Blog Attacks

Condições de Licença da UK Gambling Commission e Segurança de Scripts de Terceiros: O Que os Operadores Precisam de Saber

Conformidade LCCP da UKGC exige ambiente técnico seguro. Scripts de terceiros que redirecionam jogadores ou exfiltram dados geram exposição direta.

Jun 27, 2026 • 12 min read

Mike Kutlu Client-Side Security Consultant

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre requisitos de segurança de scripts da UK Gambling Commission

Ao trabalhar com operadores licenciados pela UKGC, a lacuna que encontramos mais consistentemente não está nas suas políticas de jogo responsável ou nos seus controlos AML. Está na camada de browser. As equipas de conformidade passam meses a preparar-se para revisões da UKGC e inquéritos do ICO, mas quase nenhuma delas tem uma resposta documentada para a pergunta: que JavaScript de terceiros está a executar nas suas páginas voltadas para o jogador agora mesmo? Quando executamos uma análise inicial para um novo operador, a descoberta típica é de 40 a 80 scripts por sessão, com uma proporção material que a equipa de conformidade não consegue dar conta imediatamente.

A UK Gambling Commission mantém os operadores licenciados a um elevado padrão de integridade técnica e protecção do jogador. O que muitas equipas de conformidade ainda não contabilizaram é a camada de browser: o JavaScript que corre no dispositivo de um jogador após o carregamento das suas páginas. O cside detectou mais de 300.000 sinais de ataque em sites monitorizados apenas no primeiro trimestre de 2025. Esta figura é derivada de sessões de utilizadores reais instrumentadas no parque monitorizado, contando cada comportamento anómalo distinto (tentativa de redireccionamento, exfiltração de dados, acesso a campos de formulário fora do âmbito declarado ou disparo de shadow pixel) como um sinal separado. Uma proporção significativa desses sinais teve origem em scripts de terceiros que os operadores tinham esquecido ou assumido ser benignos. Se um script no seu domínio está a redireccioná-los, a exfiltrar dados de formulário ou a cometer fraude de afiliado, o LCCP torna-o responsável por isso.

O Que o LCCP Efectivamente Exige na Camada de Browser

Resposta Rápida: As Licence Conditions and Codes of Practice da UKGC exigem que os operadores mantenham um ambiente tecnicamente seguro para as interacções dos jogadores. Embora o LCCP não nomeie ataques de supply chain de JavaScript pelo nome, o Social Responsibility Code 3.4.1, o Ordinary Code 5.1 e as obrigações anti-fraude colectivamente exigem que os operadores saibam o que está a executar nas suas plataformas e que previnam danos aos jogadores de qualquer fonte.

O LCCP não se lê como uma especificação de cibersegurança. Isso é parte do problema. As equipas de conformidade concentram-se nas medidas de jogo responsável, verificação de idade e normas de publicidade, enquanto as condições do ambiente técnico ficam em segundo plano, assumidas como cobertas pela TI.

As condições relevantes incluem:

Social Responsibility Code 3.4.1: os operadores devem tomar todas as medidas razoáveis para proteger os clientes de danos
Ordinary Code 5.1: os operadores devem manter a integridade dos seus sistemas e a segurança dos dados dos clientes
Condições anti-lavagem de dinheiro e anti-fraude: os operadores devem ter controlos para prevenir actividade fraudulenta nas suas plataformas
Normas técnicas para sistemas de jogo remoto: as plataformas devem funcionar conforme esperado pelos jogadores

Os scripts de terceiros podem violar todas estas condições sem que uma única linha do seu próprio código seja comprometida. Um script de afiliado malicioso que injeste um overlay de um operador concorrente, uma tag de análise comprometida que recolhe dados de pagamento ou um ataque de redireccionamento que envia jogadores para um site diferente durante o depósito são todas falhas de integridade técnica ao abrigo do LCCP. A Comissão não aceita "não sabíamos que estava lá" como defesa.

