La Finlandia ha presentato in Commissione Europea due progetti di legge riguardanti affidabilità e sicurezza informatica dei sistemi di gioco in conformità con il Gambling Act e i controlli sulla casualità. Il periodo di stand still, per entrambe le norme, terminerà il prossimo 23 febbraio 2026.
La prima proposta prevede norme riguardanti l’affidabilità e la sicurezza delle tecnologie di gioco conformi con il Gambling Act. La normativa stabilisce, in particolare, i requisiti per garantire l’affidabilità dei sistemi di gioco e delle apparecchiature di estrazione, le pratiche di sicurezza informatica e i relativi test, nonché l’accreditamento degli enti di controllo. È responsabilità del titolare dell’autorizzazione assicurare la stabilità tecnica dei propri sistemi, la sicurezza informatica e la realizzazione di audit tramite soggetti esterni accreditati. I test di sicurezza informatica dovranno essere effettuati ogni due anni, mentre le scansioni delle vulnerabilità una volta all’anno. La normativa prevede l’obbligo di segnalare eventuali vulnerabilità o non conformità riscontrate. L’ispezione di sicurezza informatica dovrà essere approvata prima dell’avvio delle attività di gioco. In caso di esito negativo, le correzioni e una nuova verifica dovranno essere completate entro 90 giorni. La norma stabilisce anche requisiti relativi alle responsabilità delle figure incaricate e alle modalità di reporting. La normativa entrerà in vigore il 1° gennaio 2027.
L’obiettivo della normativa è garantire l’affidabilità tecnica dei sistemi di gioco e un elevato livello di sicurezza informatica. La normativa fornirebbe all’autorità di controllo gli strumenti necessari per monitorare preventivamente e tempestivamente la sicurezza dei sistemi. Test periodici e verifiche esterne ridurrebbero il rischio di abusi e di problematiche tecniche che potrebbero compromettere la legalità e la casualità delle operazioni di gioco. Gli obblighi previsti favorirebbero pratiche omogenee e assicurerebbero che gli operatori mantengano elevati standard di sicurezza informatica per tutta la durata dell’autorizzazione.
La seconda proposta stabilisce, invece, i requisiti relativi alle verifiche sui componenti utilizzati per la generazione di casualità. Il titolare della licenza diviene quindi responsabile dell’affidabilità dei software o di altri componenti impiegati per la generazione di casualità, nonché dell’esecuzione di verifiche esterne per garantire questa affidabilità. La valutazione di affidabilità e sicurezza viene effettuata da un organismo di verifica accreditato e indipendente. L’organismo di verifica deve adottare metodi affidabili, statisticamente validi, e controllare anche i codici sorgente dei software o altri mezzi impiegati per la generazione di casualità. L’audit dovrà coprire un esame dettagliato di tutti i componenti coinvolti nella generazione di casualità e la gestione di eventuali situazioni di errore. Il titolare della licenza dovrà trasmettere all’autorità di controllo un rapporto di verifica contenente, tra l’altro, le metodologie utilizzate, i componenti esaminati e i risultati dell’audit. L’autorità di controllo avrebbe il diritto di effettuare controlli successivi e di verificare l’affidabilità dei sistemi anche da remoto. La norma entrerà in vigore il 1° gennaio 2027. cdn/AGIMEG
