GH GambleHub

Ліцензія Італії

1) Огляд і позиціонування

ADM — Agenzia delle Dogane e dei Monopoli (бывш. AAMS) регулює дистанційні азартні ігри (GAD - Gioco a Distanza). Модель - концесія з високими вимогами до due diligence, RG/AML, захисту даних і суворої технічної інтеграції з центральною системою. Ринок зрілий, платіжна екосистема розвинена, але діє жорстка заборона публічної реклами і спонсорств - оператор спирається на органіку, SEO, власні канали і строгий CRM-комплаєнс.

Кому релевантна:
  • Брендам, націленим на стійкий EU-footprint, готовим до дисципліни «evidence-first» і роботі без класичного perf-маркетингу.
  • Платформам/В2В, що будують портфель інтеграцій з італійськими ліцензіатами і готовим до сертифікації за вимогами ADM.

2) Типи дозволів і периметр

B2C GAD-концесія (оператор): фронт/бек-офіс, каса/виплати, KYC/AML, RG, підтримка, звітність, інтеграція з центральною системою ADM. Вертикалі: казино/слоти, ставки, покер, бінго та ін.
В2В/постачальники (платформи, контент, live-студії): сертифікація ПЗ/інтеграцій, контрактні SLA/OLA з ліцензіатами, експорт телеметрії.
Персональні ролі: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

У змішаній моделі (B2C + B2B) - жорсткий поділ процесів, журналів і артефактів.

3) Responsible Gaming

RUA — Registro Unico delle Autoesclusioni: обов'язкова онлайн-перевірка самовиключення перед наданням доступу до гри.
Інструменти гравця: ліміти депозитів/втрат/часу, тайм-аути, самовиключення, reality-checks, історія активності.
Поведінкові сигнали та інтервенції: раннє виявлення ризику, протоколи м'яких/жорстких втручань, журнал контактів і результатів.
Комунікація: дбайливі сценарії, заборона стимулювати вразливих користувачів і неповнолітніх.

4) AML/KYC (risk-based)

KYC: підтвердження особи/віку за документом і Codice Fiscale; адреса/резиденція - за вторинними джерелами. До завершення KYC доступ обмежений.
AML/CTF: профілі клієнтів/методів, РЕР/санкції, EDD-тригери, STR/SAR-процедури, журнал рішень і ескалацій.
Транзакційний моніторинг: velocity/аномалії, джерело коштів при підозрах, case-менеджмент.
Crypto/он-чейн (якщо застосовується): політика гаманців, трассируемость, ліміти/блок-листи провайдерів.

5) Реклама, афіліати і CRM

Decreto Dignità: фактично забороняє публічну рекламу і спонсорства азартних ігор. Будь-яка комунікація - під мікроскопом.
Афіліати: робота можлива лише в суворих рамках інформування (без промо-тиску); договірні зобов'язання за RG/AML/даними, білі списки каналів, аудит матеріалів, стоп-процедури.
CRM/листи/SMS/push: дозволені інформаційні сервісні комунікації та строго комплаєнтні сценарії; агресивний ретаргет/бонусний спам - неприпустимий.
UX і вітрини: прозорі T&C, відсутність «обіцянок легкого виграшу», захист неповнолітніх.

6) Дані та приватність

GDPR и Garante Privacy: законність і мінімізація, DPIA для високоризикових операцій, контроль доступів і журналювання.
DSR-процедури: доступ/виправлення/видалення/переносимість - в регламентні терміни.
Локація/потоки даних: контрольовані транскордонні передачі, DPA з процесорами, ретеншн за класами даних.

