Giochi on-line: i segreti della certificazione

L'ing. Mauro Gulino, responsabile della divisione informatica e telematica di Istituto Giordano, ci spiega i meccanismi di funzionamento di questa attività.
 
1) Quanto è importante la certificazione delle piattaforme di gioco per la tutela dei giocatori e della legalità?
Più che importante direi indispensabile, una piattaforma di gioco è sicura e affidabile per un utente solo se ha superato tutti i test che la certificazione richiede.
Per avere la certificazione le piattaforme di gioco online devono rispettare un gran numero di requisiti, dettati nel documento “Linee guida per la certificazione della piattaforma di gioco”, attualmente arrivato alla versione 2.0 del 9 novembre 2018, dell'Agenzia delle Dogane e dei Monopoli.
Tali Linee Guida indicano le caratteristiche che le piattaforme devono avere e sono garanzia per il giocatore.

Un problema comune del gioco, in qualunque sua forma, è la possibile collusione fra i giocatori. E' chiaro che si tratta di un fenomeno difficile da contrastare, ma i produttori delle piattaforme di gioco sono tenuti a realizzare e certificare sistemi di anticollusione ed anti riciclaggio di denaro, che tipicamente analizzano ogni mano giocata e mettono in evidenza i comportamenti collusivi. L'esistenza e l'operatività dei sistemi anticollusione sono verificate durante le certificazioni. Questi sistemi sono efficaci, alcuni utilizzano tecniche di intelligenza artificiale e di "data mining". Se qualcuno prova a colludere con un complice, sa di poter essere scoperto ed escluso da tutte le piattaforme di gioco legale in Italia. Le  piattaforme devono avere la possibilità di escludere i giocatori collusi e devono comunicare queste esclusioni ad ADM, che può far iniziare indagini per ulteriori sanzioni.

Le piattaforme non possono erogare credito ai giocatori, altro elemento con cui le organizzazioni illegali legano a sé i giocatori. Ogni acquisto di titolo di gioco da parte di un  giocatore viene comunicato in tempo reale ad un Sistema Centrale ADM. Il giocatore ottiene un numero ("ticket ADM"), che può usare per verificare sul sito di ADM che la sua giocata sia stata effettuata in modo regolare.
Sono presenti requisiti ben precisi sul trattamento dei conti "dormienti" (non attivi da alcuni anni), il cui saldo deve essere versato allo Stato.

2)  Quali sono le fasi dell'iter di certificazione?
La certificazione inizia con una richiesta da parte del Concessionario all’ODV e comprende prove operative, verifiche documentali ed interviste con il personale del Concessionario e del Produttore della piattaforma.
Da un punto di vista operativo i tecnici di Istituto Giordano procedono sempre ad effettuare un esame generale della piattaforma, della documentazione che il Concessionario presenterà ad ADM e verificano come le informazioni vengano messe a disposizione del sistema.
Alcuni Concessionari o Produttori hanno sistemi di informazione documentale impostati secondo le normative di processo, quali la ISO 9001, anche se raramente sono certificati. Altri si affidano di meno alle procedure documentate, per cui l’ODV deve fare maggiori richieste di documentazione.

L’ODV ed il Produttore della piattaforma concordano quali siano le parti della piattaforma più sensibili e stabiliscono quali siano i "moduli critici" del software. Di tali moduli viene acquisito ed analizzato dall’ODV il codice sorgente. I moduli critici vengono compilati, tipicamente in presenza telematica, producendo degli eseguibili che non possono più essere modificati, se non dopo una nuova verifica da parte dell’ODV.
Sia l’ODV che il Concessionario calcolano un "numero riassuntivo" (hash) per l’eseguibile di ciascuno dei moduli critici individuati. L’ODV pubblica sul sito ADM, usando un’apposita WebApp, gli hash dei moduli critici.
Il software della piattaforma calcola almeno una volta al giorno gli hash dei moduli critici effettivamente utilizzati in produzione, e li spedisce ad ADM attraverso un protocollo specifico.
ADM confronta l’hash ricevuto giornalmente dalla piattaforma di gioco con quello trasmesso dall’ODV, che lo ha calcolato indipendentemente. Naturalmente essi devono essere uguali, se ciò non accade ne deve essere giustificata la ragione e devono essere effettuate delle azioni correttive. Questo sistema assicura quotidianamente dell’integrità del codice critico che gira sulla piattaforma, e del fatto che il software  che esegue è quello esaminato dall’ODV.

