Compliance para iGaming no Brasil: como validar apostadores com CPF e listas de sanções

· FonteData · 10 min de leitura
compliance igamingigaming brasilvalidar apostadoreskyc apostaslistas de sançõespep apostasbet complianceregulamentação apostas

O mercado de apostas esportivas no Brasil movimentou mais de R$ 100 bilhões em 2024 — e com isso veio uma das regulamentações mais rigorosas da América Latina. Operadores licenciados agora precisam validar a identidade de cada apostador, verificar idade, consultar listas de sanções nacionais e internacionais, e monitorar exposição política. Quem não faz isso arrisca multas milionárias, suspensão da licença e até responsabilização criminal.

Este guia explica, passo a passo, como funciona o compliance para iGaming no Brasil — desde o marco regulatório até a implementação técnica via API.

O que é compliance para iGaming

Compliance para iGaming é o conjunto de processos que uma operadora de apostas deve seguir para estar em conformidade com a legislação brasileira. Na prática, isso significa verificar quem está apostando, impedir que menores de idade acessem a plataforma, e garantir que a operação não seja usada para lavagem de dinheiro ou financiamento de atividades ilícitas.

As três pilares do compliance para apostas são:

  1. Conheça seu cliente (KYC) — validar identidade, idade e dados cadastrais
  2. Prevenção à lavagem de dinheiro (AML) — monitorar transações e vínculos suspeitos
  3. Triagem de sanções — consultar listas de pessoas e entidades sancionadas

Sem esses processos, a operadora fica exposta a riscos regulatórios, financeiros e reputacionais.

O marco regulatório: Lei 14.790/2023 e as Portarias da SPA

A Lei 14.790, sancionada em dezembro de 2023, é o marco legal que regulamenta as apostas de quota fixa no Brasil. Ela substituiu a MP 1.182/2023 e criou as regras para licenciamento, operação e fiscalização de plataformas de apostas esportivas e jogos online.

A Secretaria de Prêmios e Apostas (SPA), vinculada ao Ministério da Fazenda, é o órgão responsável por regulamentar e fiscalizar o setor. As principais portarias que impactam compliance são:

  • Portaria SPA/MF nº 827/2024 — define os requisitos de KYC obrigatório: verificação de identidade, validação de CPF, conferência de idade mínima (18 anos) e triagem contra listas de sanções
  • Portaria SPA/MF nº 1.143/2024 — estabelece regras de jogo responsável, incluindo limites de depósito, autoexclusão e monitoramento de comportamento de risco

Obrigações dos operadores licenciados

A regulamentação exige que operadores de iGaming:

  • Verifiquem a identidade real de cada apostador antes de permitir depósitos ou apostas
  • Confirmem que o apostador tem 18 anos ou mais
  • Realizem triagem contra listas de sanções nacionais e internacionais
  • Identifiquem Pessoas Politicamente Expostas (PEP) e apliquem due diligence reforçada
  • Monitorem transações para prevenção à lavagem de dinheiro
  • Mantenham registros de compliance por no mínimo 5 anos para auditoria

Penalidades

O descumprimento pode resultar em:

  • Multas de até R$ 2 bilhões (ou 10% do faturamento bruto)
  • Suspensão ou cassação da licença de operação
  • Responsabilização criminal dos dirigentes
  • Bloqueio da plataforma em território nacional

Cronograma da regulamentação iGaming no Brasil

Como validar apostadores: as 5 camadas de um KYC completo

Um processo de KYC robusto para iGaming não se resume a pedir CPF e nome. A regulamentação brasileira exige múltiplas camadas de verificação, cada uma com profundidade crescente:

  1. Identidade — validar o CPF junto à Receita Federal, confirmar nome completo e situação cadastral (regular, suspensa, cancelada, falecida)
  2. Verificação de idade — confirmar via data de nascimento que o apostador tem 18 anos ou mais (obrigatório pela Lei 14.790)
  3. Listas de sanções — consultar CEIS, CNEP, OFAC, ONU, EU e UK para identificar pessoas ou entidades sancionadas
  4. PEP e improbidade — verificar se o apostador é Pessoa Politicamente Exposta ou está no Cadastro Nacional de Improbidade Administrativa
  5. AML e vínculos — mapear vínculos com pessoas ou entidades envolvidas em lavagem de dinheiro

Camadas de KYC para iGaming

As duas primeiras camadas são bloqueantes: se a identidade não é válida ou o apostador é menor de 18 anos, o cadastro deve ser rejeitado imediatamente. As camadas 3 a 5 podem gerar alertas que exigem revisão manual — o apostador não é necessariamente bloqueado, mas sua conta fica em análise até que o time de compliance tome uma decisão.

