L’Ufficio gioco a distanza e scommesse dell’Agenzia delle Dogane e dei Monopoli ha completato l’elaborazione dello schema delle Linee guida per organismi di verifica inerenti regole tecniche relative al rapporto di concessione per esercizio e raccolta giochi online che contengono una raccolta di indicazioni e raccomandazioni – da intendersi come insieme minimo – e gli obiettivi attesi, in termini di verifica, relativamente ai requisiti delineati nelle Regole tecniche relative al rapporto di concessione del gioco online, anche con riferimento alle funzionalità specifiche dei singoli componenti del sistema del concessionario, nonché nelle specifiche disposizioni regolamentari delle diverse tipologie di gioco.
“Eventuali osservazioni, che verranno attentamente vagliate dall’Agenzia ai fini dell’adozione definitiva del provvedimento, potranno essere inviate, entro e non oltre il 15 aprile 2025, all’indirizzo PEC: [email protected]”, fa sapere ADM.
“Il presente documento contiene una raccolta di indicazioni e raccomandazioni, da intendersi come insieme minimo, sulle modalità operative da seguire per un’appropriata verifica della conformità del sistema del concessionario secondo i requisiti previsti dalle Regole Tecniche relative al rapporto di concessione per l’esercizio e la raccolta dei giochi di cui all’articolo 6, comma 3, del decreto legislativo 25 marzo 2024, n. 41. In particolare, per ogni requisito previsto nelle Regole Tecniche è riportato l’obiettivo della verifica da eseguire, che dovrà valutare la corrispondenza tra quanto definito nelle Regole Tecniche e le caratteristiche del sistema del concessionario e dei suoi componenti”, si legge nelle premesse del documento.
Flusso della verifica tecnica di conformità
Il concessionario deve richiedere, attraverso le procedure informatiche messe a disposizione da ADM sul sito internet istituzionale all’interno dell’area riservata, la verifica tecnica di conformità ad uno degli Organismi di Verifica convenzionati con ADM, di seguito ODV. Il concessionario deve consegnare quanto richiesto dall’ODV per l’espletamento dell’attività di verifica tecnica di conformità. Gli ODV, attraverso l’area riservata a loro dedicata sul sito internet istituzionale di ADM, devono prendere in carico la richiesta del concessionario e procedere alla verifica tecnica di conformità che deve riferirsi sempre al sistema del concessionario nella sua interezza. Per le scommesse a quota fissa su simulazione di eventi, l’ODV esegue i test di integrazione tra la piattaforma di gioco, già verificata da SO.GE.I. S.p.A. e gli altri componenti del sistema del concessionario, atteso che la richiesta di verifica tecnica di conformità della piattaforma di gioco per le scommesse a quota fissa su simulazione di eventi è indirizzata a SO.GE.I. S.p.A. che opera secondo le disposizioni contenute nella determinazione direttoriale n. 3759 del 29 luglio 2016. L’ODV, indipendentemente dalle metodologie utilizzate, dovrà assicurare un’attività di verifica completa ed esaustiva, inclusa l’eventuale ispezione del codice sorgente, che consenta di accertare quanto previsto dalla normativa vigente e di escludere, nei limiti della ragionevolezza, tutte le condizioni che contrastino la conformità del sistema del concessionario alle Regole Tecniche. L’ODV, al termine delle attività di verifica tecnica di conformità, anche in caso di aggiornamenti, deve redigere un esito di verifica dando evidenza, attraverso opportuna e dettagliata documentazione, con allegati prospetti, grafici e test report, dei risultati riscontrati. Tutta la documentazione prodotta dovrà essere caricata nel sito internet istituzionale di ADM all’interno dell’area riservata dedicata agli ODV. Per la raccolta per i giochi di cui all’articolo 6, comma 3, del Decreto Legislativo 25 marzo 2024, n. 41, è propedeutica la certificazione del sistema del concessionario da parte di ADM, contenente l’esito positivo della verifica tecnica di conformità e le risultanze della medesima. Nel caso in cui il concessionario intenda apportare modifiche, che ritiene abbiano impatto sulle funzionalità che hanno contribuito a determinare i file critici, al proprio sistema del concessionario già certificato, deve richiedere, attraverso le procedure informatiche messe a disposizione da ADM sul sito internet istituzionale all’interno dell’area riservata, una nuova verifica tecnica di conformità del sistema del concessionario indicando tutte le modifiche che intende apportare. L’ODV valuta, sotto la propria responsabilità, le modifiche richieste, determinando una delle seguenti casistiche: • qualora, a seguito delle verifiche effettuate, l’ODV riscontri che le modifiche proposte riguardino esclusivamente file non critici, l’ODV