POLÍTICA DE PREVENÇÃO DA LAVAGEM DE DINHEIRO, DO COMBATE AO FINANCIAMENTO DO TERRORISMO E DA PROLIFERAÇÃO DE ARMAS DE DESTRUIÇÃO EM MASSA

INFORMAÇÕES GERAIS

---

POLÍTICA DE PREVENÇÃO DA LAVAGEM DE DINHEIRO, DO COMBATE AO FINANCIAMENTO DO TERRORISMO E DA PROLIFERAÇÃO DE ARMAS DE DESTRUIÇÃO EM MASSA

1. Introdução

Esta Política de Prevenção à Lavagem de Dinheiro ("Política") orienta as ações da Boa Lion S.A. ("Agente Operador"). Para fins deste documento, quaisquer referências aos termos "nós", "nos", "nosso" ou a verbos conjugados na primeira pessoa do plural devem ser compreendidas como referências ao Agente Operador, assim como à utilização de seus canais eletrônicos, produtos e serviços por quaisquer pessoas que acessem e utilizem a plataforma ("Usuários"), no contexto da Prevenção e Combate à Lavagem de Dinheiro, ao Financiamento do Terrorismo, ao Financiamento da Proliferação de Armas de Destruição em Massa (PLD/FTP) e a crimes correlatos. Esta Política integra o conjunto de políticas corporativas relacionadas à gestão de riscos operacionais e regulatórios.

A atividade de apostas on-line apresenta risco inerente de exposição à lavagem de dinheiro, em razão do elevado volume de transações e da ausência de interação presencial. Diante desse cenário, e em atendimento aos requisitos legais e regulatórios aplicáveis, o Agente Operador mantém esta Política em vigor com o objetivo de assegurar a adoção de medidas adequadas para prevenir sua exposição a riscos de PLD/FTP, bem como de identificar e mitigar tempestivamente eventuais ameaças, em conformidade com as obrigações normativas vigentes. O Agente Operador reafirma seu compromisso em impedir que seus produtos e serviços sejam utilizados, direta ou indiretamente, para fins de Lavagem de Dinheiro (LD), Financiamento do Terrorismo ou Financiamento da Proliferação de Armas de Destruição em Massa (FTP).

Nesta Política, usamos termos definidos iniciados com letras maiúsculas. Você pode encontrar a definição desses termos ao final do documento.

2. Escopo e interpretação

Esta Política de Prevenção à Lavagem de Dinheiro tem por objetivo estabelecer os princípios e diretrizes destinados a coibir a utilização da plataforma, dos serviços e dos produtos do Agente Operador para a prática dos crimes de lavagem ou ocultação de bens, direitos e valores, nos termos da Lei nº 9.613/1998, de financiamento do terrorismo, conforme previsto na Lei nº 13.260/2016, e de financiamento da proliferação de armas de destruição em massa, nos termos do Decreto nº 7.722/2012.

Adicionalmente, esta Política estabelece a estrutura normativa para os procedimentos subjacentes que suportam sua implementação pelo Agente Operador ("Procedimentos"). Esses Procedimentos devem assegurar que as medidas de PLD/FTP, incluindo avaliações e gerenciamento de riscos, procedimentos de identificação e verificação de clientes (Know Your Customer – KYC), controles internos e demais mecanismos de prevenção e monitoramento, estejam em estrita conformidade com a legislação e a regulamentação aplicáveis.

Esta Política e os respectivos Procedimentos são aplicáveis a todos os colaboradores, bem como a parceiros, fornecedores terceirizados, afiliados e a quaisquer outros indivíduos ou entidades que atuem em nome do Agente Operador ou mantenham relação de negócios vigente com este.

O Agente Operador compromete-se, ainda, a envidar seus melhores esforços para a adoção das diretrizes de melhores práticas emanadas pelas autoridades competentes. Na hipótese de divergência ou conflito entre leis, regulamentos, normas ou diretrizes aplicáveis, deverá ser observada a ordem de precedência legal, considerando-se, quando aplicável, a natureza vinculante ou não vinculante dos respectivos instrumentos normativos.

3. Diretrizes

(A) Registro de operações e retenção de dados

Em atendimento ao disposto no artigo 24 da Lei 14.790/23 e 32 da Portaria 1.143/24, mantemos registro de todas as operações realizadas por meio de nossa plataforma, utilizando-as, juntamente com seus controles internos, como base para monitorar, selecionar e analisar operações que gerem suspeita de Lavagem de Dinheiro, Financiamento ao Terrorismo e Proliferação de Armas de Destruição em Massa, entre outros ilícitos.

