Sarà necessario ancora qualche tempo affinché il Digital Markets Act (DMA) venga approvato, ma Consiglio e Parlamento Europeo hanno già raggiunto un accordo politico sull’atto normativo.
Uno dei temi emersi dal DMA di cui le comunità di privacy e sicurezza digitale stanno occupandosi più a fondo è quello dell’interoperabilità tra servizi di messaggistica, ovvero la possibilità per utenti di diverse piattaforme di comunicare tra loro, ciascuno usando la piattaforma che preferisce.
Il dibattito si incentra su come questa nuova regolamentazione possa incidere sui servizi di messaggistica dotati di crittografia end-to-end, la tecnologia che consente a due persone di scambiarsi messaggi e contenuti direttamente (senza intermediari) in piena sicurezza, senza che nulla passi per i server del fornitore del servizio e senza che nessuna terza parte possa accedervi.
Se vogliamo l’interoperabilità, davvero dobbiamo rinunciare alla sicurezza?
Incomunicabilità tra app di chat: a chi conviene e come superarla
L’importanza dell’interoperabilità
Ma perché è così importante la questione dell’interoperabilità? Ad esempio, un utente di WhatsApp o Facebook Messenger (di proprietà di Meta) deve poter scambiare messaggi con uno di iMessage (il servizio offerto a chi possiede un dispositivo Apple) o di Telegram (piattaforma in parte open source che consente scambio di messaggi criptati). A prima vista potrebbe sembrare una strana richiesta perché ci siamo tutti più o meno abituati a sistemi proprietari che non comunicano tra di loro: iMessage e FaceTime sono creazioni di Apple e tutti sappiamo che possono essere usate solo se si possiede un iPhone, un iPad o un computer prodotto da Apple, mentre tutti i dispositivi con altri sistemi operativi non compatibili, come Android, ne restano fuori.
Tuttavia, l’interoperabilità è alla base del funzionamento di tanti servizi di comunicazione, a partire dallo stesso Internet, il cui protocollo è unico: al World Wide Web ci colleghiamo tutti indipendentemente dal fornitore del servizio, come Vodafone in Europa o Comcast negli Stati Uniti. Anche il protocollo per scambiarsi messaggi via email è lo stesso a prescindere dall’azienda con la quale apriamo un account: chi ha un indirizzo di posta elettronica con Yahoo può inviare messaggi ad account di qualunque altro operatore, come Outlook o Google perché il protocollo, cioè l’insieme di regole che determina come i dati possono essere inviati e trasmessi tramite una rete di connessioni, è lo stesso. Quindi non è così sorprendente che le autorità europee richiedano interoperabilità tra fornitori di servizi di comunicazione diversi.
Interoperabilità e concorrenza
Questo requisito viene motivato dall’effetto positivo che ha l’interoperabilità sul livello di concorrenza nel mercato. Se un fornitore dominante come Meta non consente ai suoi clienti di comunicare con clienti di altri fornitori più piccoli, di fatto è impossibile che questi ultimi possano guadagnarsi una fetta anche minima di mercato per via di quegli effetti di rete di cui parlammo in occasione di altro argomento qui, e cioè il fatto che i grandi operatori e le grandi piattaforme attirano sempre più utenti perché è lì che tutti i loro contatti si ritrovano, interagiscono, si scambiano messaggi ed altri contenuti. Se, al contrario, i protocolli di comunicazione sono compatibili, ciascun utente può rimanere cliente del servizio che preferisce, grande o piccolo che sia, e continuare a scambiare messaggi e contenuti con chi vuole, consentendo in tal modo anche ai piccoli operatori di rimanere attivi sul mercato. Forse cattiva notizia per Meta, buona notizia per una piccola azienda che vuole lanciarsi nel mondo della comunicazione digitale. Ma perché la comunità di ricercatori di privacy e sicurezza informatica, e nello specifico, della crittografia, si sta interessando all’argomento e sta animatamente discutendone i problemi?
Il nodo dei protocolli di crittografia end-to-end
In sostanza, i protocolli di crittografia end-to-end come quelli usati tra utenti di WhatsApp o iMessage sono leggermente diversi tra loro, possono offrire caratteristiche diverse (come la possibilità o meno di comunicare in maniera sicura in un gruppo composto da più di due utenti) e fondamentalmente diversi da quelli di messaggi non crittografati come i semplici SMS.
