Лицензирование в Канаде

1) Картина целиком: федерация, провинции и исключения

Канадская модель азартных игр строится вокруг Criminal Code, который запрещает азартные игры, кроме случаев, когда они проводятся и управляются (conducted & managed) провинциями/территориями или уполномоченными ими организациями.

1. Провинциальная юрисдикция: каждая провинция решает, как именно организовать рынок (госпредприятия, монополии, концессии, открытые реестры и т. п.).

2. Онтарио как «открытый рынок»: с 2022 года провинция позволяет частным операторам работать в связке с AGCO (регулятор) и iGaming Ontario — iGO (госпровайдер, через которого рынок «conducted & managed»).

3. Kahnawà:ke Gaming Commission (KGC): регулятор Мохокской Территории Кахнава́ке. Его лицензирование исторически значимо для международного хостинга и B2B/B2C-портфелей, однако для легальной работы с игроками Онтарио нужен отдельный режим AGCO/iGO; для других провинций — собственные модели этих провинций.

2) Основные модели

2.1 Онтарио: AGCO + iGaming Ontario (iGO)

Регулятор: AGCO устанавливает Registrar’s Standards for Internet Gaming (RG/AML/реклама/техконтроли).
Операторская модель: частный оператор заключает Operating Agreement с iGO, получает registration у AGCO и технически подключается к реестру/требованиям iGO. Формально игры «проводятся и управляются» iGO, а оператор — «поставщик услуг».
Вертикали: казино/слоты, ставки, покер/бингo и т. п.
Ключевые особенности: строгие стандарты Responsible Gambling, маркетинга, техконтролей; отчетность и ревеню-шэр с iGO (по сути функциональный аналог GGR-налогообложения).

2.2 Kahnawà:ke: KGC

Регулятор: Kahnawà:ke Gaming Commission.
Периметр лицензий: клиентская лицензия оператора (Client Provider Authorization), поставщики/платформы (Interactive Gaming Licence через Key Person/Key Equipment Providers) и хостинг в дата-центре Mohawk Internet Technologies (традиционно).

• Для Онтарио — недостаточно для легального доступа к игрокам; требуется AGCO/iGO.
• Для международных рынков — часто используется как уважаемый режим хостинга/операторской лицензии в мульти-юрисдикционных портфелях.
• Практика: сильный упор на due diligence, операционные процессы, безопасность и устойчивость инфраструктуры.

3) RG/AML/реклама/приватность — общая логика

3.1 Responsible Gambling (RG)

Инструменты игрока: лимиты депозитов/потерь/времени, тайм-ауты, самоисключение, reality-checks, история активности.
Провинциальные реестры самоисключения: в Онтарио — провинциальный контур (в синхронизации с iGO); оператор обязан онлайн-проверять статусы.
Поведенческий мониторинг: детектирование «ранних признаков» проблемной игры, эскалации, телеметрия интервенций.

3.2 AML/CTF и FINTRAC

PCMLTFA/FINTRAC: казино и операторы онлайн-игр в Канаде подпадают под требования AML-надзора FINTRAC (Customer Due Diligence, EDD, крупные/подозрительные транзакции, журналы, обучение).
KYC: удостоверение личности/возраста и адреса (в Онтарио допускаются eKYC-провайдеры, банковские проверки/двухисточниковые модели, документы/селфи).
Мониторинг транзакций: velocity/аномалии, источники средств, санкции/PEP-скрининг, журнал решений и STR/SAR-процедуры.

3.3 Реклама и аффилиаты

Онтарио (AGCO): подробные стандарты по рекламе/бонусам: запрет вводящих в заблуждение обещаний, ограничения на креативы и язык, защита несовершеннолетних/уязвимых групп, ограничение «агрессивной» промокоммуникации и инфлюенсеров (требования к аудитории, маркировке).
Аффилиаты: договорная ответственность за соблюдение RG/AML/данных, whitelisting площадок, аудит материалов, стоп-процедуры.

