Architettura dei pagamenti in iGaming

Architettura dei pagamenti in iGaming

1) Ruolo dei pagamenti in P&L e compilazione

• Conversione deposito (Auth Rate, Friction, 3DS/SCA) e velocità di output (T + 0/T + 1).
• Costo: MDR/interchange, prelievi PSP/banche, FX/conversione, antifrode/charjbeek.
• Rischio e regolazione: KYC/AML, limiti e Resonibile Gaming (RG), PSD2/SCA/GDPR/PCI DSS.
• Affidabilità: disponibilità, failover PSP, espansione dei rischi e SLA stabili.

2) Paesaggio target

Canali di input: mappe (Visa/Mastercard/MIR/UnionPay), APM (Apple/Google Pay), open banking/instant payments (SEPA Instant, Faster Payments, Pix, UPI), e-portafogli, voucher, terminali di contanti (locali).
Canali di output: uscita SEPA/ACH/FPS, Pix/UPI, card-to-card (OCT/Originale Credit Transfer), portafogli, rotaie locali; per «cash at cage» - pagamenti offline.
I livelli intermedi sono: orchestratore PSP, antifrode, gateway di compilazione (KYC/AML/sanzioni), Ledger (gioco/moneta), deposito token, ricompressione (Recordation), report.

3) Domini funzionali

3. 1 Accettazione dei pagamenti

Smart Routing: selezione PSP in base a BIN/paese/banca/assegno di rischio/costo; cascata (Retry d'Alt-PSP) e parziale approvals.
3DS/SCA: orchestrazione dinamica (frictionless vs challenge), TRE/Whitelisting, eccezioni PSD2 (LVA, MOTO, MIT).
Tokening: cassette di sicurezza e token di rete (NTokens), COF/CIT/MIT frame, vaulted cards.
UI/UX: localizzazione delle valute, APM per GEO/UA, 1-click dopo KYC, raccolte/limiti trasparenti.

3. 2 Pagamenti (Payouts)

Le regole di priorità sono velocità (instant/near-instant), costo, disponibilità del canale.
Anti-arb e RG: conclusioni ritardate (cool-off), controlli di origine dei fondi, limiti velocity, deposito di vincite controverse (fraud/AML).
KYT (Know Your Communication) - Monitoraggio di pattern (mulling/abbreviazione), comunicazioni di dispositivi e mappe, elenchi di esclusioni.

3. 3 Antifrode e rischio

I segnali sono: device-fingerprint, biometria comportamentale, BIN/crediti debiti, proxy/VPN, velocity, rate-event del nucleo di gioco (win→withdraw anomalo).
Skoring: ML + regole (weighted feature, SHAP-Control), A/B sulla regola delle soglie.
strategia 3DS: target solo ad alto rischio/assegno alto; ottimizziamo «challenge rate» e «frictionless share».
Charjbeck: alert precoce, Order Insight/CAA, RDR/ODR (Vendor), dati di prova (KYC, IP, login trace, logist).

3. 4 KYC/AML/Sanzioni/PEP

Tiering: L0 (email/telefono) → L1 (ID/età) → L2 (Proof Address/SOW/SOF) → L3 (EDD).
Sanzioni/RER: orchestrazione dei provider, fuzzy matching, escalation auto.
Monitoraggio transazionale: regole + ML, script SAR/TR, report di soglia, frontiere contanti/crypto-ponti (se applicabile).
Frequenza di aggiornamento KYC: rischio-base; event (cambio dispositivo/canale/comportamento) trigger refresh.

3. 5 Ledger, portafogli e contabilità

Doppio conto: Ledger giochi (saldo, tassi, vincite, obbligazioni di bonus) e Ledger valuta (depositi/conclusioni/commissioni/tasse).
Obblighi ritardati: bonus/frisine/jackpot/progressivi - come passività.
Scorciatoie: T + 0/T + 1 con PSP/banche, discovery inattività, correzione automatica.
Multivaluta/FX: spotch/conversione, manuale di corso (provider), PnL per il delta FX.

4) Requisiti non conformi

Disponibilità e scala

Orchestratore attivo (multi-region), failover automatico PSP, degrado mantenendo il percorso core.
SLO/SLA Riceviamo il numero 99. 95%, autorizzazione media <3 c, successo cascata <7 c; pagamento instant 60 c (quota), near-instant 15 min.

Sicurezza e privacy

PCI DSS: segmentazione delle zone, riduzione di Cardholder Data Environment (CDE), tokenizzazione, scan/pen test.
GDPR/analogie locali: minimizzazione dei dati, DSR/rimozione, controllo delle disponibilità.
Supply-chain security: assiemi firmati, SBOM, SAST/DAST, chiavi/segreti (HSM/KMS), tamper-evident logs.

5) Pianificazione e routing PSP

Algoritmo di instradamento (riferimento)

1. Pre-screening: GEO, BIN/IIN, profilo di rischio, assegno.
2. Regole di costo/successo: Storico Auth Rate x Fee Screen PSP.
3. Salute tecnica: latency/errori/bauns - realtime multa.
4. 3DS/SCA criterio: TRA/Exemptions → la selezione del flow.
5. Cascata: PSP-A-PSP-B APM-open banking; manteniamo l'idimpotenza.

