logo

CybergON Blog

Advancing the State of Cybersecurity.

Digital Markets Act: come cambia lo scenario mondiale

Il 7 marzo, l’Unione Europea ha promulgato il Digital Markets Act (DMA), la norma che regolamenta il mercato digitale europeo. L’obiettivo dichiarato è quello di rendere il mercato più accessibile e dare ai consumatori la possibilità di poter scegliere contemporaneamente tra molteplici servizi offerti dai gatekeeper.

Gatekeeper, in questo caso, sono tutte le piattaforme digitali che hanno generato un fatturato annuo di minimo 7,5 miliardi di euro all’interno dell’Unione Europea negli ultimi tre anni, che hanno una valutazione di mercato superiore ai 75 miliardi di euro e che contano almeno 45 milioni di utenti finali mensili. Di queste realtà, la Commissione Europea ne ha individuate 22 che ha denominato CPS (Core Platform Services), ovvero i siti che “hanno un impatto significativo sul mercato interno; gestiscono un servizio di piattaforma principale che funge da importante passaggio per gli utenti commerciali per raggiungere gli utenti finali; e gode di una posizione consolidata e duratura nelle sue operazioni o è prevedibile che goda di tale posizione nel prossimo futuro”. vi rientrano i colossi del web: Alphabet (Google), Apple, Amazon, ByteDance, Meta e Microsoft. In sostanza, nell’inquadramento della Commissione del Parlamento Europeo, gatekeeper e CPS possono essere considerati sinonimi.

A partire da settembre 2023, i gatekeeper hanno avuto a disposizione sei mesi per adeguarsi alla normativa ed evitare di incorrere in sanzioni da parte della Commissione Europea; infatti, le multe arrivano fino al 10% del fatturato totale annuo mondiale dell’azienda e fino al 20% in caso di violazioni ripetute.

I CPS hanno l’obbligo di garantire l’interoperabilità con i servizi di terze parti, consentendo loro di comunicare e integrarsi liberamente con la piattaforma. Il fine è quello di creare condizioni di parità tra le imprese evitando di creare un monopolio. In aggiunta, agli utenti deve essere garantita la portabilità dei dati e quindi avere la possibilità di trasferire i propri dati da un servizio all’altro. Tra i vari obblighi, i gatekeeper sono tenuti, su richiesta, a fornire alle aziende e alle terze parti l’accesso in tempo reale ai dati generati dagli utenti sulla loro piattaforma.

I rischi collegati alla sicurezza informatica

Proprio l’interoperabilità rappresenta il primo di una serie di rischi legati alla sicurezza informatica: la trasmissione di dati da un servizio all’altro, se non protetta adeguatamente, comporta un rischio notevole. In questa cornice, il corretto trattamento dei dati acquisisce un ruolo sempre più centrale nella protezione delle informazioni riservate degli utenti e, allo stesso tempo, può generare una falla di sicurezza che permette ai criminali informatici di entrare in possesso dei dati personali degli utenti. Il DMA suggerisce un approccio insoddisfacente per i sostenitori della privacy, in cui i messaggi inviati tra due piattaforme con schemi di crittografia incompatibili vengono decifrati e ricifrati quando passano da una all’altra, interrompendo la catena di crittografia “end-to-end” e creando un punto di vulnerabilità per l’intercettazione da parte di un cattivo attore. Questo avviene perché, attualmente, ogni servizio di messaggistica è responsabile della propria sicurezza gli utenti di un servizio sono esposti alle vulnerabilità che potrebbero risultare dall’interoperabilità. Due facce della stessa medaglia sono la moderazione e l’abuso: se da un lato le API aperte sono una buona notizia per la scelta dei consumatori, dall’altro possono essere utilizzate da spammer, phisher e altri malintenzionati per causare problemi agli utenti all’interno del gatekeeper. Gli approcci alla moderazione e all’antiabuso su Internet oggi sono tristemente noti, con una gestione centralizzata da parte dei gatekeeper che però produce risultati sempre più irregolari. Eliminando di fatto i limiti, si crea un’opportunità necessaria per rivedere il modo in cui gli utenti e gli amministratori possono filtrare i contenuti indesiderati alle loro condizioni.

