El "Big-Bang" de un nuevo mercado - Un ejemplo de éxito de colaboración público privada
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Monográfico
El “Big-Bang” de un nuevo mercado
Un ejemplo de éxito de colaboración público privada
E
La puesta en marcha del nuevo s algo inusual en el ámbito de las admi-
mercado de juego online supuso nistraciones públicas españolas encon-
la necesidad de implementar, trarse con un ámbito de nueva creación
donde es preciso intervenir (regular, observar,
en el plazo de seis meses, una participar, …). Somos un país con una larga
serie de servicios de verificación tradición en lo que a sector público se refiere, y
de identidad y de presencia en en muy pocos sectores, se puede tener la opor-
tunidad de participar desde cero en la creación
RGIAJ con el objetivo de que de todo el entramado jurídico-técnico y sus
los operadores pudieran ofrecer JOSÉ ANTONIO correspondientes derivaciones prácticas para
GARCÍA
sus plataformas de juego a aque- Consejero Técnico. hacer realidad un proyecto.
llos ciudadanos interesados. Se Subdirección Sin embargo, la irrupción de las nuevas
General de Gestión tecnologías en la vida diaria del ciudadano,
trataba de poner a disposición del Juego. así como, —no hay que negarlo— la necesi-
Ministerio de
de empresas cierta información Economía dad que existe de conseguir nuevos ingresos
sobre sus posibles jugadores de y Competitividad tributarios aunque sea aduciendo el evidente
peligro para la cohesión social que tiene el
forma que pudiesen ofrecer los sector del juego— hicieron necesaria la pro-
servicios para los que habían mulgación de una ley del juego (Ley 13/2011,
abonado fuertes sumas de dine- de 27 de Mayo, de regulación del juego, cuyo
ro en forma de garantías o tasas texto consolidado se encuentra disponible en
http://www.boe.es/buscar/act.php?id=BOE-
para la adquisición de licencias, A-2011-9280, eminentemente centrada en el
rentabilizando las inversiones juego online y que, además de ser pionera
realizadas para adecuar sus pla- por su temática, lo era por abordar un tema
—el juego— competencialmente en manos
taformas de juego a la novedosa
de las Comunidades Autónomas, pero que al
legislación española. ser realizado a través de medios telemáticos,
hacía necesaria una actuación y regulación a
nivel estatal.
Así, la mencionada ley y sus correspon-
dientes desarrollos reglamentarios FIGURA 1
(Real Decreto 1614/2011, de 14 de noviembre,
por el que se desarrolla la Ley 13/2011, de 27 de
mayo, de regulación del juego, en lo relativo a
licencias, autorizaciones y registros del juego
y Real Decreto 1613/2011, de 14 de noviembre,
por el que se desarrolla la Ley 13/2011, de 27 de
mayo, regulación del juego, en lo relativo a los
32 | boletic
FIGURA 1. Línea del tiempo legislativa
requisitos técnicos de las actividades
de juego) venían a abordar el juego
online desde la óptima de cuatro pi-
lares principales:
-Prevención de los juegos de azar
como fuente de perturbación del or-
den público y de fraude: regulación
de los juegos permitidos y necesidad
de obtener la correspondiente licen-
cia para poder ejercer dicha actividad.
-Asegurar que el negocio del juego se
lleva a cabo de manera justa y abierta
-Salvaguardar los derechos de los par-
ticipantes en los juegos.
