Зміни регуляторних правил по регіонах

1) Призначення і зона охоплення

Систематизувати пошук, інтерпретацію та впровадження регуляторних змін по всіх ринках присутності: від раннього сигналу (consultation, draft, guidance) до релізу політики/коду, зміни процесів/систем і підтвердження відповідності (аудит/інспекція/звіт). Охоплення: ліцензування, Responsible Gaming (RG), AML/KYC/KYB, реклама/афіліати, платежі/податки, звітність (формати/терміни), технології (RNG/інтеграції/логування), GDPR/PII і локальні аналоги, санкції/чорні списки, локалізація.

2) Ролі та RACI

Regulatory Change Owner (Head of Compliance) - портфель змін, пріоритизація, звітність. (A)

Legal Counsel (per region) - трактування норм, gap-аналіз. (R)

Policy Desk (Research/GR) - моніторинг джерел, ранні сигнали. (R)

Process Owners (RG/AML/KYC/Payments/Marketing/GameOps/Data/IT/Sec/DPO) - дизайн і впровадження змін. (R)

PMO (Change Manager) - план, терміни, залежності, комунікації. (R)

Internal Audit - незалежна перевірка впровадження. (C)

Exec Sponsor (COO/CEO) - ескалації S1, ресурсні рішення. (I/A)

3) Регуляторний радар: джерела та частоти

Офіційні портали регуляторів (закони, consultation papers, licensing updates).
Платіжні схеми/PSP/банки (правила, chargeback, анти-фрод).
DPAs (GDPR/локальні), FIU/AML (SAR/STR стандарти).
Технічні органи/сертифікації (ISO/SOC/PCI/RNG лабораторії).
Публічні реєстри RG/самовиключень (CRUKS/Spelpaus і аналоги).
Частота огляду: щотижня - high-risk ринки; щомісяця - інші; ad-hoc — consultations, enforcement actions.

4) Матриця пріоритизації змін

Оцінка Impact × Urgency × Risk (0-3):

Impact: GGR/охоплення гравців/PII/ліцензія.
Urgency: дедлайн ≤ 30/60/90 + днів.
Risk: штраф/призупинення/репутація/техборг.
Підсумковий ранг: S1 (критично )/S2 (високо )/S3 (середньо )/S4 (низько).
S1 вимагає «war-room», S2 - керований реліз з тижневими апдейтами.

5) Картка зміни (RCR - Regulatory Change Request)


RCR-ID/Region/License/Source and date/Status: Draft    Required    In Progress    Compliant    Verified
Brief: what changes (1-3 lines)
Area: Lic     RG      AML/KYC      Ads      Payments/Tax      Reporting      Tech      Data/GDPR      Other
Deadline/Entry Date/Transition Period/Penalties/Sanctions
Impact: Product     Processes     Politicians     Data     Reporting     Providers     Payments     UX
Scope: countries/segments/channels/methods
Requirements: list of norms in the form of test statements (Given-When-Then)
Dependencies: releases, integrations, vendors
Implementation plan: milestones, owners, timelines, artifacts
Communications: Regulator/Partners/Players/Affiliates/Internal
Acceptance criteria: check tests, demo, logs, reports
Verification: who, how and when confirms compliance (IA/EA/screen/log)

6) Процес «від сигналу до відповідності»

Крок 1. Виявлення: запис в журнал радара, первинна анотація.
Крок 2. Інтерпретація (Legal): розбір вимог, Q&A, список тестованих тверджень.
Крок 3. Оцінка впливу: матриця систем/процесів/даних, Rough Order of Magnitude.
Крок 4. План і ресурси: PMO формує дорожню карту (епіки/тікети/релізи).
Крок 5. Впровадження: політика → процес → система → дані → звіти → навчання.
Крок 6. Перевірка та артефакти: чек-тести, скріни, логи, пробні вивантаження.
Крок 7. Комунікації: регулятор (на вимогу), партнери/PSP, провайдери ігор, афіліати, гравці (якщо зачіпає UX).
Крок 8. Закриття та аудит: статус Compliant, пакет доказів, запис до «реєстру змін щодо ринків».