3.4 Приватность и данные

PIPEDA (федеральный закон о защите личных данных в коммерческом секторе) + провинциальные акты (в ряде провинций — собственные privacy-законы); в Онтарио требуется соблюдение privacy-стандартов AGCO/iGO.
DPIA/DSR: оценка рисков обработки, сроки ответов на запросы субъектов (доступ/исправление/удаление/переносимость), минимизация PII и контроль потока данных (включая трансграничные передачи).

4) Техтребования: SDLC/наблюдаемость/безопасность/DR

SDLC/релизы: контроль изменений, staging-пайплайны, подписи артефактов и SBOM, «no humans in prod», журналы релизов и откаты.
Observability: структурированные логи (без PAN/лишних PII), метрики, трассировки (OTel), SLO/SLI (latency p95/p99, error-rate), синтетические проверки «депозит/KYC/вывод», ретеншн для аудита.
Security: сегментация, mTLS, WAF/бот-менеджмент, SSO/MFA/PAM, SAST/SCA/DAST в CI/CD, регулярный пентест и отсутствие просроченных critical/high.
DR/BCP: регулярные restore-тесты, подтвержденные RTO/RPO, планы деградации (graceful).
Anti-abuse: поведенческий скоринг, device-signals, velocity-правила, анти-бонусный фреймворк.

5) Платежи: Interac-страна

Методы: Interac e-Transfer/Online, карты (с 3-D Secure), A2A/Open Banking, банковские переводы, локальные кошельки.
Требования к интеграциям: идемпотентность, HMAC-подписи webhooks, DLQ/реплей событий, мониторинг Time-to-Wallet и долей успеха/авторизаций, сверки с отчетностью iGO/провайдерами.
AML/санкции/velocity: фильтры на входящих/исходящих потоках, лимиты, ручная проверка кейсов.

6) Онтарио на практике (AGCO/iGO): что готовить

• Политики RG/AML/реклама/данные/инциденты/DR и их доказуемая реализация (дашборды, журналы, отчеты).
• Архитектура ИТ/данных, модель хранения, планы DR/BCP, уязвимости/пентест-отчеты.
• Интеграции с платежными и KYC-провайдерами, анти-фрод и мониторинг.
• Процедуры FINTRAC (обучение, кейс-менеджмент, SAR/STR, регистры крупных/подозрительных транзакций).
• Рекламная модель: white-list каналов, шаблоны креативов, договоры с аффилиатами, контроль инфлюенсеров.
• Операционная отчетность в iGO (финансы/GGR, RG-метрики, жалобы/инциденты, изменения Key Persons).

7) KGC на практике: когда и как

Для Онтарио: KGC-лицензии недостаточно; требуется AGCO/iGO для доступа к игрокам провинции.
Для международных рынков: KGC остается уважимым режимом, особенно при хостинге/B2B-портфелях и мульти-юрисдикционных стратегиях.
Подготовка: политики RG/AML/данные/инциденты/DR, due diligence бенефициаров/Key Persons, архитектура и аудит ИТ, пентест/сканы, договоры с провайдерами (контент/платежи/KYC), хостинг и SLA.

8) Налоги и отчетность (high-level)

Онтарио: экономическая модель близка к GGR-ревеню-шэру с iGO плюс регуляторные сборы; оператор ведет детальную отчетность (вертикали, бонусы/корректировки, RG/жалобы/инциденты) и сверки с PSP/банками и журналами игр/выплат.
KGC/международно: фискальные и регуляторные обязательства зависят от фактических рынков обслуживания и договоров; при кросс-бордер-модели учитывайте локальные налоги/НДС-аналитику/PE-риски.

9) Плюсы и минусы моделей

Онтарио (AGCO/iGO) — плюсы

Высокое доверие банков/PSP/медиа, прозрачные стандарты.
Четкие правила RG/рекламы, понятные техтребования.
Большой, растущий и легальный рынок с публичной статистикой.