-Proteger a la infancia y a los colec-
tivos vulnerables, de forma que no
puedan ser utilizados por los opera-
dores de juego en su propio benefi- FIGURA 2. Los cuatro pilares de la Ley 13/2011
cio. FIGURA 2
plataformas de juego desde territorio ellas, se diseñaron distintos tipos de
Ejes principales L13/2011 español —únicamente se puede ac- lo que se denominaron licencias sin-
Dejando a un lado las partes más ceder a aquellas plataformas que dis- gulares (LS):
polémicas de la legislación (se creó pongan de un dominio .es—). LG juegos de apuestas
una Comisión Nacional del Juego Los cuatro ejes anteriores se tradu- LS apuestas deportivas mutuas
—todavía no efectivamente consti- jeron principalmente en: LS apuestas deportivas de contrapar-
tuida— para la regulación, el control Convocatoria de adjudicación de li- tida
e inspección del nuevo mercado, te- cencias: las posibles licencias a soli- LS apuestas hípicas mutuas
niendo una tasa afectada a su funcio- citar se dividieron en tres principales LS apuestas hípicas de contrapartida
namiento tasa desafectada posterior- categorías (llamadas licencias gene- LS Otras contrapartida
mente—, o la limitación de acceso a rales –LG-), y dentro de cada una de LG concursos »
abril 2013 • boletic 65 | 33
Monográfico LG otros juegos artículo. Por ello, a partir del mismo habilitaba a la DGOJ a establecer los LS Black Jack día de la concesión de cada una de las mecanismos necesarios para pro- LS Bingo licencias, y en el caso de que quisie- porcionar ese servicio usando los de LS Punto y banca ran ofrecer sus servicios al público, intermediación ya existentes. Ade- LS Póquer los operadores de juego online deben más, la legislación recalcaba que, LS Ruleta identificar al jugador en una doble únicamente los datos obtenidos de LS Juegos complementarios vertiente (artículos 26 y 27 del RD la DGOJ, se presumían ciertos (en El proceso de adjudicación de li- 1614/2011): el caso de realizar una verificación cencias finalizó, de forma general, -En el proceso de registro: asegurar de identidad por medios propios y en Junio de 2.012 con algo más de 50 que no es menor de edad detectarse un error en la misma, el operadores de juego (de naturaleza -En el proceso de registro y, sobre operador podría ser sancionado), y mayoritariamente extranjera) que se todo, en el momento de abono de pre- además, permitía a la DGOJ contes- repartieron algo más de 80 licencias mios: asegurar que no está inscrito tar dentro de los tres días siguientes a generales y casi 300 licencias singu- en el RGIAJ la recepción de la petición (eliminaba lares (los detalles se pueden encon- Con el objetivo de cumplir ambos el requisito de un estricto 24x7). trar en http://www.ordenacionjue- requisitos, la DGOJ realizó (a través El mecanismo implantado obli- go.es/es/operadores/buscador). de una contratación vía Catálogo de gaba a que el usuario en proceso de Control de la actividad de los opera- Patrimonio 25/2002 con la empresa registro en una plataforma de juego dores de juego: se definió el modelo de IBM S.A.) el desarrollo de un sistema online proporcionase los datos de su datos del sistema de monitorización de información que posibilitara am- DNI o NIE, tal y como aparecen en el de la información correspondiente a bas verificaciones. Dicho desarrollo documento (número de DNI o NIE, los registros de operaciones de juego. está siendo manteniendo por la em- nombre y apellidos y fecha de naci- O lo que es lo mismo, se detallaron presa Connectis, adjudicataria de un miento). La DGOJ, una vez recibida las especificaciones técnicas que de- contrato de Catálogo de Patrimonio la consulta, la reencaminaba hacia ben cumplir los sistemas técnicos de 26/2011. el servicio de intermediación, que los operadores de juego, de forma, a su vez lo dirige hacia la Dirección que quede a disposición de la Direc- El Sistema de Verificación de Datos General de la Policía. Una vez anali- ción General de Juego todo el detalle de Identidad (SVDI) zada la respuesta recibida, la DGOJ de las actividades de juego realizadas. La primera de las dos verificaciones simplificaba la misma con el objeto De tal forma, se definieron el forma- mencionadas anteriormente está de facilitar el tratamiento al operador to, el contenido, la