Smart Retry

Distribuiamo «reason codes», applichiamo time-backoff, cambiamo strategia 3DS, gateway account, BIN-white/black-lists.
Memorizziamo «payment intent» e idempotency key per evitare il doppio carico su Ledger.

6) Archetipi regionali (prescrizioni rapide)

UE/Regno Unito: PSD2/SCA, SEPA Instant, Faster Payments, mappe + open banking; alto peso della strategia 3DS e degli afilliati.
USA: mappe + ACH (controlli in due fasi), App i ritocchi sui pagamenti P2P istantanei, il controllo charjback è critico.
LATAM: Pix (Brasile), SPEI (Messico), PSE (Colombia), voucher/contanti; percorso - APM-heavy, antifrode per dispositivi e documenti.
Turchia/CA: ARM/crypto-ponti locali (se consentito), trasferimenti bancari; alto peso specifico di AML/sanzioni.
India/Asia: UPI, e-portafogli, reti di mappe locali; limiti, velocity e rischio real-time.

7) Gioco responsabile (RG) nel circuito di pagamento

Limiti: depositi/perdite/tempo/conclusioni; →-off e l'auto-esclusione del blocco di tutti i canali di pagamento.
Afordability - Verifica della disponibilità dei costi (open banking/indicatori di credito) - Richieste lievi.
Marketing: proibizione'senza rischi '; bonus T&C trasparenti; Controllo degli affiliati/origine del traffico.

8) Report, analisi e previsioni

Report giornalieri: Authorizations, Declins by reason, Marceback rate, Refund rate, Payout time, Net Payment Margin.
Crocifisso: Ledger PSP Payouts Bank; triangolazione delle anomalie.
Le previsioni includono la stagionalità della conversione, l'elasticità della commissione/frod-soglia, la necessità di capitale circolante per i pagamenti.

9) KPI/metriche (punti di riferimento)

Auth Rate (mappe): EU 85-92%, US 80-88%, LATAM 70-85% (prima dell'orchestra).
Share of Instant Payouts: 70% di assegni leggeri.
Chargeback Rate: < 0. 5% count, 0. 9% in volume (dipende dal prodotto/regione).
3DS Challenge Rate: <10-20% (segmentalmente), Frictionless 70%.
PSP Concertation: indice Herfindahl <0. 35 (diversificazione).
OPEX per i pagamenti (in% del deposito): corridoio di destinazione 1. 2–2. 0% con un'orchestra matura.

10) Incidenti e resilienza

Playbooks: Decolli di massa (issuer/PSP outage), 3DS ACS degrado, Pix/UPI ritardi, banca-festività, picco di charjbeek.
Fitch di stabilità: «grace balance» per un breve periodo (solo profili sicuri), APM auto switch, «queued payouts» in caso di guasto di banca, «circuito breaker» per anomalie.
Comunicazioni: stato-pagina, modelli di notifica, rimborsi/voucher.

11) Fogli di assegno di compilazione

PCI DSS

• Segmentazione CDE, tornitura, PAN fuori applicazione.
• Certificazione annuale, scan, pen test, registri di accesso.

GDPR/Privacy

• Data minimization, DSR/rimozione, DPIA per l'antifrode, crittografia at-rest/in-transit.
• DPA con PSP/provider, flussi transfrontalieri.

KYC/AML

• Criteri CDD/EDD, Sanzioni/RER, KYT, Script TR/SAR.
• Limiti di soglia e revisioni; Registro delle soluzioni.

RG/Marketing

• Limiti/auto-esclusione, discreteria visibile.
• Controllo degli affiliati, divieto di youth-targeting.

12) Riferimento architettonico (livelli)

1. Checkout Layer (UI/localizzazione/APM Discovery).
2. Payment Orchestrator (routing, retries, rules, A/B).
3. Risk Engine (device, behavior, ML, 3DS policy).
4. Compliance Hub (KYC, sanctions, KYT, RG).
5. Wallet & Ledgers (gioco/denaro, bonus-passivo).
6. Recordation & Reporting (PSP/banca/GL, tasse).
7. Observability & Security (metrics/logs/traces, PCI/GDPR).
8. Data/ML (modelli di frod, LTV-screening, personalizzazione dei limiti).

13) Road map di implementazione

Fase 0 (2-4 settimane): controllo delle attuali PSP/metriche, GAP PCI/KYC/RG, produzione KPI, selezione dell'orchestratore.
Fase 1 (6-8 settimane): ricezione multi-PSP + open banking/APM, antifrode di base, politica 3DS, tornizzazione.
Fase 2 (8-12 settimane): instant payouts, KYT, incroci completi T + 0/T + 1, report CFO.
Fase 3 (12 + settimane): frod ML, routing dinamico costo/successo, afordability, real-time «circuito breaker».

14) Cosa è importante ricordare

L'architettura dei pagamenti è un'orchestrazione: la combinazione corretta di canali, PSP e antifrode migliora la conversione e riduce i costi.
Sicurezza/compilazione (PCI, GDPR, KYC/AML, RG) - fondamenta; Senza di loro, scalare è pericoloso.
Scorciatoie e contabilità - Supporto CFO/Controllo: T + 0/T + 1, tracciabilità completa, disegni separati.
La regionalità decide se aprire i binari locali (PIX/UPI/SEPA Instant/FPS) e adattare la strategia UX e 3DS alla banca emittente/regione.