Transazioni e Complaens → Mappa regolatoria dei mercati iGaming

Regolazione dei mercati iGaming

1) Perché hai bisogno di una carta regolatoria

Il lavoro su più mercati si basa sulla parità e la rilevanza dei requisiti. La carta è un unico catalogo di paesi con campi normalizzati: tipo di licenza, requisiti KYC/AML, vincoli RG, regole pubblicitarie/affiliate, metodi di pagamento, modello fiscale, rapporti, provider e linee rosse locali.

Obiettivi:

Accelerare il g-/no-go e la priorità dei paesi.
Semplificare i provider on-boarding, pubblicità e pagamenti con norme locali.
Ridurre i rischi penali/reputazionali e il costo della compilazione.
Dà a Ops/Compliance un'unica fonte di verità (SSOT).

2) Tassonomia dei campi (che si registra in ogni paese)

Metadati di base

Paese/regione, stato di mercato (regolamentato/grigio/vietato), verticale disponibile (casino, live, betting, poker, lotto).
Modello di accesso licenza locale/.com limitata/partnership con il titolare locale.

Licenza e supervisione

Regolatore (s), tipi di licenze (B2C/B2V/categorie secondarie), requisiti di presenza locale.
Procedure di verifica (tecnica, finanziaria, RNG) e frequenza.

KYC/AML

Controllo di base (identity, address), trigger EDD, controllo RER/sanzioni, conservazione dei dati.
Regole di origine dei fondi, vincolo velocity e escalation.

Responsible Gaming (RG)

Limiti di età, limiti di deposito/perdita/tempo, auto-esclusione, cooling-off, registri locali.

Pubblicità e affiliati

Canali/slot temporali/visidi di contenuti, indicatori di età, divieti di formulazione «senza rischi».
Requisiti per gli affiliati (contratti, divulgazione, UTM reali, black list pratiche).

Pagamenti e provider

Metodi autorizzati (carte, banche, portafogli, voucher), processori locali, requisiti di charjback/rimborsi.
Requisiti per i fornitori B2B di giochi/pagamenti (licenze, rapporti, SLA).

Dati/Privacy e protezione

Modalità dati personali (GDPR-norme simili/locali).
Localizzazione/trasferimento transfrontaliero, conservazione, diritti del soggetto.

Tasse e rapporti

Base fiscale (spesso GGR/turnover/tariffe), periodi di segnalazione, formati di carico.
Finmonitoring, resoconto RG/AML obbligatorio, incidente-reportage.

Vincoli e linee rosse

Le pratiche di marketing nero/grigio, i divieti di meccanica bonus, i limiti di jackpot, le limitazioni notturne, ecc.

3) Modello di dati (wireframe)

yaml country: <ISO-2>
market_status: regulated    restricted    prohibited    grey verticals: [casino, live, betting, poker, lotto]
entry_model: local_license    partner. com_limited regulator:
name: <...>
site: <ref>
licenses:
b2c: [<type_a>, <type_b>]
b2b: [<rng>, <platform>, <payment_provider>]
kyc_aml:
base: [id, address, pep_sanctions]
edd_triggers: [amount_spike, multiple_methods, high_risk_geo]
retention_days: <int>
rg:
limits: {deposit: required    optional, loss: required    optional, time: optional}
self_exclusion: registry    internal    none ads_affiliates:
allowed_channels: [tv, ooh, digital, influencer]
disclaimers_required: true    false affiliate_rules: [kyb_required, utm_registry]
payments:
methods_allowed: [cards, bank_transfer, wallet, voucher, cash]
withdrawals_rule: source_to_source    required_checks privacy_security:
regime: gdpr_like    local data_localization: required    not_required tax_reporting:
tax_model: ggr    turnover    mixed reporting: {frequency: monthly    quarterly    realtime, formats: [csv, api]}
providers:
game_providers_requirements: [license, testing, rng]
payment_providers_requirements: [local_presence, settlement_rules]
red_lines: [no_risk_free_claims, minors_targeting_ban]
last_review: YYYY-MM-DD owner: compliance_team

4) Mappa dei rischi e priorità dei paesi

Assi di valutazione:

Regolatory Risk (rigidità/incertezza/multe).
Go-To-Market Effort (licenze/localizzazione/integrazione).
Unità Economics (oneri fiscali/commissioni di pagamento/ARPU previsione).
Operational Complex (RG/Report/Vendor).

Skoring (esempio): 'Score = (Economics - Risk - Complexity) x Readì, dove Readoverè la maturità dei nostri processi (KYC/AML/RG/Reporting) sotto una giurisdizione specifica.

Cluster di priorità: A (avvio 6-9 mes), B (preparazione), C (ricerca).