forma de acceso y basada en la utilización del Sistema de juego online, ofreciendo los códi- la disponibilidad de la información a de Verificación de Datos de Identi- gos de respuesta que detallamos en la que la Dirección General de Orde- dad proporcionado por la Dirección la TABLA 1. nación del Juego tendría acceso con General de Modernización Adminis- Con el objeto de no sobrecargar el el fin de asegurar las limitaciones trativa, Procedimientos e Impulso sistema de intermediación, la DGOJ legales establecidas, así como veri- de la Administración Electrónica del habilitó un sistema de cacheo por el ficar que el juego se realiza de una Ministerio de Hacienda y Adminis- cual, todas aquellas identificaciones forma segura y justa, sin olvidar te- traciones Públicas. correctas eran utilizadas para la reso- mas como la prevención del fraude o Se utiliza siempre que se trata de lución de peticiones que tratasen so- el blanqueo de capitales. ciudadanos en posesión de un DNI bre el mismo DNI o NIE (en principio Activación de los sistemas técnicos o NIE (para la identificación en base se estimaba que existiría un gran nú- que habiliten la protección de los colecti- a otros documentos acreditativos mero de jugadores presentes en va- vos vulnerables (infancia e inscritos en de identidad –pasaporte- los opera- rios operadores, por lo que el sistema el Registro General de Interdicciones de dores de juego deben implementar de cacheo, además de evitar sobrecar- Acceso al Juego, RGIAJ): los puntos sus propios sistemas de verificación gar al sistema de intermediación con anteriores no hubieran tenido apli- documental). Aunque la legislación un tráfico para el que no estaba dise- cación alguna sin la creación de los permitía que los operadores de juego ñado, y que además era imprevisible mecanismos que permitiesen a los online utilizasen sus propios siste- en cuanto a volumen y a ocurrencias operadores de juego online el cum- mas de verificación de identidad con horarias, evitaría posibles errores plimiento de las verificaciones de los el objeto de permitir el juego única- surgidos de la interconexión de dis- jugadores, contenido central de este mente a mayores de edad, también tintos sistemas de información) 34 | boletic 65 • abril 2013
TABLA 1. Códigos de respuesta
Desde la puesta en marcha del ser- Una vez identificado correctamente Dado que la legislación indica
vicio se han validado más de 1’1 mi- al posible participante, el operador de claramente que antes de la retirada
llones de jugadores a razón de una juego debía comprobar que éste no de premios se ha controlar el estado
media de más de 5 peticiones por ju- estuviera dado de alta en el RGIAJ, en RGIAJ del interesado, y previen-
gador (aunque parezca lo contrario, ya sea por propia iniciativa, o por sen- do una posible consulta masiva de
la obligatoriedad de que los datos se tencia judicial firme. todos los operadores una vez finali-
transmitan tal y como aparecen en El RGIAJ, el registro de prohibicio- zados los eventos deportivos, se di-
el DNI o NIE es fuente de múltiples nes de acceso al juego a nivel nacional señaron dos formas de consulta al
errores, sobre todo, cuando se trata (cada Comunidad Autónoma tiene el RGIAJ. Una orientada a la consulta
de personas con nombres originarios suyo para el control de acceso al juego inicial de un nuevo cliente del ope-
de lenguas distintas de las del territo- en su territorio) legislativamente se ha- rador y otra para que el mismo ope-
rio español). bilitó para que, también, soportara las rador pueda consultar los cambios
prohibiciones de acceso al juego on- de estado de todos sus clientes (o lo
Verificación de presencia en el line. En la actualidad cuenta con algo que es lo mismo, de todos aquellos
Registro de Interdicciones de más de 40.000 inscritos, de los cuales por los que preguntó en su día). Esta
Acceso al Juego (RGIAJ) 30.000 se encuentran en estado activo. consulta de cambios se debía hacer, »
abril 2013 • boletic 65 | 35
