GH GambleHub

Огляд ліцензування онлайн-казино

1) Навіщо потрібна ліцензія і що вона дає

Ліцензія - це офіційний допуск до регульованих ринків. Вона:
  • знижує юридичні ризики (штрафи, блокування доменів/платежів);
  • відкриває доступ до банківських/PSP-каналів та перевірених постачальників контенту;
  • підвищує довіру гравців і партнерів;
  • задає стандарти RG/AML і техбезпеки, формуючи передбачувану операційну модель.

2) Моделі регулювання

Відкритий ринок: конкуренція приватних операторів під наглядом регулятора (високі вимоги, висока репутаційна віддача).
Гібрид: монополія/концесії на окремі вертикалі (наприклад, лотереї) і ліцензії для ставок/казино.
Монополія: державний оператор; приватним B2C доступ обмежений.
Федеральна/регіональна модель: США, Канада та ін. - ліцензування по штатах/провінціях.

3) Типи ліцензій і ролі

B2C (оператор): право пропонувати ігри кінцевим користувачам (казино, слоти, live, покер, бінго, віртуальний спорт).
B2B (постачальник): платформа, агрегатори, студії, живі студії, платіжні та KYC-провайдери.
Персональні/ключові посади: Directors, Key Persons, MLRO/AMLO, DPO, відповідальна особа по RG.
Сертифікації майданчиків/студій (для live/наземної частини).

4) Ключові регуляторні домени (високорівневий огляд)

Європа: національні регулятори (UKGC, MGA, SRIJ, KSA, DGOJ та ін.), суворі RG/AML і рекламні правила, акцент на GDPR і податок на GGR.
Карибський та офшорний сегмент: доступні вхідні вимоги для глобальних B2C/B2B, але різний рівень визнання ринками/постачальниками.
Північна Америка: провінційні/штатні ліцензії, високий поріг входу, сильні технічні стандарти і аудит.
Азія/ЛатАм/Африка: мозаїка режимів від суворих до заборонних; часто потрібні локальні партнери, жорсткі правила маркетингу/платежів.

💡 Порада: вибирайте юрисдикції під цільові ринки і канали оплати, а не «по чутку». Дивіться на доступ PSP, вимоги до хостингу/даних і терміни сертифікацій.

5) Вимоги до заявника (ядро due diligence)

Бенефіціари та фінанси: прозора структура володіння, Source of Funds/Wealth, підтверджена ділова репутація.
Політики та процедури: AML/CTF, Responsible Gaming, реклама, захист даних/інциденти, скарги, конфлікти інтересів.
Оргструктура: призначені Key Persons (MLRO/AMLO, DPO, RG-Lead), описані ролі і відповідальність.
ІТ-архітектура: схема сервісів, шифрування, журналювання, моніторинг, DR/BCP, контроль змін і релізів.
Договори: провайдери ігор/агрегатори, PSP, КУС/санкційні скрінери, хостинг, аудитори/лабораторії.
Фінансові гарантії: резерви під виплати, страхування (де потрібно).

6) Технічні стандарти та інфраструктура

Поставки та релізи: staging-пайплайни, контроль змін, артефакти (SBOM, підписи), журнал змін.
Спостережуваність: наскрізні логи/метрики/трейси, синтетичні перевірки ключових шляхів («депозит/КУС/вивід»), зберігання логів під аудит.
Безпека: шифрування в транзиті/at-rest, сегментація мережі, управління секретами, PAM/SSO/MFA, регулярні пентести/скан вразливостей.
Ігровий софт: сертифікація RNG/RTP у акредитованих лабораторій; контроль справедливості та звітності.
Хостинг/резиденція: вимоги до регіону зберігання даних і дзеркалів DR.

7) AML/KYC і санкційний комплаєнс

Risk-Based Approach: оцінка клієнтів/каналів/географій; тригери поглибленої перевірки (EDD).
KYC: вік/особистість/адреса; періодичний re-КУС/тригерний KYC.
Санкції/РЕР: скринінг при онбордингу і транзакціях, журнал рішень.
Моніторинг транзакцій: ліміти, velocity-правила, нетипова поведінка; STR/SAR при підозрах.
Crypto/он-чейн: Travel Rule-сумісність, провайдери аналітики, політика гаманців.

8) Responsible Gaming (RG) і реклама

Інструменти гравця: ліміти депозитів/програшів/часу, тайм-аути, реальність-чеки, самовиключення (включаючи національні реєстри).
Поведінковий моніторинг: тригери ризиків і протоколи інтервенцій.
Реклама/афіліати: вікові бар'єри, заборона креативів, що вводять в оману, прозорі T&C промо; контракти з афіліатами з обов'язками по RG/AML.

9) Оподаткування та збори (в загальних рисах)

База: частіше GGR (ставки − виграші − коригування бонусів/джекпотів); зустрічається податок з обороту/ставок.
Вертикалі: різні ставки для казино/ставок/покеру/бінго.
Додатково: ПДВ на послуги/комісії, регуляторні збори, відрахування на Responsible Gaming/фонди.
Звітність: періодичність і форма за правилами юрисдикції, звірки з журналами ігор/виплат.

10) Вибір юрисдикції: критерії порівняння

Цільові ринки/маркетинг: чи можна легально таргетувати ваш регіон/мову/методи оплати?
Терміни і складність: тривалість розгляду, обсяг due diligence і аудит.
Вимоги до хостингу/даних: резидентність, локальні аудитори/лабораторії.
Вартість володіння: збори, щорічні платежі, операційні вимоги.
Репутація та доступ: визнання PSP/банками, відношення агрегаторів/студій, «вага» ліцензії для партнерів.
Мультиліцензування: наскільки легко розширюватися на сусідні ринки (паспортинг/локальні допуски).