stesso, dopo aver accertato che tali modifiche non abbiano impatto sulla conformità del sistema del concessionario già certificato, ne dà comunicazione ad ADM, indicando in un’apposita relazione le modifiche riscontrate; • qualora le modifiche proposte riguardino la modifica di file critici o l’aggiunta di nuove funzionalità o componenti, l’ODV, per accertare il mantenimento della conformità del sistema del concessionario alle Regole Tecniche, procede con una verifica, quantomeno, delle componenti interessate e dell’integrazione delle stesse con il sistema del concessionario nella sua interezza. Le verifiche che dovranno essere condotte dall’ODV sono raggruppate in: • Sezione A – Verifiche relative ai requisiti specificati nelle regole tecniche relative al rapporto di concessione per l’esercizio e la raccolta dei giochi di cui all’articolo 6, comma 3, del Decreto Legislativo 25 marzo 2024, n. 41; • Sezione B – Verifiche relative ai requisiti di gioco secondo la regolamentazione vigente; • Sezione C – Caratteristiche specifiche delle diverse modalità di gioco.
Analisi dei componenti del sistema del concessionario oggetto di verifica
Tra i componenti del sistema del concessionario è necessario identificare in modo certo i seguenti componenti: • ciascun sistema di gioco; • ciascuna piattaforma di gioco; • ciascuna applicazione di gioco; • ciascun sistema di accettazione del gioco; • il sistema di presentazione dell’offerta di gioco (sito internet e/o app); • il sistema dei conti di gioco del concessionario. Oltre ai componenti sopra elencati, è necessario identificare in modo certo il sistema della verifica di integrità automatizzata del software. Ciascun componente deve essere preventivamente verificato e validato attraverso ispezioni visive, test di funzionamento e ispezione del codice sorgente, anche con l’ausilio della documentazione fornita dal produttore. È necessario, inoltre, individuare i diversi gruppi hardware e software interessati ad ogni singola funzionalità rispetto ai componenti del sistema del concessionario. La verifica tecnica di conformità deve accertare sia il corretto e conforme uso dei componenti del sistema del concessionario, sia il continuo rispetto delle Regole Tecniche nelle interazioni tra di essi, considerando anche tutte le possibili configurazioni durante lo scambio delle informazioni tra i componenti del sistema del concessionario e il sistema di controllo centralizzato di ADM. Considerato che i messaggi relativi al protocollo di anagrafe dei conti di gioco devono essere trasmessi dal sistema del concessionario al sistema centralizzato è necessario che le funzionalità del sistema dei conti di gioco del concessionario siano correttamente individuate. A tal fine il sistema dei conti di gioco del concessionario si intende gestito in modo univoco dal concessionario solo se le informazioni in esso contenute siano riferibili esclusivamente al concessionario stesso. A titolo esemplificativo ma non esaustivo non sono consentite strutture dati contenenti dati riferibili a più concessionari. Fermo restando quanto disciplinato nel paragrafo 2.6.1 per i concessionari fornitori di servizi, è necessario che le informazioni contenute in ciascun sistema di gioco del concessionario siano quantomeno separate logicamente, ivi incluse le informazioni contabili. Per separazione logica deve intendersi quantomeno l’esecuzione a “runtime” dei processi riferibili a ciascuna applicazione di gioco in modo distinto e separato per ciascun concessionario (si fa riferimento, a titolo esemplificativo ma non esaustivo, alle applicazioni di gioco utilizzate sul dispositivo del giocatore). Durante l’esecuzione di tutti i test, si rappresenta la necessità di verificare che i dati memorizzati nel sistema del concessionario siano sempre formalmente corretti e che la valorizzazione dei database avvenga esclusivamente a seguito del verificarsi delle casistiche descritte nel presente documento. A titolo esemplificativo, ma non esaustivo, si elencano di seguito le funzionalità del sistema del concessionario che devono essere analizzate al fine di individuare i file critici: • protocolli utilizzati per la comunicazione tra i componenti del sistema del concessionario anche con il sistema centralizzato e meccanismi di integrità e riservatezza ad essi associati; • processi in esecuzione per la gestione della sessione utente, delle operazioni di gioco e del conto di gioco; • meccanismi di verifica di integrità dei componenti del sistema del concessionario; • RTP e RNG; • modalità con cui vengono tracciati gli accessi ai database e gestione dei profili utente; • procedure per la memorizzazione dei dati sui database e per la loro aggregazione ed esposizione; • strumenti di pagamento.
