La compressione del gioco legale, stretto fra normative locali restrittive e provvedimenti governativi, a cominciare dal divieto di pubblicità introdotto dal decreto Dignità, pone il settore ancora di più nella necessità di elevare i suoi standard. Per garantire i giocatori, in primis, e per arginare se possibile le illegalità diffuse, con la presenza di operatori non autorizzati.
Un aiuto in questo senso è offerto dall'obbligo per le piattaforme online di conseguire una certificazione di qualità resa da un organismo di verifica (Odv, Ndr) per ottenere l'autorizzazione all’esercizio dei giochi, certificazione di cui l'Agenzia delle dogane e dei monopoli ha pubblicato la versione 2.0 delle Linee guida, inclusi poker e casinò, scommesse su eventi sportivi e non, bingo.
A svelare i suoi meccanismi di funzionamento è Mauro Gulino, responsabile Divisione informatica e telematica (divisione Privacy e giochi online) dell'Istituto Giordano, ente di certificazione, di ricerca e formazione, e laboratorio di prova multidisciplinare fondato nel 1959.
UN BOLLINO INDISPENSABILE - “Più che importante, direi che è indispensabile: una piattaforma di gioco è sicura e affidabile per un utente solo se ha superato tutti i test che la certificazione richiede. Per avere la certificazione le piattaforme di gioco online devono rispettare un gran numero di requisiti, dettati nel documento 'Linee guida per la certificazione della piattaforma di gioco', attualmente arrivato alla versione 2.0 del 9 novembre 2018, dell'Agenzia delle dogane e dei monopoli. Tali linee guida indicano le caratteristiche che le piattaforme devono avere e sono garanzia per il giocatore. Il gioco legale permette ai giocatori di non affidarsi a persone ed organizzazioni criminali per le sue esigenze di gioco e permette di avere un ambiente controllato e sanzionato, in cui è garantita una alta percentuale di ritorno in vincite delle somme spese dai giocatori.
Le piattaforme illegali non garantiscono nulla, se non la arbitrarietà delle cifre che ritornano ai giocatori e l'incertezza sulle operazioni svolte all’interno delle piattaforme. Le piattaforme legali in altre nazioni, vietate agli italiani, pur controllate dagli organismi regolatori e sanzionatori di tali nazioni, generano evasione fiscale e sono da combattere e sanzionare in Italia”, sottolinea Gulino.
“Inoltre, la normativa italiana ha imposto alle piattaforme alcune funzionalità di tutela del giocatore e di gioco responsabile, come per esempio la limitazione – autolimitazione dell'accesso e delle spese del giocatore, che provano a lenire la ludopatia e la spesa eccessiva.
Sono chiaramente dei palliativi, perché il problema delle ludopatie rimane importante, ma queste contromisure non sono presenti nelle piattaforme illegali, che, anzi, incoraggiano e favoriscono la dipendenza da gioco.
Le piattaforme italiane pongono limiti stringenti all'accesso. Il giocatore viene identificato dal suo codice fiscale e non può avere due conti diversi sulla stessa piattaforma e ovviamente serve per controllare l’età che per legge non può essere inferiore ai 18 anni. Il codice fiscale ed i relativi dati vengono validati dal Sistema centrale di Adm al momento della registrazione, che non può avvenire se il nome dichiarato non corrisponde al codice fiscale. Se vuole ritirare il denaro versato e le vincite, ogni giocatore si deve identificare spedendo copia della propria carta d'identità, in corso di validità, al concessionario. Una persona si può iscrivere a più di una piattaforma, ma se è registrato con lo stesso codice fiscale su due piattaforme diverse non può partecipare alla stessa mano di gioco.
Un problema comune del gioco, in qualunque sua forma, è la possibile collusione fra i giocatori. È chiaro che si tratta di un fenomeno difficile da contrastare, ma i produttori delle piattaforme di gioco sono tenuti a realizzare e certificare sistemi di anticollusione ed antiriciclaggio di denaro, che tipicamente analizzano ogni mano giocata e mettono in evidenza i comportamenti collusivi.
L'esistenza e l'operatività dei sistemi anticollusione sono verificate durante le certificazioni. Questi sistemi sono efficaci, alcuni utilizzano tecniche di intelligenza artificiale e di 'data mining'. Se qualcuno prova a colludere con un complice, sa di poter essere scoperto ed escluso da tutte le piattaforme di gioco legale in Italia.