Monográfico FIGURA 3. Procesos de verificación cada hora, a las horas en punto, que online tenga sus propios sistemas de lio, …). Desde el punto de vista de la es cuando se determinó que los cam- verificación de identidad, en el caso DGOJ no se produce una asociación bios en RGIAJ tendrían efecto (ya se de la verificación del RGIAJ, la ausen- del jugador y del operador. realicen modificaciones de estado a cia de servicio implicaba no poder re- (2) A utilizar en la fase final del través de la sede electrónica por parte gistrar nuevos jugadores o el abono proceso de registro, tras el cual se del interesado o por parte del gestor de premios, lo que supone un grave podrá (si procede) activar la cuen- de la aplicación de Gestión del RGIAJ perjuicio para el negocio, incluyendo ta de usuario. La utilización de este —aplicación que la DGOJ heredó del cierta posibilidad de reclamación por método implica que la DGOJ asocia- Ministerio del Interior, organismo lucro cesante). rá al jugador al operador que realiza competente hasta la entrada en vigor la consulta, por lo que en el futuro y de la L13/2011—). De esa forma, se Descripción funcional de los sobre el jugador consultado, se noti- pasó a consultar de forma individua- procesos de verificación ficarán los cambios de su estado en el lizada el RGIAJ en el proceso de alta En la FIGURA 3, podemos observar los RGIAJ vía VerificarCambiosRGIAJ. de cada cuenta y se establecieron 24 siguientes procesos: (3) A utilizar cuando el proceso consultas por hora por cada operador (1) En el caso de que el operador de registro del jugador se realiza en activo (algo menos de 40 operado- utilice los servicios de identificación una sola fase, comprobando en un res), reduciendo drásticamente el su- de participantes proporcionados por solo paso la identidad y su estado en puesto riesgo de colapso (no hay que la DGOJ, se hará uso de este servi- RGIAJ, tras el cual se podrá (si pro- perder de vista que durante el diseño cio en la fase inicial del proceso de cede) activar la cuenta de usuario. del sistema se desconocía el volumen registro con el objeto de comprobar La utilización de este método impli- de juego, el volumen de abono de pre- la identidad del jugador, y en el caso ca que la DGOJ asociará al jugador mios o el de registros nuevos, por lo de una identificación incorrecta, no al operador que realiza la consulta, que era de vital importancia el diseño permitirá el acceso a fases posterio- por lo que en el futuro y sobre el ju- de un sistema que soportase la acti- res del proceso de registro donde gador consultado, se notificarán los vidad del mercado sin afectarlo. Es se realicen otras comprobaciones cambios de su estado en RGIAJ vía necesario recordar que así como en (estado RGIAJ ) o se soliciten otros VerificarCambiosRGIAJ. la verificación de identidad la legis- datos adicionales necesarios para la 4) Dado que los cambios de estado lación deja a la DGOJ tres días para constitución efectiva de la cuenta de en RGIAJ se producen a las horas en contestar, o que el operador de juego usuario (tarjetas de crédito, domici- punto, los datos obtenidos en la con- 36 | boletic 65 • abril 2013
FIGURA 4. Proceso de consulta alternativa de interdictos
sulta del método serán válidos duran- los, la DGOJ realizase una validación debería acceder a los sistemas de la
te toda la hora siguiente y se deberán del estado del certificado (requería DGOJ en los intervalos marcados
usar para impedir realizar cualquier además de un gasto en tiempo, que por los parámetros y
actividad de juego en los términos re- podría perjudicar al operador, ya que .
cogidos en la normativa vigente. en el extremo del operador habría un Adicionalmente, y con el objeto de
(5) Ambas acciones deben tener usuario esperando a ser dado de alta, no sobrecargar el sistema con com-
en cuenta la situación de inscripción el tener conexión con cualquiera de probaciones que dieran resultados
del jugador en el RGIAJ. Para ello, las CAs que emiten certificados en erróneos, se definieron en el trata-
se utilizará la información obtenida el mundo para comprobar la no re- miento inicial de los valores recibi-
a través del servicio VerificarCam- vocación los certificados recibidos). dos una serie de comprobaciones,
biosRGIAJ, con la que el operador Por ello, se decidió aceptar cualquier entre las que se encuentran:
deberá actualizar su base de datos de certificado (incluso uno autoemitido -Comprobación formato DNI o NIE
clientes y actuar en consecuencia. por el operador), comunicando en el es correcto