7) Чек-листи (універсальні)

Перед стартом RCR

Джерело підтверджено (посилання/номер документа/дата).
Дедлайн/перехідний період зафіксовані.
Перелік вимог переведений в перевіряються твердження.
Ризики/винятки/неясності зібрані для Legal.

Перед релізом

Політики/процедури оновлені і затверджені.
Зміни в коді/конфігураціях промігровані, включені прапори.
Звіти/формати/портали - тестова здача пройшла.
Провайдери/PSP отримали бриф і підтвердили готовність.
Навчання команд і макроси CS оновлені.

Закриття

Демонстрація/скрінкасти/логи/квитанції збережені.
Ризик-регістри/реєстр відповідності оновлені.
Ретро і CAPA (якщо були відхилення/зрушення).

8) Дашборд «Regulatory Change»

Pipeline: Draft → Required → In Progress → Compliant → Verified.
Deadlines at Risk: S1/S2 з буфером <30 днів.
Coverage: % ринків, де зміни впроваджені.
Time-to-Interpretation (TTI): від сигналу до юридичного резюме.
Time-to-Implementation (TTIm): до випуску в прод.
Evidence Index: частка RCR з повним пакетом артефактів.
Vendor Readiness: статус по провайдерам/PSP.

9) Типові вектори змін і що перевіряти

Ліцензії: категорії/скоуп, вимоги до капіталу/гарантій, локальні директори/офіс.
RG: ліміти депозитів/втрат, самовиключення/реєстри, тригери контакту вразливих гравців, час реакції.
AML/KYC/KYB: рівні верифікації, санкції/РЕР, терміни STR/SAR, зберігання даних.
Реклама/афіліати: заборони за креативами/цілями, вікові фільтри, дисклеймери, звітність.
Платежі/податки: допустимі методи, карти/крипто/локальні фінтехи, GGR/податки, утримання, chargebacks.
Звітність: частота/формати (CSV/XML/JSON/XLSX), портали/API/SFTP, ретенція і хеш/підпис.
Техніка: логи/телеметрія, RNG/версії білдів, RTP-тимчасові вікна, аудит конфігурацій.
GDPR/PII: основи обробки, DSAR, локалізація зберігання, транскордонні передачі, DPIA.

10) Профілі регіонів (скелети для заповнення)

Кожен профіль зберігається як картка ринку; нижче - структура і підказки.

ЄС (загальні теми)

GDPR/PII: сповіщення DPA, PIA/DPIA, права суб'єктів.
AML: директивні стандарти, STR терміни, KYC рівні.
Реклама: місцеві заборони/тимчасові вікна, захист неповнолітніх.
Техніка/звітність: формати звітів, RNG/сертифікація, локалізація.

Велика Британія

RG/Маркетинг: самовиключення, вікові перевірки, практика відповідальних комунікацій.
Звітність/інциденти: терміни повідомлення регулятора, формати порталу.

Мальта (MGA)

Щомес. агрегати по іграх, поділ cash/bonus, вимоги до провайдерів.

Нідерланди (KSA)

CRUKS інтеграція, суворі рекламні обмеження, звітність подій.

Німеччина (GlüStV)

Ліміти ставок/депозитів, тимчасові вікна гри, локальні вимоги до серверів звітності.

Іспанія/Італія/Португалія

Реклама/бонуси: Жорстка регламентація.
Податки і GGR-звітність, часті XLSX/CSV шаблони.

Скандинавія (SE/DK/NO/FI)

Самовиключення (Spelpaus і аналоги), RG-інтервенції, звітність по втручаннях.

Центральна та Східна Європа (PL/CZ/SK/HU/RO/BG/EL та ін.)

Ліцензування та локальні платіжні вимоги, KYC/AML особливості по провайдерам.

Латинська Америка (BR/MX/CO/PE/CL/AR та ін.)

Платежі: локальні методи/фінтех, ліміти та верифікації.
Реклама і податкові режими, звітність по каналах.

