Le piattaforme online detengono ormai un potere immenso sulla nostra economia e società. Questo è l’assunto che ha spinto l’Unione Europea a progettare una normativa specifica per gestire i giganti del digitale: il Digital Markets Act (DMA). Il DMA, tuttavia, non è solamente un intervento di regolazione, ma rappresenta un tentativo più ampio e complesso dell’Ue per ridefinire le regole in diversi fronti del mercato digitale.
Diversi aspetti del DMA – dalle novità in tema di identità digitale e NFC all’interoperabilità, passando per la questione dei servizi ‘in support of’ – ci spingono a porci domande significative su come dovrebbe essere strutturato il futuro del mercato digitale.
In questo intricato scenario normativo, le prospettive future per l’identità digitale assumono un ruolo cruciale nello schema più ampio della regolazione del settore tecnologico.
Il Digital Markets Act e l’evoluzione della regolazione digitale
Prima di addentrarci negli aspetti più strettamente connessi con l’identità digitale, partiamo da quella che ci sembra un’importante svolta, forse poco approfondita: il passaggio dal design di una norma alla sua concreta applicazione è spesso un momento oscuro che non tutti gli attori presenti sul mercato sono in grado di toccare con mano. L’Unione Europea, con l’enforcement del Digital Markets Act (DMA) sta eliminando questo velo di Maya: consentirà, attraverso meccanismi di compliance e trasparenza, di poter assistere alla realizzazione degli obblighi previsti dal Regolamento in real time. In particolare, da marzo 2024 vengono pubblicate le relazioni di conformità di cui all’art. 11 del DMA, vale a dire dei documenti in cui sei gatekeepers, designati come tali a settembre 2023, dichiarano come intendono conformarsi alle disposizioni del regolamento nelle successive settimane/mesi.
Alcune delle implementazioni tecniche sono già state introdotte nelle piattaforme prima della scadenza. Ad esempio, Google e Meta hanno già iniziato a rivedere le loro politiche e pratiche commerciali, specie relative alla interoperabilità dei dati. D’altro canto, è degno di nota come alcune aziende si siano opposte alla designazione come gatekeepers e abbiano appellato la decisione della Commissione europea, come nel caso di Apple che, peraltro, è stato recentemente oggetto di un’altra sanzione relativa al suo servizio di streaming musicale, Apple Music.
L’approccio episodico alla regolazione: il caso del DMA e dell’AI Act
I risvolti concreti del DMA interessano anche per verificare il successo e la sostenibilità di un sistema di fare leggi che sta negli ultimi tempi caratterizzando lo stile delle istituzioni europee: ossia, creare norme per seguire e reagire alla giurisprudenza della Corte di Giustizia dell’Unione Europea o a sanzioni della Commissione. Tale regolazione ha contorni di tipo episodico, ed è stata emulata anche in altre recenti produzioni normative che hanno riguardato il settore digitale, come nel caso dell’Artificial Intelligence Act (AI Act).
Difatti, nel DMA, la maggior parte, se non tutti, degli obblighi giuridici possono essere ricondotti a casi di diritto della concorrenza[1]. La decisione della Commissione su Google Shopping si è tradotta nell’art. 6(5) del DMA, che vieta ai gatekeeper di trattare i propri prodotti e servizi in modo più favorevole rispetto a quelli di terzi nel ranking e nelle relative operazioni di indicizzazione e crawling. Le preoccupazioni di un’indagine della Commissione sull’uso da parte di Amazon dei dati di commercianti terzi per aiutare la propria attività di vendita al dettaglio di prima parte sono state legiferate nell’art. 6(2). Questa clausola generale protegge gli utenti commerciali che utilizzano i servizi della piattaforma principale di un gatekeeper dal rischio che quest’ultimo utilizzi i dati da loro generati o forniti per competere con loro. L’art. 6(7), che impone a un gatekeeper di consentire ai fornitori di servizi terzi di interoperare con le stesse funzioni hardware e software disponibili per i servizi del gatekeeper, presenta una stretta somiglianza con l’indagine in corso sul servizio di wallet di Apple Pay.
