L’Agenzia delle Dogane e dei Monopoli (“ADM”) ha pubblicato la nuova bozza di linee guida per la certificazione delle piattaforme di gioco online (“Linee Guida”), che definisce le regole tecniche e le procedure rilevanti per l’attivazione delle piattaforme di gioco nell’ambito delle nuove licenze italiane di gioco online.
Ideate come riferimento sia per gli organismi di certificazione sia per i titolari di licenza, le Linee Guida coprono aree critiche dell’operatività della licenza, tra cui l’infrastruttura informatica, l’architettura del software, la governance dei dati e la gestione degli accessi.
In linea generale, è opportuno osservare che le Linee Guida attribuiscono nuovi obblighi significativi agli organismi di certificazione, i quali saranno responsabili non solo delle verifiche tecniche ma anche della valutazione della conformità delle piattaforme di gioco autorizzate in Italia ai requisiti di legge applicabili. Ciò significa che le certificazioni dovranno essere sostanzialmente più dettagliate e dispendiose in termini di tempo rispetto al passato. Di seguito è riportato un riepilogo delle modifiche più rilevanti:
Introduzione del concetto di “sistema del concessionario” e verifica della conformità legale
Il “sistema del concessionario” è definito nel Nomenclatore Unico delle Definizioni come ” l’ambiente informatico che comprende uno o più sistemi di gioco e il sistema dei conti di gioco del concessionario“. In particolare, tra i componenti del sistema del concessionario devono essere chiaramente identificati:
- ogni sistema di gioco;
- ogni piattaforma di gioco;
- ogni applicazione di gioco;
- ogni sistema di accettazione del gioco;
- il sistema di presentazione dell’offerta di gioco (sito web e/o app);
- il sistema di conti di gioco dell’operatore.
Oltre ai componenti sopra elencati, devono essere identificati anche il sistema per la verifica automatica dell’integrità del software, nonché i diversi gruppi hardware e software coinvolti in ciascuna funzionalità. Ogni componente deve essere sottoposto a pre-verifica e validazione tramite ispezioni visive, test di funzionalità e ispezione del codice sorgente, eventualmente con il supporto della documentazione del produttore.
La verifica tecnica di conformità deve assicurare il corretto e conforme utilizzo dei componenti del sistema dell’operatore e il rispetto continuo – anche sotto il profilo giuridico – delle normative tecniche nelle interazioni tra essi, considerando tutte le possibili configurazioni nello scambio di informazioni con il sistema centralizzato di ADM.
Queste verifiche includono anche il controllo della ubicazione dell’infrastruttura tecnica, mentre in passato era sufficiente un’autodichiarazione dell’operatore.
Requisiti rafforzati per il disaster recovery e la gestione dei malfunzionamenti
Le Linee Guida pongono maggiore enfasi sulla continuità operativa. I concessionari devono predisporre un piano di disaster recovery completo che garantisca – inter alia – il backup in tempo reale e il mirroring dei dati presso un sito secondario. Inoltre, è necessario dimostrare che la replicazione dei dati sia funzionale ad assicurare la continuità del gioco.
In caso di malfunzionamenti, le procedure variano a seconda del tipo di gioco:
Giochi Virtuali:
- gli eventi aperti durante il malfunzionamento devono essere annullati con rimborso completo.
- gli eventi chiusi devono proseguire dopo il ripristino, anche senza visualizzazione. I risultati devono comunque essere comunicati.
- i tornei o eventi multipli con eventi virtuali annullati devono essere completamente rimborsati.
- il sistema deve riprendere solo con eventi futuri, con protocolli per il recupero dei dati.
Skill Games, Giochi da Casinò, Carte e Bingo:
- se il gioco prosegue, l’operatore deve correggere i problemi tempestivamente.
- se il gioco è bloccato, devono essere effettuati controlli di integrità, informata ADM e i giocatori, ed emessi i rimborsi.
Verifica dell’integrità:
- garantire il salvataggio corretto dei dati, la ripresa o il ripristino dei giochi interrotti, o in alternativa il rimborso.
Limitazioni sull’uso del cloud da parte degli operatori di gioco online con licenza italiana
Le soluzioni di cloud computing possono essere utilizzate solo se:
- tutte le risorse per la realizzazione dell’infrastruttura cloud sono ospitate nello Spazio Economico Europeo (SEE);
- il fornitore cloud è qualificato secondo i requisiti previsti dall’Agenzia per l’Italia Digitale (AGID) e dall’Agenzia per la Cybersicurezza Nazionale (ACN), risultando quindi idoneo all’uso da parte delle pubbliche amministrazioni italiane.
