DMA: Implicazioni per la sicurezza delle nuove leggi antitrust dell'UE

La legge sui mercati digitali e i gatekeeper: un gioco di equilibri

The Digital Market Act (DMA) - a European legislation being discussed in the European Parliament Paul Henri-Spaak building

La lotta di potere in corso tra l'UE e le aziende Big Tech evidenzia la necessità impellente di un approccio equilibrato e sfumato alle politiche di regolamentazione che tenga conto degli interessi di tutte le parti coinvolte, non da ultimo dei consumatori. Il Digital Markets Act (DMA) mira a raggiungere questo equilibrio, ma ci riuscirà?


Alcuni giganti tecnologici dominano i mercati digitali di tutto il mondo, rendendo difficile la penetrazione delle piccole imprese. L’UE si trova di fronte all’arduo compito di porre un freno al loro monopolio e di dare ai cittadini europei un maggiore controllo sui loro dati attraverso il Digital Markets Act (DMA), ma c’è un problema…

Che cos’è il Digital Markets Act?

Il Digital Markets Act o DMA è un insieme di regolamenti definiti dalla Commissione europea. Si applica agli operatori commerciali digitali dell’Unione Europea che soddisfano i criteri che li qualificano come gatekeeper. Lo scopo di questi regolamenti è quello di fornire un ambiente più equo alle imprese che dipendono da questi gatekeeper per offrire i loro servizi nel mercato unico europeo.

In parole povere: Le grandi aziende tecnologiche considerate gatekeepers devono aprire le loro piattaforme ai concorrenti più piccoli per una concorrenza più equa.

La nuova legislazione intende consentire alle start-up tecnologiche di competere e innovare nell’ambiente delle piattaforme online senza dover sottostare a condizioni inique imposte dalle piattaforme, che possono limitare il loro sviluppo o diminuire la possibilità di far conoscere i loro prodotti ai consumatori. Troppo potere nelle mani di pochi eletti può soffocare l’innovazione e limitare la concorrenza leale.

Allo stesso tempo, la Commissione è fiduciosa che le nuove misure porteranno a un numero maggiore e migliore di opzioni tra cui i consumatori potranno scegliere, consentendo loro un accesso diretto ai servizi, prezzi più equi e maggiori opportunità di cambiare fornitore se decidono di farlo, come risultato di un ambiente competitivo più sano.

La Commissione intende raggiungere questo obiettivo consentendo ai gatekeeper di mantenere tutte le loro attuali opportunità di innovare e offrire nuovi servizi. Ma non potranno più utilizzare pratiche sleali a loro vantaggio, né nei confronti degli utenti commerciali né dei clienti che dipendono da loro. E se l’attuale frammentazione normativa nell’UE spesso comporta un aumento dei costi di conformità per le piattaforme che operano a livello transfrontaliero, la nuova legislazione unificata contribuirebbe a risolvere anche questo problema e a fornire maggiore certezza giuridica ai gatekeeper.

Cos’è la legge sui servizi digitali?

Il nuovo Digital Services Act (DSA) è un insieme unico di norme applicabili in tutta l’UE, con meccanismi che consentono alla Commissione europea e agli Stati membri di coordinare le loro azioni. Il suo obiettivo principale è combattere i beni, i contenuti o i servizi illegali distribuiti online. Comprende:

  • Misure che consentono agli utenti di segnalare tali contenuti e alle piattaforme di collaborare con “segnalatori affidabili”.
  • Nuovi obblighi sulla tracciabilità degli utenti commerciali nei mercati online.
  • Tutele efficaci per gli utenti, compresa la possibilità di contestare le decisioni di moderazione dei contenuti delle piattaforme.
  • Obbligo per le piattaforme di grandi dimensioni che raggiungono più del 10% della popolazione dell’UE di prevenire gli abusi dei loro sistemi.
  • Migliore accessibilità delle piattaforme per le persone con disabilità
  • Divieto di pubblicità mirata ai bambini (o basata su caratteristiche particolari degli utenti) sulle piattaforme online
  • Misure di trasparenza per le piattaforme online, tra cui la trasparenza della pubblicità online rivolta all’utente e la trasparenza sugli algoritmi utilizzati per la raccomandazione. Inoltre, le autorità e i ricercatori avranno accesso ai dati delle principali piattaforme per verificarne il funzionamento.
  • Una struttura di supervisione all’altezza della complessità dello spazio online. Gli Stati membri avranno il ruolo principale, supportati da un nuovo Consiglio europeo per i servizi digitali; per le piattaforme molto grandi, la supervisione e l’applicazione saranno affidate alla Commissione.
  • Le piccole e microimprese sono esentate dagli obblighi più onerosi, ma sono libere di applicare le migliori pratiche per il loro vantaggio competitivo.
  • Le piattaforme e gli altri intermediari non sono responsabili del comportamento illecito degli utenti, a meno che non siano a conoscenza di atti illeciti e non li rimuovano.

