GH GambleHub

Processo di licenza e scadenze

1) Quadro processo (high-level)

La licenza non è un singolo passo di alimentazione, ma un programma gestito in 6 fasi:

1. Analisi pre-fit & Gap

2. Raccolta e distribuzione del pacchetto

3. Fornitori e certificati

4. Esame da parte del regolatore

5. Rilascio (spesso condizionale) e messa in servizio

6. Obblighi post-licenza (rapporti/verifiche)

Gli obiettivi sono ridurre i rischi regolatori, garantire la dimostrabile «disponibilità alla compilazione», accelerare il go-live senza compromessi su RG/AML/dati.

2) Tempi stimati (indicazioni)

💡 I numeri effettivi dipendono dalla giurisdizione e dalla disponibilità del richiedente. Di seguito sono gli intervalli pratici.
FaseContenuti principaliIntervallo
1. Analisi pre-fit & Gapscelta verticale/mercato, controllo giurisdizioni, mappa dei rischi1-8 settimane
2. Pacchetto documentiimprese/finanziarie, Key Persons, politici, contratti4-12 settimane
3. Fornitori/certificatiRNG/RTP (se richiesto), pentesti, SDLC/Loging, DR/BCP4-16 settimane
4. EsameQ&A regolatore, intervista a Key Persons, correzionivaria
5. Messa in funzionepubblicazioni, onboording PSP/aggregatori, avvio dei report2-6 settimane
6. Dopo l'avviorapporti periodici, verifiche, rinnovo/variazioni della licenzain calendario

Il percorso critico di solito passa attraverso: Key Persons policy/procedure per la di manufatti IT (release/logs/DR), le guide di laboratorio/revisione del regolatore Q&A.

3) Cosa preparare in anticipo (Pre-fit & Gap)

Strategia e perimetro: mercati/lingue/metodi di pagamento mirati, verticale (casinò/live/scommesse/poker).
Basi legali: struttura di proprietà, SoF/SoW, registro dei beneficiari.
Ruoli MLRO/AMLO, DPO, RG-Lead, Security Lead, Release/Platform Lead.
Policy: AML/CTF, RG, pubblicità/affiliati, protezione dei dati (DPIA), incidenti, DR/BCP.
Preparazione IT: SDLC e controllo delle modifiche, staging-pipline, SBOM/firme, osservabilità (logici/metriche/trailer), registro eventi RG/AML, pentest/scan di vulnerabilità.
Provider: contratti bozzati con aggregatori di giochi, PSP, CUS/screen, laboratori/revisori.

Il risultato della fase è un report gap con un piano di rimediazione e un calendario.

4) Pacchetto di documenti: composizione e lifhaki

Blocco aziendale: statuti, struttura di proprietà, CV e guide Key Persons, SoF/SoW.
Procedure e politiche: AML/CTF, RG, pubblicità, privacy (inclusa DPIA), incidenti/break, DR/BCP.
Architettura IT: schemi di flusso di dati (data lineage), aree di storage/residence, SDLC/release, osservabilità, ridondanza e RTO/RPO.
Base contrattuale: aggregatori/studi, PSP, CUS/sanzioni, hosting, laboratori/revisori, SLA/OLA.
Finanza: riserve per i pagamenti, assicurazioni (se necessario), un piano di rendicontazione fiscale per la GGR.

Accelerazioni lifhaki

Supporta l'archivio «evidence-first» (registri di lancio, SBOM, Scan Report/Pentest), che rimuove decine di richieste di chiarimento.
Utilizzare i modelli per le valigette KYC/EDD, i registri di interventi RG e gli approvati pubblicitari.

5) Fornitori e certificati

Software di gioco: report di laboratorio RNG/RTP (per i contenuti), certificati di integrazione.
Sicurezza: pentesti, gestione delle vulnerabilità, patch policy, gestione segreta/KMS, SSO/MFA/PAM.
SDLC: staging-pipline, firme di immagini, controllo delle modifiche, criteri di riparazione, evidence registro di release.
Osservabilità: fogli senza PII/PAN, metriche SLO, tracciabili totali OTEL, controlli sintetici deposito/CUS/output.
DR/BCP: bacap, test di restore, obiettivi RTO/RPO, atti di prova.
Pagamenti: firme HMAC webhooks, idempotenza, DLQ e repliche di eventi, interessi di autorizzazioni/successo, Time-to-Wallet.

La fase di output è una serie di report e di atti che vengono applicati alla richiesta o alla richiesta.

6) Controllo regolatore (Q&A ciclo)

Aspettatevi:
  • Domande di precisazione su beneficiari/finanziamenti, procedure RG/AML e dati.
  • Intervista a Key Persons (spesso MLRO/AMLO, DPO, Head of Compliance).
  • Dimostrazioni tecniche: proiezione di loghi, manufatti di lancio, alert SLO, scenari RG/AML, esercizi DR.
  • Variazioni dei termini: chiarimenti contrattuali, procedure rafforzate, rapporti dei laboratori.

Pratica: imposta il registro delle richieste del regolatore (SLA risposte, proprietario, stato, data di invio/conferma).

7) Rilascio e messa in servizio

Spesso la licenza viene rilasciata in libertà vigilata (con obbligo di soddisfare i requisiti N fino a go-live). Cosa facciamo:
  • Pubblichiamo i dati obbligatori e T&C, includendo i rapporti regolatori.
  • Completiamo il programma PSP/aggregatori/KYC, eseguiamo la prova secca dei pagamenti/interventi RG.
  • Configuriamo DevPortal/dashboard operatori per controllare KPI (RG, AML, denunce, incidenti, Time-to-Wallet).
  • Assegnare un calendario di udienze interne/esterne.