Como os Scripts de Terceiros Criam Exposição de Conformidade ao LCCP

Resposta Rápida: O operador de jogo médio carrega 40 a 80 scripts de terceiros por sessão cobrindo análise, rastreamento de afiliados, chat ao vivo, CDNs e widgets de pagamento. Cada um é um potencial ponto de entrada. Quando qualquer um desses scripts se comporta mal, os operadores enfrentam exposição ao abrigo das condições de protecção do jogador, integridade técnica e anti-fraude simultaneamente, independentemente de o script ter sido intencionalmente malicioso.

O risco não é teórico. Os operadores descobrem regularmente scripts nas suas plataformas que não conseguem justificar, seja porque foram adicionados há anos por um membro de equipa que entretanto saiu, porque um container de gestão de tags foi mal configurado ou porque um fornecedor legítimo foi comprometido a montante.

Os riscos comuns de scripts de terceiros em plataformas de jogo incluem:

Scripts de redireccionamento de afiliados que silenciosamente enviam jogadores para plataformas concorrentes no momento de alta intenção (registo, depósito)
Ferramentas de análise ou de mapa de calor que capturam input de campos de formulário, incluindo dados de cartão de pagamento ou documentos de identidade
Shadow pixels injectados através de GTM containers comprometidos que exfiltram dados de sessão dos jogadores para destinos desconhecidos
Comprometimentos de supply chain ao estilo do Polyfill.js onde uma biblioteca amplamente utilizada é tomada e weaponizada (a divulgação da Sansec em Junho de 2024 mostrou mais de 490.000 sites afectados simultaneamente)

Ao abrigo do LCCP, cada um destes cenários cria exposição regulatória porque o dano ocorre na sua plataforma licenciada, dentro de uma interacção de jogador pela qual é responsável. A UKGC não distingue entre danos causados pelo seu código e danos causados por um script de terceiros a correr no seu domínio.

Resposta Rápida: O Artigo 28 do UK GDPR torna os operadores responsáveis por qualquer tratamento de terceiros de dados de jogadores que ocorra no seu domínio. Se um script exfiltrar dados de jogadores para um servidor externo, o operador é o responsável pelo tratamento responsável por essa transferência, mesmo que não tenha instalado o script. A coima de 20 milhões de libras do ICO à British Airways mostra a escala do risco de execução por controlos técnicos de segurança de dados inadequados.

A acção do ICO contra a British Airways em 2020 continua a ser o precedente mais claro do Reino Unido para falhas de segurança de dados na camada de browser. O ICO emitiu uma coima de 20 milhões de libras depois de atacantes comprometerem o website da British Airways e usarem scripts injectados para recolher dados de pagamento dos clientes. A conclusão do ICO foi inequívoca: a organização era responsável pelo tratamento de dados que ocorria no seu website, independentemente do vector de ataque.

Para operadores de jogo licenciados no Reino Unido, o paralelo é directo. Os dados dos jogadores tratados no seu domínio são abrangidos pelo UK GDPR, e isso inclui dados tratados por scripts de terceiros sem o seu conhecimento.

As obrigações fundamentais incluem:

Artigo 5: os dados devem ser tratados de forma lícita, equitativa e com integridade; os operadores não podem alegar conformidade se scripts desconhecidos estiverem a tratar dados de jogadores
Artigo 28: os terceiros que tratam dados em seu nome requerem acordos de subcontratante documentados; um script a correr no seu site sem contrato estabelecido é uma violação estrutural
Artigo 33: se uma violação de script resultar em exposição de dados pessoais, os operadores têm 72 horas para notificar o ICO; este prazo começa a partir do conhecimento, e a maioria dos operadores não sabe sequer que ocorreu uma violação até dias depois

O relatório IBM 2024 Cost of a Data Breach coloca o custo médio global de uma violação em 4,88 milhões de dólares. Para operadores de jogo regulamentados, some a execução do ICO, a revisão da licença da UKGC e os danos de reputação junto dos processadores de pagamento, e a exposição é substancialmente maior.

Como É uma Postura de Monitorização de Scripts Preparada para Conformidade

Resposta Rápida: Uma postura preparada para conformidade para operadores licenciados pela UKGC requer um inventário completo e mantido de todos os scripts em execução em páginas voltadas para o jogador, alertas automáticos quando novos ou alterados scripts aparecem, evidência do que cada script envia e a quem, e relatórios prontos para auditoria que possam ser produzidos a pedido durante uma revisão da UKGC ou um inquérito do ICO.

