No mercado regulado de apostas brasileiro, dado cadastral deixou de ser fricção de onboarding e virou controle de risco regulatório. Em 2025, o COAF (Conselho de Controle de Atividades Financeiras) recebeu 27,6 mil comunicações de operações suspeitas ligadas a apostas, contra 928 em 2024 — um salto que confirma o setor como vetor relevante de lavagem. Para o operador de bets, isso significa que KYC, PLD-FT e qualificação de dados deixaram de ser caixa a marcar: tornaram-se a infraestrutura que separa licença de descredenciamento.

O mercado regulado em 2026: dimensão e tensão

Ministério da Fazenda, Receita Federal e TCU, 2026

O Brasil consolidou em 2024 e 2025 um dos maiores mercados regulados de apostas de quota fixa do mundo, sob a Lei nº 14.790/2023 e a supervisão da Secretaria de Prêmios e Apostas (SPA), vinculada ao Ministério da Fazenda. O primeiro balanço oficial da Fazenda apontou receita bruta de jogo (GGR) de R$ 36,9 bilhões em 2025 no mercado regulado, com 25,2 milhões de CPFs cadastrados em plataformas licenciadas (fonte: Ministério da Fazenda / iGaming Brazil, 2026, igamingbrazil.com).

Para operar legalmente, 84 empresas pagaram a outorga de R$ 30 milhões por cinco anos, e em junho de 2026 a SPA listava em torno de 187 plataformas autorizadas no domínio obrigatório .bet.br (fonte: Lance / SPA, 2026, lance.com.br). A arrecadação tributária acompanhou: a Receita Federal informou que as bets licenciadas recolheram R$ 3,4 bilhões em impostos no primeiro trimestre de 2026, alta de 123,7% sobre o mesmo período de 2025 (fonte: Receita Federal / O Pantaneiro, 2026, opantaneiro.com.br).

Esse mercado convive com uma sombra grande. O Tribunal de Contas da União (TCU) estimou que entre 41% e 51% do volume total de apostas ainda corre por canais ilegais, o equivalente a até R$ 40 bilhões anuais fora do controle estatal (fonte: TCU / iGaming Business, 2026, igamingbusiness.com). É contra esse pano de fundo — mercado lícito robusto, mercado ilícito comparável — que o regime de dados e prevenção à lavagem foi desenhado.

O mercado ilegal de apostas gera entre 41% e 51% do volume total e corresponde a até R$ 40 bilhões anuais sem controle pelo governo (TCU, relatório apresentado pelo ministro Jorge Oliveira, 2026).

A Lei 14.790 e o arcabouço da SPA

O que é a Lei 14.790/2023. É a lei que regulamentou as apostas de quota fixa no Brasil, exigindo que operadores tenham sede no país, paguem outorga, comprovem origem dos recursos e operem sob autorização da SPA/Ministério da Fazenda.

A lei delegou à SPA o detalhamento operacional, materializado em um conjunto de portarias que formam o esqueleto de compliance do setor. Três peças concentram o regime de dados e prevenção:

  1. Portaria SPA/MF nº 615/2024 — define meios de pagamento transparentes (Pix, TED, cartão de débito) e veda depósitos por terceiros, ancorando cada movimentação a uma conta de titularidade do próprio apostador.
  2. Portaria SPA/MF nº 1.143/2024 — estabelece as políticas, procedimentos e controles internos de PLD-FT (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo), incluindo matriz de risco, avaliação interna anual, guarda de registros por no mínimo cinco anos e designação de responsável por integridade e compliance.
  3. Instrução Normativa MF/SPA nº 4/2024 — complementa requisitos técnicos de identificação e monitoramento.

A Portaria 1.143/2024 é explícita ao exigir que o operador adote procedimentos de identificação capazes de verificar e validar a identidade dos apostadores no momento do cadastro, qualificando-os pela coleta, verificação e validação de informações compatíveis com seu perfil de risco (fonte: SPA/MF / Mattos Filho, 2024, mattosfilho.com.br). Em termos práticos, a norma transformou a qualificação de dado cadastral em obrigação de meio fiscalizável — e não em mera promessa de boas intenções.

KYC e prova de identidade: o que a norma exige

O que é KYC. Conheça Seu Cliente (Know Your Customer) é o conjunto de procedimentos que identifica, verifica e qualifica o cliente no cadastro e ao longo do relacionamento, sustentando a prevenção à fraude e à lavagem.