8) Obblighi post-licenza

Rapporti periodici (GGR verticale, denunce, metriche RG, incidenti di dati/sicurezza).
Modifiche al controllo/struttura - avvisa il regolatore.
Pentesti/scani regolari, rinnovo dei certificati di laboratorio, rotazioni di segreti.
Gestione degli affiliati/annunci (registro dei canali, foglio di stop, campioni di creativi da verificare).

9) Parallelizzazione e percorso critico

Cosa si può fare in parallelo

Policy/procedure di produzione/osservazione;

Contratti con i fornitori di servizi, test di laboratorio;

Preparazione Key Persons pentest/remediazione SDLC.

Ciò che costituisce «colli di bottiglia»

Aiuto e controllo Key Persons, SoF/SoW;

Slot di laboratorio/revisione;

Risposte alle richieste complete del regolatore senza manufatti preconfezionati.

10) RACI (esempio per il programma di licenza)

AreaResponsibleAccountableConsultedInformed
Criteri AML/RG/datiCompliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Beneficiari/SoF/SoW, Key PersonsLegal LeadCEOComplianceBoard
SDLC/Osservabilità/DRPlatform/SRE LeadCTOSecurityTutti i comandi
Pentest/vulnerabilitàSecurity LeadCTOVendors, SRECompliance
Contratti (PSP/KYC/Contenuti)Payments/Content OpsCOOLegal, SecurityFinance
Pacchetto/Q & A con regolatoreProgram ManagerCOOTutti i leaderStakeholders

11) Check-list Definition of Ready (prima dell'alimentazione)

  • La giurisdizione/verticale è confermata, i mercati di destinazione e i metodi di pagamento concordati.
  • Assegnati a MLRO/AMLO, DPO, RG-Lead; preparati da CV/Key Persons.
  • Policy AML/CTF, RG, pubblicità/affiliati, protezione dei dati (DPIA), incidenti, DR/BCP - approvato e valido.
  • SDLC: staging-pipline, firme di manufatti, registri di rilascio, piano di recupero; osservazione e controlli sintetici - inclusi.
  • Pentest/rocce di vulnerabilità sono realizzati; il piano di rimediazione è chiuso.
  • Contratti bozzati con aggregatori/studi/PSP/KYC/laboratori - concordati.
  • Le garanzie/riserve finanziarie sono calcolate; Le SoF/SoW sono state raccolte.

12) Check-list Definition of Done (dopo il rilascio)

  • Attivazione dei rapporti regolatori i proprietari di KPI sono assegnati.
  • PSP/KYC completato; webhooks sono firmati (HMAC), idemoticità e DLQ in uso.
  • Gli strumenti RG sono attivi (limiti, timeout, auto-esclusione) e il registro degli interventi è in corso.
  • Il pacchetto Evidence è disponibile: release (SBOM/firme), pentest/scan, DR-atti, rapporti dei laboratori.
  • Il circuito di controllo degli affiliati/pubblicità funziona (elenchi bianchi, campioni di creativi).
  • Calendario delle udienze interne/esterne approvato.

13) Rischi tipici e come ridurli

RischioSintomoMisura mitigante
Ritardo di Key PersonsRichieste di informazioni, controlli lunghiRaccolta precoce del pacchetto, candidati di riserva
Criteri cartaceiMolte domande di chiarimento, diffidenzaEvidence-first: logi, dashboard, runbooks, protocolli di test
Colli di bottiglia dei laboratoriSpostamento dei tempi di certificazionePrenotare le slot in anticipo, eseguire l'insegnamento
Disponibilità IT insufficienteNote SDLC/sicurezza/loginModello di pipline di lancio, firme e gate SLO prima dell'invio
Matrice di pagamento deboleRifiuti PSP/banchePre-boarding PSP, routing smart, metodi alternativi
Pubblicità/affiliatiReclami/multePolicy feed, white list, controllo dei creativi, foglio di stop

14) Come accelerare il programma (senza perdita di qualità)

«Evidence-by-default»: tutto ciò che dichiarate nelle regole viene confermato con gli artefatti (screenshot/login/report).
Pacchetto in un unico repository: versione dei documenti, assegni e stato delle operazioni.
Modelli comuni: per interventi RG, reclami, SAR/STRR, postazioni pubblicitarie.
Scenari sintetici: depositi regolari «di prova »/CUS/conclusioni con report.
Parallelizzazione: procedure e contratti - contemporaneamente alla preparazione del pacchetto.
Ambienti di preavviso - Demostand per l'intervista del regolatore (senza PII/PAN), tracsing/dashboard inclusi.

15) Mini-piano di 90 giorni (esempio)

Settimane 1-2: selezione finale della giurisdizione, assegnazione dei proprietari, avvio delle remedi gap.
Settimane 3-6: raccolta di pacchetti (aziendali/finanziari/policy), pentest/scan, configurazione SDLC/osservabilità.
Settimane 7-10: test di laboratorio (RNG/integrazione), contratti PSP/KYC/contenuti, atti di test DR.
Settimane 11-12: iscrizione, preparazione per Q&A, prenotazione intervista Key Persons.

Output breve

Il processo di licenza è un programma gestito con manufatti e ruoli chiari. Concentrati sul percorso critico (Key Persons) della politica IT-evidence del laboratorio Q&A), parallelizza la preparazione, guida l'archivio «evidence-first» e mantiene l'ecosistema dei pagamenti/contenuti pronto per l'onboording. In questo modo si trasformerà la tempistica da «rischio sconosciuto» in un programma previsto per l'immissione sul mercato.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.