Norvegia - Lotteri- og stiftelsestilsynet

(sezione «Mercati e giurisdizioni»)

1) Quadro del mercato e regolatore

• Norsk Tipping - scommesse, giochi online/casinò formati, lotterie istantanee.
• Norsk Rikstoto è una scommessa reciproca sulle corse.
• Gli operatori B2C privati non possono operare senza il mandato dello stato in Norvegia. Per i fornitori di servizi B2B è possibile collaborare esclusivamente attraverso i circuiti degli operatori pubblici (offerte/contratti di fornitura di contenuti/TPM).

2) Ruoli e aree di responsabilità

Ministero della Cultura e dell'Uguaglianza - politica del gioco d'azzardo e della pubblicità, atti quadro.
LST - controllo del rispetto della legge, ispezioni, prescrizioni, registri di blocco, coordinamento del gioco responsabile, sanzioni.
Nkom/provider di comunicazioni - esecuzione di blocchi di domini/pubblicità secondo le prescrizioni.
Banche e PSP - applicazione delle prescrizioni di blocco dei pagamenti per siti non autorizzati.
Autorità di protezione dei consumatori e controllo dei media - Controllo dei messaggi pubblicitari e delle pratiche di marketing.

3) Cosa è consentito e cosa è vietato

Consentito: attività Norsk Tipping e Norsk Rikstoto; lotterie sociali e benefiche per le tolleranze speciali con set di alimenti limitati.
Vietato: attività B2C di operatori privati di casinò/slot/scommesse senza mandato pubblico; pubblicità aggressiva del gioco d'azzardo, target minorile; offerta di servizi da domini fuori dall'elenco bianco.
Misure di blocco: LST applica i blocchi di pagamento e DNS alle risorse illegali e prescrive la rimozione della pubblicità e la sospensione delle attività di marketing in Norvegia (inclusi i canali media offshore).

4) Circuito fiscale e di pagamento (alto)

Il modello fiscale per gli operatori pubblici è definito da singoli atti e regole di bilancio (modello di contributo mirato per sport/cultura/progetti sociali); Per le lotterie di beneficenza, un regime speciale con disciplina.
IVA: rate/vincite di solito fuori dall'IVA; i servizi associati (IT, marketing, consulenza) sono soggetti a regole generali.
Pagamenti: le banche/PSP sono obbligate a rispettare le restrizioni di pagamento a favore di provider non autorizzati; le categorie merchant e le rotte di pagamento vengono monitorate e le rotazioni vengono fermate.

5) AML/KYC e gioco responsabile

KYC/KYB: identificazione dell'identità/età (18 +), controllo delle sanzioni/RER, conferma dei pagamenti; per i permessi di beneficenza, verificare l'idoneità degli organizzatori.
Monitoraggio delle transazioni: limitazioni, anomalie comportamentali, comunicazioni account/strumenti di pagamento, escalation STRR/SAR verso le autorità autorizzate.
Respontible Gaming (RG) - Limiti personali di deposito/perdita/tempo, timeout, auto-esclusione, vetrina RG visibile e accesso all'assistenza (cliccando una linea telefonica nazionale). Per gli operatori pubblici, i limiti sono obbligatori e incorporati in UX.
Conservazione dei dati: Retensing CUS/Logs di legge, compatibilità GDPR, protezione dei dati a livello di standard europei.

6) Pubblicità, promo e affiliati

Proibizioni: target per i minori e i gruppi vulnerabili; pubblicità «vincite garantite»; Offer aggressivi l'uso di canali «strimer» incentrati sulla Norvegia per promuovere i clandestini.
Comunicazione responsabile: etichettature RG, avvisi sui rischi, moderazione creativa e frequenza di visualizzazione.
Affiliati: per operatori pubblici - contratti/haydline centralizzati; la promozione illegale di marchi in Norvegia è punita con prescrizioni e multe, tra cui la rimozione dei contenuti e il blocco dei flussi pubblicitari.

7) Controllo e accesso del regolatore

Loging: registri di transazioni/scommesse/regolazioni invariati, sincronizzazione del tempo, tracciabilità completa «tasso di , pagamento di regolazione».
Accesso LST: scarichi/API protetti, account di prova, richieste di dati regolari (RG/AML).
Affidabilità/sicurezza: DR/BCP con target RPO/RTO, crittografia a riposo/transito, RBAC/SoD, pentesti/scan periodici.

