Operazioni e Complaens → Tipi di licenze e requisiti

Tipi di licenze e requisiti

1) Quadro dei tipi di licenze

Per ruolo:

B2C - Diritto di offrire giochi agli utenti finali (casino, live, betting, poker, lotto, ecc.).
B2B - Diritto di fornire piattaforma/contenuti/servizi agli operatori (piattaforma, giochi/RNG, studio live, pagamenti come provider tecnologico, hosting).

Verticale (spesso licenze secondarie separate):

Casino/Slots, Live Casino, Sportsbook (fixed-odds, in-play), Poker (P2P), Bingo/Lottery, Fantasy/Skill-based.

Secondo il modello di proprietà/marchio:

Licenza personale (operatore/proprietario di marchio).
White-Label (diritto B2C tramite licenza di piattaforma con sottocensura/autorizzazioni).
Skin/Brand Authorization (collegare marchi aggiuntivi alla licenza esistente).
Modello distribuito (licenza locale + infrastruttura cross-regionale, mirror/edge/localizzazione dei dati secondo le norme).

2) Requisiti: cosa chiedono i regolatori (ossatura)

Legale/aziendale

Beneficiari, struttura di proprietà, nessuna sanzione o condanna.
Presenza locale (persona legale/rappresentanza/ufficiale responsabile).
Contratti con provider (B2B), diritti di contenuto, hosting/centro dati.

Finanziari

Capitale minimo/riserve, garanzie finanziarie/garanzie bancarie.
Singoli conti client/segregazione di fondi, procedure anti-changeback.
Rapporti verificati, fonti dei beneficiari (SoF/SoW).

Tecnica (piattaforma/infrastruttura)

Architettura, logica/osservabilità, ridondanza, DR/BCP.
Onestà dei giochi: RNG/matematica, certificazione dei contenuti, controllo dei cambiamenti di versione.
Sicurezza delle informazioni: crittografia at rest/in transit, IAM, registro delle azioni adminate.
Geo-limitazione/localizzazione dei dati, protezione da bot e frode.

RG/KYC/AML

Età/verifica di identità e indirizzo, RER/sanzioni, limiti/auto-esclusione.
Monitoraggio delle transazioni e dei comportamenti (velocity, SoF), procedure EDD.
Registri di auto-esclusione/black list, formazione del personale.

Marketing/pubblicità/affiliati

Disclaim di età, proibizione di promesse «senza rischi», limitazione di canali/slot temporali.
KYB affiliati, libreria creativa, tracciamento UTM/origine del traffico.

Report e revisione

Download periodici/real time (GGR, valigette RG, reclami, AML/SAR).
Verifiche esterne/interne: TAC, controllo del gioco/RNG, controllo della sicurezza/privacy.
Incidente-reportage (SLA notifiche regolatori/banche/giocatori).

3) Modello di dati registro licenze (YAML)

yaml license_id: B2C-CASINO-<COUNTRY>-<NNN>
role: b2c      # b2c      b2b verticals: [casino, live, betting]
jurisdiction: <ISO-2>
holder: <legal_entity>
brands: [brandA, brandB]
local_presence: required  # required      optional      none valid_from: YYYY-MM-DD valid_to: YYYY-MM-DD financial_guarantee: {type: bank_guarantee, amount: <currency_amount>}
tech_requirements:
rng_cert: true siem_logs: true dr_rto: "30m"
data_localization: false rg_kyc_aml:
kyc_levels: [basic, address, edd]
self_exclusion: registry aml_ruleset: "v3. 1"
ads_affiliates:
disclaimers: [age, wagering_conditions]
restricted_channels: [tv_daytime]
reporting:
frequency: monthly formats: [csv, api]
realtime: [rg_cases]
contacts:
compliance_officer: email@domain mlro: aml@domain review_sla_days: 180 status: active

4) Ciclo di vita licenza e impegno

4. 1. Richiesta di licenza

Pre-DD: struttura, SoF/SoW, società/agente locale, contratti con B2B.
Pacchetto tecnico: schema architettonico, sicurezza, BCP/DR, processi di rilascio/modifica, logica/controllo.
Contenuti: RNG/matematica, elenco dei provider, integrazione.
Politici operativi: RG/KYC/AML, incidenti, pubblicità, lamentele.
Finanza: capitale/garanzie, business plan, previsione di rendicontazione e tasse.

