GH GambleHub

Licence d'Espagne

1) Aperçu et positionnement

La DGOJ (Dirección General de Ordenación del Juego) est l'un des régulateurs les plus exigeants de l'UE. Le mode est axé sur la haute protection des consommateurs : règles strictes de Responsible Gaming, restrictions claires en matière de publicité et de bonus, exigences mûres pour KYC/AML et contrôles informatiques prouvables. La licence est appréciée par les banques/PSP et les grands fournisseurs de contenu, mais exige une discipline « evidence-first ».

Qui est pertinent :
  • Aux opérateurs qui construisent une marque à long terme dans l'UE en mettant l'accent sur la conformité et la réputation.
  • B2B plates-formes/agrégateurs/studios fonctionnant avec un pool européen d'opérateurs.

2) Types de licences et périmètre

B2C (opérateur) : casinos/slots, paris, poker, bingo, etc. pour les joueurs résidant en Espagne. Périmètre complet : caisse/paiements, KYC/AML, RG, publicité/affiliation, soutien, rapports réglementaires et fiscaux.
B2B/fournisseurs : les exigences dépendent du rôle (plateforme, contenu, hébergement) ; l'interopérabilité, les actes d'intégration et l'exportation de télémétrie sont obligatoires pour les licenciés.
Rôles personnels : MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

💡 Avec le portefeuille B2C + B2B, les processus, les journaux et les rapports sont séparés.

3) Responsible Gaming (noyau du mode)

Le RGIAJ est un système national d'auto-exclusion : l'opérateur est tenu de vérifier chaque joueur ; l'accès est bloqué lorsque l'enregistrement est actif.
Outils du joueur : limites de dépôt/perte/temps, chèques de réalité, délais/refroidissement, historique d'activité, limites d'activité nocturne (selon les politiques et exigences internes).
Surveillance comportementale : premiers signes d'un jeu problématique, protocoles d'intervention douce/rigide, journal des contacts et des résultats, escalade vers le service RG.
Bonus et promos : strictement réglementés ; l'interdiction des mécaniciens trompeurs, les T&C transparents, les limites de la rétrogradation agressive.

4) KYC/AML et sanctions

KYC : vérification de l'identité/de l'âge des citoyens par le DNI, des étrangers par le NIE/passeport ; adresse/résidence - par document/source.
AML/CTF : profils de joueurs/géo/méthodes de paiement, RRE/listes de sanctions, déclencheurs EDD, journal de décision, procédures STR/SAR.
Surveillance transactionnelle : velocity/anomalies, contrôle des sources de fonds en cas de suspicion, règles limites et modèles comportementaux.
Crypto/on-chain (le cas échéant) : politique de portefeuille, fournisseurs d'analyse, contrôle des conclusions.

5) Publicité, affiliations et communications

Barrières d'âge et sites : contrôle strict du ciblage ; les interdictions de promesses trompeuses, les exigences d'étiquetage.
Fenêtres temporelles et contenu : limitation du temps de diffusion/formats publicitaires ; une attention accrue à la protection des mineurs et des groupes vulnérables.
Affiliation : responsabilité contractuelle pour RG/AML/données ; chaines white-list, audit créatif, procédures stop et traçabilité du trafic.
Influenceurs/strim : exigences supplémentaires pour l'auditoire, transparence du placement et T & C.

6) Données et vie privée (RGPD/AEPD)

Légalité et minimisation : DPIA pour les processus à haut risque ; le stockage des PII/PAN est minimal et par objectif ; contrôle d'accès et journalisation.
Droits de l'entité : Accès/rectification/suppression/portabilité dans les délais réglementaires ; hydes de procédure pour soutenir.
Incidents/Brich : plans de notification à l'organisme de réglementation/entités, journal des enquêtes et des remédiations.
Flux transfrontaliers : DPA avec processeurs, transferts surveillés et résidence d'ensembles de données critiques.