A maioria dos operadores depende actualmente de um ou mais dos seguintes, nenhum dos quais é suficiente por si só:

Monitorização ao nível da rede (logs de CDN ou WAF): detecta pedidos de rede mas não consegue ver o que um script executa após o carregamento ou que dados captura em memória
Cabeçalhos Content Security Policy: um controlo de base útil mas requer manutenção e não consegue detectar exfiltração através de endpoints permitidos
Auditorias manuais periódicas: um snapshot pontual que não detecta alterações introduzidas entre ciclos de auditoria
Plataformas de gestão de consentimento (CMPs): gerem o consentimento para ferramentas conhecidas mas não detectam scripts que são injectados fora do fluxo de consentimento

Uma postura preparada para conformidade requer visibilidade em runtime: monitorização que instrumenta sessões de utilizadores reais no browser e observa que scripts são executados, que dados acedem e para onde os enviam. Esta é a camada que detecta ataques de redireccionamento de afiliados, shadow pixels e comprometimentos de supply chain em tempo real em vez de semanas depois.

Os requisitos operacionais para a prontidão de conformidade com a UKGC incluem:

Inventário completo de scripts: todos os scripts first-party, de terceiros e de quarta parte em todas as páginas voltadas para o jogador, incluindo scripts carregados dinamicamente e condicionalmente
Detecção de alterações: alertas quando o comportamento de um script muda, mesmo que o seu URL não tenha mudado
Detecção de comportamento anómalo: scripts a aceder a campos de pagamento, campos de identidade ou cookie stores sem uma razão documentada
Trilha de evidências: logs com timestamp de cada evento de execução de script que pode ser fornecido à UKGC ou ao ICO durante uma revisão e usado como base para investigação forense e relatórios de auditoria PCI

Como o cside Produz Evidência Pronta para Auditoria para Operadores Licenciados pela UKGC

Resposta Rápida: O cside instrumenta 100% das sessões de utilizadores reais no browser, não um subconjunto amostrado e não uma simulação de proxy. Detecta todos os scripts em execução nas suas páginas voltadas para o jogador, mapeia fluxos de dados para destinos externos e gera a detecção de alterações e alertas de anomalias que as equipas de conformidade precisam para evidenciar controlos técnicos durante uma revisão de licença da UKGC ou um inquérito do ICO.

Ao contrário de ferramentas ao nível da rede como o Cloudflare Page Shield, que monitoriza pedidos mas não consegue ver o que um script executa após o carregamento, o cside opera dentro do browser onde vive o risco real. Ao contrário das abordagens baseadas em proxy, o cside usa sessões de utilizadores reais sem amostragem, o que significa que detecta ataques intermitentes e scripts que só se activam para determinados segmentos de jogadores.

Para operadores licenciados pela UKGC, o cside fornece:

Um inventário continuamente actualizado de todos os scripts first-party, de terceiros e de quarta parte nas páginas voltadas para o jogador
Alertas automáticos quando novos scripts aparecem ou scripts existentes alteram o seu comportamento
Detecção de tentativas de exfiltração de dados, injecções de redireccionamento e fraude de afiliados
Logs de evidência com timestamp para cada evento de execução de script, adequados para relatórios de auditoria PCI, investigação forense e evidência de conformidade contínua ao abrigo das normas técnicas do LCCP
Integração com fluxos de trabalho de resposta a incidentes e conformidade existentes

Numa implementação num sportsbook licenciado no Reino Unido de médio porte (detalhes do operador anonimizados), o cside descobriu 14 scripts de terceiros com ligações de rede activas que a equipa de conformidade não tinha listado no seu inventário de scripts. Três desses scripts estavam a enviar dados para destinos que o operador não conseguia identificar imediatamente. Em 48 horas após a implementação, o operador foi capaz de produzir um inventário completo, fechar os fluxos de dados não declarados e iniciar documentação DPA com dois fornecedores previamente não documentados. Esse inventário tornou-se parte do seu ficheiro de evidências de conformidade com o ICO.

