GH GambleHub

Licencia de España

1) Revisión y posicionamiento

La DGOJ (Dirección General de Orden del Juego) es uno de los reguladores más exigentes de la UE. El régimen está orientado a la alta protección del consumidor: reglas estrictas de Juego Responsable, restricciones claras de publicidad y bonificaciones, requisitos maduros para KYC/AML y controles de TI probados. La licencia es valorada por los bancos/PSP y los grandes vendedores de contenido, pero requiere la disciplina de la «prevence-first».

A quién es relevante:
  • Los operadores que construyen una marca a largo plazo en la UE con énfasis en el cumplimiento y la reputación.
  • Plataformas B2B/agregadores/estudios que trabajan con un grupo de operadores europeos.

2) Tipos de licencias y perímetros

B2C (operador): casinos/tragamonedas, apuestas, poker, bingo, etc. para jugadores que se encuentran en España. Perímetro completo: caja registradora/pagos, KYC/AML, RG, publicidad/afiliados, soporte, informes regulatorios y fiscales.
B2V/proveedores: los requisitos dependen del rol (plataforma, contenido, alojamiento); son obligatorias la interoperabilidad, los actos de integración y la exportación de telemetría para los licenciatarios.
Roles personales: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

💡 Con la cartera B2C + B2B, los procesos, registros e informes se separan.

3) Juego responsable (modo núcleo)

El RGIAJ es un sistema nacional de autoexclusión: el operador está obligado a verificar a cada jugador; el acceso se bloquea cuando el registro está activo.
Herramientas del jugador: límites de depósito/pérdida/tiempo, cheques de realidad, tiempos de espera/enfriamiento, historial de actividad, restricciones de actividad nocturna (por políticas internas y requisitos).
Monitoreo conductual: primeros signos de juego problemático, protocolos de intervención blanda/dura, registro de contactos y resultados, escaladas en el servicio de RG.
Bonificaciones y promociones: estrictamente reguladas; prohibición de mecánicos engañosos, T&C transparente, restricciones de retarget agresivo.

4) KYC/AML y sanciones

KYC: verificación de la identidad/edad de los ciudadanos por DNI, extranjeros por NIE/pasaporte; dirección/residencia - por documentos/fuentes.
Risk-based AML/CTF: perfiles de jugadores/geo/métodos de pago, RR/listas de sanciones, desencadenantes de EDD, registro de decisiones, procedimientos NAT/SAR.
Monitoreo transaccional: velocity/anomalías, control de fuentes de fondos bajo sospecha, reglas de límites y patrones de comportamiento.
Crypto/on-chain (si corresponde): política de billeteras, proveedores de análisis, control de conclusiones.

5) Publicidad, afiliados y comunicaciones

Barreras de edad y sitios: control estricto de la orientación; prohibiciones de promesas engañosas, requisitos de etiquetado.
Ventanas y contenidos temporales: limitación del tiempo de emisión/formatos publicitarios; Mayor atención a la protección de los menores y los grupos vulnerables.
Afiliados: responsabilidad contractual por RG/AML/datos; los canales de lista blanca, la auditoría creativa, los procedimientos de parada y la trazabilidad del tráfico.
Influencers/Streams: requisitos adicionales de audiencia, transparencia de alojamiento y T & C.

6) Datos y privacidad (GDPR/AEPD)

Legalidad y minimización: DPIA para procesos de alto riesgo; el almacenamiento de PII/PAN es mínimo y por objetivos; control de acceso y registro.
Derechos del sujeto: acceso/rectificación/eliminación/portabilidad dentro del plazo reglamentario; gaidas de procedimiento para el apoyo.
Incidentes/Brich: planes de notificación del regulador/sujetos, registro de investigaciones y remedios.
Flujos transfronterizos: DPA con procesadores, transmisiones controladas y residencia de conjuntos de datos críticos.