Apple e Google

In quanto fornitori di servizi di gatekeeper, Google e Apple sono costretti ad accettare requisiti per facilitare il “sideloading”, ovvero la possibilità di installare app di terze parti senza dover passare dallo store ufficiale. Anche se questo faciliterà la concorrenza, Apple ha criticato il Digital Markets Act per aver compromesso le sue protezioni, affermando che la legge “creerà inutili vulnerabilità alla privacy e alla sicurezza”. Inoltre, poiché fino a questo momento Apple ha controllato severamente il proprio app store e i propri dispositivi, ha potuto più facilmente gestire e affrontare i problemi di sicurezza, come malware e malintenzionati. In ogni caso, Apple si è adeguata alla normativa e ha già aperto iPhone e iPad a negozi di applicazioni alternativi.

Google deve affrontare sfide simili per garantire la sicurezza di Android. Sebbene sia stato riscontrato un maggior numero di vulnerabilità nelle applicazioni Android rispetto a quelle iOS, questa differenza risulta insignificante e il livello complessivo di sicurezza dei client delle applicazioni mobili per Android e iOS è più o meno lo stesso. L’implementazione di questi requisiti senza che siano previste specifiche caratteristiche di audit di sicurezza causerà sicuramente l’insorgere di problemi di sicurezza significativi. Quando sarà più facile per le persone installare applicazioni mobili che possono anche essere veicolo di malware in virtù di piattaforme meno controllate, è probabile che questi numeri aumentino. La questione è come gestire le conseguenze che potrebbero verificarsi.

Molti esperti di sicurezza concordano sul fatto che richiedere l’interoperabilità senza compromessi accettabili in termini di sicurezza o privacy è un ostacolo molto alto, che potrebbe rivelarsi insormontabile. Le piattaforme, in aggiunta, devono prestare attenzione alla lotta contro la personificazione e al mantenimento dell’usabilità, in modo che la più ampia gamma possibile di utenti continui ad avere accesso alle comunicazioni sicure più avanzate. Il DMA, di fatto, è un’opportunità per creare requisiti di sicurezza più stringenti e migliorare l’interoperabilità in termini di sicurezza. Ciò può gettare le basi per la creazione di un centro di cybersecurity gestito a livello globale per il controllo delle minacce informatiche. L’Unione Europea è chiamata ad agire tempestivamente per evitare che ci siano fallimenti nella cybersecurity.

Le altre normative

In Europa, già nel 2016 il GDPR aveva gettato le basi per un corretto trattamento dei dati degli utenti finali, esplicitando regole precise a cui sottostare per non violare la privacy degli utenti e consentire alle persone di avere maggiore controllo sui loro dati personali.

In Giappone, Tokyo si rivolge ad alcuni mercati ristretti e principalmente a uno, quello degli app store. La legislazione che dovrebbe essere inviata al parlamento quest’anno autorizzerebbe la Japan Fair Trade Commission a costringere Apple e Google ad autorizzare app store e sistemi di pagamento di terze parti. Per quanto riguarda la ricerca, la legislazione proposta potrebbe impedire a Google di riservare un trattamento preferenziale ai propri servizi. Secondo quanto riferito, nessuna società giapponese rientrerà nel campo di applicazione.

Se prima della Brexit il Regno Unito voleva liberarsi dall’eccessiva regolamentazione digitale dell’UE ora vuole impiegare l’Antitrust per affrontare i colossi del mercato digitale. Infatti, in base al Digital Markets Competition and Consumers Bill, che dovrebbe diventare legge quest’anno, le maggiori aziende tecnologiche ritenute strategiche per il mercato, comparabili ai gatekeeper designati dal DMA, dovranno aprire i loro dati ai motori di ricerca rivali, rivedere i loro app store, intensificare la lotta contro le false recensioni online e allentare i vincoli sugli abbonamenti. Anche in questo caso, l’obiettivo è ridurre la posizione dominante che un piccolo numero di aziende tecnologiche detiene su consumatori e imprese. Le aziende, che verranno individuate dall’Unità per i mercati digitali dell’antitrust britannico, che violano la nuova legge rischiano multe fino al 10% del fatturato globale. Nel complesso, il nuovo disegno di legge assomiglia al DMA dell’UE, anche se per certi aspetti è più stringente: potrebbe includere i mercati di streaming video e attività specifiche come Amazon Prime.

Conclusione

In conclusione, l’Unione Europea ha delineato per la prima volta un quadro di regole che, al momento, riguardano unicamente i leader del mercato digitale. Tuttavia, se l’idea è quella di stabilire una concorrenza equa, non è escluso che tali regole vegano estese ad altri attori dell’industria digitale che attualmente non rientrano nei parametri definiti dalla Commissione Europea. Per quanto sia apprezzabile il tentativo di regolamentare il mercato digitale, è quantomai urgente prestare attenzione ai problemi di sicurezza che possono insorgere e adoperarsi per adottare una linea condivisa di prevenzione e protezione.