Північна Америка (CA-ON/US штатні режими)

Звітність по ринках, RG, локальні вимоги до даних/постачальників.

APAC (PH/IN/JP та ін.)

Ліцензування/локалізація серверів, вимоги до провайдерів та звітності.

Африка (KE/NG/ZA та ін.)

KYC по мобільних грошах, локальні регуляторні звіти, вікові обмеження.

Близький Схід/Перська затока

Ризики реклами/платежів, локальні заборони, вимоги до постачальників.

💡 Для кожного ринку фіксуйте: контакти регулятора, формати звітів, обов'язкові повідомлення, частоти перевірок, мови/локалізація, штрафи/санкції, дедлайни.

11) Дані та артефакти: Мінімальний набір

Реєстр RCR (таблиця): ID, ринок, джерело, дедлайн, статус, власник, ризик, артефакти.
Артефакти відповідності: політики (PDF), скрінкасти, журнали, експорт звітів/квитанцій, результати тестів.
Трасування (lineage): що змінилося в даних/схемах/процесах.
Комунікації: листи регулятору/вендорам, брифи для афіліатів/гравців.

12) Шаблони комунікацій (швидкі вставки)

A) Вендорам/провайдерам ігор/PSP

💡 Майбутня зміна на ринку [X], дедлайн [дата]. Необхідні дії: [параметри API/прапори/звіти]. Просимо підтвердити готовність до [дата].

B) Афіліатам

💡 Оновлення правил реклами/цільових параметрів на ринку [X] з [дата]. Нові обмеження і допустимі формулювання у вкладенні.

C) Гравцям (якщо зачіпає UX/RG/платежі)

💡 С [дата] змінюються ліміти/методи/умови. Подробиці на сторінці допомоги; служба підтримки готова допомогти.

13) Контроль якості впроваджень

Definition of Done (DoD): всі тест-кейси зелені; звіти прийняті; політики опубліковані; навчання завершено; артефакти в архіві.
Post-Implementation Review (через 14 днів): виміри KPI, помилки/зворотний зв'язок, коригування.
Internal Audit spot-check: вибіркова перевірка 1-2 ринків на квартал.

14) Часті ризики і як їх уникнути

Тільки «паперові» зміни без системних фіксів → вимагайте демонстрацію в проді/логів.
Запізнення через вендорів → включайте «Vendor Readiness» і штрафні буфери в план.
Неузгодженість форматів → єдиний словник кодів і CI-валідатори схем.
Недостатня локалізація → checklist мов/валют/часових поясів.
Відсутність доказів → обов'язкові скріни/квитанції/хеші файлів.

15) План впровадження фреймворку (30 днів)

Тиждень 1

1. Запустити реєстр RCR і дашборд (поля з § 11).
2. Призначити власників регіонів, узгодити RACI.
3. Сформувати список джерел і частоти моніторингу (§ 3).

Тиждень 2

4. Оформити 5-7 поточних/очікуваних змін як RCR, виставити ранги S1-S4.
5. Створити шаблони: RCR, бриф вендорам, повідомлення афіліатам/гравцям, чек-листи DoD.
6. Зв'язати RCR з реліз-планом (епіки/тікети/фічефлаги).

Тиждень 3

7. Провести пілот на 1-2 ринках (повний цикл до Compliant).
8. Зібрати артефакти, налаштувати «Evidence Index» і Post-Implementation Review.
9. Підготувати MR для керівництва (TTI/TTIm/Deadlines at Risk).

Тиждень 4

10. Затвердити політику регуляторних змін, вкл. ескалації S1.
11. Включити quarterly-огляд Internal Audit і календар ревізій.
12. Випустити v1. 0 фреймворку, дорожню карту на 90 днів.

Пов'язані розділи:

Регуляторні звіти та формати даних
Повідомлення про порушення та терміни звітності
Дашборд комплаєнсу та моніторинг
Продовження ліцензій та інспекції
Інцидентні плейбуки та сценарії
Внутрішній аудит і зовнішній аудит
Аудиторські чеклісти і рев'ю