Questo stile è stato, altresì, seguito nell’AI Act, come si premetteva. Un esempio lo sono le norme relative all’utilizzo di sistemi di riconoscimento facciale per scopi di polizia, classificati rischio inaccettabile, laddove vengano utilizzati in ‘real time’, e invece alto rischio, quando impiegati per operazione ex post, come stabilito dagli artt. 5 e 29 del Regolamento. In questo modo, il legislatore pare aver reagito allo scandalo provocato dall’impiego massivo, specie dalle forze di law enforcement americane, dell’app ClearviewAI che si è scoperto contenere anche dati biometrici di cittadini europei. Un altro esempio di quanto si sostiene sono le disposizioni relative ai Large Language Model che hanno fatto capolino nel testo dell’AI Act solamente nella versione del Regolamento elaborata dal Parlamento Europeo, e pubblicata a giugno 2023. La reazione in questo caso è stata provocata dalla rapida diffusione degli LLM elaborati da Google e OpenAI, e, in particolare, dopo la nota sanzione del Garante per la Privacy italiano di cui quest’ultima è stata oggetto.
Alla luce di ciò, la concreta applicazione del DMA consente di verificarne il suo successo e la sua effettività nonché la reale generalità e astrattezza di norme, che, seppur pensate come reazione a casi concreti, dovrebbero essere in grado di applicarsi adeguatamente a casi presenti e futuri.
Il DMA e l’identità digitale
La capacità del DMA di tradursi in uno strumento inclusivo di nuove questioni sarà messa alla prova dall’introduzione della nuova normativa relativa al Digital Identity Wallet. Tale novità è figlia delle modifiche al Wallet introdotte attraverso il DMA, dalle nuove norme relative alle VLOPs, di cui al DSA, nonché della riforma del Regolamento e-IDAS.
Ebbene, il 3 giugno 2021, la Commissione europea ha adottato una raccomandazione che invita gli Stati membri a lavorare per lo sviluppo di un toolbox comune che comprenda un’architettura tecnica, un quadro normativo di riferimento, un insieme di standard e specifiche tecniche comuni e un insieme di linee guida e buone pratiche per lo sviluppo della nuova normativa sull’identità digitale. Attualmente, la proposta è in revisione in prima lettura dinanzi al Consiglio: lo scorso 29 febbraio, ha votato a favore degli emendamenti proposti dal Parlamento Europeo.
Tra le disposizioni del nuovo regolamento, che è atteso a breve, si prevede che gli esperti degli Stati membri nell’ambito del gruppo eIDAS, in stretto coordinamento con la Commissione, sviluppino questo toolbox comune, anche coinvolgendo, se necessario per il funzionamento dell’infrastruttura del Portafoglio dell’identità digitale europea (EUDI), altre parti interessate del settore pubblico e privato.
La nuova proposta di regolamento sull’identità digitale si propone di affrontare le carenze di eIDAS migliorando l’efficacia del quadro normativo, nel tentativo di favorire maggiore armonizzazione, ed estendendone i benefici al settore privato. Gli Stati membri offriranno a cittadini e imprese portafogli digitali in grado di collegare vari aspetti delle loro identità digitali nazionali. Questi possono essere forniti da autorità pubbliche o dal settore privato, se riconosciuti dagli Stati membri.
In particolare, il wallet sarà messo a disposizione di chiunque voglia utilizzarlo, segnatamente a tutti i cittadini, i residenti e le imprese dell’UE che desiderano utilizzare l’identità digitale. Il portafoglio avrà la funzione di identificare gli utenti e fornire loro l’accesso a servizi digitali pubblici e privati in tutta l’UE. Diversamente da quanto accaduto in passato, in cui ogni Stato Membro si è dotato di strumenti di identità digitale diversi – per l’Italia, lo Spid – con l’entrata in vigore del nuovo regolamento e-IDAS questi verranno sostituiti da tool in grado di essere interoperabili e funzionare su tutto il territorio euro-unitario.
Il nuovo wallet, inoltre, si propone di consentire alle persone di scegliere quali dati condividere con le terze parti, nonché di accedere ai servizi online senza dover utilizzare piattaforme private o condividere inutilmente i dati personali.