Le piattaforme devono avere la possibilità di escludere i giocatori collusi e devono comunicare queste esclusioni ad Adm, che può far iniziare indagini per ulteriori sanzioni.
Le piattaforme non possono erogare credito ai giocatori, altro elemento con cui le organizzazioni illegali legano a sé i giocatori.
Ogni acquisto di titolo di gioco da parte di un giocatore viene comunicato in tempo reale ad un sistema centrale Adm. Il giocatore ottiene un numero ('ticket Adm), che può usare per verificare sul sito di Adm che la sua giocata sia stata effettuata in modo regolare.
Sono presenti requisiti ben precisi sul trattamento dei conti 'dormienti' (non attivi da alcuni anni), il cui saldo deve essere versato allo Stato”.
L'ITER - L'informatico dell'Istituto Giordano quindi ripercorre le fasi dell'iter di certificazione. “Per la prima certificazione della piattaforma vengono effettuate prove operative, sulla versione di sviluppo della piattaforma, verificando le funzionalità di: accesso al conto di gioco, accesso ai giochi, imputazione delle vincite, operazioni di pagamento ed incasso, autolimitazioni di gioco responsabile, memorizzazione e visualizzazione al giocatore di tutte le giocate fatte in passato, presenza degli avvertimenti e dei link sul gioco responsabile. Tutte le verifiche vengono eseguite secondo i requisiti dettati dalle linee guida.
La piattaforma deve garantire la tutela della riservatezza delle informazioni memorizzate, attraverso il rispetto delle relative leggi (esempio il Regolamento generale sulla protezione dei dati, o 'Gdpr') ed attuando ogni possibile difesa e contromisura rispetto alla possibilità di attacchi informatici dalla Rete.
Per questo le piattaforme vengono mantenute sicure operando sempre gli opportuni aggiornamenti del software e dell'hardware e devono subire con periodicità almeno annuale approfonditi test di sicurezza. Si tratta di test automatizzati di 'vulnerability assessment', che stabiliscono le possibili vulnerabilità del sistema, seguiti da 'penetration test', che provano a determinare la possibilità di sfruttare le vulnerabilità evidenziate per accedere illecitamente alla piattaforma o per comprometterla. I test non possono essere effettuati dai gestori delle piattaforme, ma devono essere fatti da enti terzi, quali gli Odv o aziende di provata professionalità specializzate in sicurezza informatica. Gli operatori devono anche rispettare requisiti che riguardano la distruzione dei supporti informatici non più utilizzati.
La piattaforma deve assicurare l’integrità delle informazioni ed il ripristino in casi di guasto. Le informazioni devono essere memorizzate con il dovuto dettaglio, per poter ricostruire ogni operazione effettuata dal giocatore, e mantenute in copie di riserva ('backup') .
Vengono esaminate, se necessario anche con sopralluoghi, l’architettura ed i componenti delle server farm che ospitano la piattaforma, per valutare con attenzione che siano conformi a tutti i requisiti di operatività 24 ore su 24 e di sicurezza fisica e dell’ambiente. Solo allora la procedura di verifica può ritenersi completa e si può procedere al rilascio della certificazione con il suo esito”.
Oltre alla piattaforma, anche i giochi sono sottoposti a certificazione. “Il tal caso si esaminano il layout grafico del gioco, il suo comportamento, le sue regole, la modalità di interazione con il giocatore, le istruzioni rese al giocatore. L’Odv verifica i giochi in base ai requisiti specifici per il tipo di gioco, dettati dalle Linee guida.
I giochi non di abilità non devono dare la falsa impressione di avere 'mancato per poco' la vincita.
Per i giochi a probabilità fissa (es. slot o roulette) l’Odv esamina un documento formale di calcolo teorico della probabilità, consegnato dal produttore, se esso esiste.
Più comunemente, quando non esiste, si usa una versione del programma del gioco, fornita dal produttore ed analizzata nel sorgente dall’Odv, modificata per provare esaustivamente ogni combinazione possibile di uscita dei simboli vincenti. In questo modo, sommando l’entità delle vincite e la somma della 'spesa' per generare tutte le combinazioni possibili, si determina la probabilità teorica di vincita. Spesso alla modalità 'esaustiva' viene anche affiancata una modalità di simulazione di tipo 'Montecarlo' nella quale si prova il gioco, nella sua versione operativa non modificata, per molti milioni di volte, realizzando in seguito una statistica, il cui risultato deve essere compatibile con i valori determinati con la tecnica combinatoria. I dati sulla probabilità di vincita devono essere pubblicati sulla piattaforma.