Онтарио — минусы

Существенный OPEX комплаенса и плотная отчетность.
Строгие ограничения маркетинга/инфлюенсеров.
Требовательные техконтроли и FINTRAC-процессы.

KGC — плюсы

Уважаемый режим для международного хостинга/B2B/операторов.
Сильная операционная и техническая дисциплина.
Гибкость портфельной стратегии за пределами Онтарио.

KGC — минусы

Не дает права обслуживать игроков Онтарио (без отдельного AGCO/iGO).
Потребуются дополнительные лицензии/регистрации для отдельных рынков.
Все равно высокий стандарт due diligence и ИТ-контролей.

10) Чек-листы готовности

10.1 Definition of Ready (до подачи)

• Определен периметр: Онтарио (AGCO/iGO) и/или международный блок (KGC).
• Назначены Key Persons (MLRO/AMLO, DPO, RG-Lead, Heads Compliance/Platform/SRE/Security/Payments); собраны SoF/SoW.
• Политики AML/RG/реклама/данные/инциденты/DR утверждены; проведены тренинги; есть журналы исполнения.
• SDLC: подписи артефактов + SBOM, «no humans in prod», журнал релизов и откатов.
• Observability: SLO/SLI-дашборды, синтетические проверки «депозит/KYC/вывод», ретеншн логов.
• Security: пентест/сканы закрыты; нет просроченных critical/high.
• FINTRAC: политика, обучение, кейс-менеджмент, регистры отчетности.
• Реклама/аффилиаты: white-list каналов и креативов, договоры/стоп-процедуры.
• Платежи/KYC: договоры с провайдерами, HMAC-webhooks, идемпотентность, DLQ/реплей.
• Для Онтарио: пакет AGCO registration + iGO Operating Agreement и интеграционные артефакты.

10.2 Definition of Done (после выдачи/регистрации)

• Регуляторная/фискальная/FINTRAC-отчетность включена; владельцы KPI назначены.
• Стабильные интеграции: PSP/KYC/анти-фрод, мониторинг Time-to-Wallet и авторизаций.
• RG-инструменты активны; телеметрия интервенций и самоисключений; онлайн-проверки.
• DR/BCP: проведены restore-тесты, подтверждены RTO/RPO, оформлены акты.
• Маркетинг/аффилиаты: аудит материалов, журнал нарушений и мер, корректная маркировка.

11) Процесс (ориентиры сроков)

Критический путь: Key Persons → «живые» политики → SDLC/наблюдаемость/DR (evidence) → FINTRAC-контур → договор/регистрация (iGO/AGCO или KGC) → ввод.

12) RACI (пример для программы «Онтарио + KGC»)

13) Типовые риски и смягчение

14) Дорожная карта 90–180 дней (пример)

Месяц 1–2: gap-анализ, назначение Key Persons, запуск ремедиаций SDLC/наблюдаемости/безопасности, настройка FINTRAC-контуров.
Месяц 2–3: сбор пакета (AGCO-registration + iGO OA / KGC), пентест/сканы, акты DR, договоры с PSP/KYC/контентом.
Месяц 3–4: подача/согласование, dry-run демонстраций (дашборды, журналы, RG/AML/платежи/маркетинг), финализация интеграций.
Месяц 4–6: Q&A/вариации, финальные доработки, онбординг платежей/контента, включение отчетности и контроль KPI.

Краткий вывод

Канада — это провинциальная модель с федеральной AML-надстройкой. Для Онтарио требуется связка AGCO+iGO, где частный оператор — партнер государственному iGO и живет по строгим стандартам RG/AML/рекламы/техконтролей. KGC остается важным игроком для международного хостинга и портфельных стратегий, но не заменяет AGCO/iGO для Онтарио. Построив evidence-first культуру (SDLC/наблюдаемость/безопасность/DR, FINTRAC-процедуры, RG-телеметрия, управляемый маркетинг и аффилиаты), вы получите устойчивый доступ к платежной экосистеме и партнерам на одном из наиболее прозрачных рынков Северной Америки.