Pagine

giovedì 25 agosto 2022

Mercati digitali più aperti ed equi col Digital Markets Act (DMA)

di Enrico Nardelli

Insieme al Digital Services Act di cui abbiamo parlato recentemente, il 5 luglio scorso il Parlamento Europeo ha approvato anche la Legge sui Mercati Digitali (Digital Markets Act – DMA). Attraverso questa normativa si introduce l’interoperabilità ob-bligatoria nei mercati digitali: avevo precedentemente illustrato l’importanza di questo approccio che, costringendo i fornitori di diversi servizi a realizzarli interoperabili, rende i mercati contendibili: vuol dire che diversi operatori possono partecipare alla contesa per ottenere la scelta degli utenti nell’uso dei propri servizi senza essere impediti da pratiche scorrette da parte di chi ha maggiori quote di mercato.

A questo scopo il DMA si concentra su alcuni servizi di base e sui fornitori in posizione di dominanza. Ecco i servizi di piattaforma di base (= Core Platform Services – CPS) soggetti alla regolamentazione:

  • servizi di intermediazione,
  • motori di ricerca,
  • reti sociali (= social networks),
  • condivisione di video,
  • messaggistica,
  • sistemi operativi,
  • browser web,
  • assistenti virtuali,
  • cloud computing,
  • pubblicità online,

indipendentemente dal fatto che siano forniti tramite dispositivi personali, dispositivi IoT (Internet of Things = Internet delle Cose, l’estensione della comunicazione via Internet a qualunque oggetto) o immersi in altri dispositivi tecnologici (p.es., un’automobile o una televisione).

Per quanto riguarda i fornitori dei CPS, il DMA regolamenta solo quelli denominati gatekeeper, cioè quelli che per le dimensioni della loro utenza sono in grado di controllare interi eco-sistemi. Sono considerati gatekeeper gli operatori che: ­ hanno un valore di mercato di 75 miliardi di euro oppure un fatturato annuale negli ultimi 3 anni nell’Area Economica Europea di almeno 7,5 miliardi di euro, e ­ erogano almeno un CPS in almeno 3 paesi europei con almeno 45 milioni di utenti finali attivi al mese e almeno 10.000 utenti commerciali attivi all’anno per ognuno degli ultimi 3 anni, considerando solo gli utenti che vivono o hanno la residenza nel territorio dell’Unione Europea.

È previsto che i gatekeeper soddisfino una serie di obblighi, tra i quali i più rilevanti sono i seguenti divieti di:

  • utilizzare i dati personali per presentare pubblicità mirate,
  • combinare dati personali degli utenti con i dati del CPS proprio o di altri fornitori o con dati personali di altri fornitori,
  • iscrivere l’utente – a meno di un suo esplicito consenso (col divieto di domandare nuovamente il consenso in caso di diniego per almeno un anno) – ad altri CPS dello stesso fornitore e di imporne l’iscrizione come condizione di utilizzo di un servizio,
  • sfavorire utenti commerciali che attraverso la piattaforma del fornitore offrono servizi in competizione con quelli del fornitore stesso,
  • imporre agli utenti di utilizzare i browser web o i sistemi di pagamento del fornitore.

Ulteriori obblighi per i gatekeeper riguardano la possibilità per l’utente di cambiare le impostazioni predefinite per un CPS sul proprio dispositivo, potendo disinstallare qualunque servizio preinstallato e scegliere uno dei servizi equivalenti di altri fornitori, fin dal primo utilizzo ed in qualunque momento, e stabilirlo come servizio pre-definito da usare, tranne il caso si tratti di un servizio essenziale per il funzionamento del dispositivo stesso, che non può essere fornito in modo tecnicamente indipendente. Lo stesso vale per ulteriori servizi che l’utente volesse installare sul dispositivo, ai quali deve inoltre essere consentito l’accesso, ai fini dell’interoperabilità, alle stesse componenti software e hardware presenti sul dispositivo per l’erogazione dei CPS forniti dal gatekeeper. L’unica eccezione, che deve essere debitamente giustificata, viene concessa per quei servizi la cui installazione o il cui funzionamento presenti rischi per l’integrità del dispositivo stesso.

