normative

Identità digitale: così il Digital Markets Act cambia le regole del gioco



Indirizzo copiato

Il Digital Markets Act potrebbe rappresentare un passo avanti significativo verso una gestione più equa e trasparente dell’identità digitale. L’obiettivo della Ue è di garantire che le grandi piattaforme non abusino della loro posizione per manipolare l’identità online degli utenti o limitare ingiustamente l’accesso ai propri servizi. Vediamo come

Pubblicato il 11 apr 2024



Global-Digital-Identity-Credentials

Le piattaforme online detengono ormai un potere immenso sulla nostra economia e società. Questo è l’assunto che ha spinto l’Unione Europea a progettare una normativa specifica per gestire i giganti del digitale: il Digital Markets Act (DMA). Il DMA, tuttavia, non è solamente un intervento di regolazione, ma rappresenta un tentativo più ampio e complesso dell’Ue per ridefinire le regole in diversi fronti del mercato digitale.

Diversi aspetti del DMA – dalle novità in tema di identità digitale e NFC all’interoperabilità, passando per la questione dei servizi ‘in support of’ – ci spingono a porci domande significative su come dovrebbe essere strutturato il futuro del mercato digitale.

In questo intricato scenario normativo, le prospettive future per l’identità digitale assumono un ruolo cruciale nello schema più ampio della regolazione del settore tecnologico.

Il Digital Markets Act e l’evoluzione della regolazione digitale

Prima di addentrarci negli aspetti più strettamente connessi con l’identità digitale, partiamo da quella che ci sembra un’importante svolta, forse poco approfondita: il passaggio dal design di una norma alla sua concreta applicazione è spesso un momento oscuro che non tutti gli attori presenti sul mercato sono in grado di toccare con mano. L’Unione Europea, con l’enforcement del Digital Markets Act (DMA) sta eliminando questo velo di Maya: consentirà, attraverso meccanismi di compliance e trasparenza, di poter assistere alla realizzazione degli obblighi previsti dal Regolamento in real time. In particolare, da marzo 2024 vengono pubblicate le relazioni di conformità di cui all’art. 11 del DMA, vale a dire dei documenti in cui sei gatekeepers, designati come tali a settembre 2023, dichiarano come intendono conformarsi alle disposizioni del regolamento nelle successive settimane/mesi.

Alcune delle implementazioni tecniche sono già state introdotte nelle piattaforme prima della scadenza. Ad esempio, Google e Meta hanno già iniziato a rivedere le loro politiche e pratiche commerciali, specie relative alla interoperabilità dei dati. D’altro canto, è degno di nota come alcune aziende si siano opposte alla designazione come gatekeepers e abbiano appellato la decisione della Commissione europea, come nel caso di Apple che, peraltro, è stato recentemente oggetto di un’altra sanzione relativa al suo servizio di streaming musicale, Apple Music.

Il DMA e l’identità digitale

La capacità del DMA di tradursi in uno strumento inclusivo di nuove questioni sarà messa alla prova dall’introduzione della nuova normativa relativa al Digital Identity Wallet. Tale novità è figlia delle modifiche al Wallet introdotte attraverso il DMA, dalle nuove norme relative alle VLOPs, di cui al DSA, nonché della riforma del Regolamento e-IDAS.

Ebbene, il 3 giugno 2021, la Commissione europea ha adottato una raccomandazione che invita gli Stati membri a lavorare per lo sviluppo di un toolbox comune che comprenda un’architettura tecnica, un quadro normativo di riferimento, un insieme di standard e specifiche tecniche comuni e un insieme di linee guida e buone pratiche per lo sviluppo della nuova normativa sull’identità digitale. Attualmente, la proposta è in revisione in prima lettura dinanzi al Consiglio: lo scorso 29 febbraio, ha votato a favore degli emendamenti proposti dal Parlamento Europeo.

Tra le disposizioni del nuovo regolamento, che è atteso a breve, si prevede che gli esperti degli Stati membri nell’ambito del gruppo eIDAS, in stretto coordinamento con la Commissione, sviluppino questo toolbox comune, anche coinvolgendo, se necessario per il funzionamento dell’infrastruttura del Portafoglio dell’identità digitale europea (EUDI), altre parti interessate del settore pubblico e privato.

La nuova proposta di regolamento sull’identità digitale si propone di affrontare le carenze di eIDAS migliorando l’efficacia del quadro normativo, nel tentativo di favorire maggiore armonizzazione, ed estendendone i benefici al settore privato. Gli Stati membri offriranno a cittadini e imprese portafogli digitali in grado di collegare vari aspetti delle loro identità digitali nazionali. Questi possono essere forniti da autorità pubbliche o dal settore privato, se riconosciuti dagli Stati membri.

