Compliance para apostas esportivas no Brasil: como operadores atendem às exigências da SPA e da Lei 14.790/2023
Guia operacional de compliance para apostas esportivas no Brasil: requisitos da SPA/MF sob a Lei 14.790/2023, licenciamento, KYC/AML, publicidade responsável e integração de afiliados em conformidade regulatória.
O mercado regulamentado de apostas esportivas no Brasil entrou em uma nova fase com a Lei 14.790/2023 e a criação da SPA (Secretaria de Prêmios e Apostas) vinculada ao Ministério da Fazenda. Para operadores que desejam atuar legalmente no país, compliance não é mais um diferencial — é pré-requisito. Quem não atende às exigências da SPA simplesmente não opera. E quem opera sem licença enfrenta bloqueio de domínio, congelamento de ativos e exclusão dos meios de pagamento nacionais.
Este guia detalha cada camada de compliance que operadores de apostas esportivas precisam implementar: desde o processo de licenciamento até a estruturação de programas de afiliados em conformidade com a regulamentação brasileira. Se você gerencia ou planeja lançar uma operação de apostas esportivas no Brasil, este é o roteiro operacional que sua equipe de compliance precisa seguir.
O que é a SPA e por que ela define o compliance de apostas esportivas no Brasil
A Secretaria de Prêmios e Apostas (SPA) é o órgão regulador responsável por licenciar e fiscalizar operadores de apostas esportivas e loterias no Brasil. Criada como parte da estrutura do Ministério da Fazenda, a SPA substituiu o vácuo regulatório que existia antes de 2023, quando casas de apostas offshore operavam em zona cinzenta legal. Com a Lei 14.790/2023, o Brasil estabeleceu um marco regulatório completo que define requisitos de capital mínimo, obrigações de compliance, regras de publicidade e mecanismos de proteção ao apostador.
Estrutura regulatória: Lei 14.790/2023 e portarias complementares
A Lei 14.790/2023 é a legislação-base. As portarias da SPA/MF detalham os requisitos operacionais: capital social mínimo de R$ 30 milhões, sede administrativa no Brasil, certificação de sistemas por laboratórios credenciados, integração com o Sistema de Gestão de Apostas (SIGAP) e relatórios periódicos ao regulador. Operadores que não atendem a cada item ficam fora do mercado regulamentado.
Licenciamento: etapas e prazos para operadores
O processo de licenciamento exige documentação societária completa, plano de negócios, comprovação de idoneidade dos controladores (due diligence de sócios e diretores), certificação técnica da plataforma, plano de prevenção à lavagem de dinheiro e estratégia de jogo responsável. A outorga tem validade de cinco anos, com renovação condicionada ao cumprimento contínuo das obrigações regulatórias. A taxa de outorga é de R$ 30 milhões por marca operada.
- Constituição de pessoa jurídica no Brasil com capital social mínimo de R$ 30 milhões
- Submissão do requerimento à SPA com documentação societária e técnica
- Due diligence de controladores, diretores e beneficiários finais
- Certificação da plataforma por laboratório credenciado pela SPA
- Integração com o SIGAP (Sistema de Gestão de Apostas)
- Aprovação do plano de jogo responsável e prevenção à lavagem de dinheiro
- Emissão da outorga e início da operação sob supervisão contínua
KYC e AML: compliance de apostas esportivas na prática
A verificação de identidade do apostador (KYC — Know Your Customer) e a prevenção à lavagem de dinheiro (AML — Anti-Money Laundering) são pilares do compliance para apostas esportivas no Brasil. A SPA exige que operadores implementem procedimentos robustos de identificação antes que o jogador possa depositar ou apostar, integrando-se com bases de dados nacionais como CPF (Receita Federal), biometria facial e listas restritivas.
Requisitos de KYC sob a regulamentação da SPA
- Validação de CPF junto à Receita Federal em tempo real
- Verificação de idade mínima (18 anos) com documento oficial
- Biometria facial ou selfie com documento para confirmação de identidade
- Endereço residencial comprovado (comprovante de residência recente)
- Monitoramento contínuo de contas para detecção de alteração de dados
AML e obrigações junto ao COAF
Operadores devem reportar transações suspeitas ao COAF (Conselho de Controle de Atividades Financeiras). Isso inclui depósitos únicos acima de R$ 50.000, padrões atípicos de apostas (como apostas sistemáticas em eventos de baixa liquidez), múltiplas contas vinculadas ao mesmo dispositivo ou IP, e movimentações incompatíveis com o perfil declarado do apostador. A integração com o COAF não é opcional: é obrigação legal sob a Lei 9.613/1998 e regulamentações complementares.