proceso de alta del operador la parte -Fechas anteriores a 01/01/1900 no
Seguridad en el intercambio pública del mismo. son correctas
de información Así, en el proceso de comproba- -El primer apellido es obligatorio
Los anteriores servicios descritos se ción del WS-Security, se modificó el para DNI y NIE
implementaron mediante Web Ser- código fuente de distribución carga- -El segundo apellido es obligatorio
vices autenticados usando el están- da en el servidor de aplicaciones para para DNI
dar Web Services Security 1.0. no verificar la CA del extremo remoto -Caracteres no permitidos en el nom-
Dado que muchos de los operado- y, posteriormente, validar el certifi- bre y apellidos:
res eran de nacionalidad extranjera, cado con el que se había firmado el 234567890$&¿?¡!|()@#¬+*{}%/\
teniendo por tanto sus servicios de mensaje recibido contra la base de u otros obtenidos con combinación
desarrollo repartidos por casi todo el datos local de certificados aceptados. de letras
mundo, se decidió que el control de Asimismo, se hizo especial hin- -Sistema de sustitución de caracteres
certificados con los que se realizara el capié en asegurar el sistema contra (más allá de los guiones o espacios
WS-Security no estuviera basado en ataques “man in the middle”, de for- en blanco):
que los mismos fueran emitidos por ma que además de que los mensajes Carácter recibido áàäâÁÀÄ (a)
una CA reconocida, y que al recibir- vinieran con un sello de tiempo, éste Carácter recibido éèëêÉÈËÊ (e) »
abril 2013 • boletic 65 | 37Monográfico
Carácter recibido íìïîÍÌÏÎ (i) dos) en lo que se refiere a comproba- operar, debía empezar a validar usua-
Carácter recibido óòöôÓÒÖÔ (o) ción de RGIAJ, la DGOJ enviaría un rios con fecha 1 de enero de 2.012, por
Carácter recibido úùûÚÙÛ (u) correo con la clave a utilizar en el sis- lo que el sistema debía estar listo para
Carácter recibido Üü (ü) tema CAIREST y el periodo de tiem- esa fecha.
po en que este sistema es válido. Así, Pero quizá, el mayor riesgo esta-
Consulta Alternativa de Interdictos los operadores podrían consultar las ba en la posibilidad de que aquellos
(CAIREST) nuevas altas y abonar los premios, sa- que llevaban operando en el estado
Debido a la criticidad del sistema biendo que no se producirán modifi- español de forma alegal, procedieran
de consulta de interdictos y a que la caciones del estado de sus clientes, ya a realizar una migración masiva de
DGOJ no contaba con un centro de que el sistema principal de la DGOJ sus clientes. A pesar de que dicha ac-
respaldo, para solucionar posibles no presta servicio. tividad de regulación masiva de usua-
problemas en la prestación del servi- La operación por parte de los ope- rios previos fue prohibida mediante
cio de consulta del RGIAJ por parte radores es tan sencilla como mandar las correspondientes resoluciones de
de los operadores, ya fuera provoca- una consulta, utilizando el certifica- la DGOJ, no existía forma material de
do por un desastre físico o lógico, se do de operador correspondiente, tipo evitar esas comprobaciones masivas
diseñó un mecanismo de consulta REST con el id del DNI construido (dado que no se conocía el volumen
alternativa (limitado en cuanto a según el algoritmo HMAC SHA1 y la real de validaciones “normales” no
funcionalidades respecto del servicio clave proporcionada y obtener la res- se estimó conveniente implementar
convencional) basado en la tecnolo- puesta correcta: usuario inscrito o no costosos mecanismos de comproba-
gía REST con autenticación de certi- inscrito en RGIAJ. ción de número de peticiones dentro
ficados. FIGURA 4 de un determinado tiempo). Si a lo
De esa forma, se ejecuta un proce- Factores de riesgo anterior le unimos que existía bas-
so por el cual, cada hora, el sistema Uno de los factores críticos para el tante probabilidad que los desarrolla-
de información de la DGOJ actualiza éxito del proyecto era estimar la de- dores (extranjeros) no interpretasen
una determinada información en el manda de los servicios de identifica- correctamente la legislación, reso-
sistema de información alternativo e ción por parte de los operadores del luciones o notas técnicas, y que por
independiente del que presta servicio juego. Ese riesgo se minimizó, como tanto, utilizasen los servicios web de