Listas de sanções: o que são e por que importam no iGaming

Listas de sanções são bases de dados mantidas por governos e organizações internacionais que identificam pessoas e entidades envolvidas em terrorismo, narcotráfico, corrupção e outras atividades ilícitas. Operadores de iGaming são obrigados a consultar essas listas antes de aceitar um apostador — e periodicamente depois disso.

Lista Emissor Cobertura Endpoint FonteData Custo
CEIS CGU (Brasil) Empresas e pessoas sancionadas pelo poder público /ceis-sancoes/{doc} R$ 0,54
CNEP CGU (Brasil) Empresas punidas em licitações e contratos /cnep-sancoes/{doc} R$ 0,54
OFAC/SDN Tesouro dos EUA Terrorismo, narcotráfico, sanções internacionais /ofac-sancoes R$ 0,54
ONU Conselho de Segurança Sanções internacionais por resoluções /onu-sancoes R$ 0,54
EU União Europeia Sanções europeias consolidadas /eu-sancoes R$ 1,95
UK HM Treasury Sanções britânicas /uk-sancoes R$ 1,95

Por que consultar listas internacionais? Mesmo operando exclusivamente no Brasil, plataformas de iGaming podem receber apostadores com vínculos internacionais. A OFAC, por exemplo, sanciona indivíduos brasileiros envolvidos em narcotráfico — e aceitar apostas dessas pessoas expõe o operador a sanções secundárias dos EUA.

PEP e improbidade administrativa: riscos específicos para apostas

Uma Pessoa Politicamente Exposta (PEP) é qualquer indivíduo que ocupa ou ocupou recentemente cargo público relevante — ministros, governadores, diretores de estatais, magistrados, entre outros. A verificação PEP é obrigatória porque essas pessoas têm maior exposição a corrupção e podem usar plataformas de apostas para lavar recursos ilícitos.

A verificação PEP tem dois níveis:

  • PEP direta — verifica se o próprio apostador é PEP (/pep-exposicao/{cpf})
  • PEP estendida — verifica se o apostador tem vínculos familiares ou societários com PEP (/pep-estendida/{cpf})

Além disso, o Cadastro Nacional de Improbidade Administrativa (CNIA) lista pessoas condenadas por atos de improbidade — desvio de verbas, enriquecimento ilícito e lesão ao erário. Aceitar apostas de pessoas listadas no CNIA sem due diligence reforçada é um risco regulatório direto.

Listas consultadas no compliance iGaming

Implementando compliance via API: arquitetura prática

Na prática, o fluxo de compliance de uma plataforma de iGaming funciona assim: o apostador informa o CPF no cadastro, o sistema consulta automaticamente todas as camadas de verificação e toma uma decisão (aprovar, revisar ou bloquear) antes de liberar o acesso.

Fluxo de compliance para iGaming

A FonteData oferece endpoints específicos para cada etapa desse fluxo — e um endpoint consolidado que executa todas as verificações de compliance em uma única chamada.

O endpoint bet-safe-compliance

O endpoint /consulta/bet-safe-compliance/{cpf} foi criado especificamente para o setor de apostas. Em uma única requisição (custo de R$ 1,08), ele retorna uma verificação de compliance consolidada para o CPF informado.

Para detalhes sobre os campos retornados e exemplos de resposta, consulte a documentação completa.

Consultas granulares: quando usar cada endpoint

Para operadores que precisam de controle granular — por exemplo, aplicar lógica de decisão diferente para sanções nacionais vs. internacionais — cada verificação também está disponível individualmente:

Endpoint Descrição Caso de uso no iGaming Custo
bet-safe-compliance/{cpf} Compliance integrado Check completo no cadastro R$ 1,08
pep-exposicao/{cpf} PEP direta Identificar apostadores PEP R$ 0,54
pep-estendida/{cpf} PEP + família/vínculos Due diligence ampliada R$ 0,54
aml-vinculos/{documento} Vínculos AML Prevenção à lavagem R$ 1,08
cnia-improbidade/{documento} Improbidade administrativa Condenações por corrupção R$ 0,54
ceis-sancoes/{documento} CEIS (CGU) Sanções nacionais R$ 0,54
cnep-sancoes/{documento} CNEP (CGU) Sanções licitatórias R$ 0,54
ofac-sancoes OFAC/SDN (EUA) Sanções internacionais R$ 0,54
onu-sancoes ONU Sanções internacionais R$ 0,54
eu-sancoes União Europeia Sanções europeias R$ 1,95
uk-sancoes Reino Unido Sanções britânicas R$ 1,95

Exemplo de integração

Uma única chamada cURL é suficiente para executar o compliance completo de um apostador:

curl -H "X-API-Key: fd_live_sua_chave_aqui" \
  "https://app.fontedata.com/api/v1/consulta/bet-safe-compliance/12345678900"

A resposta retorna o resultado da verificação de compliance em JSON. Para ver a estrutura completa da resposta e os campos disponíveis, consulte a documentação da API.