Importante
Operadores que não reportam transações suspeitas ao COAF estão sujeitos a multas administrativas, suspensão da licença e responsabilização criminal dos diretores. O prazo para comunicação de operações suspeitas é de 24 horas após a detecção.
Publicidade e marketing de apostas esportivas: regras da SPA
A regulamentação brasileira impõe restrições significativas à publicidade de apostas esportivas. Operadores licenciados podem anunciar, mas dentro de limites claros: proibição de publicidade direcionada a menores, obrigatoriedade de mensagens de jogo responsável em todas as peças publicitárias, vedação do uso de celebridades que sejam referência para o público jovem, e restrição de horários para veiculação em TV e rádio.
O que operadores podem e não podem fazer em publicidade
| Ação | Permitido | Proibido |
|---|---|---|
| Publicidade em TV/rádio | Horário adulto com aviso de jogo responsável | Horário infantil ou sem disclaimer |
| Uso de influenciadores | Maiores de 25 anos com disclaimer | Influenciadores mirins ou teen |
| Bônus de boas-vindas | Com termos claros e rollover explícito | Promessa de ganho garantido |
| Publicidade em estádios | Placas e naming rights com disclaimer | Distribuição de material a menores |
| Marketing de afiliados | Afiliados cadastrados com conteúdo B2B | Afiliados sem identificação ou promessas irreais |
| Redes sociais | Posts com disclaimer obrigatório | Targeting a menores de 18 anos |
Compliance de afiliados: como operadores garantem conformidade dos parceiros
Programas de afiliados devem seguir as mesmas regras de publicidade que o operador. Isso significa que cada afiliado precisa ser cadastrado, monitorado e responsabilizado pelo conteúdo que publica. Uma plataforma de gestão de afiliados com auditoria de criativos, aprovação prévia de materiais e rastreamento de fontes de tráfego é indispensável para operadores que querem manter a licença da SPA.
Jogo responsável: obrigações do operador junto à SPA
A SPA exige que operadores implementem ferramentas de jogo responsável acessíveis ao apostador: limites de depósito diário, semanal e mensal configuráveis pelo próprio jogador; autoexclusão temporária (mínimo 6 meses) ou permanente; período de reflexão obrigatório antes de reativação de conta; e acesso a informações sobre apoio psicológico e canais de atendimento.
- Limites de depósito configuráveis pelo jogador (diário, semanal, mensal)
- Ferramenta de autoexclusão com prazo mínimo de 6 meses
- Sessão de jogo com temporizador e alertas de tempo de uso
- Relatório de atividade disponível para o jogador a qualquer momento
- Link visível para serviços de apoio como CVV (188) e canais especializados
- Treinamento obrigatório da equipe de atendimento em jogo responsável
Tributação e compliance fiscal de apostas esportivas
Operadores licenciados enfrentam uma carga tributária específica: GGR Tax (imposto sobre receita bruta de jogo) de 12% sobre o GGR, contribuição social, e obrigação de recolhimento de IRRF (Imposto de Renda Retido na Fonte) sobre prêmios pagos a apostadores acima do limite de isenção. Além disso, comissões pagas a afiliados devem ser tratadas como despesa operacional dedutível, mas exigem documentação fiscal adequada — nota fiscal de serviço ou recibo de autônomo, dependendo da natureza jurídica do afiliado.
Tratamento fiscal de comissões de afiliados
Comissões pagas a afiliados pessoa jurídica exigem nota fiscal de serviço (CNPJ ativo). Para afiliados pessoa física, o operador deve reter IRRF conforme tabela progressiva e emitir informe de rendimentos. Uma plataforma de gestão de comissões que gera relatórios compatíveis com a Receita Federal reduz o risco de autuações fiscais e simplifica a reconciliação financeira.
LGPD e proteção de dados no compliance de apostas esportivas
A LGPD (Lei Geral de Proteção de Dados) aplica-se integralmente a operadores de apostas esportivas. Dados pessoais dos apostadores — CPF, endereço, dados bancários, histórico de apostas — devem ser tratados com base legal explícita (execução de contrato ou consentimento), armazenados com criptografia, e acessíveis apenas por pessoal autorizado. O compartilhamento de dados com afiliados para fins de rastreamento deve respeitar o princípio da minimização: o afiliado precisa receber apenas o estritamente necessário para atribuição de conversão, nunca dados pessoais do apostador.