Le piattaforme vengono mantenute sicure operando sempre gli opportuni aggiornamenti del software e dell'hardware e devono subire con periodicità almeno annuale approfonditi test di sicurezza.  Si tratta di test automatizzati di "Vulnerability Assessment", che stabiliscono le possibili vulnerabilità del sistema, seguiti da "Penetration Test", che provano a determinare la possibilità di sfruttare le vulnerabilità evidenziate per accedere illecitamente alla piattaforma o per comprometterla. I test non possono essere effettuati dai gestori delle piattaforme, ma devono essere fatti da enti terzi, quali gli ODV o aziende di provata professionalità specializzate in sicurezza informatica. Gli operatori devono anche rispettare requisiti che riguardano la distruzione dei supporti informatici non più utilizzati.

Oltre alla piattaforma, anche i giochi sono sottoposti a certificazione. Il tal caso si esaminano il layout grafico del gioco, il suo comportamento, le sue regole, la modalità di interazione con il giocatore, le istruzioni rese al giocatore. L’ODV verifica i giochi in base ai requisiti specifici per il tipo di gioco, dettati dalle Linee Guida.

Ogni anno piattaforma e giochi devono essere sottoposti, da parte di un ODV, a verifiche periodiche di conformità sul sito di produzione (audit).
 
3) Come funzionano le piattaforme di gioco?
Le piattaforme per il gioco online sono sistemi informatici complessi, che coinvolgono personale molto specializzato e competente e che devono garantire: l'accesso ai giochi senza soluzione di continuità, i pagamenti delle giocate e delle vincite, il tracciamento di ogni attività svolta dai giocatori, anche ai fini fiscali, con la comunicazione in tempo reale di ogni giocata ad un "Sistema Centrale" di ADM.

Le piattaforme hanno architetture informatiche diverse ma sono sempre allo stato dell'arte per quel che riguarda la loro dotazione tecnologica.
In un tipico datacenter dedicato ai giochi online risiedono alcune decine di costosi computer server, molti configurati per lavorare insieme in configurazione "a grappolo" (cluster). Questa configurazione garantisce che, se uno dei computer del cluster si rompe, gli altri due possono sostituirlo senza nemmeno spegnere il sistema. Analoghi sistemi "replicati" sono usati per la memorizzazione, l’alimentazione elettrica e le apparecchiature di rete, per assicurare che la rottura di uno qualsiasi dei componenti della piattaforma non causi l’interruzione del suo servizio.

Il datacenter ha collegamenti molto veloci verso l’Internet, per garantire una navigazione fluida all’utente ed uno scaricamento rapido dei giochi. Deve anche essere collegato con ADM, per spedire i dati delle giocate e gli hash dei moduli critici.
E’ inoltre presente un collegamento con un altro datacenter, in un luogo diverso, e che serve da "disaster recovery". Nel secondo datacenter sono presenti apparecchiature che ricevono e memorizzano ogni operazione fatta nel datacenter principale, in modo da non perdere i dati del passato e la configurazione del presente anche se il datacenter principale dovesse subire un disastro epocale. Con i dati nel sito di "disaster recovery" deve essere possibile il ripristino rapido del sistema originario in caso di disastro.

Leggi l'articolo completo


Visita la pagina dedicata alla Certificazione dei giochi on-line