As directrizes Critical Supplier revistas pela MGA (eficazes a partir do T2 2026) introduzem três novas categorias de documentação: evidência de testes de continuidade de negócio, risco de concentração de subprocessadores e divulgação explícita de governance de IA / modelo para qualquer fornecedor que coloque ML em fluxos de protecção do jogador ou fraude.
Os testes de continuidade de negócio passam a exigir exercícios trimestrais documentados em mesa-redonda, com participantes nomeados e actas assinadas, mais um drill anual completo de failover medido contra o SLA do operador. Esta é a mais pesada operacionalmente das três mudanças — a maioria dos fornecedores que conhecemos já corre tabletops trimestrais, mas a MGA agora exige que a trilha de auditoria pareça a trilha que um auditor MGA construiria.
O risco de concentração de subprocessadores é um exercício de divulgação: qualquer subprocessador que gere mais de 25% do tráfego destinado à plataforma tem de ser nomeado e o operador tem de manter um plano de mitigação documentado. É em grande parte um passe de documentação para fornecedores já a correr em infraestrutura diversificada.
A divulgação de governance de IA / modelo é a maior incógnita. A MGA ainda não publicou um template final, mas o draft pede o fluxo de dados, a origem dos dados de treino, a metodologia de teste de viés e o caminho de intervenção human-in-the-loop. Fornecedores que correm modelos ML de anti-fraude ou jogo responsável devem esperar mapear a documentação dos seus modelos para o novo template.