Operadores devem nomear um DPO (Data Protection Officer / Encarregado de Dados), manter registro de atividades de tratamento, conduzir DPIA (Data Protection Impact Assessment) para operações de alto risco, e estar preparados para responder a solicitações de titulares (acesso, retificação, exclusão) dentro dos prazos legais. A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração.
Estruturando o programa de afiliados em compliance com a SPA
O programa de afiliados de uma casa de apostas regulamentada no Brasil precisa operar dentro dos limites definidos pela SPA. Cada afiliado deve ser identificado, cadastrado e monitorado. O operador é corresponsável pelo conteúdo publicado por seus parceiros — se um afiliado promete "apostas sem risco" ou direciona publicidade a menores, o operador pode perder a licença.
Requisitos mínimos para programas de afiliados regulamentados
- Cadastro completo do afiliado com documentação (CPF/CNPJ, endereço, canais de divulgação)
- Contrato que vincula o afiliado às regras de publicidade da SPA
- Aprovação prévia de todo material publicitário antes da veiculação
- Monitoramento contínuo de fontes de tráfego e conteúdo publicado
- Mecanismo de suspensão imediata de afiliados que violem as regras
- Relatórios de compliance exportáveis para auditorias da SPA
Rastreamento e atribuição em conformidade regulatória
O rastreamento de conversões via postback S2S (server-to-server) é o padrão recomendado para operadores regulamentados. Diferente de cookies de terceiros (que dependem do navegador e estão sendo descontinuados), o S2S garante atribuição precisa sem expor dados pessoais do apostador ao afiliado. Isso atende simultaneamente às exigências de compliance da SPA (rastreabilidade de fontes de tráfego) e da LGPD (minimização de dados compartilhados com terceiros).
Dica
Configure seu programa de afiliados com aprovação prévia obrigatória de criativos e integração S2S desde o dia zero. Retroajustar compliance em um programa já em operação é significativamente mais custoso do que implementar corretamente desde o início.
Ferramentas de compliance: o que operadores precisam na stack tecnológica
Para atender às exigências da SPA e operar com segurança jurídica, operadores precisam de uma stack tecnológica de compliance que integre múltiplas camadas: KYC automatizado com verificação de CPF e biometria, monitoramento de transações para AML, auditoria de criativos de afiliados, rastreamento S2S para atribuição sem exposição de dados pessoais, e relatórios regulatórios exportáveis em formato compatível com o SIGAP.
Uma plataforma como o Track360 centraliza a gestão de afiliados com detecção de fraude integrada, relatórios em tempo real, controle granular de permissões por afiliado e exportação de dados para auditorias regulatórias. Operadores que dependem de planilhas ou sistemas fragmentados enfrentam risco elevado de não-conformidade em auditorias da SPA.
Penalidades por não-conformidade: o que operadores arriscam
A SPA tem poder para aplicar sanções administrativas que vão de advertência formal até cassação da licença. Operadores que violem regras de publicidade, falhem em reportar transações suspeitas ao COAF, ou não implementem ferramentas de jogo responsável enfrentam multas proporcionais ao faturamento, suspensão temporária da operação e, em casos graves, revogação definitiva da outorga. Além das sanções administrativas, há responsabilidade civil e criminal dos diretores em caso de facilitação de lavagem de dinheiro ou operação sem licença.
| Infração | Sanção possível | Consequência operacional |
|---|---|---|
| Publicidade irregular | Multa + suspensão de campanha | Perda de canal de aquisição |
| Falha em KYC/AML | Multa + suspensão da licença | Bloqueio de novas contas |
| Não-reporte ao COAF | Multa + responsabilização criminal | Risco pessoal para diretores |
| Operação sem licença | Bloqueio de domínio + congelamento de ativos | Encerramento da operação |
| Violação de jogo responsável | Multa + advertência formal | Dano reputacional |
| Violação da LGPD | Multa de até 2% faturamento (teto R$ 50M) | Sanção ANPD + dano à marca |
Roteiro de implementação: compliance de apostas esportivas em 90 dias
Para operadores que já possuem a outorga ou estão em processo de obtenção, o compliance operacional pode ser estruturado em fases. O objetivo é ter todos os sistemas funcionando e auditáveis antes do início das operações — ou, para operadores já ativos, regularizar lacunas antes da próxima auditoria da SPA.
