Norwegia - Lotteri- og stiftelsestilsynet

(Sekcja: „Rynki i jurysdykcje”)

1) Obraz rynku i regulator

• Norsk Tipping - zakłady, gry online/formaty kasyna, loterie natychmiastowe.
• Norsk Rikstoto - wzajemne zakłady na wyścigi konne.
• Prywatni operatorzy B2C nie mogą pracować w Norwegii bez mandatu państwowego. W przypadku dostawców B2B partnerstwa są możliwe wyłącznie za pośrednictwem konturów operatorów państwowych (w ramach przetargów/umów o dostawę treści/usług platformowych).

2) Role i obowiązki

Ministerstwo Kultury i Równości - polityka hazardowa i reklamowa, akty ramowe.
LST - kontrola przestrzegania prawa, inspekcje, recepty, blokowanie rejestrów, koordynacja odpowiedzialnej zabawy, sankcje.
Nkom/dostawcy komunikacji - wykonanie domeny/blokad reklamowych zgodnie z zaleceniami.
Banki i PSP - realizacja przepisów dotyczących bloków płatności dla witryn nielicencjonowanych.
Organy ochrony konsumentów i nadzór mediów - kontrola komunikatów reklamowych i praktyk marketingowych.

3) Co jest dozwolone i co jest zabronione

Dozwolone: działalność Norsk Tipping i Norsk Rikstoto; loterie charytatywne/społeczne na specjalne przyjęcia z ograniczonym zestawem żywności.
Zakazane: działalność B2C prywatnych operatorów kasyn/gier/zakładów bez mandatu rządu; agresywna reklama gier hazardowych skierowana do nieletnich; oferowanie usług z domen innych niż białe.
Środki grupowe: LST stosuje bloki płatności i DNS do nielegalnych zasobów, a także nakazuje usunięcie reklam i zaprzestanie działań marketingowych w Norwegii (w tym morskich kanałów medialnych).

4) Pętla podatkowa i płatnicza (wysoki poziom)

Model fiskalny dla operatorów państwowych określa indywidualne akty prawne i zasady budżetowe (docelowy model odliczeń dla projektów sportowych/kulturalnych/społecznych); dla loterii charytatywnych - specjalny reżim z dyscypliną sprawozdawczą.
VAT: zakłady/wygrane, zwykle poza zakresem VAT; usługi powiązane (informatyczne, marketingowe, konsultingowe) podlegają ogólnym zasadom.
Płatności: Banki/dostawcy usług płatniczych są zobowiązani do przestrzegania ograniczeń płatności na rzecz dostawców nieuprawnionych; kategorie handlowców i trasy płatności są monitorowane, a obwodnice są tłumione.

5) AML/KYC i odpowiedzialna gra

KYC/KYB: identyfikacja/wiek (18 +), weryfikacja sankcji/POP, potwierdzenie środków płatniczych; w przypadku zezwoleń charytatywnych - sprawdzenie przydatności organizatorów.
Monitorowanie transakcji: ograniczenia, anomalie behawioralne, linki do kont/instrumentów płatniczych, eskalacja STR/SAR do organów.
Responsible Gaming (RG): osobisty depozyt/strata/terminy, „timeouts”, self-exclusion, widoczny sklep RG i dostęp do pomocy (w tym krajowej infolinii). Dla operatorów rządowych limity są obowiązkowe i wbudowane w UX.
Przechowywanie danych: przechowywanie CUS/logów zgodnie z warunkami prawa, zgodność RODO, ochrona danych na poziomie norm europejskich.

6) Reklama, promocja i partnerzy

Zakazy: skierowane do małoletnich i słabszych grup; reklama „gwarantowanych wygranych”; agresywne oferty; korzystanie z kanałów „streamer” skoncentrowanych na Norwegii w celu promowania nielegalnych imigrantów.
Odpowiedzialna komunikacja: etykietowanie RG, ostrzeżenia o ryzyku, moderowanie kreatywności i częstotliwość pokazów.
Podmioty powiązane: dla operatorów państwowych - scentralizowane umowy/wytyczne; promowaniu nielegalnych marek w Norwegii podlegają recepty i grzywny, w tym wymogi dotyczące usuwania treści i blokowania strumieni reklamowych.

7) Wymagania techniczne i dostęp regulatora

Rejestrowanie: niezmienna transakcja/stopa/dzienniki korekty, synchronizacja czasu, identyfikowalność końcowa „stawka → obliczanie → płatność → korekta”.
Dostęp LST: bezpieczne przesyłanie/API, konta testowe, regularne żądania danych (w tym RG/AML).
Niezawodność/bezpieczeństwo: DR/BCP z docelowym RPO/RTO, szyfrowanie w czasie odpoczynku/tranzytu, RBAC/SoD, okresowe pentesty/skany.