Ciò significa che gli operatori possono utilizzare solo fornitori cloud iscritti al registro ACN e conformi alle normative emesse da AGID e ACN.
Misure più stringenti per l’autolimitazione e avvisi durante il gioco
La messa a disposizione dei giocatori di meccanismi di autolimitazione al gioco resta obbligatoria, ma diventa più rigorosa. In particolare, al momento dell’attivazione del conto, i giocatori devono impostare limiti che non possano inizialmente superare:
- 3 ore di gioco al giorno;
- €100 di spesa giornaliera;
- €200 di ricarica giornaliera.
Inoltre, devono essere implementati avvisi in tempo reale al raggiungimento di:
- 1 ora di gioco, oppure
- €100 di spesa.
Titolare del nome a dominio e app mobile
Il nome a dominio del sito – con estensione “.it” – deve essere registrato direttamente a nome del titolare della licenza. Non è ammesso l’utilizzo di nomi a dominio registrati a nome terzi, anche all’interno del medesimo gruppo societario.
Inoltre, i titolari di licenza sono pienamente responsabili della gestione delle app, che devono rispettare gli stessi standard della piattaforma web.
Condivisione della piattaforma
Quando un soggetto ospita sistemi di gioco per altri concessionari, assume il ruolo di “concessionario fornitore di servizi”. In tal caso, deve garantire che i sistemi siano separati logicamente o fisicamente per ciascun concessionario, permettendo l’isolamento dei dati di ciascun concessionario.
Validazione RNG
I generatori di numeri casuali (RNG) sono soggetti a requisiti più stringenti, tra cui:
- livello di confidenza aumentato dal 95% al 99%;
- nuovi test statistici su causalità, indipendenza, equi probabilità, non riproducibilità e imprevedibilità.
Archiviazione dati e reporting in tempo reale
I concessionari devono garantire:
- l’accesso in tempo reale a tutti i dati di gioco e operativi degli ultimi sei mesi;
- la disponibilità su richiesta di tutti i dati contabili e transazionali per almeno due anni;
- l’archiviazione per cinque anni con integrità, leggibilità e sicurezza;
- l’esecuzione di interrogazioni personalizzate, con risultati esportabili entro 48 ore.
Devono inoltre produrre entro 48 ore:
- l’elenco completo dei conti giocatori a una data specifica, con stato e dati associati;
- il report sui conti che superano soglie predefinite per depositi, prelievi o vincite.
Sistemi automatizzati e di Intelligenza Artificiale nel gioco
Nei giochi in cui l’esito è influenzato da sistemi automatizzati o strumenti esterni (es. IA negli scacchi o scommesse virtuali), l’operatore deve dichiararne la presenza e indicare dettagliatamente le loro funzioni nelle regole del gioco, per permettere al giocatore una scelta consapevole.
Autenticazione a più fattori (MFA)
Le sessioni utente devono essere attivate solo dopo autenticazione a più fattori, includendo:
- inserimento delle credenziali;
- secondo livello di verifica scelto dall’operatore (e.g., one time password, biometria, notifica push).
Certificazioni dei jackpot
Le Linee Guida prevedono che nel caso di erogazione dell’offerta di gioco in modalità “circuito di gioco” – dove più operatori condividono una piattaforma – non è richiesta separazione logica o fisica. Tuttavia, non vengono esplicitamente affrontati i jackpot o i giochi in modalità “circuito di gioco”, suggerendo possibili future modifiche.
Transizione al nuovo sistema
I richiedenti di nuove licenze possono riutilizzare componenti già certificati sotto il vecchio regime, se già conformi. In tal caso, solo l’integrazione tra componenti deve essere verificata, semplificando significativamente la transizione. Questa opzione è valida fino alla scadenza del termine per l’attivazione delle piattaforme conformi alle Linee Guida.
Conclusioni
In conclusione, le nuove Linee Guida rappresentano un netto innalzamento degli standard operativi, volti a migliorare l’integrità dei sistemi, l’allineamento normativo e la tutela dei giocatori, traducendosi in nuovi e importanti obblighi per gli operatori. Molte disposizioni restano tuttavia poco chiare, ed è possibile inviare commenti alla bozza delle Linee Guida entro il 15 aprile 2025. Tale aspetto è cruciale in una fase in cui molti soggetti stanno presentando domanda per ottenere le nuove licenze italiane di gioco online.
Su un argomento simile può essere d’interesse l’articolo “Nuovo bando per le licenze di gioco online italiane – Ecco le FAQ!”
Autori: Vincenzo Giuffré e Federico Toscani