5) Matrice di corrispondenza (conformance map)

Confrontiamo le nostre politiche/controlli con i requisiti del paese:

Requisiti del paese	La nostra politica/controllo	Stato	Gap/piano
Auto-esclusione tramite registro gos	RG-POL-001 / CTRL:RG-EXC-002	Parzialmente	Integrazione con il registro, ETA Q1
Rapporto AML SAR in N giorni	AML-POL-003 / SOP:AML-SAR	Corrisponde	—
Limitazione alla creatività	ADS-POL-002	Richiede una precisazione	Modelli/assegno-foglio attraverso i canali

6) Controlls-/Policy-as-Code (frammenti)

Controllo dei limiti RG (includiamo/configuriamo il paese):

yaml control_id: RG-LIM-DAILY judgments: [""] # defaults, redefined in trigger country: loss_today> limit_loss_daily actions:
- block: betting
- notify: player_template_rg_7 overrides:
- when: country==<ISO>
set: {limit_loss_daily: <local_rule>, cool_off_hours: <N>}

Prenotazioni di marketing (disclaimer rule):

yaml policy_id: ADS-DISCL-001 require:
- on_all_creatives: age_restriction
- on_bonus: wagering_conditions ban:
- wording: ["risk-free", "guaranteed win"]
overrides:
- country: <ISO>
additions: {time_window: "22:00-06:00 ban TV"}

Report (formati/frequenze):

yaml reporting:
frequency: monthly exports: [revenue_by_vertical, rg_cases, aml_sar]
transport: sftp    api overrides:
- country: <ISO>
frequency: realtime exports: [bet_level, session_level]

7) Dashboard di regolazione (cosa mostrare)

Stato di licenza/integrazione/regole per paese.
Compliance Heatmap: KYC/AML/RG/Ads/Privacy - verde/giallo/rosso.
Evidence Coverage - Percentuale di operazioni con prove corrette.
Reporting SLA: tempestività di caricamento/errori di schema/convalida.
Risk Register: rischi top per paese, piano di allentamento, ETA.

8) Processi e RACI

SOP Aggiungi o aggiorna paese

1. La valutazione giuridica e il mapping dei requisiti del paese.
2. Configurazione di Policy-/Controlls-as-Code e report.
3. Provider/pagamenti: due diligence e test.
4. Battle-test è stato → da un pilota 1-5% del traffico.
5. Attivazione + monitoraggio KPI e regolatori.

RACI (sezione):

Attività	R	A	C	I
Modello paese/scheda	Compliance Analyst	Head of Compliance	Legal, Security	Ops
Configurazione dei controlli	SRE/Platform	Head of Ops	Compliance	Domains
Reporting	Data/BI	Head of Compliance	Legal	Finance
Pubblicità/affiliati	Marketing Compliance	CMO	Legal/Brand	Finance

9) Assegno-fogli dì diligence

Nuovo paese

Il regolatore e il tipo di licenza sono consentiti verticalmente.
KYC/AML/RG mupping e overrides nei controlli.
Ads/Affiliates regole e modelli di riserva.
Privacy/localizzazione dei dati, conservazione.
Pagamenti: metodi disponibili, regole di rimborso/ritiro.
Report: formati, trasporti, frequenze; Caricamento test.
Provider: requisiti e verifiche.
I rischi/linee rosse sono registrati.

Nuova affiliazione/canale

KYB, contratto, registro UTM, librerie creative.
Restrizioni targeting (età/geo).
Politica claim-ow e frasi proibite.
Meccanismo di sospensione del traffico in caso di violazione.

10) Anti-pattern

Due versioni di verità: tabelle Excel separate dai controllori di prua.
Interpretazioni locali non testate senza conferma.
Regole universali per la pubblicità senza country-overrides.
Nessun archivio evidence e nessun report SLA.
Mappa senza proprietari e revisione regolare.

11) Metriche di maturità

Coverage paesi: le schede dei paesi con campi completi sono pari al 90%.
Controlls Alienment è la percentuale di controllori con country-overrides in cui si desidera il 95%.
Reporting SLA: data di scaricamento del 98%.
Evidence Completeness è il 98% dei set di prove.
≤ Findings TTR: chiusura dei commenti per 90 giorni.
Invident Leakage - Percentuale di violazioni di marketing/RG è un trend al ribasso.

12) Integrazioni

Docs-/Policy-/Controlls-as-Code è un unico repository con ruspa/LI-lente.
CRM/Payments/DWH: regole country-aware, vetrine di report.
Osservabilità: alert alla deriva di conformità (il controllo non ha funzionato, il rapporto non è andato).
Assistente alla compilazione AI: ricerca delle schede dei paesi, suggerimenti sugli overrides e bozze di report.

13) Piano di implementazione 30/60/90

30 giorni (fondamenta):

Approva tassonomia dei campi e modello di tessera del paese.
Espandi il repository «reg-map/» (docs/polices/controlls/reports).
Portare 5-7 paesi chiave sul portafoglio corrente, personalizzare overrides base.
Sollevare i dashboard Coverage/Heatmap/Reporting SLA.

60 giorni (scalabilità):

Aggiungi registri e collegamenti di pagamento/pubblicità/provider.
Attiva lo storage evidence per RG/AML/Ads.
Automatizza il test di esportazione dei report e la convalida degli schemi.
Incorporare gli alert sulla deriva regolatoria.

90 giorni (fissaggio):

Coprire il 90% dei paesi target, fare un controllo interno del design dei controlli.
Collega la scheda di regolazione KPI a OKR (Reporting SLA, Evidence, Audit TTR).
Aggiornamenti trimestrali regolari delle schede dei paesi e dei processi.

14) FAQ

Q: Come mantenere aggiornata la mappa?
A: Revisione delle schede ogni 90-180 giorni, promemoria CI per «last _ review», alert per le incongruenze di report/controllo.

Q: Cosa fare in caso di contraddizioni tra le norme dei paesi?
A: Applicare una norma più rigorosa o separare i flow alimentari per geo con overrides separati.

Come collegare la mappa al prodotto?
A: Tramite Controlls-as-Code, le regole vengono attivate in «country »/« brand »/« vertical», mentre le vetrine di report raccolgono automaticamente i campi desiderati.