de forma convencional. La informa- se ha comentado anteriormente, me- manera incorrecta, poniendo en gra-
ción que se le suministra es: diante la interpretación de la legis- ve riesgo el funcionamiento de los
-Certificados de los operadores que lación, adecuando la funcionalidad mismos y por tanto el servicio presta-
pueden consultar el CAIREST requerida a un uso no intensivo de do, se establecieron una serie de me-
-Lista de DNI y NIE presentes en el los servicios de verificación RGIAJ. canismos de alarma para tener con-
RGIAJ, construida a través de la re- Otro de los riesgos era el relaciona- trolado la actividad de cada operador
presentación BASE64 del resultado do con el tiempo de puesta en produc- (número de peticiones de validación
de aplicar el algoritmo de composi- ción del sistema, teniendo en cuenta de identidad, número de peticiones
ción de la clave de búsqueda que se que el desarrollo de la ley 13/2011 en de validación RGIAJ, relación entre
construye con un HASH mediante lo referente al control de los partici- ambos valores, número de peticiones
un algoritmo HMAC SHA1 con con- pantes se publicó el 14 de Noviembre con formato incorrecto, número de
traseña. Dicha clave es enviada por y que la fecha en la que debían con- peticiones de validación de identidad
correo electrónico a un buzón de la cederse las licencias (que es lo que para un mismo operador y con los
DGOJ. marcaba el inicio de las actividades mismos datos de filiación, número
En el caso de que tuviera lugar un de los operadores de juego online) de peticiones de validación RGIAJ
desastre que impidiera prestar el ser- debía ser antes de finalizar el 2.011. para un mismo DNI o NIE –dentro
vicio RGIAJ convencional durante Afortunadamente, se prorrogó dicha de un mismo día o en días anterio-
un periodo de tiempo prolongado, fecha, teniendo hasta Junio de 2012 res, número de veces que consultan
y con el objetivo de que los operado- para conceder las licencias, momen- los cambios RGIAJ de sus clientes,
res pudieran seguir con su actividad to en el que empezaría el mercado a …). Esa información ha sido de mu-
normal (únicamente no podrían veri- operar. Sin embargo, el operador So- cha utilidad a la hora de corregir los
ficar la identidad del jugador a través ciedad Estatal de Loterías del Estado, comportamientos de los operadores
de los medios que ofrece la DGOJ si que ostenta tipos de juego reservado y conseguir que todos se comporten
no a través de los que tenga habilita- y por tanto no necesita licencia para según un patrón definido y que no
38 | boletic 65 • abril 2013pongan en peligro la estabilidad de
un servicio tan crítico.
Volumetrías
De todos los jugadores, un 70% está
registrado en un solo operador y si se
tiene en cuenta aquellos registrados
en 4 operadores se llega hasta el 96%
del volumen total de operadores. FI-
GURA 5. También en esta figura se
muestra la distribución por edades.
Futuro
Una vez puesto en marcha el merca-
do de juego online, sustentando por
los servicios descritos con anteriori-
dad, la DGOJ se centrará en el control
de la actividad de las operaciones de
juego.
No obstante, se han detectado una
serie de mejoras a realizar en los ser-
vicios web, que proporcionarán una
mayor estabilidad y funcionalidades.
Entre las principales mejoras a
acometer se pueden destacar:
-Modificación del módulo WS-Se-
curity estándar para que al igual que
acepta un certificado de cualquier
CA, no rechace aquellos certificados
remotos caducados
-Incluir la funcionalidad de dar de
baja jugadores, de forma que no se le
tenga en cuenta a la hora de informar
sobre cambios de estado en RGIAJ
-Incorporar el soporte de Tarje-
tas de Identificación de Extranjeros
(TIE) en el servicio de verificación de
identidad, de forma que se elimine la
actual deficiencia que impide identi-
ficar a un NIE si tiene asociados va-
rios TIEs
-Incorporar el soporte de identifi-
cación a través del Certificado Euro-
peo
-Establecimientos de controles
software que impidan que, supera-
do un umbral, un mismo operador y
para un mismo día, pueda preguntar
por un mismo DNI tanto en el ser-
vicio de identificación como en el
RGIAJ. FIGURA 5. Volumetrías
abril 2013 • boletic 65 | 39También puede leer