Mantemos um registro das transações realizadas por todos os meios de pagamento aceitos em nossa plataforma para realização de apostas ou aquisição de outros produtos e serviços, bem como de todos os Usuários registrados, funcionários, parceiros e os procedimentos PLD/FTP relacionados.

As informações e documentos registrados são mantidos em ambiente digital e serão armazenados pelo prazo mínimo de 5 (cinco) anos, contados da última transação realizada por qualquer um de nossos Usuários e do término do relacionamento, ficando todos à disposição da Secretaria de Prêmios e Apostas do Ministério da Fazenda e demais autoridades competentes, nos termos do artigo 32 da Portaria 1.143/24.

(B) Procedimentos de Identificação e Verificação de Clientes (Know Your Customer – KYC)

Mantemos procedimentos eficazes de conhecimento e identificação dos Usuários, que compreendem processos de verificação e confirmação de suas respectivas identidades, qualificações e classificações de risco.

Nenhuma relação comercial é iniciada com Usuários que não tenham sido previamente identificados, tampouco é permitida a manutenção de relacionamento com usuários que não tenham sido submetidos aos procedimentos de qualificação e classificação, em conformidade com os critérios estabelecidos na Avaliação Interna de Risco (AIR) do Agente Operador.

A AIR é elaborada em estrita observância ao disposto no artigo 23 da Lei nº 14.790/2023, nos artigos 13, inciso II, nos artigos 8º, inciso I, 9º, inciso II, e 15 a 20 da Portaria SPA/MF nº 1.143/2024, bem como nas demais normas aplicáveis do ordenamento jurídico brasileiro.

Identificação, Qualificação e Classificação do Usuário

A Companhia realiza a identificação, qualificação e classificação de todos os Usuários antes do início do relacionamento, em conformidade com a Lei nº 14.790/2023, a Portaria SPA/MF nº 1.231/2024, a Portaria SPA/MF nº 1.143/2024 e demais normas aplicáveis. O cadastro é pessoal, intransferível e limitado a uma única conta ativa por documento de identificação válido, sendo o Usuário integralmente responsável pela veracidade, exatidão e atualização das informações fornecidas.

Para fins de atendimento regulatório, a Companhia coleta e verifica os dados exigidos pela regulamentação vigente, utilizando ferramentas, bases de dados e tecnologias apropriadas para confirmar a autenticidade das informações prestadas, incluindo, conforme aplicável, consultas a bases de dados, processos de reconhecimento facial e validação documental. A ativação da conta ocorre somente após a conclusão satisfatória desses procedimentos, incluindo, quando aplicável, a confirmação de identidade pelos canais informados no momento do cadastro.

Concluída a etapa de identificação, a Companhia procede à qualificação dos Usuários, avaliando o perfil de risco, a compatibilidade econômico-financeira e outras informações relevantes, incluindo a eventual condição de Pessoa Politicamente Exposta (PEP), a presença do Usuário em listas de sanções ou a confirmação de enquadramento como pessoa impedida de apostar, nos termos da regulamentação aplicável.

A classificação de risco do Usuário é realizada de acordo com os critérios estabelecidos na Avaliação Interna de Risco do Agente Operador, nos termos da Portaria SPA/MF nº 1.143/2024 e dos procedimentos internos, considerando, entre outros fatores, informações cadastrais, comportamento transacional, métodos de pagamento utilizados e o risco associado aos produtos acessados.

A Companhia realiza monitoramento contínuo das atividades dos Usuários ao longo de todo o relacionamento, possibilitando a atualização dinâmica do perfil de risco sempre que forem identificados novos comportamentos, operações, métodos de pagamento ou padrões transacionais relevantes. Em linha com a abordagem baseada em risco, a Companhia poderá solicitar informações adicionais dos seus usuários, para cumprir os deveres de identificação, qualificação e classificação de clientes.

Todos os registros, análises e classificações são mantidos em sistemas internos, observando-se o potencial risco de utilização da plataforma para fins de PLD/FTP e assegurando a rastreabilidade, integridade e confidencialidade das informações.

Atualização Cadastral

Sem prejuízo do monitoramento contínuo e de eventuais solicitações adicionais de documentos ou informações, o Usuário deverá atualizar ou confirmar anualmente seus dados cadastrais, mediante a realização de reconhecimento facial, sob pena de suspensão da conta até a efetiva conclusão do referido processo.