Il nucleo delle richieste di interoperabilità viene esplicitato dal DMA per i servizi di messaggistica, per i quali i gatekeeper devono rendere i loro servizi interoperabili con quelli di qualunque altro fornitore che ne faccia richiesta, fornendo a richiesta e a titolo gratuito le specifiche di sicurezza e privatezza e le soluzioni tecniche di interfacciamento eventualmente necessarie. Per quanto riguarda i servizi di comunicazione diretta tra due utenti, la richiesta deve essere soddisfatta entro 3 mesi e deve consentire ai due utenti di scambiarsi testo, immagini, messaggi vocali, video e altri file allegati. Il termine si allunga a 2 anni per la comunicazione tra gli utenti interni a un gruppo (conosciuta popolarmente come chat), comprendendo le stesse forme di quella tra due persone. Un termine di 4 anni è invece previsto per le chiamate vocali o video dirette tra due utenti o all’interno di un gruppo. Nel consentire questa interoperabilità il gatekeeper può scambiare solo dati strettamente necessari e può chiedere alla Commissione l’estensione di tali termini qualora ci siano motivi derivanti dalla necessità di realizzare l’interoperabilità garantendo sicurezza e privatezza. L’estensione dei requisiti di interoperabilità ai servizi dei social network, che nella versione approvata dal Parlamento Europeo a dicembre 2021 era stata prevista da subito, verrà invece valutata dopo 3 anni dall’entrata in vigore del regolamento.

Il punto critico di queste prescrizioni di interoperabilità risiede nella necessità di mantenere sicurezza e privatezza anche quando interagiscono utenti di due operatori diversi. Normalmente, infatti, questi servizi sono protetti da una crittografia “da un capo all’altro” (end-to-end ) che consente di crittare il contenuto del messaggio sullo smartphone di partenza e decrittarlo solo sullo smartphone di destinazione, salvaguardando così il contenuto stesso da ogni possibile intercettazione. Questo è quello che accade tra due utenti di WhatsApp (che è gestito dal gatekeeper  Facebook – adesso Meta) o tra due utenti di Signal (che non rientra nella classificazione come gatekeeper ). Ma se un utente di WhatsApp e uno di Signal vogliono comunicare la crittografia non può essere più gestita all’interno di una stessa piattaforma. Sulla base di questa osservazione, a marzo 2022 era nata un’azione di comunicazione che criticava questo requisito, ovviamente sostenuta da chi aveva tutto l’interesse a mantenere lo status quo. Però l’interoperabilità che mantiene la privatezza anche tra due piattaforme diverse è tecnicamente possibile (anche se non facilissima): lo ha dimostrato proprio Meta quando ha realizzato la crittografia “da un capo all’altro” tra la sua piattaforma Facebook e quelle di WhatsApp e Instagram dopo averle acquisite. Sono possibili sostanzialmente due strade da un punto di vista tecnico, una di più immediata realizzazione, l’altra più lenta da costruire.

Per fare un semplice esempio concreto, immaginiamo che Aldo, utente di WhatsApp, voglia mandare un messaggio a Bianca, utente di Signal. In questo caso entrambi gli utenti vengono identificati mediante il loro numero telefonico e questo primo passo è facilmente risolto. In generale può essere complicato visto che piattaforme diverse possono identificare gli utenti con meccanismi diversi, ma è ugualmente risolvibile. Col primo approccio bisogna che, da qualche parte lungo il percorso che va dallo smartphone di Aldo allo smartphone di Bianca, il messaggio “esca” dalla protezione crittografica di WhatsApp ed “entri” nella protezione di Signal. Tecnicamente serve un componente software che si chiama bridge (= ponte). Il problema è che il luogo in cui si trova questo bridge diventa il punto vulnerabile in cui un malintenzionato può cercare di violare la privatezza della comunicazione, perché in quel punto il messaggio non è protetto dalla crittografia. La contromisura migliore è quindi non avere un bridge centralizzato ma avere un componente che svolge questa funzione sullo smartphone di Aldo (per i messaggi che Aldo manda a Bianca, e simmetricamente su quello di Bianca per la comunicazione in verso opposto). Oltre al vantaggio che, distribuendolo su tanti dispositivi viene minimizzato il guadagno per un eventuale attaccante, si ha quello che il dispositivo di partenza è comunque il luogo nel quale il messaggio è presente in forma non crittata. Per realizzare questo, quindi, l’app di WhatsApp dovrà essere estesa a contenere il bridge per Signal e simmetricamente per l’app di Signal. Però, per consentire l’interoperabilità anche con, per esempio, Telegram e Viber (altre due applicazioni di messaggistica), l’app di WhatsApp dovrà contenere anche i bridge verso questi altri due servizi (e viceversa). È chiaro che questa non è la soluzione ideale dal punto di vista tecnico, perché rende le app più pesanti e più lente.

