O framework português SRIJ e o framework brasileiro SPA / SIGAP partilham mais ADN arquitectural do que qualquer um dos reguladores enfatiza publicamente. Ambos esperam licença primária do lado do operador, ambos colocam o fornecedor numa pista de certificação técnica em vez de licença B2C, e ambos exigem logging de transacções visível ao regulador no mesmo nível de granularidade.
O que transita: mapeamento de controlos ISO 27001, evidência de RNG e software de jogo (onde o laboratório é de nível GLI ou BMM), arquitectura de ledger de wallet com replay de webhook por recibo assinado e a maioria do scaffolding transaccional AML / CTF. Operadores que fizemos onboarding para SRIJ entre 2020 e 2022 tipicamente poupam 20-30% do esforço de certificação ao adicionar SPA — a maior parte do lado do cofre de evidências.
O que não transita: o template de submissão SIGAP é fundamentalmente diferente do schema SRIJ. A identificação de jogador baseada em CPF não tem análogo no SRIJ (a identificação por NIF não mapeia com limpeza) e os controlos de protecção do consumidor em português do Brasil são um passe de localização separado — incluindo o reality-check específico brasileiro e as affordances de depósito PIX. Planeie um delta de 4-6 semanas na localização do lado do operador, mais 2-4 semanas no trabalho de schema do lado do fornecedor.
O maior esforço transfronteiriço que vemos operadores subestimar é a camada CPF / KYC: os reguladores brasileiros esperam verificação de identidade mais agressiva do que o SRIJ no signup, e a equipa de compliance do lado do operador precisa de re-mapear flags AML contra listas de sanções brasileiras. Raramente é uma mudança do lado da plataforma; raramente é visível no escopo do master agreement.