Consentimentos específicos do usuário

Tratamento de Dados Pessoais. A Companhia obterá o consentimento do Usuário, quando exigido, nos termos da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD), bem como em conformidade com as demais legislações aplicáveis.

Termos e Condições Gerais. No momento do cadastro, a Companhia assegurará o conhecimento e a aceitação, pelo Usuário, do conteúdo dos Termos e Condições Gerais que regem a utilização da plataforma, em atendimento ao disposto na Portaria SPA/MF nº 1.330/2023 e às demais normas legais e regulamentares vigentes.

Pessoas Politicamente Expostas ("PEP") e Indivíduos Sancionados

A Companhia adota procedimentos específicos para a identificação, qualificação e monitoramento de Pessoas Politicamente Expostas (PEPs) e de indivíduos incluídos em listas internacionais de sanções, em conformidade com a Portaria SPA/MF nº 1.143/2024, a Resolução COAF nº 40 e demais regulamentações aplicáveis. As verificações são realizadas no início do relacionamento e de forma periódica, por meio da utilização de ferramentas e bases de dados especializadas, assegurando a adequada gestão dos riscos de PLD/FTP.

Pessoas Politicamente Expostas – PEP primário e secundário

Considera-se PEP qualquer indivíduo que exerça ou tenha exercido cargo, mandato ou função pública relevante (PEP primário), bem como seus parentes até o segundo grau e representantes ou pessoas de relacionamento próximo (PEP secundário), conforme definido pela Resolução COAF nº 40/21. A condição de PEP permanece por até cinco anos após o desligamento da função que lhe conferiu tal classificação.

A classificação constitui fator relevante que aumenta o risco do Usuário dentro da matriz de risco prevista na Avaliação Interna de Risco do Agente Operador.

Indivíduos Sancionados ("Sanctions")

A Companhia verifica a inclusão de Usuários em listas internacionais de sanções, incluindo, entre outras:

• OFAC (SDN List);
• União Europeia;
• Interpol;
• Conselho de Segurança das Nações Unidas (CSNU).

Usuários identificados nessas listas são considerados de alto risco, de modo que a Companhia não mantém relacionamento com qualquer indivíduo sancionado por tais autoridades.

Adicionalmente, nos casos envolvendo sanções impostas pelo CSNU, aplica-se integralmente o Item "K – Procedimentos para cumprimento das resoluções do Conselho de Segurança das Nações Unidas" desta Política.

Pessoas Impedidas de Apostar

Antes de ativar a conta do Usuário, devemos verificar se o jogador não é um indivíduo impedido de apostar, de acordo com a relação prevista em lei, inclusive no artigo 26 da Lei 14.790/23:

(i) menores de dezoito (18) anos; (ii) proprietário, administrador, diretor, pessoa com influência significativa, gerente ou Funcionário do Agente Operador; (iii) agente público com atribuições diretamente relacionadas à regulação, ao controle e à fiscalização da atividade no âmbito do ente federativo em que exerce suas competências; (iv) pessoa que tenha ou possa ter acesso aos sistemas informatizados de loteria de apostas de quota fixa; (v) pessoa que tenha ou possa ter qualquer influência no resultado de evento real de temática esportiva objeto de loteria de apostas de quota fixa, incluídos: - a. pessoa que exerça cargo de dirigente desportivo, técnico desportivo, treinador e integrante de comissão técnica; - b. árbitro de modalidade desportiva, assistente de árbitro de modalidade desportiva, ou equivalente, empresário desportivo, agente ou procurador de atletas e de técnicos, técnico ou membro de comissão técnica; - c. membro de órgão de administração ou de fiscalização de entidade de administração de organizadora de competição ou de prova desportiva; - d. atleta participante de competições organizadas pelas entidades integrantes do Sistema Nacional do Esporte; (vi) pessoa diagnosticada com ludopatia, por laudo de profissional de saúde mental habilitado; (vii) pessoa beneficiária do Programa Bolsa Família, de que trata a Lei nº 14.601, de 19 de junho de 2023, e do Benefício de Prestação Continuada, de que trata a Lei nº 8.742, de 7 de dezembro de 1993; (viii) pessoa cadastrada em sistema de autoexclusão centralizada, nos termos da Portaria SPA/MF nº 2.579/2025; e (ix) outras pessoas previstas na regulamentação do Ministério da Fazenda.