L’altra strada è quella di usare un protocollo di comunicazione (cioè un linguaggio ed un insieme di regole di conversazione) condiviso, che permetterebbe a qualunque fornitore di parlare con qualunque altro mantenendo la riservatezza “da un capo all’altro” per i messaggi degli utenti coinvolti. Concettualmente, è la stessa cosa che accade nel caso dei browser e dei siti web, che si scambiano informazioni attraverso il protocollo HTTPS (e il protocollo sottostante TLS) mantenendo la riservatezza della comunicazione. È questo che vi consente, qualunque sia il vostro browser, di operare sul sito della vostra banca online senza che malintenzionati possano intercettare i dati in transito. Tra l’altro, il protocollo usato da Signal è già liberamente disponibile, sia come specifica che nella sua implementazione in formato sorgente, il che implica che la sua sicurezza – essendo stata scrutinata da molti programmatori – è probabilmente maggiore di quella di protocolli le cui specifiche non sono conosciute e le cui implementazioni sono sotto forma di software proprietario. Un ulteriore punto di partenza è il protocollo in corso di standardizzazione da parte dell’IETF (Internet Engineering Task Force, è l’organo che definisce le regole tecniche per i sistemi che consentono il funzionamento di Internet) denominato Messaging Layer Security. In aggiunta, esistono già servizi di messaggistica di diversi fornitori che sono tra loro interoperabili perché basati su standard aperti quali Matrix e XMPP.

Insomma, non si partirà da zero e certamente la spinta fornita dal DMA, che si appli-cherà a partire da 6 mesi e 20 giorni dopo la sua pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea, quindi presumibilmente all’inizio del 2023, servirà a focalizzare gli sforzi in una direzione che va certamente a vantaggio dell’utente finale.

--
Versione originale pubblicata su "Key4Biz" il 22 agosto 2022.

giovedì 11 agosto 2022

Luci ed ombre del Digital Services Act (DSA)

di Enrico Nardelli

Pubblicato come proposta della Commissione Europea nel dicembre 2020, il DSA è arrivato all’approvazione finale dopo una fase molto lunga di discussione sia a livello istituzionale che di consultazione della società civile ed entrerà in vigore al più tardi il 1 gennaio 2024. Ricordo che il processo legislativo dell’Unione Europea prevede che normalmente la Commissione Europea (organo esecutivo) abbia il potere di iniziativa legislativa, formulando proposte che devono essere approvate dal Parlamento Europeo (eletto dai cittadini) e dal Consiglio dell’Unione Europea (formato dai ministri dei governi degli Stati dell’UE), che sono gli organi legislativi.

Si tratta certamente di un evento di rilevanza internazionale per la regolamentazione dei servizi digitali, i cui elementi più rilevanti erano stati anticipati qui, e che pone l’Europa all’avanguardia in questo settore. È certamente positivo, ad esempio, che nella versione adottata venga salvaguardata la libertà di espressione proibendo il monitoraggio generale dei contenuti pubblicati da parte degli utenti o la ricerca attiva di elementi che indicano un’attività illegale, approccio che ha dimostrato sul campo di creare molti più problemi (rimuovendo contenuti perfettamente legittimi) di quanti ne abbia risolti. Altrettanto positivi sono gli obblighi di trasparenza verso gli utenti richiesti alle piattaforme, soprattutto relativamente ai sistemi di raccomandazione (proibendo l’uso dei dati sensibili e, per i minori, vietando l’uso di qualunque dato personale), alla pubblicità online (per la quale gli utenti devono poter capire in base a quali parametri gli viene mostrata, con la possibilità di cambiarli) e alle garanzie che gli utenti hanno rispetto alla rimozione dei contenuti. Vi sono molti altri elementi positivi, tendenti a garantire un ecosistema dei servizi online sicuro e fidato. Un ulteriore descrizione di quanto previsto nella norma approvata si trova nel comunicato stampa pubblicato dal Parlamento il 5 luglio 2022. In questo articolo mi concentro invece su alcuni aspetti sui quali sarà opportuno fare attenzione.

Mentre il DSA ha previsto che, qualora vengano forniti strumenti per la trasmissione crittata o con meccanismi che rendono impossibile l’identificazione degli utenti, ciò non costituisce, di per sé, indizio di attività illegale, non ha stabilito un diritto esplicito per gli utenti ad usare trasmissioni crittate o a usare servizi in modo anonimo. Alla luce della discussione in atto nell’Unione Europea sulla legislazione cosiddetta del chat control che, con lo scopo di combattere i crimini ai danni dell’infanzia, vuole imporre il controllo automatico di tutti i messaggi scambiati dagli utenti, si tratta di una mancanza che non aiuta nella protezione del diritto fondamentale alla privatezza delle conversazioni delle persone.