Monitoramento contínuo vs. verificação no cadastro

Um erro comum entre operadores de iGaming é tratar compliance como um evento único — verificar o apostador no cadastro e nunca mais. O problema: sanções e status PEP mudam ao longo do tempo. Uma pessoa que estava limpa no cadastro pode entrar em uma lista da OFAC três meses depois.

A regulamentação brasileira exige monitoramento contínuo. Na prática, isso significa re-executar as verificações periodicamente (a cada 30, 60 ou 90 dias) e quando houver gatilhos específicos, como depósitos acima de determinado valor.

Monitoramento contínuo vs. verificação no cadastro

Quanto custa o monitoramento por apostador?

Cenário Endpoints Custo por apostador
Check no cadastro (único) bet-safe-compliance R$ 1,08
Check completo granular 6 sanções + PEP + AML + CNIA ~R$ 8,76
Monitoramento mensal (12 meses) bet-safe-compliance × 12 R$ 12,96/ano

Para uma base de 100 mil apostadores, o monitoramento mensal via bet-safe-compliance custa aproximadamente R$ 108 mil/ano — uma fração do risco de uma multa milionária.

Checklist de compliance para operadores de iGaming

Use esta lista para verificar se sua operação cobre os requisitos regulatórios:

No cadastro do apostador:

  • Validar CPF junto à Receita Federal (situação cadastral regular)
  • Confirmar que o apostador tem 18 anos ou mais
  • Consultar listas de sanções nacionais (CEIS, CNEP)
  • Consultar listas de sanções internacionais (OFAC, ONU, EU, UK)
  • Verificar PEP direta e estendida
  • Verificar improbidade administrativa (CNIA)
  • Verificar vínculos AML

Monitoramento contínuo:

  • Re-screening periódico (mínimo a cada 90 dias)
  • Re-verificação em eventos de risco (depósitos altos, saques atípicos)
  • Suspensão automática de contas quando novo match é encontrado

Auditoria e registros:

  • Armazenar resultados de compliance por no mínimo 5 anos
  • Manter logs de decisões (aprovar/revisar/bloquear) com timestamp
  • Documentar processos de revisão manual

Proteção de dados:

  • Coletar apenas dados necessários para compliance (princípio da minimização — LGPD)
  • Garantir que dados de verificação são armazenados com criptografia
  • Definir política de retenção e exclusão de dados

Conclusão

O compliance para iGaming no Brasil não é opcional — é uma exigência regulatória com penalidades severas. A boa notícia é que a parte técnica pode ser resolvida com uma integração simples: uma chamada de API por apostador, retornando todas as verificações necessárias em menos de um segundo.

A FonteData já oferece a infraestrutura completa para compliance de iGaming — desde a validação de CPF até a triagem em 6 listas de sanções internacionais, passando por PEP, AML e improbidade administrativa.

Crie sua conta gratuita e receba R$ 50 em créditos para testar — sem cartão de crédito, sem compromisso.

Este artigo tem caráter meramente informativo e educacional, não constituindo aconselhamento jurídico, regulatório ou parecer legal de qualquer natureza. A legislação de iGaming no Brasil está em constante evolução e as informações aqui apresentadas refletem o cenário vigente na data de publicação. Para orientação específica sobre compliance regulatório, consulte um advogado especializado em direito digital e jogos.

Referências

Experimente a API da FonteData

Consulte dados empresariais e de pessoas via API — CNPJ, CPF, KYC, compliance e mais. R$50 em créditos grátis para testar.

Criar conta grátis →
Compartilhar: LinkedIn Twitter / X

Leia também

ECA Digital: o que muda para empresas e como implementar verificação de idade via CPF

9 min de leitura

Novas Regras do Pix 2026: Validação Obrigatória de CPF e CNPJ na Receita Federal

12 min de leitura

CNPJ Alfanumérico 2026: o que muda para desenvolvedores

11 min de leitura
R$ 50 em créditos grátis Criar conta grátis

Business data APIs for due diligence, compliance, and market intelligence in Brazil.

Product

Company

Legal

Data provided by Fonte Data is obtained from official public sources of the Brazilian government and/or from third-party providers that declare they exclusively use public sources, in compliance with current legislation and LGPD (Law No. 13,709/2018). Fonte Data acts as a technology intermediary, not producing, validating, auditing, certifying, or guaranteeing the accuracy, completeness, or currency of data, which is the responsibility of the issuing authority or originating provider. Fonte Data does not audit or guarantee the compliance of third-party providers. The use of information obtained is the sole and exclusive responsibility of the user.

© 2026 SPECTRUM SERVICOS ADMINISTRATIVOS LTDA. — CNPJ 52.558.978/0001-77

DPO: dpo@fontedata.com