A Companhia se recusará a registrar ou conceder acesso a esses indivíduos. Caso o Usuário se torne pessoa impedida após o início do relacionamento, a conta será encerrada, considerando-se o aumento de risco e as exigências legais aplicáveis. A Companhia realiza verificações no início do cadastro e de forma contínua para assegurar que pessoas impedidas não mantenham acesso à plataforma.

Documentação de Referência

Os procedimentos detalhados relacionados a KYC estão descritos no "Manual de KYC", documento interno da Companhia.

(C) Procedimentos Destinados a Conhecer Funcionários

A Companhia adota procedimentos voltados ao conhecimento de seus Funcionários, compreendendo processos de identificação, qualificação e classificação, em conformidade com o disposto no artigo 8º, inciso II, da Portaria SPA/MF nº 1.143/2024. A contratação de Funcionários está condicionada à conclusão satisfatória dessas etapas de identificação e qualificação.

Tais procedimentos são estruturados com base no perfil de risco dos Funcionários, conforme detalhado no item (E) abaixo, e integram os mecanismos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo adotados pela Companhia.

Após o início do vínculo, os Funcionários permanecem sob acompanhamento contínuo de seus supervisores, responsáveis por identificar e reportar situações atípicas ou suspeitas, em especial aquelas relacionadas à execução inadequada de procedimentos de PLD/FTP, ao descumprimento de rotinas internas ou que possam sugerir condutas suspeitas.

Na hipótese de identificação de situação suspeita, esta deverá ser imediatamente comunicada à Área de Compliance, para que sejam adotadas as medidas cabíveis após a devida análise, incluindo, quando aplicável, o reporte ao COAF. Os Funcionários também devem reportar à Área de Compliance quaisquer situações suspeitas envolvendo colegas ou supervisores, observados os canais internos disponíveis.

Os dados cadastrais dos Funcionários são mantidos atualizados e periodicamente validados pela Companhia. As informações e documentos relativos aos Funcionários são armazenados em ambiente digital seguro e mantidos pelo prazo mínimo de 5 (cinco) anos, contado a partir do término do vínculo empregatício, em conformidade com a legislação aplicável.

(D) Procedimentos Destinados a Conhecer Fornecedores e Parceiros ("KYE/S")

Em atendimento ao disposto no artigo 13, inciso II, da Portaria 1.330/23, bem como no artigo 8º, inciso II, da Portaria 1.143/24, adotamos e mantemos procedimentos para conhecer nossos Fornecedores ("KYS") e Parceiros ("KYP"), incluindo procedimentos de identificação, qualificação e classificação.

Neste processo, nossa equipe analisa e verifica, no mínimo, os critérios estabelecidos por esta Política e manuais relacionados ao tema, monitorando, durante o relacionamento com o Fornecedor ou Parceiro, a ocorrência de situações suspeitas e comunicando imediatamente sua ocorrência à Área de Compliance.

Tais procedimentos foram desenvolvidos com base no perfil de risco do Fornecedor ou Parceiro, conforme disposto no item (E) abaixo.

Todos os dados cadastrais fornecidos pelos Fornecedores e Parceiros são mantidos atualizados e periodicamente validados pela nossa equipe. As informações e documentos relativos aos Fornecedores e Parceiros serão mantidos em ambiente digital e serão armazenados pelo prazo mínimo de 5 (cinco) anos contados do término do relacionamento.

(E) Classificação de Risco de Usuários, Funcionários, Parceiros e Fornecedores

Em atendimento às diretrizes do artigo 13, caput e inciso III, da Portaria 1.330/23, artigo 8º da Portaria 1.143/24, adotamos critérios e métricas para avaliação interna, a fim de identificar e mensurar o risco dos Usuários, Funcionários, Parceiros e Fornecedores, conforme aplicável, utilizando sua estrutura e relacionamento com nossa plataforma para a prática de Lavagem de Dinheiro, Financiamento ao Terrorismo e Proliferação de Armas de Destruição em Massa.

Para tanto, utilizamos classificações de risco que permitem a adoção de controles reforçados de gestão e mitigação para situações de maior risco e a adoção de controles simplificados para situações de menor risco:

• (i) alto;
• (ii) médio; ou
• (iii) baixo.