No regime brasileiro de apostas, o KYC tem componentes não negociáveis. A regulamentação exige biometria facial com prova de vida (liveness), verificação documental em tempo real e checagem de CPF, com bloqueio de menores de 18 anos, contas falsas e perfis sob sanção (fonte: ControlF5 / SPA, 2026, controlf5.com.br). A vinculação de conta bancária de titularidade própria — origem e destino de todo recurso — fecha o circuito: o apostador precisa cadastrar conta em seu nome, e a casa fica proibida de aceitar depósito de qualquer outra conta (fonte: Lance, 2026, lance.com.br).

O onboarding, contudo, é só o primeiro nó. A norma exige qualificação contínua compatível com o perfil de risco, o que envolve quatro camadas de dado que vão além da foto e do documento:

Camada de dadoObjetivo regulatórioFonte típica
Identidade (biometria + documento + CPF)Confirmar quem é o apostador e barrar menor/laranjaBiometria facial, documentoscopia, base CPF
Listas restritivas (PEP e sanções)Tratar risco agravado de PEP e bloquear sancionadosListas PEP, listas de sanções nacionais e internacionais
Vínculo financeiroGarantir titularidade da conta e rastreabilidadeDados bancários, Pix/TED, cartão de débito
Comportamento e contextoDetectar atipicidade e perfis de fraudeInteligência de dispositivo, alertas de laranja, histórico transacional

As operadoras já recorrem a listas PEP, inteligência de dispositivo, documentoscopia e alerta de perfis laranjas como instrumentos correntes de prevenção à fraude (fonte: ControlF5, 2026, controlf5.com.br). É aqui que a qualidade da base cadastral institucional determina a diferença entre um KYC que aprova fraude e um KYC que a barra sem atritar o cliente legítimo.

PLD-FT, autocertificação e origem dos recursos

O que é autocertificação. É a declaração do próprio apostador sobre fatos relevantes ao seu risco — como condição de PEP e origem dos recursos — que o operador deve coletar, registrar e, crucialmente, confrontar com dados independentes.

A autocertificação resolve a coleta da informação, não a sua veracidade. Um apostador que declara não ser PEP, ou que afirma renda incompatível com o volume apostado, só vira sinal de risco quando a declaração é cruzada com bases externas confiáveis. A Portaria 1.143/2024 obriga a casa a qualificar o apostador de forma compatível com o perfil de risco — o que pressupõe capacidade de validar a autocertificação contra dado cadastral institucional, e não apenas arquivá-la.

O elo com o COAF é direto. Pela Portaria 1.143/2024, operadores devem manter procedimentos internos para detectar e comunicar atividade suspeita ao COAF via sistema Siscoaf, e enviar à SPA, até 1º de fevereiro de cada ano, relatório anual de boas práticas (fonte: SPA/MF / Demarest, 2024, demarest.com.br). Falhar nessa detecção não é omissão sem consequência: é exposição direta a sanção da SPA e a responsabilização por PLD-FT.

O COAF e o setor como vetor de lavagem

O salto das comunicações de operações suspeitas ao COAF

2024 — comunicações suspe…9282025 — comunicações suspe…27,6 mil2025 — RIFs gerados~18 mil
COAF / iGaming Brazil, 2026

O número que reorganiza a discussão é o salto das comunicações. Em 2025, o COAF registrou 27,6 mil comunicações de operações suspeitas envolvendo empresas de apostas e loterias, ante 928 em 2024. Desse total, cerca de 18 mil geraram RIFs (Relatórios de Inteligência Financeira) encaminhados a autoridades nacionais e internacionais (fonte: COAF / iGaming Brazil, 2026, igamingbrazil.com).

O que é RIF. Relatório de Inteligência Financeira é o documento produzido pelo COAF a partir de comunicações de operações suspeitas, encaminhado a autoridades de persecução para investigação de lavagem e crimes correlatos.

A avaliação do próprio COAF é dupla: reconhece avanço do mercado regulado na prevenção, mas alerta que a lavagem ainda prospera por causa da alta taxa de plataformas ilegais, em torno de 40% do setor (fonte: COAF / BNLData, 2026, bnldata.com.br). O TCU reforçou o diagnóstico ao apontar ausência de protocolos formais de compartilhamento de informações entre Anatel, Banco Central, COAF e Receita Federal, recomendando estrutura integrada de fiscalização (fonte: TCU / iGaming Business, 2026, igamingbusiness.com).