8) Controlli e misure coercitive

Camerali: mappatura dei rapporti e del billing, analisi delle anomalie GGR/NGR, rispetto dei limiti e delle procedure RG.
Check-in/IT - Ispezione dei reparti, campionamento delle sessioni, interviste del personale, verifica delle rotte di pagamento e delle integrazioni pubblicitarie.
Sanzioni: multe e prescrizioni, blocco di domini/pagamenti, richieste di rimozione di materiale pubblicitario; in caso di violazioni sistemiche - maggiore monitoraggio e misure legali.

9) Road map per provider/partner

1. Il modello di collaborazione è quello di definire il ruolo (studio di contenuti, piattaforma, gestione dei rischi, antifrode, pagamenti, strumenti RG).
2. Conformità: certificazione RNG/moduli, sviluppo sicuro (SDLC), logica WORM, compatibilità GDPR.
3. Pacchetto di compilazione: regole AML/KYC e RG, diagrammi di limiti, istruzioni per individuare i giocatori vulnerabili, processo di SAR/TR.
4. Integrazione: formati di dati/report, API, SLA per la disponibilità e gli incidenti, piano DR/BCP.
5. Marketing: rifiuto totale di promuovere marchi B2C non autorizzati per la Norvegia; il rispetto degli haidline degli operatori pubblici.
6. Pilota e UAT: test-valigetta di calcoli/limiti/autosufficienza, correttezza e moduli di segnalazione.
7. Operazioni: regolamento degli incidenti, registro della compilazione, ciclo di revisione (interno/esterno).

10) Assegno fogli di compilazione

Modalità giuridica e partnership

• Confermato: attività solo attraverso operatori pubblici (nessun B2C in Norvegia).
• Contratti B2B concordati, ruoli e flussi di dati descritti.
• I responsabili di AML/RG sono stati assegnati e il contatto con LST è impostato.

AML/KYC & RG

• Regole e procedure AML/KYC, sanzioni/RER, innesco dell'origine dei mezzi.
• Strumenti RG: limiti di deposito/perdita/tempo, timeout, auto-esclusione; Vetrina UX RG.
• Registri TR/SAR e archiviazione dei file KYC entro i tempi previsti.
• Blocco del marketing per i gruppi auto-esclusi e vulnerabili.

IT e protezione

• Certificazione RNG/moduli; Controllo delle versioni e CI/CD con controlli.
• Login WORM, sincronizzazione del tempo, ritocco dei logi.
• DR/BCP, pentesti/scan, RBAC/SoD, crittografia.
• API/caricamento per LST e account di prova.

Marketing e affiliazioni

• Divieto di promuovere marchi non autorizzati per il pubblico norvegese.
• Registro della compilazione (screenshot/URL/data), procedura rapida di richiamo.
• Etichette RG e T&C corrette su tutti i supporti.

11) KPI e controllo operativo

Tasse: 99% + tempestività dei rapporti; La differenza è <0,5%.
AML/KYC: tempo medio di verifica, quota false positive, scalate SLA.
RG: quota di giocatori con limiti attivi; TTR di blocco in caso di auto-esclusione <1 min; Percentuale di incidenti RG.
Infobez: MTTR incidenti; rivestimento con pentesti; Chiudere le vulnerabilità critiche entro il termine.
Marketing: 0 casi di promozione di marchi non autorizzati in Norvegia; Velocità di richiamo dei creativi.

12) FAQ

È possibile ottenere una licenza B2C privata?
No, no. I principali tipi di gioco d'azzardo sono assegnati a Norsk Tipping e Norsk Rikstoto.

C'è un elenco bianco di domini e pagamenti?
Sì, sì. LST supporta la modalità di blocco dei domini/pagamenti per i clandestini; la collaborazione tra banche/PSP è obbligatoria.

Come funziona il fornitore di contenuti/tecnologie?
Attraverso offerte/contratti con operatori pubblici; richiederà certificazione RG/AML e formati di report compatibili.

Quali sono i requisiti per la pubblicità?
Restrizioni severe: senza target di minori/vulnerabili, senza offshore aggressivi; L'avanzamento dei clandestini è soggetto a sanzioni.

Nota

Le normative e i manuali LST vengono aggiornati periodicamente (incluse le pratiche di blocco dei pagamenti e dei domini, le metriche RG e i formati di report). Prima di avviare le integrazioni e le campagne, controllare i requisiti e le specifiche tecniche attuali per escludere prescrizioni, multe e sospensioni.