As equipas de conformidade que usam o cside podem responder a uma revisão técnica da UKGC com um registo documentado do que tem estado a correr na sua plataforma, quando mudou e que acção foi tomada, em vez de se precipitarem a reconstruir o quadro após o facto.

Tipo de ferramenta	O que monitoriza	O que não detecta
WAF / CDN (ex. Cloudflare Page Shield)	Pedidos de rede de entrada e saída	Comportamento de execução de scripts após o carregamento; dados acedidos em memória
Content Security Policy	Domínios de origem dos scripts	O que scripts aprovados fazem com os dados; exfiltração através de endpoints permitidos
Plataforma de gestão de consentimento	Ferramentas declaradas dentro do fluxo de consentimento	Scripts adicionados fora do CMP; comprometimentos de supply chain; activação condicional
Auditoria manual periódica	Scripts presentes no momento da auditoria	Alterações entre ciclos de auditoria; scripts carregados dinamicamente
Monitorização em runtime do cside	100% da execução de scripts em sessões reais	Concebido para fechar todas as lacunas acima

O Que Fazer a Seguir

Se a sua organização detém uma licença da UKGC e actualmente não tem uma capacidade documentada de inventário de scripts e monitorização em runtime, os passos imediatos são: encomendar um inventário de scripts das suas páginas voltadas para o jogador, avaliar o que cada script envia e a quem, identificar lacunas em relação aos seus acordos de subcontratante e estabelecer um mecanismo de detecção de alterações para que futuras adições sejam capturadas em tempo real. A solução de segurança do lado do cliente do cside e a capacidade de monitorização de supply chain são construídas especificamente para este fluxo de trabalho. Se está a preparar-se para uma revisão de licença da UKGC ou um inquérito do ICO e precisa de evidenciar controlos técnicos, uma implementação de monitorização em runtime fornece a trilha de auditoria que as ferramentas estáticas não conseguem fornecer.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O LCCP da UKGC não referencia JavaScript especificamente, mas o Social Responsibility Code 3.4.1 e o Ordinary Code 5.1 exigem que os operadores mantenham integridade técnica e protejam os jogadores de danos nas suas plataformas. Os reguladores interpretam estas condições de forma ampla. Qualquer falha técnica que prejudique os jogadores, incluindo através de scripts de terceiros, está dentro do âmbito.

Sim. Ao abrigo do Artigo 28 do UK GDPR, os operadores são responsáveis por todo o tratamento de dados que ocorre no seu domínio, incluindo o tratamento efectuado por scripts de terceiros. A coima de 20 milhões de libras do ICO à British Airways estabeleceu que a recolha de dados na camada de browser por terceiros não isenta o operador do site de responsabilidade.

Uma Content Security Policy é um cabeçalho que restringe os scripts que podem carregar. É uma base útil mas requer manutenção manual e não consegue detectar exfiltração através de endpoints permitidos ou observar o que scripts aprovados fazem com dados de jogadores após o carregamento. A monitorização de scripts em runtime opera dentro do browser e observa o comportamento real dos scripts em sessões de utilizadores reais.

O Artigo 33 do UK GDPR exige notificação ao ICO no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais. O desafio é que a maioria dos operadores não sabe que ocorreu uma violação de scripts até muito depois de começar. A monitorização de scripts em tempo real reduz significativamente o intervalo entre detecção e conhecimento.

Sim. O cside opera na camada de browser e complementa ferramentas ao nível da rede em vez de as substituir. Os WAFs e CDNs protegem o perímetro do servidor. O cside protege a camada de sessão onde os dados dos jogadores são efectivamente tratados. As duas camadas não são intercambiáveis.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Ataques de script de terceiros em plataformas iGaming em 2026: a nova superfície de ataque que os operadores ignoram

JavaScript de terceiros é a principal superfície de ataque não monitorada no iGaming. Sete classes de ataque e por que as ferramentas as ignoram.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Conformidade HIPAA com tecnologias de rastreamento web: o guia para organizações de saúde

O OCR do HHS determinou que pixels de rastreamento e scripts de terceiros em sites de saúde podem expor PHI. O que as entidades cobertas precisam fazer para estar em conformidade.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.