Pertanto, dal punto di vista del DMA, il funzionamento del wallet e il rispetto degli obblighi di interoperabilità sono un vero e proprio banco di prova, non esente però da profili di cui tener conto dal lato giuridico. L’iniziativa EUID va oltre le collaborazioni con i singoli fornitori di piattaforme, e supporterà le interazioni con i fornitori europei di servizi fiduciari qualificati (QTSP), l’accesso alla pubblica amministrazione, e consentirà la creazione remota/locale di firme elettroniche qualificate (QES).
Questo implica un’attenzione sul rispetto degli obblighi di cui al DMA anche da parte di ‘servizi a supporto’ del core business della piattaforma.
Il ruolo dei servizi ‘in support of’
Un aspetto che a ben vedere è stato oggetto di scarsa attenzione da parte dei commentatori concerne proprio il ruolo dei servizi cd. ‘in support of’, a supporto, del servizio principale, core, della piattaforma. Come stabiliscono i Cons. 31 e 33, gli obblighi previsti dal Regolamento “non dovrebbero garantire la contendibilità e l’equità solo per quanto riguarda i servizi di base della piattaforma elencati nella decisione di designazione, ma anche per quanto riguarda altri prodotti e servizi digitali per i quali i gatekeeper fanno leva sulla loro posizione di gateway, che spesso sono forniti insieme ai servizi di base della piattaforma o a supporto di questi”.
La regolazione delle tecnologie NFC
Il Cons. 56, che si appunta sulla regolazione delle tecnologie NFC, ossia tecnologie che sono il fulcro del funzionamento del wallet in quanto permettono a due dispositivi di scambiare dati, evidenzia che, qualora un gatekeeper sia anche produttore di un dispositivo, può limitare l’accesso ad alcune delle funzionalità di tale dispositivo. Questo è appunto il caso della tecnologia di comunicazione near-field, che possono essere necessarie per l’effettiva fornitura di un servizio fornito insieme al servizio della piattaforma principale o a supporto di quest’ultimo e di qualsiasi potenziale impresa terza che fornisca tale servizio.
Tale dispositivo è particolarmente rilevante anche per i servizi di pagamento, laddove sancisce un divieto di self preferencing e di gateaway del gatekeeper nel caso in cui imponga soglie tecniche che dovessero escludere provider esterni. La situazione patologica in cui l’azienda dovesse imporre delle soglie sproporzionate per l’accesso ai propri servizi è calmierata dagli obblighi di cui al Cons. 57 e, in particolare, all’art. 5 par. 7. Ebbene, gli obblighi di interoperabilità, di cui ai paragrafi che precedono, si sostanziano proprio nell’evitare che sia a livello tecnico, ma verrebbe da dire anche, a livello contrattuale, il gatekeeper possa vietare ovvero introdurre delle barriere spropositate ai servizi prodotti da esterni che agiscono a supporto della preformazione di un servizio della piattaforma stessa. Il Cons. 56 che nomina specificatamente i servizi NFC va letto nel senso in cui proibisce al gatekeeper comportamenti ostracizzanti, che, a ben vedere, non dovranno limitarsi ai soli pagamenti in app ma anche ai tap and go nei negozi fisici e all’uso del wallet nell’ambito dell’identità digitale.
L’interpretazione ivi proposta verrebbe corroborata da due fattori. Il primo è sito proprio nell’art. 5 par. 7, di cui si diceva. La norma prevede, difatti, che «il gatekeeper non richiederà agli utenti finali di utilizzare, o agli utenti commerciali di utilizzare, di offrire o di interoperare con un servizio di identificazione, un motore di browser web o un servizio di pagamento, o servizi tecnici che supportino la fornitura di servizi di pagamento, come i sistemi di pagamento per gli acquisti in-app, di tale gatekeeper nel contesto dei servizi forniti dagli utenti commerciali che utilizzano i servizi della piattaforma principale di tale gatekeeper».
I sistemi di pagamento in app ne sono un esempio. Se si pensa al funzionamento delle app portafoglio è chiaro che per performare il pagamento attraverso due dispositivi, smartphone e POS, tramite tecnologia NFC presente in entrambi, è consentita la connessione e lo svolgimento del pagamento, grazie all’abilitazione che l’istituto di credito ha dato alla carta di pagamento per poter comunicare efficientemente con la tecnologia NFC del gatekeeper.