8) Kontrole i działania egzekucyjne

Urząd: porównanie sprawozdawczości i rozliczeń, analiza anomalii GGR/NGR, zgodność z limitami i procedurami RG.
Audyt terenowy/informatyczny: inspekcja dziennika, sesje pobierania próbek, wywiady z personelem, weryfikacja tras płatności i integracja reklam.
Sankcje: grzywny i recepty, blokowanie domen/płatności, wymagania dotyczące usuwania materiałów reklamowych; w przypadku naruszeń systemowych - ściślejsze monitorowanie i środki sądowe.

9) Plan działania dla dostawców/partnerów

1. Model współpracy: określenie roli (studio treści, platforma, zarządzanie ryzykiem, zwalczanie nadużyć finansowych, płatności, narzędzia RG).
2. Zgodność: certyfikacja RNG/modułu, bezpieczny rozwój (SDLC), rejestrowanie WORM, kompatybilność RODR.
3. Pakiet zgodności: zasady AML/KYC i RG, schematy limitów, instrukcje identyfikacji wrażliwych graczy, proces STR/SAR.
4. Integracja: formaty danych/raportowania, interfejsy API, SLA dostępności i incydentów, plan DR/BCP.
5. Marketing: całkowita odmowa promowania niezatwierdzonych marek B2C dla Norwegii; zgodność z wytycznymi operatorów państwowych.
6. Pilot i UAT: przypadki badań obliczeń/limitów/samodzielnych wykluczeń, poprawność formularzy rozliczeniowych i sprawozdawczych.
7. Operacje: dziennik incydentów, dziennik zgodności, cykl audytu (wewnętrzny/zewnętrzny).

10) Listy kontrolne zgodności

System prawny i partnerstwa

• Potwierdzone: działalność tylko za pośrednictwem operatorów państwowych (nr B2C w Norwegii).
• Umowy B2B są spójne, opisane są role i przepływy danych.
• Wyznaczone osoby odpowiedzialne za AML/RG, nawiązanie kontaktu z LST.

AML/KYC & RG

• Polityka i procedury AML/KYC, sankcje/PEP, źródło wyzwalaczy funduszy.
• Narzędzia RG: depozyt/strata/terminy, timeouts, self-exclusion; UX Showcase RG.
• Dzienniki STR/SAR i przechowywanie dokumentacji KYC na czas.
• Blokowanie marketingu dla grup samodzielnie wykluczonych i wrażliwych.

IT i Bezpieczeństwo

• Certyfikacja RNG/modułu; kontrola wersji i CI/CD z kontrolami.
• Dzienniki WORM, synchronizacja czasu, retencja dziennika.
• Plan DR/BCP, pentests/scans, RBAC/SoD, szyfrowanie.
• API/przesyłki dla LST i kont testowych.

Marketing & Affiliates

Zakaz promocji marki bez licencji dla odbiorców w Norwegii.

• Dziennik zgodności (zrzuty ekranu/adresy URL/daty), procedura szybkiego sprzężenia zwrotnego.
• Oznaczenia RG i poprawne T&C na wszystkich mediach.

11) KPI i kontrola operacyjna

Podatki: 99% + terminowa sprawozdawczość; rozbieżności w rozliczaniu <0. 5%.
AML/KYC: średni czas weryfikacji, frakcja fałszywych dodatnich, SLA eskalacji.
RG: odsetek graczy z aktywnymi limitami; Self-exclusion TTR <1 min; odsetek incydentów według RG.
Infobez: incydenty MTTR; pentestowanie; zamykanie krytycznych luk na czas.
Marketing: 0 przypadków promocji niezatwierdzonych marek do Norwegii; szybkość recall twórców.

12) FAQ

Czy mogę uzyskać prywatną licencję B2C?
Nie, nie jest. Główne rodzaje gier hazardowych przypisane są do Norsk Tipping i Norsk Rikstoto.

Czy istnieje biała lista domen i płatności?
Tak, zrobiłem to. LST obsługuje tryb blokowania domeny/płatności dla nielegalnych imigrantów; współpraca banku/PSP jest obowiązkowa.

Jak działa dostawca treści/technologii?
Poprzez przetargi/umowy z operatorami państwowymi; wymaga certyfikacji technicznej, zasad RG/AML i kompatybilnych formatów raportowania.

Jakie są wymagania reklamowe?
Surowe ograniczenia: brak ukierunkowania nieletnich/podatnych na zagrożenia, brak agresywnych ofert; promowanie nielegalnych imigrantów jest przedmiotem sankcji.

Uwaga

Regulacje i wytyczne LST są okresowo aktualizowane (w tym praktyki blokowania płatności i domen, metryki RG i formaty raportowania). Przed rozpoczęciem integracji i kampanii sprawdź aktualne wymagania i specyfikacje techniczne w celu wyeliminowania recept, grzywien i zawieszeń.