7) Estándares técnicos: SDLC/observabilidad/seguridad/DR

SDLC y lanzamientos: staging-pipelines, control de cambios, firmas de artefactos y SBOM, política de reversión, "no humans in prod', revista de lanzamientos probada.
Observabilidad: registros estructurados (sin PAN y PII extra), métricas y rastreo (OTel), SLO/SLI, comprobaciones sintéticas «depósito/CUS/retiro», retransmisión controlada.
Seguridad: segmentación, mTLS, WAF/bot management, SSO/MFA/PAM, SAST/SCA/DAST en CI/CD, pentesto regular y ausencia de critical/CD caducado high.
DR/BCP: pruebas de restauración periódicas confirmadas por RTO/RPO, actos de ejercicio y escenarios de degradación (graceful).
Anti-abuse: protección contra bonus abius, puntuación de comportamiento, señales de dispositivo, reglas de velocidad, seguimiento de quejas.

8) Pagos y «camino a la cartera»

Métodos: tarjetas, A2A/banca abierta (PSD2), raíles instantáneos locales (incluyendo soluciones populares en España), transferencias bancarias.
Requisitos de integración: idempotencia, firmas HMAC de webhooks, DLQ/réplica de eventos, monitoreo de Time-to-Wallet y porcentaje de autorización/éxito.
Sanciones/RER y velocity: control de flujos entrantes/salientes, procedimientos especiales para devoluciones/chargeback.

9) Informes, impuestos y prórrogas (nivel alto)

Informes regulatorios: indicadores financieros y GGR por verticales, métricas RG, quejas/incidentes, cambios de estructura/Personas Keu, infracciones publicitarias y medidas.
Parte fiscal: construcción basada en los ingresos del juego; conciliaciones con registros de juegos/pagos y datos PSP/bancos.
Renovación/auditoría: revisiones periódicas de políticas, controles técnicos, RG/AML y publicidad; paquetes «evidence-first» (lanzamientos/SBOM, vulnerabilidades, actos DR, telemetría RG).

💡 Las tasas/formas y frecuencias específicas deben ser especificadas por las normas actuales y su estructura corporativa.

10) Proceso de concesión de licencias: fases y plazos de referencia

1. Pre-fit & Gap (1-8 semanas): verticales/canales objetivo, mapa de proveedores (contenido/PSP/KYC), auditoría de preparación de TI, plan de remediaciones.
2. Paquete de documentos (4-12 semanas): corporativo/finanzas/SoF/SoW, personas clave, políticas AML/RG/publicidad/datos/incidentes/DR, contratos, arquitectura de TI.
3. Technologies (4-16 semanas): SDLC/vigilancia/seguridad/DR, vulnerabilidades/pentest, actas de prueba restore, requisitos de integración/laboratorio (cuando corresponda).
4. El examen y Q&A: las preguntas por benefitsiaram/politikam/it/dannym/reklame; entrevista con Key Persons; demostraciones de registros/dashboards y procesos RG.
5. Emisión/entrada (2-6 semanas): activación de informes, PSP/contenido on-boarding, scripts de RG/AML/pagos dry-run.
6. Post-responsabilidades: informes/auditorías periódicas, prórrogas, variaciones (beneficiarios/verticales/localizaciones).

Vía crítica: Key Persons → políticas «en vivo» → SDLC/observación/DR (evidence) → Q & A/demo.

11) Pros y contras de DGOJ

Ventajas

Alto poder de consumo y reconocimiento de los bancos/PSP/medios de comunicación.
Estándares claros de RG/publicidad; fuerte calidad KYC (DNI/NIE).
Además de la capitalización de la marca y las oportunidades de socios en la UE.

Contr

Estrictas restricciones de bonificación/publicidad y alto cumplimiento OPEX.
Rigidez de los procesos (las políticas sin artefactos no funcionan).
Baja tolerancia a las «zonas grises» y comercialización agresiva.

