Норвегія - Lotteri- og stiftelsestilsynet

(Розділ: «Ринки та Юрисдикції»)

1) Картина ринку і регулятор

• Norsk Tipping - ставки, онлайн-ігри/казино-формати, миттєві лотереї.
• Norsk Rikstoto - взаємні парі на скачки.
• Приватні B2C-оператори без мандата держави в Норвегії працювати не можуть. Для B2B-провайдерів можливі партнерські відносини виключно через контури державних операторів (за тендерами/договорами поставки контенту/платформних послуг).

2) Ролі та зони відповідальності

Міністерство культури і рівноправності - політика в області азартних ігор і реклами, рамкові акти.
LST - контроль дотримання закону, інспекції, приписи, реєстри блокувань, координація відповідальної гри, санкції.
Nkom/провайдери зв'язку - виконання блокувань доменів/реклами за приписами.
Банки і PSP - виконання приписів по платіжних блокувань для неліцензірованних сайтів.
Органи по захисту споживачів і медіа-нагляд - контроль рекламних повідомлень і маркетингових практик.

3) Що дозволено і що заборонено

Дозволено: діяльність Norsk Tipping і Norsk Rikstoto; благодійні/соціальні лотереї за спец-допусками з обмеженим продуктовим набором.
Заборонено: B2C-діяльність приватних операторів казино/слотів/ставок без державного мандата; агресивна реклама азартних ігор, таргет неповнолітніх; пропозиція послуг з доменів поза білим списком.
Блок-заходи: LST застосовує платіжні та DNS-блокування до нелегальних ресурсів, а також наказує видалення реклами і припинення маркетингової діяльності в Норвегії (включаючи офшорні медіа-канали).

4) Податковий і платіжний контур (високий рівень)

Фіскальна модель для державних операторів визначається окремими актами та бюджетними правилами (цільова відрахувальна модель на спорт/культуру/соцпроекти); для благодійних лотерей - спец-режим зі звітною дисципліною.
ПДВ: ставки/виграші, як правило, поза сферою ПДВ; супутні послуги (IT, маркетинг, консалтинг) оподатковуються за загальними правилами.
Платежі: банки/PSP зобов'язані виконувати платіжні обмеження на користь неліцензованих провайдерів; мерчант-категорії і маршрути платежів моніторяться, а обходи - припиняються.

5) AML/KYC і відповідальна гра

KYC/KYB: ідентифікація особи/віку (18 +), перевірка санкцій/РЕР, підтвердження платіжних засобів; для благодійних дозволів - перевірка придатності організаторів.
Моніторинг транзакцій: ліміти, поведінкові аномалії, зв'язки акаунтів/платіжних інструментів, ескалація STR/SAR в уповноважені органи.
Responsible Gaming (RG): персональні ліміти депозитів/втрат/часу, «тайм-аути», самовиключення, видима RG-вітрина і доступ до допомоги (вкл. національну гарячу лінію). Для державних операторів ліміти - обов'язкові і вбудовані в UX.
Зберігання даних: ретеншн КУС/логів за термінами закону, GDPR-сумісність, захист даних на рівні європейських стандартів.

6) Реклама, промо та афіліати

Заборони: таргетування неповнолітніх і вразливих груп; реклама «гарантованих виграшів»; агресивні оффери; використання «стримерських» каналів, орієнтованих на Норвегію, для просування нелегалів.
Відповідальна комунікація: RG-маркування, попередження про ризики, помірність креативів і частоти показів.
Афіліати: для держоператорів - централізовані контракти/гайдлайни; просування нелегальних брендів в Норвегії карається приписами і штрафами, включаючи вимоги до видалення контенту і блокування рекламних потоків.

7) Техтребування та доступ регулятора

Логування: незмінні журнали транзакцій/ставок/коригувань, синхронізація часу, наскрізна трассируемость «ставка → розрахунок → виплата → коригування».
Доступ LST: захищені вивантаження/API, тестові акаунти, регулярні запити на дані (в т. ч. по RG/AML).
Надійність/безпека: DR/BCP з цільовими RPO/RTO, шифрування в спокої/в транзиті, RBAC/SoD, періодичні пентести/скани.