In particolare, il wallet sarà messo a disposizione di chiunque voglia utilizzarlo, segnatamente a tutti i cittadini, i residenti e le imprese dell’UE che desiderano utilizzare l’identità digitale. Il portafoglio avrà la funzione di identificare gli utenti e fornire loro l’accesso a servizi digitali pubblici e privati in tutta l’UE. Diversamente da quanto accaduto in passato, in cui ogni Stato Membro si è dotato di strumenti di identità digitale diversi – per l’Italia, lo Spid – con l’entrata in vigore del nuovo regolamento e-IDAS questi verranno sostituiti da tool in grado di essere interoperabili e funzionare su tutto il territorio euro-unitario.

Il nuovo wallet, inoltre, si propone di consentire alle persone di scegliere quali dati condividere con le terze parti, nonché di accedere ai servizi online senza dover utilizzare piattaforme private o condividere inutilmente i dati personali.

Pertanto, dal punto di vista del DMA, il funzionamento del wallet e il rispetto degli obblighi di interoperabilità sono un vero e proprio banco di prova, non esente però da profili di cui tener conto dal lato giuridico. L’iniziativa EUID va oltre le collaborazioni con i singoli fornitori di piattaforme, e supporterà le interazioni con i fornitori europei di servizi fiduciari qualificati (QTSP), l’accesso alla pubblica amministrazione, e consentirà la creazione remota/locale di firme elettroniche qualificate (QES).

Questo implica un’attenzione sul rispetto degli obblighi di cui al DMA anche da parte di ‘servizi a supporto’ del core business della piattaforma.

Il ruolo dei servizi ‘in support of’

Un aspetto che a ben vedere è stato oggetto di scarsa attenzione da parte dei commentatori concerne proprio il ruolo dei servizi cd. ‘in support of’, a supporto, del servizio principale, core, della piattaforma. Come stabiliscono i Cons. 31 e 33, gli obblighi previsti dal Regolamento “non dovrebbero garantire la contendibilità e l’equità solo per quanto riguarda i servizi di base della piattaforma elencati nella decisione di designazione, ma anche per quanto riguarda altri prodotti e servizi digitali per i quali i gatekeeper fanno leva sulla loro posizione di gateway, che spesso sono forniti insieme ai servizi di base della piattaforma o a supporto di questi”.

La regolazione delle tecnologie NFC

Il Cons. 56, che si appunta sulla regolazione delle tecnologie NFC, ossia tecnologie che sono il fulcro del funzionamento del wallet in quanto permettono a due dispositivi di scambiare dati, evidenzia che, qualora un gatekeeper sia anche produttore di un dispositivo, può limitare l’accesso ad alcune delle funzionalità di tale dispositivo. Questo è appunto il caso della tecnologia di comunicazione near-field, che possono essere necessarie per l’effettiva fornitura di un servizio fornito insieme al servizio della piattaforma principale o a supporto di quest’ultimo e di qualsiasi potenziale impresa terza che fornisca tale servizio.

Tale dispositivo è particolarmente rilevante anche per i servizi di pagamento, laddove sancisce un divieto di self preferencing e di gateaway del gatekeeper nel caso in cui imponga soglie tecniche che dovessero escludere provider esterni. La situazione patologica in cui l’azienda dovesse imporre delle soglie sproporzionate per l’accesso ai propri servizi è calmierata dagli obblighi di cui al Cons. 57 e, in particolare, all’art. 5 par. 7. Ebbene, gli obblighi di interoperabilità, di cui ai paragrafi che precedono, si sostanziano proprio nell’evitare che sia a livello tecnico, ma verrebbe da dire anche, a livello contrattuale, il gatekeeper possa vietare ovvero introdurre delle barriere spropositate ai servizi prodotti da esterni che agiscono a supporto della preformazione di un servizio della piattaforma stessa. Il Cons. 56 che nomina specificatamente i servizi NFC va letto nel senso in cui proibisce al gatekeeper comportamenti ostracizzanti, che, a ben vedere, non dovranno limitarsi ai soli pagamenti in app ma anche ai tap and go nei negozi fisici e all’uso del wallet nell’ambito dell’identità digitale.

L’interpretazione ivi proposta verrebbe corroborata da due fattori. Il primo è sito proprio nell’art. 5 par. 7, di cui si diceva. La norma prevede, difatti, che «il gatekeeper non richiederà agli utenti finali di utilizzare, o agli utenti commerciali di utilizzare, di offrire o di interoperare con un servizio di identificazione, un motore di browser web o un servizio di pagamento, o servizi tecnici che supportino la fornitura di servizi di pagamento, come i sistemi di pagamento per gli acquisti in-app, di tale gatekeeper nel contesto dei servizi forniti dagli utenti commerciali che utilizzano i servizi della piattaforma principale di tale gatekeeper».