7) Normes techniques : SDLC/observation/sécurité/DR

SDLC et les versions : staging-piplines, contrôle des modifications, signatures d'artefacts et SBOM, politique de retrait, "no humans in prod', journal de sortie prouvable.
Observability : logs structurés (pas de PAN et de PII superflus), métriques et traçabilité (OTel), SLO/SLI, contrôles synthétiques « dépôt/CUS/retrait », rétention gérée.
Sécurité : segmentation, mTLS, WAF/bot management, SSO/MFA/PAM, SAST/SCA/DAST dans CI/CD, pentest régulier et pas de retard critique/haut de gamme.
DR/BCP : tests de restauration réguliers validés par RTO/RPO, actes d'exercice et scénarios de dégradation (graceful).
Anti-abuse : protection contre le bonus-abyse, scoring comportemental, device-signals, velocity-regles, suivi des plaintes.

8) Paiements et « retour au portefeuille »

Méthodes : cartes, A2A/open banking (PSD2), rails instantanés locaux (y compris les solutions populaires en Espagne), virements bancaires.
Exigences d'intégration : idempotence, signatures HMAC webhooks, DLQ/relais d'événements, suivi Time-to-Wallet et proportion d'autorisations/succès.
Sanctions/RER et velocity : contrôle des flux entrants/sortants, procédures spéciales pour les retours/chargeback.

9) Déclaration, taxes et renouvellement (haut niveau)

Rapports réglementaires : indicateurs financiers et RGG sur les verticaux, mesures RG, plaintes/incidents, changements de structure/Keu Persons, irrégularités publicitaires et mesures.
Partie fiscale : construction basée sur le revenu du jeu ; les rapprochements avec les journaux de jeu/paiement et les données PSP/banques.
Renouvellement/vérification : contrôles périodiques des politiques, contrôles techniques, RG/AML et publicité ; paquets « evidence-first » (sorties/SBOM, vulnérabilités, actes DR, télémétrie RG).

💡 Les taux/formes et fréquences spécifiques doivent être précisés en fonction des normes actuelles et de votre structure d'entreprise.

10) Processus de délivrance de licences : Phases et échéances

1. Pré-fit & Gap (1 à 8 semaines) : cibles verticales/canaux, carte des fournisseurs (contenu/PSP/KYC), audit de la préparation informatique, plan de remédiations.
2. Dossier (4-12 semaines) : Corporate/Finance/SoF/SoW, Key Persons, politiques AML/RG/publicité/données/incidents/DR, contrats, architecture informatique.
3. Contrôle technique (4 à 16 semaines) : SDLC/observation/sécurité/DR, vulnérabilités/pentest, actes de restore-test, exigences d'intégration/laboratoire (le cas échéant).
4. La considération et Q&A : les questions selon бенефициарам/политикам/ИТ/данным/рекламе; interview de Key Persons ; démonstrations de revues/dashboards et processus RG.
5. Émission/entrée (2 à 6 semaines) : inclusion de rapports, mise en place de PSP/contenu, exécution de scénarios RG/AML/paiements.
6. Responsabilités : rapports périodiques/audits, prolongations, variations (bénéficiaires/verticaux/emplacements).

Chemin critique : Key Persons → politiques « en direct » → SDLC/observabilité/DR (evidence) → Q & A/démo.

11) Avantages et inconvénients de la DGOJ

Plus

Confiance élevée des consommateurs et reconnaissance auprès des banques/PSP/médias.
Des normes claires de RG/publicité ; haute qualité KYC (DNI/NIE).
En plus de capitaliser la marque et les possibilités de partenariat dans l'UE.

Inconvénients

Des restrictions rigoureuses en matière de bonus/promotion et une haute conformité OPEX.
La rigidité des processus (les politiques sans artefacts ne fonctionnent pas).
Faible tolérance aux « zones grises » et au marketing agressif.