7) Технічні стандарти та інтеграції

Центральна система ADM: оператор зобов'язаний передавати транзакційні дані/звітність через сертифіковані інтерфейси; безперервність і точність - критичні.
SDLC/релізи: staging-пайплайни, контроль змін, підписи артефактів і SBOM, політика відкату, «no humans in prod», доказовий журнал релізів.
Observability: логи (без PAN/зайвих PII), метрики і трасування (наприклад, OTel), SLO/SLI (latency p95/p99, error-rate), синтетичні перевірки «депозит/КУС/вивід», керований ретеншн логів.
Security: mTLS/сегментація, WAF/бот-менеджмент, SSO/MFA/PAM, уразливості (SAST/SCA/DAST) в CI/CD, регулярний пентест, відсутність прострочених critical/high.
DR/BCP: регулярні restore-тести, підтверджені RTO/RPO, акти навчань; сценарії graceful-degradation.
Anti-abuse: захист від бонус-аб'юзу і фроду, device-signals, velocity-правила, поведінковий скоринг.

8) Платежі і «шлях в гаманець»

Методи: картки, bonifico (банківський переказ), PostePay, A2A/Open Banking (PSD2), локальні миттєві рейки/гаманці, виплати на банківські реквізити.
Інтеграції: ідемпотентність, HMAC-підписи webhooks, DLQ/реплей подій, моніторинг Time-to-Wallet і часткою авторизацій/успіху, звітність по поверненнях/chargeback.
Санкції/РЕР і velocity: контроль вхідних/вихідних потоків, ліміти, ручні перевірки по тригерів.

9) Звітність, податки та продовження (high-level)

Регуляторна звітність: GGR по вертикалях, RG-метрики, скарги/інциденти, зміни в структурі/Кеу Persons, звіти по інтерфейсах центральної системи.
Фіскальна частина: будується навколо ігрового доходу з коригуваннями (бонуси/джекпоти); обов'язкові звірки з журналами ігор/виплат і даними PSP/банків.
Продовження/аудит: періодичні перевірки політик, техконтролів, RG/AML та дотримання рекламних обмежень; «evidence-first» пакети (релізи/SBOM, уразливості, DR-акти, RG-телеметрія).

💡 Конкретні ставки/форми та календар процедур залежать від вашої корпоративної моделі та актуальних норм - уточнюйте при підготовці пакету.

10) Процес ліцензування: фази та орієнтири термінів

1. Pre-fit & Gap (1-8 тижнів): вертикалі/канали, карта провайдерів (контент/PSP/KYC), аудит ІТ-готовності, план ремедіацій, дизайн CRM-комунікацій з урахуванням заборони реклами.
2. Пакет документів (4-12 тижнів): корпоративні/фінанси/SoF/SoW, Key Persons, політики AML/RG/дані/інциденти/DR, договори, архітектура ІТ та інтеграцій з центральною системою.
3. Техконтролі/сертифікації (4-16 тижнів): SDLC/спостережуваність/безпека/DR, вразливості/пентест, акти restore-тестів, вимоги до інтерфейсів ADM.
4. Розгляд і Q&A: питання щодо бенефіціарів/політиків/ІТ/даних/реклами; інтерв'ю Key Persons; демонстрація журналів/дашбордів і сценаріїв RG/AML/платежів.
5. Видача/введення (2-6 тижнів): включення звітності, on-boarding PSP/контенту, тест з центральною системою, dry-run RG/AML/платежів.
6. Пост-обов'язки: періодичні звіти/аудити, продовження, варіації (бенефіціари/вертикалі/локації).

Критичний шлях: Key Persons → «живі» політики → SDLC/спостережуваність/DR (evidence) → інтерфейси центральної системи → Q & A/демо.

11) Плюси і мінуси ADM

Плюси

Висока довіра банків/PSP і партнерів контенту.
Передбачувана техмодель з центральною системою і зрілими стандартами.
Плюс до капіталізації і стійкості портфеля в ЄС.

Мінуси

Повна заборона публічної реклами: зростає роль органіки, продукту і CRM-комплаєнсу.
Високий OPEX комплаєнсу і жорстка доказовість процесів.
Вимоглива інтеграція і звітність в центральну систему.