(F) Procedimentos de Monitoramento, Seleção e Análise de Operações e Situações Suspeitas

Nos termos do artigo 24 da Lei nº 14.790/23 e da Portaria SPA/MF nº 1.143/24, a Companhia realiza monitoramento constante e ininterrupto das movimentações financeiras, apostas e demais operações realizadas na plataforma, registrando as informações relevantes em bases de dados internas que alimentam os sistemas e procedimentos de prevenção à PLD/FTP. Esse monitoramento é conduzido de acordo com o perfil de risco do Usuário e evolui conforme o relacionamento se desenvolve, permitindo a identificação de operações atípicas ou potencialmente suspeitas. Em conformidade com o artigo 25 da Portaria nº 1.143/24, o monitoramento observa as situações de especial atenção descritas na regulamentação, que orientam a priorização e o tratamento das operações identificadas. A abordagem é dinâmica, baseada em risco e assegura a adoção de medidas proporcionais à natureza e ao nível de risco observado ao longo do relacionamento com o Usuário.

(G) Procedimentos para Relatórios ao COAF

A Companhia avalia e comunica ao COAF, nos termos da Lei nº 9.613/98, da Lei nº 14.790/23 e da Portaria SPA/MF nº 1.143/24, quaisquer transações ou situações que indiquem suspeita de Lavagem de Dinheiro, Financiamento do Terrorismo ou Proliferação de Armas de Destruição em Massa, observando, inclusive, as situações de especial atenção previstas no artigo 25 da Portaria nº 1.143/24. O processo de análise, fundamentação, registro e comunicação é realizado de forma sigilosa, sem ciência do Usuário ou de terceiros, e deve ser concluído dentro dos prazos regulamentares, com reporte ao COAF por meio do SISCOAF quando cabível. Todas as análises, conclusões e documentos que embasarem a decisão de comunicar ou arquivar permanecerão registrados pelo prazo mínimo de cinco anos, em conformidade com os requisitos legais e à disposição da autoridade supervisora. Qualquer Funcionário que identificar indícios suspeitos deve reportá-los imediatamente à Área de Compliance, responsável por avaliar o caso e adotar as providências necessárias.

Comunicações de Não Ocorrência

Conforme artigo 11, III, da Lei 9.613/98 e artigo 30 da Portaria 1.143/24, caso não tenhamos efetuado comunicações nos termos desta Política no ano anterior, em razão da ausência de indícios de suspeita relevantes, encaminharemos declaração à Secretaria de Prêmios e Apostas do Ministério da Fazenda por meio do Sistema de Gestão de Apostas (SIGAP) ou qualquer outro canal criado e informado pela Secretaria de Prêmios e Apostas do Ministério da Fazenda, atestando a não ocorrência de transações passíveis de comunicação conforme previsto nesta Política, em observância à legislação aplicável.

(H) Análise de Risco de Novos Produtos ou Serviços e Atividades Negociais

A oferta de novas verticais de produtos ou serviços, incluindo jogos ou apostas, será previamente identificada, analisada, avaliada quanto ao risco e mitigada pelo Departamento de Compliance, considerando possíveis riscos de Lavagem de Dinheiro, Financiamento ao Terrorismo e Proliferação de Armas de Destruição em Massa. Observaremos as mesmas regras e dinâmicas para o uso de novas tecnologias e recursos no âmbito da operação da nossa plataforma.

(I) Relatório de Boas Práticas e Avaliação de Efetividade

A Política e seus procedimentos serão avaliados periodicamente sob coordenação do departamento de Compliance, com o objetivo de verificar sua efetividade e conformidade regulatória. Os resultados dessa avaliação deverão ser documentados em relatório próprio, contendo a metodologia utilizada, os testes aplicados, as qualificações dos avaliadores e eventuais deficiências identificadas. Essa avaliação deve abranger, no mínimo, os procedimentos de KYC, as medidas de cultura organizacional e integridade, os processos de monitoramento e análise de operações suspeitas, a estrutura de governança e os demais controles previstos nesta Política. As deficiências eventualmente identificadas deverão ser tratadas por meio de plano de ação formal, cujo acompanhamento será registrado e submetido ao Responsável por PLD/FTP e à Diretoria Executiva.

Adicionalmente, em conformidade com o artigo 11 da Portaria SPA/MF nº 1.143/24, a Operadora deve elaborar e apresentar à Secretaria de Prêmios e Apostas do Ministério da Fazenda um Relatório Anual de Boas Práticas, contendo informações sobre os procedimentos e controles implementados no ano anterior, bem como os resultados da Avaliação Interna de Risco. Este relatório é distinto da avaliação periódica de efetividade, devendo ser apresentado até 1º de fevereiro de cada ano.

