DIGITAL MARKETS ACT

Interoperabilità tra WhatsApp & C: quale bilanciamento tra privacy e sicurezza delle informazioni

In attesa che il Digital Markets Act venga definitivamente approvato dal Parlamento e dal Consiglio UE, ci si chiede se la prevista interoperabilità dei sistemi di messaggistica istantanea possa in qualche modo compromettere la sicurezza delle informazioni e dei dati personali scambiati. Ecco i possibili scenari

15 Apr 2022
F
Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

Il testo del Digital Markets Act approvato lo scorso 24 marzo prevede che le c.d. Big Tech dovranno aprire le proprie piattaforme di messaggistica, di modo da favorire l’integrazione di quelle sviluppate da terzi, anche se realtà più piccole.

In attesa che il testo sia approvato dal Parlamento e dal Consiglio e che, quindi, diventi legge dell’Unione, ci si chiede se una simile apertura possa in qualche modo compromettere la sicurezza delle informazioni e dei dati personali scambiati tramite iMessage, WhatsApp e gli altri servizi similari.

Se una legge europea rischia di danneggiare la privacy di Whatsapp & C: il dibattito

Il ruolo dei GateKeeper

Il DMA definisce come “gatekeeper” ogni azienda che abbia una capitalizzazione di mercato di almeno 75 miliardi di euro e come minimo 45 milioni di utenti al mese attivi, ma usa (a giusta ragione, dato che la categoria potrebbe variare nel tempo) il termine generico “platform” per riferirsi indifferentemente alle app o ai social network. Le aziende che, ad oggi, possiedono tutti e tre i requisiti sono ben conosciute a chiunque di noi: Apple, Google, Microsoft, Amazon, Meta, ma anche realtà che mai ci qualificheremmo come gatekeeper, quale, ad esempio, Booking.com.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

Dunque, chiunque rientri nella categoria dovrà rispettare tutta una serie di obblighi, in special modo di trasparenza e di apertura delle proprie piattaforme e servizi: in caso di loro inosservanza, la Commissione Europea potrebbe irrogare loro multe fino al 10% del fatturato mondiale dell’anno precedente, valore che può essere raddoppiato in caso di recidiva.

Dunque, nel prossimo futuro, chiunque abbia servizi che siano visti come una porta di accesso alla rete, dovrà adeguarsi in un tempo più o meno breve alle nuove disposizioni.

Il DMA e le piattaforme di messaggistica

Come s’è accennato, il DMA riguarda anche le Big Tech che offrono ai propri utenti piattaforme di messaggistica istantanea: se, sino ad oggi, ogni azienda è stata libera di sviluppare i propri sistemi e protocolli, o, comunque, di usare liberamente quelli open source (come è noto, WhatsApp utilizza il protocollo di comunicazione di Signal), da quando entrerà in vigore il DMA i gatekeeper dovranno rendere disponibili le proprie piattaforme di modo da renderle interoperabili con quelle degli altri sviluppatori, indipendentemente dalla loro grandezza, a semplice richiesta di costoro.

Peraltro, secondo un portavoce dell’UE intervistato da The Verge, il DMA disporrà anche dei termini abbastanza stretti entro i quali i gatekeeper dovranno assicurare l’interoperabilità delle loro piattaforme: tre mesi per i servizi di messaggistica one-to-one, due anni per la messaggistica di gruppo e quattro anni per le chiamate audio e video. Insomma, la tabella di marcia imposta dall’UE rischia di essere abbastanza serrata.

Le reazioni delle Big Tech

Se Signal ha preferito non commentare la notizia, Apple ha preferito evidenziare solo che le disposizioni del DMA sulla interoperabilità procureranno delle vulnerabilità indesiderate per la privacy degli utenti e la sicurezza delle comunicazioni.

La ragione di una simile critica è da rinvenirsi nella chiusura dell’intero ecosistema di Apple, cosa che ha fatto la sua fortuna commerciale, anche se, paradossalmente, Steve Jobs, nel keynote di presentazione dell’iPhone 4 del 2010, annunciando al mondo il rilascio di FaceTime, dichiarò che le intenzioni di Cupertino erano quelle di rendere la tecnologia open e, quindi, a disposizione di chiunque avesse voluto implementarla nei propri sistemi e nelle proprie applicazioni.

Google, dal canto suo, è rimasta silente, forse anche perché ha recentemente introdotto il supporto per il protocollo RPC in Android, di modo da garantire l’interoperabilità del suo sistema operativo mobile con i servizi che lo supportano.

