pagamento indevidos sem ETA e comunicações.
Redescoberto desativado nas atualizações de lista.

15) 30/60/90 - plano

• Aprovar políticas SANS-PEP, liminares matching, papéis e SLA.
• Conectar provedores de lista; loging de 'lista _ versão'.
• Activar três controles básicos: 'SIGNUP', 'PRÉ _ PAYOUT', 'RESCREEN'.
• Inverter a mala de gerenciamento, dashboards e armazenamento de evidence.

• Adicionar mídia RCA/Advers, segmentos de high-risk e VIP.
• Otimizar fuzzy (translitorações/alias), reduzir FPR ≥ 20%.
• Automatizar o recrining para eventos e atualizações de lista.
• Incluir a qualidade de semente e auditorias trimestrais.

• Atingir as metas KPI Precision/Recall e Time-to-Triage.
• Integrar com AML (EDD/SoF) e payout-gates (fonte-to-nature).
• Incluir KPI em comandos OKR, fazer uma auditoria externa/interna.

16) FAQ

Como distinguir um homem do mesmo de uma verdadeira coincidência?
A: Use os campos de confirmação (DR/documento/cidadania), contexto de geo e alias; para os fronteiriços - triagem manual com limite de confiança.

Q: É preciso capturar os afiliados e o seu UBO?
A: Sim. KYB é obrigatório: UBO/diretor + sanções/RER + mídia negativa; Quando o UBO for alterado, a re-fé e o reescrining.

O que fazer com a sanção confirmada?
A: Bloco imediato, pagamento freeze, notificações aos reguladores/bancos sobre os requisitos de jurisdição, preservação do pacote completo de evidence.

Q: Porquê adverse media se há sanções?
A: Muitas vezes é um sinal de risco antecipado (antes das sanções). Use o EDD/Monitoramento e restrições preventivas.