4. 2. Fase operativa (Post-grant)

Conformità Policy/Controlls-as-Code.
Contabilità programmata, registrazione (denunce, AML/valigette RG, incidenti).
Negoziazioni delle modifiche: rilasci, nuovi provider, cambio host/datacenter, nuovi metodi di pagamento.

4. 3. Estensione (Renewal)

Certificati RNG/protezione aggiornati.
Controllo del periodo, indicatori RG/AML, statistiche delle denunce.
Conferma di sostenibilità finanziaria/garanzia.

4. 4. Modifiche

Aggiunta verticale/marchio, white-label/skin, migrazione della piattaforma.
Notifiche di cambio dei beneficiari/direttrici.
Modifiche alla politica pubblicitaria e alla rete di affiliati.

5) Matrice di obblighi ruolo/verticale (esempio)

Obbligo	B2C Casino	B2C Betting	B2B Platform	B2B Games
Strumenti client (segregation)	Sì	Sì	N/D	N/D
RNG/matematica	Sì	N/D	N/D	Sì
Blocchi geo	Sì	Sì	Opzionale	Opzionale
Limiti/registro RG	Sì	Sì	Opzionale	N/D
KYC/AML (operatore)	Sì	Sì	N/D	N/D
TAC/BI	Sì	Sì	Sì	Sì
Report GGR/puntata	Sì	Sì	N/D	N/D
Pubblicità/affiliati	Sì	Sì	N/D	N/D

6) Assegno-foglio di richiesta

Blocco aziendale

Struttura di proprietà/beneficiari/SoF/SoW.
Giurista/rappresentante locale, autorità ufficiali.

Finanza

Report/piano verificati.
Garanzia bancaria/assicurazione/deposito.

Tecnica

Architettura, osservazione/loging/controllo, CI/CD, gestione delle modifiche.
BCP/DR (RTO/RPO, protocolli di prova), sicurezza (crittografia, IAM, segreti).
RNG/certificazione dei contenuti, controllo delle release dei giochi.

Operazioni/criteri

RG/KYC/AML, denunce, incidenti/reportage, zapport/SLA.
Pubblicità/affiliati: regole, modelli, libreria creativa.

Reporting

Formati di caricamento, frequenze, file di prova, contatti.

7) Controllo in vendita: Policy-/Controlls-as-Code

Esempio di controllo RG del limite di perdita (adattabile al paese):

yaml control_id: RG-LIMIT-LOSS-DAILY scope: bets trigger: loss_today > limit_loss_daily actions:
- block: further_bets
- notify: player_template_rg_limit evidence:
fields: [loss_today, limit, messages_sent, ack]
overrides:
- country: <ISO>
set: {limit_loss_daily: <amount>, cool_off_hours: <N>}
owner: rg_officer review_sla_days: 180

Esempio di controllo AML velocity (depositi):

yaml control_id: AML-VELOCITY-01 scope: deposits trigger:
expr: rolling_sum(amount, 1h) > baseline_30d3 OR count_unique(payment_method,1h)>=3 actions:
- flag: aml_review
- limit: withdrawals "hold_24h"
- notify: mlro evidence:
store: s3://evidence/aml-velocity/{player_id}/{ts}
owner: mlro

Gate di rilascio per paese/licenza:

yaml policy_id: RELEASE-GATE-COMPLIANCE require:
- country_overrides_present: true
- report_schemas_valid: true
- rg_controls_enabled: true
- ads_templates_localized: true on_fail: block_release

8) Gestione delle modifiche alla licenza (sezioni SOP)

SOP Aggiungi un nuovo marchio (skin)

1. Controlla le condizioni di licenza (se il brand authorization è consentito).
2. Registra marchio/dominio/localizzazione/etichette di età.
3. Associa regole e report a RG/KYC/AML/Ads.
4. Prova report (brand-split), attiva la registrazione.
5. Informare il regolatore/banche (se necessario), fissare l'evidence.