Non è mancata nemmeno la replica di Meta per il tramite del responsabile dello sviluppo di WhatsApp, Will Catchcart, che ha dichiarato in una recente intervista di essere molto preoccupato sia per le implicazioni per la privacy degli utenti, sia perché potrebbero venir meno i meccanismi di controllo che WhatsApp ha implementato negli anni per arginare la diffusione dello spam e delle fake news per il tramite del proprio servizio.

Quali pericoli per privacy e sicurezza delle informazioni

A giudicare dalle dichiarazioni di Apple e Meta e dal silenzio di Google e Signal, gli obblighi che discendono dal DMA potrebbero effettivamente compromettere parte delle politiche di sicurezza adottate dai diversi produttori.

Innanzitutto, in assenza di un protocollo standard di messaggistica, verrebbe meno la crittografia end-to-end utilizzata, come s’è visto, da Signal, WhatsApp e anche da Apple per iMessage.

Per chi non ne conoscesse il funzionamento, il messaggio viene criptato sul device di invio, spedito al dispositivo del destinatario, e infine lì decriptato, senza che il suo contenuto sia salvato su altri server.

Quindi, ove Signal dovesse garantire l’interoperabilità della sua app con quella della società Beta, dovrebbe inviare il messaggio al destinatario che usa quest’ultima soluzione in chiaro, altrimenti il ricevente non potrebbe leggerlo.

Mutatis mutandis, è quanto già avviene per gli SMS ed iMessage: mentre i messaggi scambiati fra dispositivi Apple sono crittografati end-to-end, gli SMS possono essere inviati e ricevuti liberamente, ma non sono soggetti ad alcuna forma di crittografia.

Tra l’altro, volendo garantire la crittografia fra i dispositivi, uno dei due servizi dovrebbe rinunciare alle proprie chiavi, ma chi sarebbe mai disposto a far ciò?

Ancora, aprire le piattaforme, anche tramite API, potrebbe consentire a dei soggetti malintenzionati di diffondere messaggi spam o di fake news bypassando le politiche antispam delle app già in essere. Infatti, anche se i filtri agiscono in modo totalmente trasparente per gli utenti, WhatsApp, iMessage, Telegram e tante altre piattaforme usano dei filtri più o meno automatizzati per escludere chi fa un uso contrario al rispetto dei propri termini d’uso.

Infine, basti pensare che Meta, alla fine del 2019, aveva annunciato l’intenzione di rendere le proprie piattaforme di messaggistica (WhatsApp, Messenger e Instagram Direct) interoperabili fra loro, cosa che non è riuscita a sviluppare in tre anni, nonostante abbia il pieno controllo dei codici sorgenti e dei protocolli di ciascuna applicazione: dunque, quanto potrà volerci per rendere interoperabili tutte le piattaforme fra loro?

La soluzione potrebbe essere di entrare in Matrix

Ovviamente, non si tratta di entrare nel metaverso o in qualcosa di similare, ma di adottare un protocollo unico e condiviso da tutti i gatekeeper.

La scelta di costoro potrebbe ricadere sul Matrix Messaging Protocol, oppure lo standard XMPP o, ancora, il protocollo, tuttora in fase di progettazione e sperimentazione, Messaging Layer Security.

Se, però, da un lato, l’adozione di un protocollo unico consentirebbe di utilizzare delle semplici API per far dialogare tutte le piattaforme tra di loro, mantenendo anche la crittografia end-to-end, dall’altro ogni azienda sarebbe costretta a convertire la propria infrastruttura al nuovo protocollo, adattando anche le proprie politiche antispam e di sicurezza.

Quale sarà il prossimo futuro?

Dunque, sembrerebbe che, alla fine dei conti, rischiano di fare le spese di questa previsione del DMA proprio gli utenti delle piattaforme, ove mai le big tech non trovino un accordo e una soluzione tecnica che consenta la loro indipendenza, pur mantenendo l’interoperabilità e gli elevati standard di sicurezza delle informazioni.

Credo che a nessuno piacerebbe sapere che i propri messaggi e le proprie chiamate vocali e video non siano crittografate se il proprio interlocutore non usa la stessa applicazione, con il rischio che possano essere intercettati con pesanti interferenze nella propria vita privata e professionale.

Del resto, la recente levata di scudi contro Apple che, in virtù di una normativa americana stava per analizzare le librerie fotografiche di ogni smartphone, avvertendo in automatico le autorità competenti ove vi fossero salvate immagini pedopornografiche, dovrebbe far riflettere su quanto, ormai, l’utente abbia una forte consapevolezza del proprio diritto alla riservatezza, a differenza di qualche anno fa.

I gatekeeper, quindi, dovrebbero già mettersi al lavoro per garantirla, anche per non perdere preziose fette di mercato.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing
@RIPRODUZIONE RISERVATA

Articolo 1 di 4