EU Parliament image by Marius Oprea on Unsplash EU Parliament image by Marius Oprea on Unsplash

Chi si qualifica come gatekeeper?

La DMA definisce gatekeeper una grande piattaforma online con una forte posizione economica, un impatto significativo sul mercato interno e attiva in più Paesi dell’UE (indipendentemente dal fatto che abbia o meno sede nell’UE), che collega un’ampia base di utenti a un gran numero di aziende. Inoltre, una piattaforma di questo tipo si qualifica come gatekeeper solo se è stabile nel tempo, ovvero se ha soddisfatto i criteri precedenti in ciascuno degli ultimi tre esercizi finanziari.

Ovviamente, i criteri saranno soddisfatti solo da una manciata di piattaforme Big Tech che hanno un impatto sproporzionato sul mercato.

Aziende come Google / Alphabet Inc., Apple, Microsoft, Amazon e Meta si qualificheranno come gatekeeper.

Ad esempio, in base alla DMA Amazon dovrà smettere di favorire i propri prodotti rispetto a quelli di fornitori indipendenti che la piattaforma ospita, e Google non potrà più raccogliere dati da servizi come Maps e YouTube e combinarli con quelli di Google Search senza il consenso esplicito degli utenti.

Qual è lo stato attuale del DMA?

Il DMA entrerà in vigore nel maggio 2023. Nei 4 mesi successivi, le aziende che forniscono servizi di piattaforma principali dovranno chiarire con la Commissione se si qualificano o meno come gatekeeper e quelle che soddisfano i criteri avranno altri 6 mesi di tempo dal ricevimento della decisione per garantire la conformità agli obblighi delineati nel DMA. Nel tentativo di trovare il giusto equilibrio tra le diverse esigenze, la Commissione sta organizzando dei workshop tecnici per raccogliere i pareri delle parti interessate sulla conformità dei gatekeeper.

Se i gatekeeper non si conformano al nuovo regolamento dopo i 6 mesi previsti, saranno multati fino al 10% del loro fatturato mondiale totale annuo o, in caso di violazioni ripetute, fino al 20%, e potranno incorrere in penalità periodiche fino al 5% del fatturato medio giornaliero. Inoltre, in caso di violazioni sistematiche, dopo un’indagine di mercato possono essere imposti ai gatekeeper anche altri rimedi, caso per caso, tra cui rimedi strutturali come la cessione di (parti di) un’attività.

Il testo provvisoriamente concordato dai negoziatori del Parlamento europeo e del Consiglio si rivolge alle grandi aziende che forniscono i cosiddetti “servizi di piattaforma principale” più inclini alle pratiche commerciali sleali, come i social network, i messenger, i browser o i motori di ricerca, con una capitalizzazione di mercato di almeno 75 miliardi di euro o un fatturato europeo di 7,5 miliardi di euro negli ultimi tre anni o una piattaforma principale che conta 45 milioni di utenti europei.

Cosa comporteranno le nuove regole per i gatekeeper?

I gatekeeper dovranno

  • consentire a terzi di interoperare con i propri servizi “in situazioni specifiche”.
  • consentire ai propri utenti commerciali di accedere ai dati di utilizzo che hanno generato sulla piattaforma
  • consentire agli inserzionisti e agli editori della propria piattaforma di esercitare un maggiore controllo sui propri contenuti
  • consentire ai propri utenti commerciali di promuovere la propria offerta e concludere contratti con i clienti al di fuori della piattaforma del gatekeeper.

Allo stesso tempo, questi gatekeeper non potranno più favorire i propri prodotti e servizi rispetto a quelli offerti da venditori indipendenti ospitati sulle loro piattaforme, in termini di ranking, o impedire agli utenti di disinstallare qualsiasi app o software preinstallato, o mettere in comune i dati delle loro varie divisioni e, cosa più importante dal punto di vista della privacy, non potranno più tracciare gli utenti finali al di fuori della piattaforma dei gatekeeper per la pubblicità mirata senza il loro esplicito consenso.

Il regolamento completo è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea ed è disponibile in più lingue.

Flags of the European Union in front of the EU-commission building "Berlaymont" in Brussels, Belgium Flags of the European Union in front of the EU-commission building "Berlaymont" in Brussels, Belgium

Quali sono le implicazioni per la sicurezza?

Sebbene la maggior parte dei regolamenti proposti sia un’ottima notizia, ci sono due misure proposte che destano preoccupazioni per la sicurezza: il requisito di interoperabilità nel DMA e i requisiti di trasparenza nel DSA.

Non è ancora chiaro chi si qualifichi come piattaforma chiave nella DSA - piattaforme molto grandi? - o che tipo di dati dovranno condividere. Per quanto riguarda l’interoperabilità, nonostante l’ambiguità implicita nella scelta del termine “in situazioni specifiche”, significa che le app di messaggistica come WhatsApp e Facebook Messenger dovranno essere interoperabili con servizi come Signal, consentendo ai loro utenti finali di scambiare messaggi, inviare file o effettuare chiamate. Ovviamente esiste una grande differenza in termini di protocolli di crittografia e politiche sulla privacy tra questi servizi, quindi molti si chiedono se questo significherà compromettere la crittografia Ende-zu-Ende e la Perfect Forward Secrecy di cui gli utenti di Signal hanno goduto finora, se scelgono di inviare o ricevere messaggi o chiamate multipiattaforma. I colegislatori hanno concordato di valutare in futuro gli obblighi di interoperabilità anche per i social network.

