Il 24 marzo 2022, gli organi di governo dell'UE hanno annunciato di aver raggiunto un accordo sulla normazione delle Big Tech in Europa, nota come Digital Markets Act (DMA).
Vista come una legge ambiziosa con implicazioni di vasta portata, la misura più accattivante del disegno di legge richiederebbe che ogni grande azienda tecnologica, definita come avente una capitalizzazione di mercato di oltre 75 miliardi di euro e una base di utenti di oltre 45 milioni di persone nell'UE debba creare prodotti interoperabili. Per le app di messaggistica, ciò significherebbe lasciare che servizi crittografati end-to-end come WhatsApp si mescolino a protocolli meno sicuri come gli SMS.
Attraverso le nuove normative, il governo spera di "rendere permeabili" alcuni dei servizi forniti da tali società per consentire alle piccole imprese di competere. Ciò potrebbe significare di consentire agli utenti di installare app di terze parti al di fuori dell'App Store , consentire ai venditori esterni di posizionarsi più in alto nelle ricerche su Amazon o richiedere alle app di messaggistica di inviare messaggi su più protocolli.
Ma questo potrebbe rappresentare un vero problema per i servizi che oggi garantiscono una crittografia end-to-end: sarà difficile, se non impossibile, mantenere la crittografia tra le app, con implicazioni potenzialmente enormi per gli utenti. Signal è abbastanza piccolo da non essere influenzato dalle disposizioni DMA, ma WhatsApp, che utilizza il protocollo Signal ed è di proprietà di Meta, lo sarebbe sicuramente. Il risultato potrebbe essere che parte, se non tutta, della crittografia della messaggistica end-to-end di WhatsApp verrebbe indebolita o rimossa, privando un miliardo di utenti delle protezioni della messaggistica privata.
Data la necessità di un'implementazione precisa degli standard crittografici non esiste una soluzione semplice in grado di conciliare sicurezza e interoperabilità per i servizi di messaggistica crittografata. In effetti, non ci sarebbe modo di fondere insieme diverse forme di crittografia tra app con diverse caratteristiche di design.
Cercare di conciliare due diverse architetture crittografiche può risultare molto critico per la sicurezza
Rendere compatibili diversi servizi di messaggistica può portare a un approccio alla progettazione del minimo comune denominatore, in cui le caratteristiche uniche che hanno reso alcune app preziose per gli utenti vengono eliminate fino al raggiungimento di un livello condiviso di compatibilità. Ad esempio, se un app supporta la comunicazione crittografata tra più parti e un'altra no, il mantenimento delle comunicazioni tra di esse richiede in genere l'eliminazione della crittografia.
In alternativa, il DMA suggerisce un altro approccio, ugualmente insoddisfacente per i sostenitori della privacy, in cui i messaggi inviati tra due piattaforme con schemi di crittografia incompatibili vengono decrittografati e ricrittografati interrompendo la catena della crittografia "end-to-end" e creando un punto di vulnerabilità per l'intercettazione da parte di un malintenzionato. Attualmente, ogni servizio di messaggistica si assume la responsabilità della propria sicurezza e richiedendo l'interoperabilità, gli utenti di un servizio sono esposti a vulnerabilità che potrebbero essere state introdotte da un altro. Alla fine, la sicurezza generale è forte quanto l'anello più debole.
Un altro punto di preoccupazione è il problema del mantenimento di un "namepace”, l'insieme di identificatori utilizzati per designare dispositivi diversi in qualsiasi sistema in rete. Un principio di base della crittografia è che i messaggi sono codificati in un modo unico per un'identità crittografica nota, quindi, svolgere un buon lavoro di gestione dell'identità è fondamentale per mantenere la sicurezza. Pretendere che tutti i sistemi di messaggistica trattino gli utenti esattamente allo stesso modo, significa aprire il vaso di pandora. Un incubo per la privacy e per la sicurezza informatica.
Alcuni sostengono che i vantaggi della interoperabilità delle applicazioni dei Big Tech superano i rischi su privacy e sicurezza. Purtuttavia sempre di rischi si tratta. E in un contesto in cui le misure di sicurezza debbano essere adeguate al rischio, si corre il rischio, senza adeguate tutele normative, di creare un mostro che si morde la coda ad uso e consumo di chi nei coni d’ombra trova fertile terreno per minare le libertà e i diritti degli interessati.
Argomenti che potrebbero essere di tuo interesse:
- Gdpr DOX. Il software per la gestione di tutti gli adempimenti correlati all'ecosistema GDPR
- Cyber assessment è la piattaforma web innovativa di Ufficio Telematico dedicata alla sicurezza informatica degli Studi dei professionisti.