È un po’ deludente, dal momento che non aggiunge molto a quanto già previsto dall’attuale normativa per la protezione dei consumatori, come viene gestito dal DSA l’eventuale uso da parte dei fornitori di servizi dei cosiddetti dark patterns (espressione inglese che può essere resa in questo caso come “meccanismi ingannevoli”), ovvero di modalità di presentazione delle informazioni che impediscono all’utente di prendere una decisione in modo equilibrato. Ad esempio, dare maggiore visibilità ad alcune scelte, oppure chiedere nuovamente di compiere una scelta già espressa, o rendere una procedura di rinuncia ad un servizio più complicata o più lunga dell’adesione, o usare dei parametri il cui valore predefinito è difficile o faticoso cambiare.

Un aspetto di preoccupazione concerne l’assegnazione esclusiva alla Commissione Europea dei poteri di supervisione e attuazione verso le piattaforme di dimensioni molto grandi (nonostante ci debba essere un coordinamento tra i vari Coordinatori nazionali dei Servizi Digitali e la Commissione), che espone al rischio di regulatory capture (= cattura del regolatore), in riferimento al fatto che le big tech, dovendo interagire con un solo ente centrale, riescono più facilmente ad influenzarlo.

Un elemento di potenziale criticità è lo stato di trusted flaggers (= segnalatori affidabili) che può essere assegnato dal Coordinatore nazionale dei Servizi Digitali ad organizzazioni statali o private che hanno dimostrato particolare esperienza e competenza nella valutazione dei contenuti illegali e che lavorano in modo diligente, accurato e obiettivo. Le loro segnalazioni di illegalità devono essere elaborate dalle piattaforme in modo prioritario. Non si può infatti escludere che tale meccanismo possa essere soggetto ad abusi. In generale, la valutazione dell’illegalità di un contenuto può essere un compito difficile da attuare, soprattutto per i fornitori più piccoli, dal momento che cosa sia illegale dipende spesso dalle varie giurisprudenze nazionali. Abbiamo inoltre assistito, nel periodo della pandemia COVID-19, ad un’intollerabile limitazione del dibattito scientifico causata proprio dall’elaborazione di segnalazioni di illegalità, dibattito che è vitale per il progresso della scienza e che non può accadere senza la diversità di opinioni. Come ricordato in un’opinione pubblicata sul British Medical Journal (una delle più prestigiose riviste scientifiche internazionali di medicina generale) a maggio 2021, gli esperti «hanno enfatizzato la quasi impossibilità di distinguere tra un’opinione scientifica minoritaria e un’opinione che è oggettivamente scorretta (disinformazione)».

Un segnale della delicatezza di una previsione di questo tipo è fornito dall’azione legale appena avviata negli USA dalla New Civil Liberties Alliance (un’importante associazione americana no-profit che si batte per la difesa dei diritti civili e le libertà costituzionali) per conto degli Stati del Missouri e della Louisiana, insieme a Jay Bhattacharya, esperto di politica sanitaria a Stanford, e Martin Kulldorff, epidemiologo di Harvard, entrambi medici e scienziati di assoluto e riconosciuto valore, contro il Presidente degli USA, Joe Biden, il suo capo consigliere sanitario nonché direttore dell’Istituto Nazionale delle Allergie e Malattie Infettive, Anthony Fauci, ed altri alti responsabili della politica sanitaria negli USA. Ciò che viene contestato è la violazione del Primo Emendamento, che protegge la libertà di parola, dal momento che sono emersi documenti che evidenziano come il Presidente ed altri funzionari di altissimo livello del governo USA hanno richiesto alle aziende che governano i più importanti mezzi di comunicazione social di censurare i punti di vista sul COVID-19 e sulla sua gestione che erano in conflitto con i messaggi del Centers for Disease Control and Prevention (= Agenzia per il Controllo e la Prevenzione delle Malattie, l’organizzazione federale responsabile negli USA per la protezione della salute pubblica attraverso il controllo e la prevenzione). Alcuni esempi delle evidenze che sono emerse sono riportati qua, qua e qua. Il punto non è tanto il supporto che è stato fornito da queste aziende per una corretta informazione sanitaria (anche se il ruolo dell’Agenzia come sorgente delle informazioni è stato tenuto nascosto) quanto la censura che hanno attuato verso chi era in disaccordo con le versioni ufficiali. Questa azione si è dispiegata con molti meccanismi, da un bando completo sulla piattaforma di comunicazione a un bando cosiddetto “ombra” (= shadow ban, che blocca la notifica a chi segue una certa persona dei messaggi pubblicati dalla persona stessa), a tutta una varietà di meccanismi algoritmici per diminuire o impedire la visibilità dei messaggi o sminuirne la rilevanza (quale, ad esempio, etichettarli con avvisi di allerta o non mostrarli tra i primi risultati di ricerca). In sintesi, secondo quanto sostenuto da questa azione legale, il governo USA ha stabilito quali discorsi potevano essere tenuti in pubblico e quali no, esattamente quello che il Primo Emendamento proibisce di fare. Vedremo come si svilupperà la vicenda.