Un’altra conseguenza indesiderata potrebbe essere quella di costringere gli app store dei gatekeeper a indebolire la verifica degli sviluppatori autorizzati a distribuire le loro applicazioni attraverso queste piattaforme. Anche con gli standard attuali, un rapporto di Positive Technologies ha rilevato vulnerabilità classificate come “ad alto rischio” nel 38% delle app per iOS e nel 43% delle app per Android. Queste vulnerabilità non comportano solo rischi per la privacy, ma rendono gli utenti più vulnerabili agli hacker malintenzionati, sia privati che statali.

Alcuni esprimono il timore che, se attuata senza un’adeguata considerazione, l’apertura delle piattaforme digitali e la condivisione forzata dei dati possa consentire a “entità maligne” di “condurre una guerra informatica economica o, peggio ancora, militare”. Per contestualizzare, va notato che mentre l’autore citato, il Prof. Björn Lundqvist, è un rinomato studioso di diritto della concorrenza, il CEPA è finanziato da diverse organizzazioni che sono l’obiettivo della DMA: Amazon Web Services, Google e Microsoft. Ma ciò non significa che queste preoccupazioni debbano essere ignorate.

Molti dei rischi per la sicurezza derivano dalla definizione di “utente commerciale”, che attualmente è molto ampia e comprende non solo le piccole entità che cercano di far crescere il proprio business attraverso le piattaforme principali, ma anche aziende o addirittura governi provenienti da giurisdizioni ostili, che potrebbero utilizzare la regola dell’accesso ai dati per ottenere i dati dai gatekeeper.

Gli scenari peggiori di come potrebbe essere utilizzata l’attuale versione della DMA prevedono che Google sia costretta a condividere i dati di ricerca europei con rivali come la russa Yandex o la cinese Alibaba. I rischi diventano ancora più elevati se si considerano tutti i dati raccolti dal servizio cloud di Amazon o da Alexa, o dai sistemi auto di Apple e Android. È quasi come se fosse una pessima idea permettere a qualsiasi azienda di raccogliere e conservare una tale quantità di dati degli utenti…

Un primo passo per mitigare questi rischi è quello di definire meglio chi può utilizzare la regola dell’accesso ai dati, per fare in modo che essa dia potere solo agli utenti finali e alle piccole imprese. In un mondo ideale, l’imposizione di restrizioni sul tipo di dati che i gatekeeper possono memorizzare ridurrebbe anche i rischi per la sicurezza nel caso in cui soggetti malintenzionati dovessero avere accesso a tali dati.

Il DMA afferma che la crittografia Ende-zu-Ende dovrebbe essere mantenuta, ma trovare una soluzione tecnica per ottenere l’interoperabilità senza rompere la crittografia richiederà tempo (Meta ha annunciato di voler interconnettere WhatsApp e Messenger a marzo 2019, ma non è ancora riuscita a farlo) e la Commissione dovrebbe adeguare le sue scadenze di conseguenza, per assicurarsi che ciò avvenga correttamente.

Inoltre, dovrebbe garantire un modo per i gatekeeper di sollevare obiezioni legittime alle richieste di interoperabilità che metterebbero a rischio la sicurezza degli utenti, come quelle provenienti da app di messaggistica russe o cinesi. La versione attuale della legge prevede un’esenzione per motivi specifici di pubblica sicurezza, ma è fondamentale garantire che questa esenzione possa essere applicata con la necessaria rapidità e flessibilità.

Come consiglia la Electronic Frontier Foundation, la DMA dovrebbe proibire esplicitamente a qualsiasi servizio di messaggistica che “infrange la promessa di crittografia Ende-zu-Ende con qualsiasi mezzo, compresa la scansione dei messaggi nell’app lato client o l’aggiunta di partecipanti “fantasma” alle chat” di poter “richiedere l’interoperabilità”.

L’attuale formulazione dell’atto consente ai gatekeeper di adottare misure “strettamente necessarie e proporzionate” per preservare la sicurezza. Attraverso una serie di workshop tecnici, la Commissione intende ottenere un feedback sull’attuale testo giuridico. Dopo essere stato finalizzato a livello tecnico e controllato da giuristi-linguisti, dovrà essere approvato dal Parlamento e dal Consiglio.

Si spera che la Commissione riesca a trovare il giusto equilibrio tra la resistenza alle richieste dei gatekeeper digitali, che vogliono solo ritardare o evitare una regolamentazione che ha un impatto sui loro profitti, e la risposta alle legittime preoccupazioni in materia di sicurezza.