File sorgenti e file binari oggetto di verifica
Un file è considerato critico se esso stesso o in concorrenza con altri file provvede al funzionamento delle componenti del sistema del concessionario conformemente alle regole tecniche, ovvero una sua modifica produce impatti diretti e/o indiretti sul funzionamento dei componenti del sistema del concessionario alterandone la conformità alle regole tecniche. Deve essere considerato critico anche il file su cui sussistano dubbi sui potenziali impatti che possono essere causati in caso di modifica. In fase di verifica tecnica di conformità del sistema del concessionario, l’ODV dovrà obbligatoriamente esaminare tutte le parti dei codici sorgenti necessari a effettuare le verifiche richieste dalle presenti Linee Guida. Al fine di tener traccia delle verifiche effettuate e consentire all’Agenzia le attività di auditing periodiche, l’ODV è tenuto a conservare e trasmettere quanto previsto dalla convenzione stipulata dagli ODV con ADM. Il codice sorgente del sistema del concessionario dovrà essere corredato delle seguenti informazioni: • componente di appartenenza; • nome del file/modulo/funzione; • descrizione sintetica delle funzioni; • cronologia delle eventuali modifiche apportate, e identificazione univoca della versione certificata tramite “versionamento”. Ciascuna componente deve essere identificata univocamente dall’ODV con un message digest globale ottenuto dai file ritenuti critici del componente stesso. L’Organismo deve essere in grado di dimostrare che i file binari oggetto di verifica di conformità siano il risultato della compilazione del codice sorgente consegnato dal richiedente. L’ODV, al termine del processo di verifica, invierà ad ADM i message digest di ciascun componente/file/modulo/funzione verificato e ritenuto critico. Inoltre, invierà i seguenti documenti: 1. un file testuale contenente il nome completo di PATH assoluto e il message digest SHA1 o MD5 dei singoli file sorgenti consegnati e delle ulteriori componenti software necessarie (componenti multimediali, file di configurazione, librerie software di terze parti, script di compilazione, ecc.); 2. il log della compilazione contenente anche i message digest SHA1 o MD5 dei file sorgenti compilati e il timestamp e il message digest SHA1 o MD5 dello stesso log; 3. per ogni componente, un file testuale contenente il nome completo di PATH assoluto e il message digest SHA1 o MD5 di tutti i file binari ritenuti critici. Nel caso in cui la compilazione generasse archivi che contengono al loro interno vari file, questi ultimi, e non gli archivi, devono essere inclusi nel file di cui sopra; 4. lo script necessario alla generazione dei file del punto precedente e il message digest SHA1 o MD5 dello script; 5. il codice univoco di identificazione dei singoli componenti del sistema del concessionario sopra citati, ottenuto calcolando il message digest del file testuale di cui al punto 3.
CLICCA QUI per le linee guida complete. cdn/AGIMEG