- Semanas 1-2: Auditoria de gap — mapear o estado atual de compliance vs requisitos da SPA
- Semanas 3-4: Implementar KYC automatizado com verificação de CPF, biometria e lista restritiva
- Semanas 5-6: Configurar monitoramento de transações AML e integração com COAF
- Semanas 7-8: Estruturar programa de afiliados com cadastro, contrato e aprovação de criativos
- Semanas 9-10: Implementar ferramentas de jogo responsável (limites, autoexclusão, alertas)
- Semanas 11-12: Teste de integração com SIGAP, treinamento da equipe e simulação de auditoria
Compare as ferramentas disponíveis no mercado e avalie como o Track360 se posiciona frente a concorrentes em funcionalidades de compliance, rastreamento e gestão de afiliados para o mercado regulamentado brasileiro.
Perguntas Frequentes
Compliance para apostas esportivas no Brasil não é um projeto pontual — é uma operação contínua que exige ferramentas dedicadas, equipe treinada e processos auditáveis. Operadores que investem em compliance desde o dia zero reduzem o risco de penalidades, protegem a licença e constroem uma base sólida para escalar o programa de afiliados dentro do marco regulatório da SPA.
Agendar demo
Explore how Track360 fits your partner program structure.
Related Terms
Affiliate Program
A structured partnership where a business rewards external partners (affiliates) for driving traffic, leads, or conversions through tracked referral activity.
Fraud Detection
The systematic identification of suspicious activity in affiliate, IB, and partner programs across clicks, conversions, identity verification, and ongoing user behavior.
KYC (Know Your Customer)
A regulatory compliance process requiring businesses to verify the identity of their customers before or during the onboarding process, used across iGaming, Forex, and financial services.
Revenue Share
A commission model where affiliates receive a recurring percentage of the net revenue generated by referred users for the lifetime of those users or for a defined period.
Related Operator Guides
In-depth articles on closely related topics. Build a deeper understanding of the operational mechanics behind affiliate programs in this vertical.
Apostas esportivas e Lei 14.790: guia completo para operadores estruturarem programas de afiliados no Brasil regulado
Apostas esportivas sob a Lei 14.790/2023: como operadores licenciados pela SPA/MF estruturam programas de afiliados com CPA, RevShare sobre GGR, rastreamento S2S e conformidade regulatória no mercado brasileiro.
Read article →Tributação de Apostas Pessoa Física no Brasil: Guia Lei 14.790/2023
Lei 14.790/2023 estabelece 15% de IRRF retido na fonte pelo operador para prêmios acima de R$ 2.112, mais declaração anual do apostador. Conheça as regras de tributação para apostadores e afiliados Bets no Brasil.
Read article →Afiliados de Apostas Esportivas no Brasil: Guia Completo para Operadores Licenciados
Como estruturar um programa de afiliados de apostas esportivas no Brasil sob a Lei 14.790/2023. Modelos de comissão CPA, RevShare e híbrido, requisitos regulatórios da SPA/MF, LGPD, e como uma plataforma de gestão de afiliados ajuda operadores licenciados a escalar com controle.
Read article →Bônus de boas-vindas em apostas esportivas: como operadores licenciados desenham ofertas que convertem e retêm apostadores no Brasil
Bônus de boas-vindas em apostas esportivas: framework operacional para operadores licenciados pela SPA/MF desenharem ofertas com rollover justo, segmentação por canal de afiliado e compliance com a Lei 14.790/2023.
Read article →Regulamentação de apostas esportivas no Brasil: guia operacional da Lei 14.790/2023 para operadores e gestores de afiliados
Regulamentação de apostas esportivas no Brasil: como a Lei 14.790/2023 impacta operadores licenciados, programas de afiliados, compliance da SPA/MF e modelos de comissão sob o novo marco legal.
Read article →Apostas esportivas programa de afiliados: como estruturar, lançar e escalar para operadores brasileiros
Guia B2B para operadores de apostas esportivas no Brasil: como estruturar um programa de afiliados sob a Lei 14.790/2023, modelos de comissão CPA/RevShare/Hybrid, rastreamento S2S, prevenção de fraude e compliance SPA/LGPD.
Read article →