12) Chèques-feuilles de préparation

12. 1 Définition de la lecture (avant le dépôt)

  • Le périmètre (vertical/canal/mode de paiement) est défini ; la réalité des paiements (PSP/banques/rails locaux) a été confirmée.
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); les SoF/SoW et les références sont rassemblées.
  • Les politiques AML/RG/publicité/données/incidents/DR ont été approuvées ; des formations ont été organisées, il y a un journal des comptes.
  • SDLC : signatures d'artefacts et SBOM, journal de sortie, "no humans in prod', politique de retrait.
  • Observability : SLO/SLI-dashboards, contrôles synthétiques « dépôt/CUS/retrait », retentissement des loges.
  • Sécurité : pentest/scan fermé ; critiques/élevées sans exceptions tardives.
  • Contrats de contenu/PSP/KYC/laboratoires/hébergement ; Les SLA/OLA sont harmonisés.
  • Modèle publicitaire : chaînes white-list, audit créatif, procédures stop.
  • Intégration avec RGIAJ - les artefacts techniques et de processus sont prêts.

12. 2 Définition de Done (après délivrance)

  • Les rapports réglementaires/fiscaux sont inclus ; les propriétaires de KPI sont désignés.
  • Les PSP/contenus sont onbordés ; webhooks signés (HMAC), idempotence et DLQ fonctionnent.
  • Les outils RG sont actifs ; la télémétrie des interventions et le journal des décisions sont en cours ; demandes au RGIAJ - dans le flux.
  • DR/BCP : des tests de restauration ont été effectués et des actes ont été rédigés ; RTO/RPO est normal.
  • Publicité/affiliations : listes blanches, audit créatif, journal des infractions et des mesures.

13) RACI (exemple)

ZoneResponsibleAccountableConsultedInformed
AML/RG/données/publicité (politiques)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/observabilité/DRPlatform/SRE LeadCTOSecurityToutes les équipes
Pentest/vulnérabilitésSecurity LeadCTOVendors, SRECompliance
Contrats (PSP/KYC/contenu)Payments/Content OpsCOOLegal, SecurityFinance
Paquet/Q & A/démoProgram ManagerCOOTous les LeadersStakeholders

14) Risques et atténuation

RisqueSigneMesure de mitigation
Retards par Key PersonsDop. demandes/interviewsRassemblement anticipé, candidats de réserve
Violations de la publicité/bonusPlaintes/amendesListes blanches, audit créatif, T&C rigide
Politiques RG « papier »Éclaircissements/prescriptionsTélémétrie des interventions, rapports, runbooks
Vulnérabilités/pentestArriéré critical/hautSAST/SCA/DAST dans CI, policy-as-code, fiches rapides
Incidents de paiementPerte/prise webhooksIdempotence, HMAC, DLQ/repli, surveillance TtW
Échec RGIAJ dans le fluxAccès aux joueurs depuis le registreVérification obligatoire en ligne, scripts fallback

15) Feuille de route 90-180 jours (exemple)

Mois 1-2 : analyse gap, attribution de Key Persons, remediation SDLC/observation/sécurité, réservation de laboratoire.
Mois 2-3 : collecte du paquet/des politiques d'entreprise, pentest/scan, actes DR, contrats avec PSP/KYC/contenu, intégration avec RGIAJ.
Mois 3-4 : Présentation de la demande, préparation pour les Q & A/entrevues, dry-run démonstrations (dashboards, magazines, RG/AML/scripts publicitaires).
Mois 4-6 : Q & A/variations, finalisation, paiements/contenu en direct, inclusion des rapports.

Conclusion courte

La licence espagnole de la DGOJ est un mode rigoureux mais prévisible mettant l'accent sur le jeu responsable (RGIAJ), la discipline de la publicité/bonus, KYC/AML mature et les contrôles informatiques prouvables. Si vous êtes prêt pour une culture « evidence-first » (SDLC/surveillance/sécurité/DR, RG-télémétrie, reporting transparent) et que vous respectez les règles de commercialisation locale, l'Espagne donne accès à un écosystème de paiement de haute confiance et renforce la capitalisation de la marque dans l'UE.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Telegram
@Gamble_GC
Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.