12) Listas de verificación de preparación

12. 1 Definición de lectura (antes de la presentación)

  • Se ha determinado el perímetro (verticales/canales/métodos de pago); realidad de pago confirmada (PSP/bancos/rieles locales).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); se recopilan SoF/SoW y ayuda.
  • Se aprueban las políticas AML/RG/publicidad/datos/incidentes/DR; se han realizado capacitaciones, hay un registro de revisiones.
  • SDLC: firmas de artefactos y SBOM, revista de lanzamientos, "no humans in prod', política de reversión.
  • Observabilidad: SLO/SLI-dashboards, comprobaciones sintéticas de «depósito/CUS/retiro», retinga de registros.
  • Seguridad: el pentesto/escáneres están cerrados; crítico/alto sin excepciones vencidas.
  • Acuerdos de contenido/PSP/KYC/laboratorio/alojamiento; Los SLA/OLA están de acuerdo.
  • Modelo publicitario: canales de lista blanca, auditorías creativas, procedimientos de parada.
  • Integración con RGIAJ: los artefactos técnicos y de proceso están listos.

12. 2 Definición de Don (después de la emisión)

  • Se incluyen los informes regulatorios/fiscales; propietarios de KPI asignados.
  • PSP/contenido onborden; webhooks firmados (HMAC), idempotencia y DLQ funcionan.
  • Las herramientas RG están activas; la telemetría de las intervenciones y el registro de decisiones se llevan a cabo; consultas en RGIAJ - en el flujo.
  • DR/BCP: pruebas de restauración realizadas y actos formalizados; RTO/RPO es normal.
  • Publicidad/afiliados: listas blancas, auditoría creativa, registro de infracciones y medidas.

13) RACI (ejemplo)

ÁmbitoResponsibleAccountableConsultedInformed
AML/RG/datos/publicidad (políticas)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/Observabilidad/DRPlatform/SRE LeadCTOSecurityTodos los equipos
Pentest/vulnerabilidadesSecurity LeadCTOVendors, SRECompliance
Tratados (PSP/KYC/contenido)Payments/Content OpsCOOLegal, SecurityFinance
Paquete/Q & A/demostraciónProgram ManagerCOOTodos los LeadsStakeholders

14) Riesgos y mitigación

RiesgoSeñalMedida mitigadora
Retrasos en Key PersonsDop. consultas/entrevistasRecogida temprana, candidatos de reserva
Infracciones de anuncios/bonosQuejas/multasListas blancas, auditoría creativa, T&C rígido
Políticas de RG «en papel»Aclaraciones/prescripcionesTelemetría de intervenciones, informes, runbooks
Vulnerabilidades/PentestCaducado critical/highSAST/SCA/DAST en CI, policy-as-code, fixes rápidos
Incidentes de pagoPérdida/toma de webhooksIdempotencia, HMAC, DLQ/relay, TtW monitoreo
Error de flujo RGIAJAcceso de jugadores desde el registroVerificación en línea obligatoria, scripts fallback

15) Hoja de ruta 90-180 días (ejemplo)

Mes 1-2: análisis gap, asignación de personas clave, remediaciones SDLC/vigilancia/seguridad, blindaje de laboratorios.
Mes 2-3: recopilación de paquetes/políticas corporativas, pentesto/escaneos, actas de DR, acuerdos con PSP/KYC/contenido, integraciones con RGIAJ.
Mes 3-4: presentación de solicitudes, preparación para Q & A/entrevistas, dry-run demostraciones (dashboards, revistas, RG/AML/scripts publicitarios).
Mes 4-6: Q & A/variaciones, revisiones finales, pagos/contenido on-boarding, inclusión de informes.

Salida

La licencia española DGOJ es un régimen estricto pero previsible, con énfasis en Juego Responsable (RGIAJ), disciplina de publicidad/bonificaciones, KYC/AML maduro y controles de TI probados. Si usted está preparado para una cultura «evidence-first» (SDLC/observabilidad/seguridad/DR, telemetría RG, información transparente) y respeta las normas locales de marketing, España da acceso a un ecosistema de pago de alta confianza y refuerza la capitalización de la marca en la UE.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.