(J) Treinamento

O programa de treinamento de PLD/FTP dos Funcionários, Parceiros e Prestadores de Serviços Terceirizados, bem como demais agentes externos que necessitem contribuir para a mitigação dos riscos aqui descritos, é contínuo e aplicado a todos, em conformidade com o artigo 13, inciso IV, da Portaria 1.330/23, e artigo 7º, inciso IV, da Portaria 1.143, visando:

(i) aprofundar o conhecimento que possuem dos requisitos e responsabilidades legais, bem como das diretrizes de PLD/FT; (ii) capacitar gestores e Funcionários e agentes externos para identificar, prevenir, tratar e comunicar situações de risco ou com indícios de ocorrência de Lavagem de Dinheiro, Financiamento do Terrorismo e Proliferação de Armas de Destruição em Massa, e crimes correlatos; e (iii) disseminar a cultura e a qualificação, conforme suas respectivas funções, dos Funcionários, Parceiros e Prestadores de Serviços Terceirizados, especificamente para atendimento ao disposto na Lei nº 9.613, de 3 de março de 1998, na Lei nº 13.260, de 16 de março de 2016 e demais normas e regulamentos relativos à PLD/FTP.

Os treinamentos ocorrem anualmente e são aplicáveis a todos os colaboradores, considerando a exposição aos riscos de Lavagem de Dinheiro, Financiamento ao Terrorismo e Proliferação de Armas de Destruição em Massa, inerentes às atividades desenvolvidas.

Fornecedores e prestadores de serviços terceirizados também receberão comunicações relacionadas a PLD/FTP de acordo com o grau de risco inerente aplicável ao tipo de relacionamento com este terceiro.

(K) Procedimentos para cumprimento das resoluções do Conselho de Segurança das Nações Unidas

Cumpriremos, sem demora e sem aviso prévio aos sancionados, as resoluções do Conselho de Segurança das Nações Unidas ("CSNU") ou as designações de seus comitês de sanções que determinarem a indisponibilidade de ativos mantidos, direta ou indiretamente, por indivíduos, pessoas jurídicas ou entidades sujeitas a sanções decorrentes dessas resoluções. Isso inclui o monitoramento das listas mantidas pelo CSNU e seus comitês de sanções, bem como o cumprimento dos procedimentos de comunicação previstos na Lei nº 13.810/19, especialmente em seu artigo 10 e no parágrafo único do artigo 14.

4. Avaliação Interna de Risco ("AIR")

Nossa equipe é responsável por realizar avaliações internas de risco anualmente, a fim de identificar e mensurar o risco de utilização dos produtos e serviços que oferecemos na prática de Lavagem de Dinheiro, Financiamento do Terrorismo e Proliferação de Armas de Destruição em Massa, e crimes correlatos, com base em sua probabilidade de ocorrência e magnitude de quaisquer impactos financeiros, legais, reputacionais ou socioambientais. Os níveis de risco adotados são os seguintes: "baixo", "médio" e "alto".

Para esta avaliação, em estrita observância ao artigo 8º, incisos III, IV e V, e ao artigo 14, parágrafo 2º, da Portaria 1.143/24, são considerados, no mínimo, os seguintes perfis de risco: (i) Usuários; (ii) Agente Operador, incluindo seu modelo de negócio e área geográfica de atuação; (iii) operações, transações, produtos e serviços, abrangendo todos os canais de distribuição e utilização de novas tecnologias; (iv) atividades empresariais, contratação e desenvolvimento de produtos, operações com ativos financeiros e imobiliários; e (v) atividades desenvolvidas por Funcionários, Parceiros e Fornecedores.

Não obstante o acima exposto, a avaliação interna de risco fornecerá, no mínimo, o seguinte como base para subsidiar a avaliação das medidas de mitigação de risco e resultados correspondentes:

(i) Registros de informações relativas a atividades operacionais, comerciais e de gestão; (ii) Cadastro atualizado de Usuários da plataforma; (iii) Cadastro atualizado de funcionários, parceiros e prestadores de serviços; (iv) Verificação e monitoramento periódico da conformidade das instituições de pagamento e das instituições financeiras em relação à autorização do Banco Central do Brasil para seu funcionamento; (v) Acompanhamento, seleção e análise das operações e atividades, relacionadas ou não à exploração de apostas, para fins de comunicação ao COAF, nas hipóteses do inciso II do art. 11 da Lei 9.613/98, bem como das comunicações previstas no art. 11 e no parágrafo único do art. 12 da Lei 13.810/19; e (vi) Verificação periódica da eficácia desta Política e da adesão às regulamentações governamentais, incluindo a identificação e correção de quaisquer deficiências.

