O segmento de apostas esportivas (bets) está passando por um processo de regulamentação no Brasil e, como parte desse movimento, a Secretaria de Prêmios e Apostas do Ministério da Fazenda (SPA/MF) publicou a Portaria SPA/MF nº 722/2024 de 2/5/2024 com novas orientações para a verificação de identidade dos apostadores.
O que é a Portaria SPA/MF nº 722/2024?
A Portaria SPA/MF nº 722/2024 é um documento que estabelece os requisitos técnicos e de segurança que deverão ser observados pelos futuros operadores do segmento de apostas esportivas no Brasil em seus sistemas e plataformas, visando dar mais segurança aos cidadãos brasileiros que realizam apostas.
Trata-se de um documento abrangente, cuja versão completa está acessível através deste link. Neste post, vamos apresentar um resumo dos principais aspectos da portaria, focando especialmente na verificação de identidade dos apostadores.
Pontos de destaque da portaria
Centrais de dados devem estar localizadas no Brasil
Os agentes operadores deverão manter o sistema de apostas e os respectivos dados em centrais de dados localizados em território brasileiro.
Excepcionalmente, ficou estabelecida a possibilidade de que os sistemas e dados possam estar fora do país, mas sob a observância de critérios específicos, como: deverão estar em países que possuam Acordo de Cooperação Jurídica Internacional com o Brasil, em matéria civil e penal conjuntamente, e desde que observadas as determinações da Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018.
Além disso, o agente operador deverá, a qualquer tempo, conceder pleno acesso aos sistemas de apostas para as unidades e agentes de fiscalização da Secretaria de Prêmios e Apostas do Ministério da Fazenda.
Identidade deve ser verificada antes da ativação da conta
As informações do apostador devem ser coletadas e verificadas pelo operador antes da efetivação do cadastro e, nessa etapa do cadastramento da conta, devem ser atendidos, no mínimo, os seguintes requisitos:
- apenas apostadores maiores de dezoito anos podem se registrar; qualquer pessoa que informar uma data de nascimento que indique que é menor de idade terá a solicitação de registro da conta negada;
- qualquer pessoa que indique uma informação diferente de seus documentos oficiais deverá ter seu registro de conta negado;
- a verificação de identidade deve incluir a validade do CPF e o reconhecimento facial e ser realizada antes que um apostador tenha uma conta cadastrada;
- a verificação de que o apostador não está em nenhuma lista de exclusão ou proibido de estabelecer ou manter uma conta for realizada;
- o apostador tiver concordado com as políticas de privacidade e os termos e condições para realização de apostas;
- o apostador estiver ciente da vedação do acesso de terceiros à sua conta;
- o apostador tiver autorizado o monitoramento e o registro de seus dados pelo agente operador e pela SPA/MF;
- o cadastro da conta do apostador estiver completo;
- um apostador só poderá ter uma única conta ativa por vez no sistema de apostas de cada marca com autorização de operação; e
- o sistema deve permitir a atualização de senhas ou outras credenciais de autenticação, de informações de registro e de contas bancárias utilizadas para transações financeiras de cada apostador, condicionada ao reconhecimento facial.
Acesso ao sistema de apostas deve ser autenticado
O sistema de apostas deve autenticar a entrada de qualquer apostador cadastrado no sistema por meio de usuário e senha ou por meio de biometria. Caso o sistema não reconheça o nome de usuário e/ou senha quando inseridos, uma mensagem explicativa deverá ser exibida ao apostador, solicitando a este que insira novamente as informações.
Nos casos em que o apostador esqueça seu nome de usuário e/ou senha, o sistema deverá oferecer um processo de autenticação multifatorial para a recuperação ou redefinição do usuário e/ou senha, sendo um dos fatores o reconhecimento facial.
Caso alguma atividade suspeita seja detectada, como por exemplo múltiplas tentativas malsucedidas de acesso, o sistema de apostas deverá bloquear a respectiva conta. Nesse caso, para que a conta seja desbloqueada, deverá ser realizado um processo de autenticação multifatorial, sendo também um dos fatores o reconhecimento facial.
30 minutos de inatividade também exige autenticação
O sistema de apostas deverá exigir um novo processo de autenticação do apostador após um período de 30 minutos de inatividade em um dispositivo, não sendo permitida a realização de nenhuma aposta ou transação financeira até que o apostador seja autenticado novamente.
O sistema de apostas poderá oferecer, como forma de uma nova autenticação no mesmo dispositivo, acesso por biometria, que deverá ser testado pela entidade certificadora habilitada pela SPA/MF.
A portaria ainda estipula que o sistema de apostas deverá exigir do apostador uma autenticação multifatorial ao menos uma vez a cada sete dias; ou no primeiro acesso após um período de inatividade superior a sete dias.
Operadores precisam contar com método de geolocalização
O sistema de apostas deverá detectar o uso de programas que possuam a capacidade de contornar a detecção da localização do apostador, como software de área de trabalho remota, rootkits, virtualização e quaisquer outros programas, e bloquear a tentativa de fraude dos dados de localização antes da conclusão de cada aposta.
Por exemplo: o sistema de apostas deverá monitorar e prevenir apostas realizadas por uma única conta de apostador a partir de locais geograficamente incompatíveis, como a identificação de locais nos quais foram feitas as apostas que seriam impossíveis de serem efetuadas deslocando-se em um curto intervalo de tempo.
Para isso, cada apostador deverá passar por uma checagem de localização prévia à realização da primeira aposta após acesso ao sistema de apostas em um dispositivo. As checagens subsequentes neste dispositivo devem ocorrer a cada 30 minutos.
Como ajudamos: conheça o Caf Bet ID
Somos especialistas na regulamentação das apostas esportivas e compreendemos as necessidades e desafios do mercado brasileiro como ninguém.
Confie na Caf para estar em compliance com a legislação e contar com uma plataforma de verificação de identidade capaz de atender às principais demandas do seu negócio: atrair clientes rapidamente, combater fraudes e impulsionar suas receitas.
Aqui, você encontra tudo o que precisa para uma experiência completa, divertida e segura em seu site de apostas.
- Compliance: processo de verificação de identidade alinhado com os requisitos legais.
- Experiência do usuário: equilíbrio entre segurança e praticidade para não prejudicar a diversão.
- Prevenção à fraude: detecção de atividades suspeitas para proteger seu negócio e os apostadores legítimos.
Clique neste link para acessar nosso solution brief que traz um resumo da solução Caf Bet ID. Ou, se preferir clique aqui para solicitar o contato de um de nossos especialistas e ter acesso a uma demonstração prática do produto.