La certificazione delle piattaforme di gioco: il ruolo di ADM e ODV

L’aumento esponenziale e costante, negli ultimi anni, dei dati di accesso ai siti degli operatori di gioco online legali, e dunque in possesso di licenza ADM, mette in rilievo il tema della sicurezza informatica e quello della certificazione delle piattaforme da parte degli organismi di verifica e controllo (ODV)


Il recente avvio della collaborazione tra ADM, l’Agenzia delle Dogane e dei Monopoli (già AAMS) e l’Agenzia per la Cybersicurezza Nazionale, formalizzato presso la “Sala Intelligence” della sede centrale dell’Agenzia, ha evidenziato l’importanza della sicurezza informatica nelle materie di competenza ADM, di cui fa parte anche il gioco online, un fenomeno in costante crescita negli anni, e nell’ultimo biennio in particolare.

I dati aggiornati al mese di gennaio 2022 hanno rilevato infatti una spesa nei casinò games di oltre 170 milioni di euro il 3,6% rispetto al dicembre 2021 (dati ADM elaborati da Agimeg).

L’Agenzia delle Dogane e dei Monopoli, che esercita il presidio dello Stato nel settore del gioco pubblico, rilascia le concessioni agli operatori che presentano relativa istanza, ma soltanto una volta accertato il possesso dei requisiti necessari.

Tra questi rientra la verifica di conformità, con esito positivo, della piattaforma di gioco certificata dagli ODV, gli organismi di valutazione riconosciuti dall’Agenzia.

Si chiarisce che la “piattaforma di gioco” è l’infrastruttura software ed hardware che consente l’erogazione del gioco stesso, comprensiva delle schermate di tutto il palinsesto e delle pagine web che l’utente può visualizzare.

Le Linee Guida per la certificazione pubblicate sul sito ufficiale dell’Agenzia prevedono che, una volta ricevuta dal richiedente la documentazione contenente la descrizione funzionale completa della piattaforma di gioco e un sistema di accesso remoto alla stessa, gli ODV operino una verifica di conformità, a cui segue il relativo report.

Nell’uso comune, per fare riferimento ai principali elementi oggetto di testing e valutazione, come il generatore di numeri casuali (RNG), sono spesso utilizzati i relativi acronimi, che di seguito saranno approfonditi più nel dettaglio, così da comprenderne meglio il funzionamento e i criteri ufficiali di verifica.

RNG: Generatore di numeri casuali (Random Number Generator)

RNG è l’acronimo comunemente utilizzato per indicare il Generatore di Numeri Casuali. Si tratta di un hardware o di un software che viene installato dagli sviluppatori all’interno dei giochi. L’RNG deve assicurare ad ogni suo avvio la generazione di una sequenza di numeri casuali, indipendente dalle estrazioni successive e precedenti. A seconda della tipologia di gioco, l’ottimizzazione dell’RNG può variare, ma alla base del suo funzionamento c’è sempre la casualità della giocata.

La verifica da parte dell’ODV riguarda l’elenco completo dei giochi connessi al Generatore di Numeri Casuali e comprende l’analisi del codice sorgente, delle componenti hardware e software dello stesso nonché l’impatto della prevedibilità rispetto all’esito della giocata, tenendo conto della differenza tra i giochi di abilità pura e quelli di sorte. Nel caso in cui il Generatore di Numeri Casuali sia basato su un software, l’algoritmo usato dai migliori casino online certificati e in possesso di licenza deve dunque essere in grado di produrre tutte le combinazioni di esito possibili, tramite appositi meccanismi di generazione e rigenerazione. In merito alla verifica da parte dell’ODV incaricato, la riduzione dell’esito in scala deve superare i test statistici presenti, al fine di garantire all’utente finale una piena trasparenza e casualità del gioco.

SSI: Sicurezza dei sistemi informatici

La sicurezza dei sistemi informatici (SSI) riguarda una serie di controlli di natura tecnica e amministrativa finalizzati alla certificazione e, dunque, alla protezione dell’utente destinatario del servizio, nel momento in cui questo si connette a una piattaforma di gioco.

La verifica dell’ODV si basa sulla documentazione rilasciata dall’operatore, che deve includere gli elementi dell’architettura della piattaforma e le interconnessioni della rete, ovvero indirizzi IP, firewall, sistemi operativi, LAN e VLAN.  Le verifiche in questione vengono operate tramite dei test di penetrazione dall’esterno degli indirizzi IP e tramite dei test di vulnerabilità delle reti interne, il cui superamento è indispensabile all’ottenimento della certificazione.

Quanto alla materia della privacy, l’aspirante concessionario deve dimostrare di tutelare la riservatezza delle informazioni fornite dall’utente e, qualora utilizzi dei cookies, lo stesso deve prestare il proprio consenso informato. A tal proposito si ricorda che sono entrate in vigore le nuove “Linee guida in materia di cookie e altri strumenti di tracciamento”, approvate dall’Autorità Garante per la protezione dei dati personali con il provvedimento n. 231 dello scorso 10 giugno e pubblicate in Gazzetta Ufficiale il successivo 9 luglio.

Concentrandosi invece sulle attività di interazione diretta con gli utenti, tra i requisiti applicativi che una piattaforma di gioco sicura deve soddisfare rientrano la registrazione consensuale con inserimento di dati anagrafici e codice fiscale, l’accesso al sito tramite password  (che deve poter essere recuperata in caso di smarrimento), la capacità dell’operatore di negare l’accesso al gioco ai minori, la visibilità del saldo del conto di gioco e dei bonus a disposizione dell’intestatario, l’impostazione di un timeout automatico del gioco dopo un certo tempo di inattività, utile a evitare eventuali intrusioni da parte di terzi.

RTP: Ritorno in percentuale al giocatore (Return To Player)

L’RTP indica la percentuale restituita al giocatore sotto forma di vincite. Tale parametro rientra nelle verifiche degli ODV rispetto alla progettazione del gioco, così come documentata dal concessionario richiedente. La percentuale di RTP è soggetta a dei requisiti minimi, a seconda della tipologia di gioco: ad esempio per quelli di sorte a quota fissa e per i solitari di carte non deve essere inferiore al 90% della raccolta, al netto del jackpot, mentre per il Bingo è del 70%.

Qualora non siano raggiunti gli indici di RTP richiesti, a seguito di verifica degli organismi incaricati, l’ADM può non autorizzare il gioco.

Va chiarito infine che la certificazione di conformità emessa dagli organismi di verifica non è sostitutiva della licenza: per poter esercitare la raccolta del gioco online è necessaria l’autorizzazione di ADM.

Per questo motivo, affinché l’Agenzia possa esercitare i propri compiti di controllo, anche in seguito all’avvenuta certificazione, sia ADM che gli ODV devono poter accedere alla piattaforma per eseguire il monitoraggio. Qualora il progetto della piattaforma stessa o l’applicazione di gioco vengano modificate nelle loro componenti principali, dietro approvazione di ADM, è necessario il rinnovo della certificazione. Si tratta di passaggi indispensabili all’operatività legale del concessionario a distanza e finalizzati alla tutela e sicurezza dell’utente.

it_IT