8) Перевірки та примусові заходи

Камеральні: зіставлення звітності та білінгу, аналіз аномалій GGR/NGR, дотримання лімітів та RG-процедур.
Виїзні/ІТ-аудит: інспекція логів, вибірки сесій, інтерв'ю персоналу, перевірка платіжних маршрутів і рекламних інтеграцій.
Санкції: штрафи та приписи, блокування доменів/платежів, вимоги видалити рекламні матеріали; при системних порушеннях - посилений моніторинг і судові заходи.

9) Дорожня карта для провайдерів/партнерів

1. Модель співпраці: визначити роль (контент-студія, платформа, ризик-менеджмент, антифрод, платежі, RG-інструменти).
2. Відповідність вимогам: сертифікація RNG/модулів, безпечна розробка (SDLC), логування WORM, GDPR-сумісність.
3. Комплаєнс-пакет: політики AML/KYC і RG, схеми лімітів, інструкції з виявлення вразливих гравців, процес STR/SAR.
4. Інтеграція: формати даних/звітності, API, SLA по доступності та інцидентів, план DR/BCP.
5. Маркетинг: повна відмова від просування неліцензованих B2C-брендів для Норвегії; дотримання гайдлайнів держоператорів.
6. Пілот і UAT: тест-кейси розрахунків/лімітів/самовиключень, коректність білінгу та звітних форм.
7. Операції: регламент інцидентів, журнал комплаєнсу, цикл аудитів (внутрішній/зовнішній).

10) Чек-листи комплаєнсу

Правовий режим і партнерства

• Підтверджено: діяльність тільки через держоператорів (ніякого B2C в Норвегії).
• B2B-договори узгоджені, ролі і потоки даних описані.
• Відповідальні особи по AML/RG призначені, контакт з LST встановлений.

AML/KYC & RG

• Політики та процедури AML/KYC, санкції/РЕР, тригери джерела коштів.
• Інструменти RG: ліміти депозиту/втрат/часу, тайм-аути, самовиключення; UX-вітрина RG.
• Журнали STR/SAR і зберігання KYC-досьє в терміни.
• Блокування маркетингу для самовиключених і вразливих груп.

ІТ та безпека

• Сертифікація RNG/модулів; контроль версій і CI/CD з перевірками.
• Логи WORM, синхронізація часу, ретеншн логів.
• DR/BCP-план, пентести/скани, RBAC/SoD, шифрування.
• API/вивантаження для LST і тест-акаунти.

Маркетинг та афіліати

• Заборона на просування неліцензованих брендів для аудиторії Норвегії.
• Журнал комплаєнсу (скріншоти/URL/дати), швидка процедура відгуків.
• RG-маркування і коректні T&C на всіх носіях.

11) KPI та операційний контроль

Фіскальні: 99% + своєчасність звітності; розбіжність otchetnost↔billing <0,5%.
AML/KYC: середній час верифікації, частка false positives, SLA ескалацій.
RG: частка гравців з активними лімітами; TTR блокування при самовиключенні <1 хв; частка інцидентів по RG.
Інфобез: MTTR інцидентів; покриття пентестами; закриття критичних вразливостей вчасно.
Маркетинг: 0 випадків просування неліцензованих брендів на Норвегію; швидкість відгуку креативів.

12) FAQ

Чи можна отримати приватну B2C-ліцензію?
Ні, ні. Основні види азартних ігор закріплені за Norsk Tipping і Norsk Rikstoto.

Чи є білий список доменів і платежів?
Так. LST підтримує режим блокування доменів/платежів для нелегалів; співпраця банків/PSP обов'язкова.

Як працювати провайдеру контенту/технологій?
Через тендери/контракти з держоператорами; буде потрібно тех-сертифікація, RG/AML-політики і сумісні формати звітності.

Які вимоги до реклами?
Жорсткі обмеження: без таргету неповнолітніх/вразливих, без агресивних офферів; просування нелегалів - предмет санкцій.

Примітка

Нормативні акти і керівництва LST періодично оновлюються (включаючи практику платіжних і доменних блокувань, RG-метрики і звітні формати). Перед запуском інтеграцій і кампаній звіряйте актуальні вимоги і технічні специфікації, щоб виключити приписи, штрафи і припинення.