A leitura operacional é clara: o regulador não está medindo intenção, está medindo deteção. O operador que comunica pouco em um setor sob escrutínio chama atenção tanto quanto o que comunica em excesso sem critério. A calibragem dessa detecção depende, mais uma vez, da qualidade do dado que alimenta os modelos de monitoramento.

Onde o dado cadastral institucional entra

As três frentes em que o dado cadastral institucional sustenta o compliance

  1. 1
    Validação de identidade

    Confrontar o CPF da biometria com base cadastral institucional reduz falso positivo no cliente legítimo e falso negativo no laranja.

  2. 2
    Triagem de PEP e sanções em escala

    Com 25,2 milhões de CPFs cadastrados, verificar pessoa exposta politicamente e listas restritivas precisa ser automatizado, atualizado e auditável.

  3. 3
    Enriquecimento do monitoramento

    Cruzar comportamento transacional com contexto cadastral melhora a detecção de atipicidade que origina a comunicação ao COAF.

Portaria SPA/MF 1.143/2024; Datahub

O gargalo do compliance de bets não é a ausência de norma — é a operacionalização da norma sobre dados confiáveis. Três frentes concentram a dependência de dado cadastral de qualidade:

  1. Validação de identidade além da biometria. Liveness barra deepfake, mas não confirma que o CPF apresentado corresponde a uma pessoa real, ativa e sem indícios de uso fraudulento. A confrontação com base cadastral institucional reduz o falso positivo que atrita o cliente legítimo e o falso negativo que aprova o laranja.
  2. Triagem de PEP e sanções em escala. Com 25,2 milhões de CPFs cadastrados, a verificação de PEP e listas restritivas precisa ser automatizada, atualizada e auditável — não uma planilha consultada manualmente.
  3. Enriquecimento para o monitoramento transacional. A detecção de atipicidade que origina a comunicação ao COAF melhora quando o modelo cruza comportamento transacional com contexto cadastral (vínculos societários, indícios de incompatibilidade de renda, sinais de rede).

É nesse ponto que provedores de dado cadastral institucional como a Datahub se posicionam por complementaridade. O valor não está em substituir a biometria ou o motor antifraude do operador, e sim em qualificar e enriquecer a base que alimenta KYC, triagem de PEP e monitoramento PLD-FT — com cada atributo amarrado a fonte rastreável, requisito que a guarda de registros por cinco anos da Portaria 1.143/2024 torna obrigatório. Bureaus tradicionais como Serasa, Boa Vista/Equifax, Quod e SPC cumprem papéis correlatos no ecossistema; a complementaridade está na profundidade e na auditabilidade do dado cadastral institucional aplicado a um setor de risco agravado.

LGPD e governança do dado sensível

Todo esse aparato convive com a LGPD (Lei Geral de Proteção de Dados) e com a fiscalização da ANPD (Autoridade Nacional de Proteção de Dados). O Banco Central, ao intensificar em 2026 o monitoramento de transações ligadas a apostas ilegais, fez questão de registrar que as marcações permanecem sob sigilo, em conformidade com a LGPD (fonte: Banco Central / Tribuna do Sertão, 2026, tribunadosertao.com.br).

Para o operador, isso impõe um equilíbrio: o tratamento de dado para KYC e PLD-FT encontra base legal sólida no cumprimento de obrigação regulatória e na prevenção à fraude, mas exige minimização, finalidade definida e segurança proporcional ao risco. O dado cadastral usado em compliance é dado sensível por contexto — e a governança sobre ele é parte do próprio compliance, não um anexo dele.

O que o operador faz com isso

A consolidação regulatória de 2026 desloca a pergunta. Não se trata mais de "como cumprir o cadastro mínimo", e sim de "como transformar dado cadastral em vantagem de risco". Operadores que tratam KYC e PLD-FT como custo tendem a apresentar comunicação ao COAF reativa e base cadastral pobre — exatamente o perfil que a fiscalização integrada recomendada pelo TCU passará a expor. Operadores que tratam dado como ativo qualificam melhor, comunicam com critério e reduzem tanto o atrito do cliente legítimo quanto a exposição a sanção.