11) Алгоритм отримання ліцензії (дорожня карта)

Етап 0 - Передпідготовка

1. Визначити ринки і вертикалі → 2) вибрати юрисдикцію (і) → 3) провести gap-аналіз за вимогами.

Етап 1 - Пакет документів

Корпоративні документи, структура володіння, CV/довідки для Key Persons.
Політики (AML/RG/реклама/дані/інциденти), договори з провайдерами.
Архітектура ІТ, плани DR/BCP, звіти пентестів/сканів.
Фінплан, резерви, підтвердження джерел коштів.

Етап 2 - Техконтролі та випробування

Сертифікація ігрового ПЗ (де потрібно).
Перевірка хостингу/логів/моніторингу/релеїзного циклу.
Тестові сценарії RG/AML/санкції, синтетичні транзакції.

Етап 3 - Розгляд і комунікація

Відповіді на запити регулятора, коригування політик/процесів.
При необхідності - співбесіди Key Persons.

Етап 4 - Отримання та введення в експлуатацію

Публікація обов'язкових відомостей, запуск моніторингу звітності, налаштування відносин з PSP/агрегаторами.
План періодичних аудитів та регуляторної звітності.

12) Модель управління комплаєнсом (операційна)

Ролі: Head of Compliance, MLRO/AMLO, DPO, RG-Lead, Security Lead, Release/Platform/SRE.
Цикл: регістри вимог → політики/процедури → тих/операційні контролі → моніторинг KPI → внутрішній аудит → поліпшення.
Артефакти «evidence-first»: журнали релізів, SBOM/підписи, звіти вразливостей, RG/AML-логи, акти DR-тестів, звіти лабораторій.

13) Часті помилки і ризики

Неправильний таргетинг «сірих» ринків за наявності ліцензії - ризик штрафів/блокувань.
Слабкий контроль афіліатів і реклами → скарги, санкції, репутаційні втрати.
Відсутність «живих» процедур: політики написані, але не виконуються (немає логів/доказів).
Недостатній захист даних і журналювання доступу до PII/PAN.
Відсутність плану міграцій/оновлень ПЗ під вимоги регулятора.

14) Вендор-менеджмент і ланцюжок поставки

Дьюділідженс постачальників (ігри, PSP, KYC): сертифікати, SLA, звіти аудитів.
Контракти з обов'язками по RG/AML/даним і правом перевірки.
План безперервності: резервні провайдери, failover-сценарії, перевірка webhooks (HMAC, ідемпотентність).

15) White-label, skin і власна ліцензія

White-label/skin: швидкий старт, нижче витрати на аудит/команда; обмеження маркетингу/провайдерів/юрисдикцій, залежність від власника «парасольки».
Власна B2C-ліцензія: контроль бренду/портфеля/маркетингу, краща капіталізація; вище поріг входу/операційні витрати.
B2B-ліцензія: шлях для платформ/студій/агрегаторів; окремі вимоги до безпечного SDLC та інтеграцій.

16) Чек-листи готовності

Definition of Ready (до подання заявки)

  • Вибрані цільові ринки і вертикалі; юрисдикція відповідає цілям.
  • Призначені Key Persons, визначені ролі і відповідальність.
  • Політики AML/RG/реклама/дані/інциденти оформлені і підтримуються.
  • ІТ-архітектура описана: шифрування, релізи, моніторинг, DR/BCP.
  • Договори з провайдерами/лабораторіями/хостингом готові.
  • Фінансові документи (SoF/SoW/резерви) зібрані.

Definition of Done (після видачі ліцензії)

  • Включена регуляторна звітність і KPI RG/AML; є відповідальні.
  • Налаштовані ліміти/самовиключення/санкційний скринінг, ведуться логи.
  • Підтверджені «evidence-first» артефакти (релізи, SBOM, пентести, DR-тести).
  • Контроль афіліатів/реклами, білі списки креативів/каналів.
  • План щорічних/періодичних аудитів і перегляду політик.

17) Вирішальне дерево (спрощено)

1. Де ви плануєте легально продавати? → виберіть юрисдикцію, визнану цільовими PSP/банками.
2. Потрібен швидкий старт або контроль/капіталізація? → white-label/skin vs власна B2C.
3. Чи є внутрішня сила в комплаєнсі/інфраструктурі? → аутсорс окремих функцій (DPO/MLRO, SOC) або найм.
4. Потрібна багаторинкова стратегія? → спроектуйте мультиліцензування (карта розширень, локальні вимоги до даних і реклами).

18) Короткий глосарій

GGR - валова виручка від гри (ставки − виграші − коригування).
RG - Responsible Gaming (відповідальна гра).
MLRO/AMLO - відповідальна особа з AML/фінмоніторингу.
DPO - офіцер із захисту даних.
SoF/SoW - джерело засобів/стану.
RNG/RTP - генератор випадкових чисел/повернення гравцеві.
DR/BCP - аварійне відновлення/план безперервності.

Короткий висновок

Ліцензування онлайн-казино - це не разова «галочка», а операційна дисципліна: прозорі власники, живі політики RG/AML, захищена інфраструктура, надійні вендори і перевіряються артефакти. Вибирайте юрисдикцію під цільові ринки і екосистему провайдерів, готуйте «evidence-first» пакет і будуйте процеси як код - так ви знизите ризики, прискорите вихід і зміцните довіру регуляторів, партнерів і гравців.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.