Si tratta di tecnologie non perfettamente compatibili. Secondo alcuni esperti di scienza dell’informazione, questo rappresenta un limite invalicabile all’applicazione del requisito che il DMA imporrebbe: se si impone l’interoperabilità si impone anche l’abbandono della crittografia end-to-end, che a oggi rappresenta lo stato dell’arte delle comunicazioni sicure e private. Secondo questa scuola di pensiero, l’unico modo per garantire l’interoperabilità è quello di abbassare il livello di protezione al minimo comune denominatore (ad esempio non garantendo più sicurezza dei messaggi scambiati in un gruppo con più di due parti), se non rinunciarvi completamente, e l’interpretazione sarebbe dunque semplice: il vero scopo dell’UE sarebbe vietare la crittografia end-to-end, scacco matto contro chi crede nella fondamentale importanza di questo strumento per la protezione della privacy dei cittadini.
Salviamo la crittografia (e la nostra libertà) dagli attacchi del Consiglio Ue
Interoperabilità o sicurezza? Davvero non c’è altra scelta?
Secondo altri esperti di crittografia, però, la scelta non è realmente tra questi due estremi, perché parlando da un punto di vista strettamente tecnico, non è impossibile rendere interoperabili due piattaforme che operano secondo protocolli crittografici diversi. Un primo approccio, relativamente semplice da implementare, consiste nel decrittare una conversazione proveniente da una piattaforma e re-criptarla utilizzando il protocollo della piattaforma usata dal ricevente. Ovviamente questo approccio non è sicuro tanto quanto la crittografia end-to-end perché nel momento in cui il messaggio viene decrittato non è tecnicamente protetto e risulta quindi intercettabile, ma forse in determinate situazioni caratterizzate da scambio di informazioni non sensibili sarebbe sufficiente per alcuni utenti. Per di più ci sono metodi per implementare questo approccio sui singoli dispositivi di chi riceve il messaggio, non in server centralizzati che potrebbero rappresentare una seria vulnerabilità. Dunque, una soluzione sì migliorabile ma ad oggi già realizzabile e relativamente sicura.
Un secondo approccio, ancor più conservativo e sicuro, consiste in un ridisegnamento delle tecnologie usate dai vari fornitori così da renderle compatibili, magari utilizzando protocolli open source come Matrix. Questo richiederebbe più tempo e, soprattutto, la cooperazione dei vari fornitori di servizi di comunicazione, ai quali di fatto il DMA non impone un investimento nell’implementazione di protocolli necessariamente diversi da quelli da essi sviluppati o utilizzati. La scelta di questo secondo approccio, dunque, sebbene garantirebbe l’integrità della crittografia end-to-end, sembra meno probabile, almeno nel breve termine.
Conclusioni
Il punto che vogliamo tuttavia sottolineare è che i problemi di natura puramente tecnica non sono quasi mai insormontabili, il progresso tecnologico in genere ne garantisce la soluzione. Tutto risiede piuttosto nella volontà politica di cambiare lo status quo, che significherebbe anche volontà di investire in quelle innovazioni tecnologiche che consentirebbero il cambiamento. Come già abbiamo fatto presente recentemente, e discusso a fondo in altra sede, la protezione della privacy e la sicurezza informatica dipendono in maniera fondamentale dalla regolamentazione: gli ultimi anni hanno dimostrato che le forze di mercato, da sole, non sono sufficienti a incentivare le grandi (così come le piccole) aziende a consentire un’efficace e consapevole gestione della privacy e della sicurezza degli utenti. Al contrario, la monetizzazione delle informazioni personali, la dipendenza quasi assoluta delle organizzazioni che operano nel digitale dallo sfruttamento dei dati sensibili e dalla personalizzazione dei contenuti e delle pubblicità hanno spinto sempre più verso equilibri instabili e asimmetrie informative, a svantaggio del consumatore e a vantaggio delle aziende, che hanno così potuto sfruttare sempre più la propria posizione, prima crescente poi dominante.
Tutto ciò ha reso pressoché imprescindibile l’intervento del legislatore, che deve sollevare gli utenti da responsabilità per problemi non creati da lui ma da lui subiti e da carichi troppo onerosi anche per un esperto sia di scienze informatiche che di regolamentazione europea. Il DMA, insieme ad altri provvedimenti presentati dalle autorità europee come il Digital Services Act e l’Artificial Intelligence Act, rappresenta un primo passo in questa direzione, sicuramente migliorabile ma, se accompagnato dalle doverose implementazioni tecnologiche, senz’altro auspicabile.