A Portaria nº 722, de 2024, define o risco como a probabilidade de uma ameaça ser bem-sucedida em seu ataque contra uma rede ou sistema. Cabe à entidade certificadora cuja capacidade operacional foi reconhecida pela SPA/MF, com base na expertise, definir o nível máximo de risco acima do qual pode haver ameaça bem sucedida de ataques a qualquer componente crítico, no qual uma falha ou comprometimento possa levar à perda de direitos do apostador, perda de receitas da União ou de destinatários legais, impedimento ou dificuldades de acesso do regulador às informações operacionais, ocorrência de acesso não autorizado aos dados do sistema de apostas, ou descumprimento das normas que regulamentam a operação de apostas de quota fixa no País.