A avaliação interna de risco e sua metodologia devem ser documentadas, aprovadas pelo Diretor Responsável por PLD/FTP, encaminhadas à Diretoria Executiva e revisadas, no mínimo, anualmente ou sempre que houver alterações significativas nos perfis de risco dos Usuários, conforme aplicável, dos serviços prestados, jogos oferecidos e operações e transações realizadas, e das atividades desenvolvidas pelos Funcionários, Parceiros e Fornecedores. Além disso, essa avaliação interna de risco deve ser divulgada aos funcionários, prestadores de serviços terceirizados e Funcionários em geral, em linguagem clara e acessível, em nível de detalhamento compatível com as funções que desempenham e com a sensibilidade das informações. A AIR deverá ser enviada à Secretaria de Prêmios e Apostas até o dia 1º de fevereiro de cada ano, em conjunto com o Relatório de Boas Práticas.

5. Responsabilidades e Competências

Em conformidade com o artigo 10, III, da Lei nº 9.613/98, a Companhia mantém uma estrutura de prevenção à Lavagem de Dinheiro, Financiamento do Terrorismo e Proliferação de Armas de Destruição em Massa compatível com a natureza, complexidade e risco de suas operações. Essa estrutura é composta por equipe capacitada e continuamente atualizada, sob a liderança do Diretor Responsável por PLD/FTP, e conta com os recursos necessários para implementar os controles previstos na Portaria SPA/MF nº 1.143/24. A Companhia dispõe ainda de auditoria interna com atuação independente, que avalia periodicamente os processos e controles relacionados ao tema. As responsabilidades e competências das áreas envolvidas no cumprimento das obrigações legais e regulatórias de PLD/FTP estão definidas a seguir.

(A) Comitê de Compliance

O Comitê de Compliance é a instância consultiva e deliberativa em nível estratégico, responsável por acompanhar, avaliar e deliberar sobre temas relevantes relacionados ao Programa de Prevenção à Lavagem de Dinheiro, ao Financiamento do Terrorismo e à Proliferação de Armas de Destruição em Massa (PLD/FTP).

Compete ao Comitê de Compliance:

(i) tomar conhecimento do desenho, da evolução e dos resultados do Programa de PLD/FTP; (ii) deliberar sobre diretrizes estratégicas, recomendações e temas estruturantes relacionados a PLD/FTP; (iii) apreciar informações consolidadas, indicadores e relatórios relevantes submetidos pelas instâncias técnicas e executivas; (iv) deliberar sobre propostas de aprimoramento do Programa, quando aplicável.

(B) Comitê de PLD/FTP

O Comitê de PLD/FTP é instância técnica e deliberativa, composta por representantes da Diretoria de Operações e da Diretoria de Integridade e Compliance, com a finalidade de avaliar temas específicos de PLD/FTP e deliberar sobre encaminhamentos no âmbito do Programa.

Compete ao Comitê de PLD/FTP:

(i) apreciar e aprovar a Avaliação Interna de Riscos e o Relatório Anual de Boas Práticas, bem como planos de ação aplicáveis; (ii) apreciar e aprovar planos de ação relacionadas à Avaliação de Efetividade do Programa de PLD/FTP; (iii) deliberar sobre casos relevantes, diretrizes operacionais e temas sensíveis relacionados a PLD/FTP; (iv) definir encaminhamentos, recomendações ou temas a serem submetidos ao Comitê de Compliance, quando aplicável; (v) apoiar a governança decisória do Programa, assegurando coerência entre aspectos operacionais, regulatórios e estratégicos.

(C) Diretoria Executiva

A Diretoria Executiva é responsável por assegurar o comprometimento institucional da Companhia com a Prevenção à Lavagem de Dinheiro, ao Financiamento do Terrorismo e à Proliferação de Armas de Destruição em Massa (PLD/FTP), exercendo papel de supervisão estratégica e de suporte ao Programa.

Compete à Diretoria Executiva:

(i) aprovar, endossar e garantir a disseminação desta Política e de suas atualizações; (ii) assegurar a alocação adequada de recursos humanos, financeiros e tecnológicos necessários à efetiva implementação e manutenção do Programa de PLD/FTP; (iii) tomar ciência da Avaliação Interna de Risco, do Relatório de Avaliação de Efetividade e Boas Práticas e de seus respectivos planos de ação; (iv) apoiar o funcionamento dos comitês de governança relacionados a PLD/FTP.

(D) Departamento de Compliance

A Área de Compliance é responsável pela execução técnica, manutenção e supervisão operacional do Programa de PLD/FTP, atuando como segunda linha de defesa.