Com a Copa do Mundo de 2026 projetando 1,51 milhão de novos cadastros e R$ 22,6 bilhões em movimentação no torneio (fonte: Sportytrader, 2026, sportytrader.com), o volume de onboarding e de monitoramento dará um salto. A infraestrutura de dados que sustenta KYC, autocertificação validada e PLD-FT é o que determina se esse salto é crescimento auditável ou passivo regulatório acumulado.

Perguntas frequentes

O KYC com biometria facial é obrigatório para bets no Brasil?

Sim. A regulamentação da SPA/Ministério da Fazenda exige identificação com biometria facial e prova de vida (liveness), verificação documental em tempo real e checagem de CPF no cadastro, bloqueando menores de 18 anos, contas falsas e perfis sob sanção. A qualificação deve ser compatível com o perfil de risco e continuar ao longo do relacionamento, não apenas no onboarding.

Por que o COAF aponta as bets como vetor de lavagem?

Porque o volume de sinais explodiu. Em 2025, o COAF registrou 27,6 mil comunicações de operações suspeitas ligadas a apostas e loterias, contra 928 em 2024, das quais cerca de 18 mil geraram Relatórios de Inteligência Financeira (RIFs). O COAF reconhece avanço do mercado regulado, mas alerta que a lavagem persiste pela alta proporção de plataformas ilegais, estimada em torno de 40% do setor.

O que é autocertificação e por que validá-la?

Autocertificação é a declaração do próprio apostador sobre fatos relevantes ao risco, como condição de pessoa exposta politicamente (PEP) e origem dos recursos. Ela resolve a coleta, não a veracidade. A Portaria SPA/MF 1.143/2024 exige qualificação compatível com o perfil de risco, o que pressupõe confrontar a declaração com dado cadastral institucional independente, e não apenas arquivá-la.

Quais normas regem PLD-FT e dados em apostas?

A base é a Lei 14.790/2023, detalhada por portarias da SPA: a 615/2024 define meios de pagamento transparentes e veda depósito por terceiros; a 1.143/2024 estabelece políticas de PLD-FT, matriz de risco, avaliação anual, guarda de registros por cinco anos, responsável por compliance e comunicação ao COAF via Siscoaf; a Instrução Normativa MF/SPA 4/2024 complementa requisitos técnicos.

Qual o papel do dado cadastral institucional no compliance de bets?

O dado cadastral qualifica três frentes: validação de identidade além da biometria, triagem de PEP e sanções em escala, e enriquecimento do monitoramento transacional que origina comunicações ao COAF. Provedores como a Datahub se posicionam por complementaridade, qualificando e enriquecendo a base que alimenta KYC e PLD-FT, com cada atributo amarrado a fonte rastreável — exigência da guarda de registros por cinco anos.

Como a LGPD afeta o tratamento de dados pelas bets?

O tratamento de dado para KYC e PLD-FT tem base legal no cumprimento de obrigação regulatória e na prevenção à fraude, mas exige minimização, finalidade definida e segurança proporcional ao risco, sob fiscalização da ANPD. O Banco Central, ao monitorar transações de apostas ilegais em 2026, registrou que as marcações permanecem sob sigilo em conformidade com a LGPD. Governança sobre o dado é parte do próprio compliance.

Leia também no DataHub

Fontes

  1. COAF registra 27,6 mil operações suspeitas de bets em 2025 — iGaming Brazil (2026)
  2. TCU identifica que mais de 40% do mercado de bets é ilegal — iGaming Business (2026)
  3. Coaf destaca avanços na prevenção à lavagem de dinheiro no mercado de apostas — BNLData (2026)
  4. PLD/FT iGaming 2026: Guia de Prevenção à Lavagem de Dinheiro — ControlF5 (2026)
  5. SPA/MF publica novas regras para apostas de quota fixa no Brasil — Demarest (2024)
  6. AML/FTP rules for fixed-odds betting (Portaria 1143/2024) — Mattos Filho (2024)
  7. Bets autorizadas no Brasil: lista oficial (junho/2026) — Lance (2026)
  8. Banco Central intensifica monitoramento de apostas ilegais — Tribuna do Sertão (2026)
  9. Apostas no Brasil 2026: arrecadação bilionária — O Pantaneiro (2026)
  10. Copa do Mundo de 2026: análise do mercado brasileiro de apostas — Sportytrader (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos