“Il concetto di sicurezza nel gioco ha subìto una notevole evoluzione nel corso degli anni, soprattutto grazie all'implementazione di soluzioni tecnologiche sempre più avanzate. Sogei, la società di informatica del Mef, ha giocato un ruolo cruciale in questo processo, ottimizzando la sicurezza nel gioco, fin dalla progettazione di ogni sistema considerando, by design, tutti gli aspetti legati alla protezione del dato e alla definizione di tutte le misure atte alla difesa delle informazioni trattate. Ma sicurezza vuol dire anche garanzia di trasparenza verso i giocatori, garanzia di un gioco che sia fonte di intrattenimento senza favorire comportamenti patologici e che consenta allo Stato il contrasto di comportamenti illegali o fraudolenti. Realizzare soluzioni sicure by design vuol dire applicare processi e standard in ogni fase dell’iter di industrializzazione di soluzioni software con ruoli e responsabilità chiare e in coerenza con le best practice internazionali e le norme Iso.”
Claudio Teodoro, direttore Soluzioni e Servizi Economia e Adi Sogei, spiega così l'evoluzione del concetto di sicurezza del gioco. E scende nel dettaglio di come si concretizza l'impegno del “braccio” informatico del ministero dell'Economia e delle Finanze, oltre che dell'Agenzia delle dogane e dei monopoli in materia.
“Nelle nostre infrastrutture applichiamo le competenze necessarie alla progettazione, dimensionamento, implementazione, conduzione, controllo ed evoluzione di ciascuna componente. In relazione alla complessità dei servizi di gioco e delle banche dati che gestiamo applichiamo diversi pattern architetturali e tecnologici pensati appositamente per le specificità del singolo gioco. Per i sistemi dei giochi inoltre è previsto da sempre un servizio di Disaster Recovery (Dr) che consiste nella replica dei dati sui siti distanti dal data center primario grazie a una infrastruttura dedicata e della presenza, per ognuna delle piattaforme presenti sul sito primario, di un sistema analogo in Dr. In aggiunta a tali soluzioni, l’evoluzione della tecnologia e la ricerca di un costante miglioramento in termini di continuità operativa sta consentendo l’evoluzione delle piattaforme verso modelli di business continuity che prevedono la ridondanza di risorse e l’allocazione di spazio in nuove aree. Anche a livello di connettività le continue evoluzioni comportano una revisione costante degli ambienti di riferimento, con particolare attenzione alle tecnologie e processi di progettazione e alla realizzazione ed esercizio della rete gestita. Rete, che per l’ambito giochi, è dedicata, rispetto agli altri contesti in cui opera Sogei, e che recentemente ha visto un innalzamento della propria capacità di connettività verso gli operatori di gioco direttamente collegati con il nostro hub tecnologico. Ancora, sviluppare e gestire, inoltre, sistemi complessi come quelli per i giochi impone a Sogei l’adozione di approcci strutturati. Basti pensare ad esempio che attualmente per i giochi a totalizzatore vengono gestite fino a 12,6 miliardi di transazioni (dato 2024).
Questo si traduce nell’applicazione di metodologie, standard e framework che permettono il miglioramento costante dei processi produttivi e di controllo, garantendo qualità, sicurezza, performance e scalabilità dei nostri servizi.
La protezione delle informazioni rappresenta la nostra priorità assoluta. Tale obiettivo si persegue sia attraverso l’adeguamento della tecnologia ai requisiti di sicurezza sempre più stringenti, sia modellando i processi e promuovendo internamente la cultura della sicurezza.
La normativa in materia di Protezione Dati prescrive l'esecuzione di una Dpia (Data Protection Impact Assessment) che mira a descrivere un trattamento di dati personali per valutarne la necessità e la proporzionalità nonché i relativi rischi. Titolare di ciascun trattamento dei dati personali in ambito giochi è Adm che esegue l’analisi del rischio e la valutazione di impatto. Sogei a fronte di questa analisi definisce e mette in opera le misure idonee ad affrontare i rischi rilevati e a mitigarli.
Per ciascun servizio, Sogei svolge inoltre tutte le analisi necessarie a determinare le conseguenze derivanti dal verificarsi di eventi critici, a valutarne l'impatto sull'operatività dell'organizzazione e a definire i parametri di continuità operativa dei servizi applicativi, nonché le relazioni tra gli stessi.
Nell'ambito dei controlli software relativi alla sicurezza, sono utilizzati strumenti di automazione dei task, in supporto alle consuete attività di Wapt.
I requisiti di sicurezza da implementare sono collegati direttamente all’insieme dei test di sicurezza descritti nella Owasp Testing Guide e che sono la base per la successiva fase di verifica di sicurezza del software prodotto.
Tutti i sistemi di gioco hanno conseguito e rinnovano periodicamente la certificazione di conformità alla norma Iso/IEC27001 da parte di un ente terzo accreditato. Questa certificazione attesta il nostro impegno nel garantire i massimi livelli di sicurezza per la protezione delle informazioni.
Inoltre, minacce informatiche sempre più sofisticate richiedono contromisure adeguate e in tempi brevi: le misure di sicurezza attuate vengono costantemente monitorate e ne viene valutata l’efficacia adottando tempestivamente azioni di miglioramento e aggiornandole proattivamente.
L’utilizzo di certificati digitali invece nella trasmissione attraverso i protocolli di comunicazione tra i sistemi di gioco e i sistemi dei concessionari autorizzati garantisce l'autenticità e l'integrità di dati scambiati, proteggendoli da accessi non autorizzati ed eventuali manomissioni.
Sogei garantisce, inoltre, la sicurezza e la riservatezza dei dati personali dei giocatori implementando tecnologie di crittografia e psedominimizzazione.
A seguire, l’innovazione tecnologica continua a trasformare il settore. Il panorama dei giochi digitali si è ampliato con nuove forme di intrattenimento: tornei virtuali, esport o sfide in ambienti virtuali che riproducono la realtà sportiva. Queste piattaforme non solo consentono agli utenti di scommettere su eventi sportivi reali, ma offrono anche giochi basati su simulazioni virtuali, creando un'esperienza più accessibile, regolamentata e sicura per chi desidera misurarsi con abilità e strategia. Questi nuovi scenari devono essere regolamentati.
Sogei a supporto del Mef e di Adm garantisce il supporto anche alla stesura delle regole tecniche dei diversi settori di gioco.
Tali regole tecniche vengono progettate nell’ottica di prevedere elevati standard di sicurezza sia dal punto di vista della trasmissione dei dati, sia dal punto di vista della garanzia verso il giocatore e l’erario. Il loro rispetto è garantito da organismi di verifica convenzionati con Adm.
Nell’ambito degli apparecchi da intrattenimento, questo ha consentito l’evoluzione da sistemi stand alone a terminali di gioco connessi in tempo reale a un sistema centrale in cui il gioco e l'esito della giocata vengono determinati.
La sicurezza viene garantita anche attraverso il monitoraggio e il controllo costante dei dati. I sistemi realizzati per monitorare le attività di gioco in tempo reale e identificare comportamenti illeciti, utilizzano strumenti di analisi per identificare e prevenire frodi e manipolazioni nel gioco.
A tal fine svolgono un ruolo chiave strumenti di Business Intelligence e antifrode, nonché sistemi di monitoraggio territoriale (come, ad esempio, Smart).
Significativa è la piattaforma BI denominata 'Frodo' al cui interno sono presenti diversi applicativi per il contrasto alle frodi in materia di poker online, scommesse e antiriciclaggio. Piattaforma caratterizzata dall’utilizzo di data base a grafo e non relazionali, machine learning e algoritmi di indagine evoluta.
In relazione al supporto per la garanzia del gioco legale, Sogei, al fianco dell’Agenzia, mette in atto una serie di attività relative all’esecuzione di controlli puntuali delle informazioni trasmesse dagli organi competenti e all’esecuzione degli accertamenti e/o verifiche tecniche su apparati e apparecchiature informatiche.
Nel dettaglio vengono effettuati controlli specifici su apparecchi da intrattenimento con e senza vincite in denaro, apparati multimediali quali Pc, Totem e dispositivi mobili, piattaforme e giochi Gad. Inoltre, vengono effettuate attività di verifica/auditing presso concessionari/ Fsc e organismi di verifica (Odv).
Nell’evoluzione di tutti questi sistemi inizia a farsi strada l’introduzione di meccanismi di AI tradizionale basata sul machine learning, che consentono di realizzare analisi predittive e di clusterizzazione rispetto a comportamenti anomali. Allo stesso modo si sta consolidando l’impiego di soluzioni generative in grado di affiancare tecniche di indagine Osint con agenti virtuali a sostegno dell’analisi della rete internet per il contrasto alle offerte di gioco da parte di siti illegali.”
Quali sono le sfide future, anche in considerazione del processo di riordino in atto del gioco online e fisico?
“Il processo di riordino del gioco online e fisico in Italia presenta diverse sfide future che devono essere affrontate. Prima fra tutte la necessità di aggiornamento della regolamentazione attualmente in vigore per riflettere le nuove realtà del mercato e garantire che le concessioni siano assegnate in modo trasparente e competitivo.
Proprio per questo Sogei supporta Adm nella predisposizione dei bandi di gara. Nuove gare e investimenti sulla tecnologia sono fondamentali per sbloccare il potenziale del settore.
L’obiettivo del riordino, inoltre, è quello di assicurare che entrambi i canali siano regolamentati in modo coerente per garantire un equilibrio tra le diverse forme di gioco e per rispondere adeguatamente alle esigenze degli operatori e dei giocatori.
Un altro aspetto importante è la prevenzione delle patologie legate al gioco.
La norma ha inserito una serie di misure in tema di tutela dei soggetti più vulnerabili e di prevenzione del disturbo da gioco d’azzardo e del gioco minorile.
In coerenza con le novità introdotte sono in corso di realizzazione nuovi servizi digitali che per il gioco online prevedono: un albo pubblico dei titolari di Punti vendita e ricarica; nuovi servizi per i processi di verifica tecnica e la certificazione dei sistemi dei concessionari; l’evoluzione dell’anagrafe dei conti di gioco per tenere conto delle misure di autolimitazione; servizi dedicati alla tutela della sicurezza dei sistemi e del giocatore; nuovi protocolli di gioco finalizzati a un monitoraggio più efficace sui conti di gioco.
Per quanto riguarda il gioco fisico, l’attività si focalizza per ora sul supporto all’Agenzia: nella valutazione del nuovo modello distributivo del gioco; regionalizzazione degli orari di gioco; dati di raccolta ed erario; nella stesura di nuove regole tecniche per gli apparecchi da intrattenimento che prevedrà la definizione di nuovi standard di sicurezza; la revisione dei processi di certificazione; un’evoluzione tecnologica degli apparecchi stessi in relazione ai nuovi requisiti definiti che prevede l’inalterabilità e il monitoraggio continuo delle transazioni di gioco.
Sia per il gioco fisico che per l’online la stabilità che le nuove concessioni porteranno al settore consentirà di poter evolvere tecnologicamente i sistemi sia da parte degli operatori economici che da parte di Sogei sfruttando le potenzialità delle soluzioni di AI, della moneta elettronica, di infrastrutture di rete che nel corso del tempo si sono estese ed evolute. La realizzazione delle soluzioni tecniche affidate a Sogei non potrà che tenere conto, in primo luogo, delle norme e delle indicazioni dell’Agenzia e al tempo stesso prestare attenzione agli aspetti innovativi che un mercato estremamente tecnologico come quello del gioco regolato.”
Gli operatori, ma anche Sogei, Adm e Mef, possono essere soggetti ad attacchi informatici. Come vi difendete?
“Bloccare gli attacchi è fondamentale per garantire la continuità operativa dei servizi esposti in rete.
Sogei persegue la sicurezza del patrimonio informativo, delle infrastrutture e dei dati attraverso azioni in linea con le disposizioni dell’Agenzia per l’Italia digitale e l’Agenzia per la cybersicurezza nazionale. Il perimetro da proteggere è ampio, ma Sogei garantisce la sicurezza attraverso: un Security Operations Center, un laboratorio di analisi dei virus informatici; un Computer Emergency Response Team. Per evitare attacchi informatici Sogei utilizza strumenti di monitoraggio della rete e delle applicazioni che identificano i modelli e le caratteristiche di traffico tipici della propria realtà, stabilendo una linea di base per identificare più facilmente attività insolite sintomatiche di un attacco. È in grado, inoltre, di ripristinare rapidamente le aree geografiche principali e i servizi business-critical.”
L'evoluzione tecnologica e l'intelligenza artificiale porranno nuove esigenze in materia di sicurezza del gioco?
“L'innovazione tecnologica è essenziale per migliorare la sicurezza e l'efficienza del settore. Investimenti in nuove tecnologie, come l'intelligenza artificiale e la blockchain, possono aiutare a monitorare le attività di gioco, prevenire frodi e garantire la trasparenza.
Modelli di machine learning e algoritmi avanzati possono elaborare in tempo reale l’enorme patrimonio informativo di Sogei, migliorando la capacità di identificare schemi sospetti, contribuendo a combattere fenomeni illegali come il cheap dumping o il match-fixing.
Grazie all’analisi approfondita delle scommesse e dei risultati, l’intelligenza artificiale è ad esempio in grado di segnalare anomalie che potrebbero indicare attività fraudolente, proteggendo così l’integrità del gioco.
L’AI rappresenta una svolta nella lotta contro le frodi. È essenziale continuare a investire e sviluppare tecnologie AI per garantire sicurezza e protezione in un mondo sempre più digitale.
L’AI sarà sempre più integrata nei sistemi di sicurezza per offrire soluzioni avanzate e personalizzate, consentendo una risposta più rapida e coordinata alle minacce che si presentano ogni giorno in nuove forme.
Queste stesse soluzioni potranno però essere utilizzate in maniera malevola per generare cyberattacchi o nuove tipologie di frodi innalzando il livello della necessità di controllo. Già oggi vengono utilizzati dei bot sofisticati per eseguire attacchi su account e transazioni.
Gli stessi modelli di AI generativa adottati nei servizi, se non adeguatamente protetti, potrebbero essere oggetto di hacking, basti pensare al così detto prompt injection (utilizzo di input nocivi inseriti all’interno di prompt legittimi).
Come ogni altra innovazione tecnologica l’AI ci pone di fronte a nuove sfide da raccogliere e vincere attraverso lo studio, l’innovazione e un approccio sistemico.”