12) Чек-листи готовності

12. 1 Definition of Ready (до подачі)

  • Периметр (вертикалі/канали/методи оплати) визначено; платіжна реальність підтверджена.
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); зібрані SoF/SoW і довідки.
  • Політики AML/RG/дані/інциденти/DR затверджені; тренінги і журнал ревізій є.
  • SDLC: підписи + SBOM, журнал релізів, «no humans in prod», політика відкату.
  • Observability: SLO/SLI-дашборди, синтетичні перевірки «депозит/КУС/вивід», ретеншн логів.
  • Security: пентест/скани без прострочених critical/high; План ремедіацій.
  • Договори з контентом/PSP/KYC/лабораторіями/хостингом; узгоджені вимоги щодо інтерфейсів ADM.
  • Модель без публічної реклами: білі списки каналів, шаблони інформ-комунікацій, стоп-процедури.

12. 2 Definition of Done (після видачі)

  • Регуляторна/фіскальна звітність включена; KPI-власники призначені.
  • Інтерфейси центральної системи стабільно працюють; моніторинг SLA.
  • PSP/контент онбордени; webhooks з HMAC, ідемпотентність і DLQ в проді.
  • RG-інструменти активні; телеметрія інтервенцій/самовиключень (RUA) ведеться.
  • DR/BCP: проведені restore-тести та оформлені акти; RTO/RPO досягнуті.
  • CRM/афіліати: тільки допустимі інформ-канали; аудит матеріалів; журнал порушень і заходів.

13) RACI (приклад)

ОбластьResponsibleAccountableConsultedInformed
Політики AML/RG/дані/комунікаціїCompliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/спостережуваність/DR/інтерфейси ADMPlatform/SRE LeadCTOSecurityВсі команди
Пентест/вразливостіSecurity LeadCTOVendors, SRECompliance
Договори (контент/PSP/KYC/хостинг)Payments/Content OpsCOOLegal, SecurityFinance
Пакет/Q & A/демонстраціїProgram ManagerCOOВсі LeadsStakeholders

14) Ризики та пом'якшення

РизикОзнакаМітигуюча міра
Реклама/Decreto DignitàСкарги/штрафиТільки інформ-канали, аудит матеріалів, стоп-процедури
Збій інтерфейсів ADMВтрата/затримка звітностіМоніторинг, ретраї/буфер, договірної SLA, аварійні регламенти
«Паперові» політикиБагато уточнень, приписиEvidence-first: журнали, дашборди, DR-акти, runbooks
Вразливості/пентестПрострочені critical/highSAST/SCA/DAST в CI, policy-as-code, швидкі фікси
Платіжні інцидентиВтрата/дублі webhooksІдемпотентність, HMAC, DLQ/реплей, моніторинг TtW
RUA-контурДоступ виключеним гравцямОбов'язкова онлайн-перевірка перед сесією/платежами

15) Дорожня карта 90-180 днів (приклад)

Місяць 1-2: gap-аналіз, призначення Key Persons, план ремедіацій SDLC/спостережуваності/безпеки, узгодження інтерфейсів ADM.
Місяць 2-3: збір корпоративного пакету/політик, пентест/скани, акти DR, договори з PSP/KYC/контентом.
Місяць 3-4: подача, підготовка до Q & A/інтерв'ю, dry-run демонстрацій (дашборди, журнали, RG/AML/платежі/інтерфейси ADM).
Місяць 4-6: Q & A/варіації, фінальні доопрацювання, on-boarding платежів/контенту, включення звітності і стабільна інтеграція з центральною системою.

Короткий висновок

Італійська ліцензія ADM - строгий, але передбачуваний режим з унікальною зв'язкою: концесія + заборона публічної реклами + центральна система звітності. Успіх тут спирається на evidence-first культуру (SDLC/спостережуваність/безпека/DR), дисципліну RG/AML/RUA, грамотний KYC по Codice Fiscale і акуратну роботу без агресивного маркетингу. При такому підході Італія стає стійкою опорою європейського портфеля і підвищує капіталізацію бренду.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.