Compete à Área de Compliance, entre outras atribuições:

(i) elaborar a Avaliação Interna de Riscos e o Relatório Anual de Boas Práticas; (ii) analisar relatos e indícios de operações suspeitas encaminhados pelas áreas operacionais e decidir, com base na avaliação de risco, pela comunicação ao COAF ou arquivamento; (iii) realizar, quando aplicável, a comunicação de operações suspeitas ao COAF, observando precisão, completude e prazos legais; (iv) implementar ferramentas, controles e processos necessários para o adequado funcionamento do programa de PLD/FTP; (v) conduzir programas de treinamento e conscientização para Funcionários, Parceiros e Fornecedores, em níveis compatíveis com suas funções; (vi) disseminar esta Política e os procedimentos correlatos às partes internas e externas relevantes; (vii) analisar novos produtos, serviços, tecnologias ou modelos de negócio, avaliando riscos potenciais de LD/FTP; (viii) garantir o registro organizado das análises realizadas, mantendo documentação disponível para auditorias internas, autoridades reguladoras e supervisores.

A Área de Compliance poderá, conforme deliberação da Diretoria Executiva, exercer tais atribuições por meio de estruturas, cargos ou equipes internas específicas, observada a independência, autonomia e segregação de funções necessárias ao cumprimento das obrigações legais e regulatórias.

(E) Departamento de Operações

A Equipe de Operações, como primeira linha de defesa, é responsável por:

(i) realizar o monitoramento inicial e a análise preliminar de situações suspeitas; (ii) identificar indícios ou situações atípicas relacionadas a PLD/FTP; (iii) reportar tempestivamente tais situações à Área de Compliance, com as informações e evidências disponíveis.

(F) Equipe de Auditoria Interna

A Auditoria Interna, como terceira linha de defesa, é responsável por:

(i) realizar auditorias periódicas sobre o Programa de PLD/FTP; (ii) avaliar a aderência às políticas, procedimentos e normas aplicáveis; (iii) conduzir a Avaliação de Efetividade do Programa de PLD/FTP, nos termos da legislação vigente; (iv) emitir recomendações e acompanhar planos de ação.

A avaliação de efetividade poderá, quando aplicável, ser conduzida por auditoria ou consultoria externa independente.

(G) Colaboradores

Os colaboradores da empresa, incluindo terceirizados, Funcionários são responsáveis por:

(i) conhecer, observar e cumprir as disposições desta Política; (ii) participar dos treinamentos obrigatórios de PLD/FTP; (iii) contribuir para a cultura organizacional de prevenção; (iv) reportar situações atípicas ou suspeitas para o Departamento de Compliance, nos canais apropriados.

6. Medidas Disciplinares

Ao ingressar na Companhia, todos os Funcionários, bem como quaisquer outros indivíduos sujeitos a esta Política, declaram que leram, compreenderam e concordam com os seus termos, inclusive no que se refere ao monitoramento de suas atividades. Os Funcionários estão cientes de que dispositivos corporativos, tais como computadores, bem como serviços disponibilizados pela Companhia, incluindo e-mail corporativo, podem ser monitorados, nos limites da legislação aplicável.

O descumprimento desta Política poderá ensejar a aplicação de medidas disciplinares, incluindo, conforme o caso, demissão ou rescisão do contrato de prestação de serviços por justa causa, sem prejuízo da adoção de medidas cíveis ou criminais cabíveis. As medidas aplicáveis estão previstas no Código de Ética, na Norma Interna de Gestão de Consequências e nas demais diretrizes internas da Companhia.

7. Disposições Gerais

Esta Política será aprovada pela Diretoria Executiva, mediante assinatura da respectiva ata de aprovação e entrará em vigor na data de sua aprovação.

Esta política será revisada, no mínimo, anualmente, sempre que houver alteração na legislação ou regulamentação aplicável e/ou sempre que houver mudanças significativas na estrutura da empresa ou em seus negócios. Toda e qualquer alteração será divulgada a todos os gerentes, diretores, colaboradores e outras partes relacionadas aos nossos negócios, por meio de linguagem clara, acessível e em um nível de detalhamento compatível com as funções desempenhadas e a sensibilidade das informações.

Esta política será disponibilizada ao público externo no site do Agente Operador e, ao público interno, em nossa intranet ou outros canais de comunicação interna.

8. Definições

Para efeitos desta Política, consideramos as seguintes definições:

Controle de Versões

Versão 2.0 - 01/2026