Connetti il nuovo provider di giochi

1. Controlla lo stato/i certificati del provider nel Registro di sistema.
2. Allineare contenuti/verticali, personalizzare RNG/metriche/logica.
3. Aggiorna il report (ID gioco/provider).
4. Rilasciare il comunicato attraverso policy-gate, raccogliere l'evidence.

9) RACI (funzioni)

Attività	R	A	C	I
Richiesta di licenza/rinnovo	Head of Compliance	COO	Legal/Finance	C-level
Accesso tecnico/verifiche	Platform/SRE	CTO	Security/Compliance	Legal
Processi RG/KYC/AML	RG/AML Officers	Head of Compliance	Product/CRM	Support
Pubblicità/affiliati	Marketing Compliance	CMO	Legal/Brand	Finance
Rapporti/tasse	Data/BI	Head of Compliance	Finance	C-level

10) Calendario degli impegni (Compliance Calendar, esempio)

Ogni giorno: RG/AML monitoraggio, incidente-reportage sui fatti.
Ogni settimana: resoconto integrativo dei provider/pagamenti, verifica del rispetto degli alert.
Ogni mese: scarichi regolatori (GGR/bet/RG valigette), controlli con DWH.
Trimestrale: controllo/scan di sicurezza, report dei provider, ruota Policy/Controlls.
Semestrale/anno: rinnovo dei certificati RNG/IB, controllo dell'efficacia dei controlli, rinnovo delle licenze/autorizzazioni.

11) Anti-pattern

«Licenza è - Processi successivi»: nessun Controlls-as-Code, report ed evidence.
Due versioni della verità: Report Excel e loghi produttivi.
La mancanza di brand-split nei dati, il «totale» di metriche.
EDD manuali senza regolamenti/scadenze e registrazioni.
Pubblicità attraverso affiliati senza KYB e libreria creativa.
Nessun DOTTOR test/registro delle modifiche per RNG/giochi.

12) Metriche di maturità

Controllori di coverage: ≥ 95% punti critici (registrazione/deposito/tasso/output/bonus).
Reporting SLA: tempo di caricamento del 98%, errori schematici = 0.
Evidence completeness: ≥ il 98% dei pacchetti corretti.
RG/AML KPIS: percentuale di valigette evitate/scalate, False Positive .
≤ findings TTR: chiusura di 90 giorni.
Policy review SLA - Revisioni scadute = 0.

13) Piano di implementazione 30/60/90

30 giorni (fondamenta):

Crea un registro licenze e una tassonomia dei requisiti di ruolo/verticale.
Sollevare il set di base Controlls-as-Code (RG/AML/Report).
Assembla modelli di applicazione (corporate/finanziari/quelli/operativi).
Abilita release-gate compliance in CI.

60 giorni (scalabilità):

Collegare le vetrine di report e automatizzare i download (brand-split, country-split).
Incorporare RG/KYC/AML nei flow alimentari; avvia evidence-by-design.
Effettua il primo check-in interno e test DR/BCP con licenza RTO/RPO.

90 giorni (fissaggio):

i controlli con il 95% dei punti critici, Reporting SLA con il 98%.
Formalizzare RACI e calendario degli impegni; allinea KPI ai comandi OKR.
Preparare il pacchetto per il rinnovo/variazione della licenza (variazioni marchi/verticali).

14) FAQ

Q: Cosa scegliere, licenza personale o white-label?
A: La propria licenza è superiore a SARECH/scadenza, ma il controllo e la valutazione del business è superiore. White-label: avvio più rapido, flessibilità/valutazione, dipendenza dal titolare della licenza.

Q: Come ridurre al minimo i rischi di rifiuto?
A: Robusta tecnologia (sicurezza/DR/osservabilità), garanzie finanziarie, trasparenti, processi RG/AML maturi e «evidence-by-design».

Q: Come gestire le modifiche dei provider/contenuti?
A: Attraverso le procedure variation: negoziazione preliminare, controllo delle versioni dei giochi/RNG, reporting e registrazione delle release.