Nel caso di gioco a quota fissa, l’Odv certificatore deve provare tutte le combinazioni vincenti presenti nella paytable e la veridicità delle vincite dichiarate. Anche in questo caso l’Odv dispone di una versione leggermente modificata del programma di gioco, che permette di scegliere i simboli che usciranno.
I concessionari devono far verificare annualmente ad un Odv la percentuale delle cifre giocate dai giocatori che viene effettivamente redistribuita come vincita (Rtp = Return To Player). La verifica avviene consultando i dati di gioco prodotti dal concessionario. La percentuale di ritorno al giocatore deve essere maggiore di un valore stabilito, leggermente diverso in base al tipo di gioco, ma tipicamente non inferiore al 90 percento.
Un altro elemento della piattaforma che deve essere sottoposto a certificazione è il generatore di numeri casuali usato nei giochi, che viene sottoposto a un insieme di test statistici volto ad accertare l’uniformità della sua distribuzione statistica.
Ogni anno piattaforma e giochi devono essere sottoposti, da parte di un Odv, a verifiche periodiche di conformità sul sito di produzione (audit)”, dice ancora Gulino.
IL FUNZIONAMENTO DELLE PIATTAFORME - “Le piattaforme per il gioco online sono sistemi informatici complessi, che coinvolgono personale molto specializzato e competente e che devono garantire: l'accesso ai giochi senza soluzione di continuità, i pagamenti delle giocate e delle vincite, il tracciamento di ogni attività svolta dai giocatori, anche ai fini fiscali, con la comunicazione in tempo reale di ogni giocata ad un 'sistema centrale' di Adm.
Le piattaforme hanno architetture informatiche diverse ma sono sempre allo stato dell'arte per quel che riguarda la loro dotazione tecnologica”, ricorda ancora Gulino.
“In un tipico datacenter dedicato ai giochi online risiedono alcune decine di costosi computer server, molti configurati per lavorare insieme in configurazione 'a grappolo' (cluster). Questa configurazione garantisce che, se uno dei computer del cluster si rompe, gli altri due possono sostituirlo senza nemmeno spegnere il sistema. Analoghi sistemi 'replicati' sono usati per la memorizzazione, l’alimentazione elettrica e le apparecchiature di rete, per assicurare che la rottura di uno qualsiasi dei componenti della piattaforma non causi l’interruzione del suo servizio.
Il datacenter ha collegamenti molto veloci verso Internet, per garantire una navigazione fluida all’utente ed uno scaricamento rapido dei giochi. Deve anche essere collegato con Adm, per spedire i dati delle giocate e gli hash dei moduli critici.
È inoltre presente un collegamento con un altro datacenter, in un luogo diverso, e che serve da 'disaster recovery'. Nel secondo datacenter sono presenti apparecchiature che ricevono e memorizzano ogni operazione fatta nel datacenter principale, in modo da non perdere i dati del passato e la configurazione del presente anche se il datacenter principale dovesse subire un disastro epocale. Con i dati nel sito di 'disaster recovery' deve essere possibile il ripristino rapido del sistema originario in caso di disastro.
Attualmente tutte le piattaforme si interfacciano con l'utente attraverso pagine web, accedute con un browser. Tutte usano il protocollo Https, che usa collegamenti criptati che garantiscono sicurezza dalle intercettazioni. Alcuni giochi, pochi, vengono installati direttamente nei telefoni dei giocatori, con un programma ad hoc.
Con le stesse tecnologie della piattaforma di conto di gioco, i produttori realizzano i siti di gestione ('backoffice') che permettono agli operatori autorizzati di gestire la piattaforma, i giochi, i dati ed i conti dei giocatori.
Sono usati molti metodi di pagamento, da quelli tipici di Internet come PayPal o carte di credito e debito, ai bonifici bancari, banco poste, carte prepagate e sistemi di pagamento in contante, a fronte di identificazione da parte del personale che raccoglie il denaro. I nuovi metodi di pagamento, che si aggiungono alla piattaforma, devono essere verificati e certificati da un Odv.
Di solito le transazioni con carta di credito usano il sistema del circuito di pagamento per acquisire il numero di carta di credito, per cui la piattaforma di conto di gioco non riceve né può memorizzare il numero di carta di credito”.