Il secondo aspetto che occorre considerare è che le norme del DMA intendono rispondere a una logica di pareggiamento della posizione del gatekeeper con quella dei competing services, nell’ottica di valorizzare l’apertura di sistema e concretizzare gli obblighi di interoperabilità. Pertanto, sembrerebbe eccessivamente escludente pensare che il gatekeeper debba osservare gli obblighi di cui al Cons. 56 e all’art. 5 par. 7 per i soli pagamenti in app[2].
Conclusioni
Peraltro, e avviandoci alla conclusione, la tecnologia NFC sarà uno tra i principali beneficiari del potenziamento degli obblighi di interoperabilità, e la chiave di volta per la realizzazione di un digital identity wallet pienamente funzionale.
Il DMA, quindi, giocherà un ruolo sostanziale per consentire ai cittadini e agli utenti commerciali di profittare, anche in un’ottica di scambio di dati, di un’apertura dei cancelli per ora sapientemente controllati dalle aziende gatekeeper.
Note
[1] In merito al DMA come strumento di reazione a istruttorie già intraprese dalla Commissione, si faccia riferimento all’analisi di Lindeboom, che seppur concernente un’altra azienda considerabile gatekeeper, riporta talune delle problematiche ostacolanti ivi riportate. J. Lindeboom ‘Google Android, Google Shopping and the Digital Markets Act: Three Sides of the Same Countermovement’, EU Law Live, 12 dicembre 2022.
[2] A corredo di questa interpretazione estensiva, si deve anche menzionare la logica sottesa a questa previsione normativa che pare piuttosto rispondente alle azioni che la Commissione europea ha già intrapreso per vie istruttorie. Tra tutti, è il caso di ricordare che lo scorso 2 maggio 2022, nell’ambito dell’istruttoria avviata nel giugno del 2020, la Commissione Europea ha pubblicato un comunicato stampa con cui ha reso noto di aver inviato ad Apple una comunicazione delle risultanze istruttorie secondo cui la società avrebbe abusato della propria posizione dominante nel mercato dei sistemi di pagamento disponibili sui dispositivi iOS in violazione dell’art. 102 TFUE. Detta istruttoria, che riguarda per l’appunto i portafogli digitali, wallet, concerne tre condotte: le condizioni, i termini e le modalità d’uso del sistema di pagamento proprietario Apple Pay per acquisti via app o in siti internet realizzati per il tramite di dispositivi mobili che utilizzano il sistema operativo iOS; le restrizioni all’accesso al servizio Apple Pay imposte ad alcune applicazioni disponibili sui sistemi operativi iOS e sviluppate da concorrenti di Apple; nonché la limitazione alla sola applicazione proprietaria Apple Pay dell’accesso ai necessari input hardware e software per l’utilizzo della tecnologia NFC al fine di permettere l’esecuzione di pagamenti tramite dispositivi mobili in negozi fisici. Proprio per il particolare ruolo che il gatekeeper ha su questa porzione di mercato, l’istruttoria si concentra sull’ultimo punto. La Commissione ritiene che la tecnologia NFC (integrata all’interno dei dispositivi mobili di Apple), e in particolare il meccanismo “tap and go” (con cui il pagamento avviene mediante il semplice appoggio del dispositivo mobile su un terminale abilitato presso i negozi fisici) rappresentino i meccanismi di pagamento tramite dispositivi mobili più rapidi, sicuri e diffusi a livello europeo. Pertanto, la Commissione sembrerebbe ritenere che Apple avrebbe escluso i mobile wallets sviluppati da terze parti dall’accesso alla tecnologia NFC sui dispositivi iOS. Una direzione di questo tipo è stata annunciata anche dalla Com. Vestager nel discorso ‘Remarks by Executive Vice-President Vestager on the Statement of Objections sent to Apple over practices regarding Apple Pay’ del 2 maggio 2022, e che ha riguardato proprio il caso Apple Wallet e i servizi di pagamento digitali.