Infine, un ulteriore motivo di attenzione è l’inserimento, avvenuto sotto l’influenza della guerra in Ucraina iniziata a fine febbraio 2022, di un “meccanismo di risposta alle crisi” che fornisce alla Commissione Europea un potere straordinario di intervento in caso di crisi, quali, ad esempio, conflitti bellici, atti di terrorismo, disastri naturali, pandemie e altre serie minacce alla sanità pubblica. In tali casi la Commissione può richiedere a piattaforme e motori di ricerca di grandi dimensioni, per un periodo massimo di tre mesi, misure straordinarie di intervento come, per esempio, l’intensificazione dell’attività di moderazione dei contenuti, il cambiamento degli algoritmi di moderazione, l’adozione di misure di promozione dell’informazione affidabile, il rafforzamento della cooperazione con i segnalatori affidabili, il cambiamento delle interfacce utente. Nonostante tale potere sia temperato dalla necessità di ottenere l’approvazione dei Coordinatori nazionali dei Servizi Digitali e sia previsto che le misure straordinarie richieste siano proporzionate ed efficaci per ottenere lo scopo desiderato, il precedente che si è verificato durante la pandemia del CO-VID-19, quando, a febbraio 2021, sono state bandite da Facebook tutte le opinioni che discutevano la possibile origine in laboratorio del virus SARS-CoV-2, salvo poi tornare sui propri passi alla fine di maggio dello stesso anno perché si era capito che si trattava di un’ipotesi assai plausibile, lascia qualche dubbio su una misura di questo genere che rischia di determinare un’indebita limitazione della libertà di parola.

Questo avvenimento ci ricorda infatti che può sempre accadere che ciò che ieri veniva considerato “disinformazione”, oggi può essere una teoria accettabile che diventa domani la verità riconosciuta. Tra gli altri, questo è stato messo in evidenza da ciò che il giudice costituzionale Samuel Anthony Alito Jr ha scritto nel 2012 nella sua opinione in dissenso sul caso US vs Alvarez: «Il punto è … che è pericoloso permettere che lo Stato sia l’arbitro della verità. Anche quando c’è un vasto consenso tra gli studiosi riguardo uno specifico soggetto, si rende un miglior servizio alla verità permettendo che il consenso venga contestato senza paura di ritorsioni. La conoscenza che viene accettata oggi alle volte può rivelarsi errata». Si tratta di un caso in cui la Corte Suprema degli Stati Uniti ha ritenuto essere in contrasto con il Primo Emendamento una legge (Stolen Valor Act) che stabiliva fosse un atto criminale il dichiarare di aver falsamente ricevuto un’onorificenza militare. Il giudice Alito ha espresso un parere in dissenso argomentando che la precedente giurisprudenza della Corte aveva già riconosciuto che affermazioni oggettivamente false non sono intrinsecamente protette dal Primo Emendamento, che tutela invece l’interesse del pubblico dibattito a ricevere una pluralità di punti di vista su uno stesso argomento. Tale legge, ha concluso il giudice, non costituiva alcuna limitazione in questo senso e quindi non rappresentava alcuna minaccia alla libertà di espressione.

Certo, si tratta di giurisprudenza degli Stati Uniti, che in fatto di protezione della libertà di parola è più garantista di molti Stati europei, ma – essendo i problemi affrontati dalle società sostanzialmente simili, perlomeno nelle società occidentali – costituisce senz’altro un elemento su cui riflettere.

--
Versione originale pubblicata su "Key4Biz" l'8 agosto 2022.