I sistemi di pagamento in app ne sono un esempio. Se si pensa al funzionamento delle app portafoglio è chiaro che per performare il pagamento attraverso due dispositivi, smartphone e POS, tramite tecnologia NFC presente in entrambi, è consentita la connessione e lo svolgimento del pagamento, grazie all’abilitazione che l’istituto di credito ha dato alla carta di pagamento per poter comunicare efficientemente con la tecnologia NFC del gatekeeper.

Il secondo aspetto che occorre considerare è che le norme del DMA intendono rispondere a una logica di pareggiamento della posizione del gatekeeper con quella dei competing services, nell’ottica di valorizzare l’apertura di sistema e concretizzare gli obblighi di interoperabilità. Pertanto, sembrerebbe eccessivamente escludente pensare che il gatekeeper debba osservare gli obblighi di cui al Cons. 56 e all’art. 5 par. 7 per i soli pagamenti in app[2].

Conclusioni

Peraltro, e avviandoci alla conclusione, la tecnologia NFC sarà uno tra i principali beneficiari del potenziamento degli obblighi di interoperabilità, e la chiave di volta per la realizzazione di un digital identity wallet pienamente funzionale.

Il DMA, quindi, giocherà un ruolo sostanziale per consentire ai cittadini e agli utenti commerciali di profittare, anche in un’ottica di scambio di dati, di un’apertura dei cancelli per ora sapientemente controllati dalle aziende gatekeeper.

Note


[1] In merito al DMA come strumento di reazione a istruttorie già intraprese dalla Commissione, si faccia riferimento all’analisi di Lindeboom, che seppur concernente un’altra azienda considerabile gatekeeper, riporta talune delle problematiche ostacolanti ivi riportate. J. Lindeboom ‘Google Android, Google Shopping and the Digital Markets Act: Three Sides of the Same Countermovement’, EU Law Live, 12 dicembre 2022.

[2] A corredo di questa interpretazione estensiva, si deve anche menzionare la logica sottesa a questa previsione normativa che pare piuttosto rispondente alle azioni che la Commissione europea ha già intrapreso per vie istruttorie. Tra tutti, è il caso di ricordare che lo scorso 2 maggio 2022, nell’ambito dell’istruttoria avviata nel giugno del 2020, la Commissione Europea ha pubblicato un comunicato stampa con cui ha reso noto di aver inviato ad Apple una comunicazione delle risultanze istruttorie secondo cui la società avrebbe abusato della propria posizione dominante nel mercato dei sistemi di pagamento disponibili sui dispositivi iOS in violazione dell’art. 102 TFUE. Detta istruttoria, che riguarda per l’appunto i portafogli digitali, wallet, concerne tre condotte: le condizioni, i termini e le modalità d’uso del sistema di pagamento proprietario Apple Pay per acquisti via app o in siti internet realizzati per il tramite di dispositivi mobili che utilizzano il sistema operativo iOS; le restrizioni all’accesso al servizio Apple Pay imposte ad alcune applicazioni disponibili sui sistemi operativi iOS e sviluppate da concorrenti di Apple; nonché la limitazione alla sola applicazione proprietaria Apple Pay dell’accesso ai necessari input hardware e software per l’utilizzo della tecnologia NFC al fine di permettere l’esecuzione di pagamenti tramite dispositivi mobili in negozi fisici. Proprio per il particolare ruolo che il gatekeeper ha su questa porzione di mercato, l’istruttoria si concentra sull’ultimo punto. La Commissione ritiene che la tecnologia NFC (integrata all’interno dei dispositivi mobili di Apple), e in particolare il meccanismo “tap and go” (con cui il pagamento avviene mediante il semplice appoggio del dispositivo mobile su un terminale abilitato presso i negozi fisici) rappresentino i meccanismi di pagamento tramite dispositivi mobili più rapidi, sicuri e diffusi a livello europeo. Pertanto, la Commissione sembrerebbe ritenere che Apple avrebbe escluso i mobile wallets sviluppati da terze parti dall’accesso alla tecnologia NFC sui dispositivi iOS. Una direzione di questo tipo è stata annunciata anche dalla Com. Vestager nel discorso ‘Remarks by Executive Vice-President Vestager on the Statement of Objections sent to Apple over practices regarding Apple Pay’ del 2 maggio 2022, e che ha riguardato proprio il caso Apple Wallet e i servizi di pagamento digitali.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4