Digital service act: nuove norme europee sulla sicurezza e trasparenza delle aziende digitali

Il 25 agosto è entrato in vigore il digital services act (DSA), il nuovo regolamento europeo sulla responsabilità delle piattaforme per i contenuti online. Si tratta di un aggiornamento necessario della direttiva sul commercio elettronico che risaliva al 2000 e che mal si adattava al web come lo conosciamo oggi.

Il nuovo regolamento si applicherà in modo indistinto in tutta l’Unione Europea, garantendo agli utenti gli stessi diritti ovunque e facilitando il lavoro delle aziende che non dovranno confrontarsi con la legislazione di ogni singolo paese europeo. 

L’applicazione riguarda tutti gli intermediari online, dai motori di ricerca ai social network, marketplace, servizi di hosting ecc. che dovranno sottostare a richieste più stringenti a seconda della loro grandezza. Infatti, la commissione europea ha stilato un elenco che identifica le cosiddette “VLOP”, very large online platforms e le “VLOSE”, very large online search engines, ovvero tutte le piattaforme e motori di ricerca che superano i 45 milioni di utenti mensili attivi in Europa, che corrisponde al 10% della popolazione dell’unione. All’interno di questo elenco rientrano social come Facebook, Instagram, Snapchat, Tiktok, X (ex Twitter), Linkedin, Pinterest, Youtube, marketplace come Amazon, Zalando, Google Shopping, Aliexpress e Alibaba, servizi di prenotazione come Booking.com, gli store per le applicazioni come App Store e Google Play, e poi Google Maps, Wikipedia, e i motori di ricerca come Google e Bing.

Le nuove norme riguardano:

  • La segnalazione dei contenuti. Con la precedente norma le piattaforme erano ritenute responsabili per il caricamento di contenuti illegali da parte degli utenti solo se, una volta venute a conoscenza, non avessero provveduto alla loro rimozione. Il principio rimane invariato ma le big tech dovranno dotarsi di un team dedicato alle segnalazioni provenienti dagli utenti e dalle autorità.

Le piattaforme potranno procedere alla rimozione dei contenuti o sospensione gli utenti previo avviso che specifichi in modo chiaro la motivazione. Non basterà quindi dire che si sono violati i termini e condizioni in modo generico.

Gli stessi termini e condizioni dovranno essere esposti in modo più chiaro e semplice.

In modo analogo al controllo dei contenuti delle piattaforme social, i marketplace dovranno verificare che non sia venduta merce illegale.

  • Analisi del rischio sistemico. Il DSA prevede l’obbligo annuale per le piattaforme di redigere un report che valuti i rischi per i diritti fondamentali, la libertà di espressione, il dibattito pubblico, i minori, derivanti da un abuso o uso illegittimo dei loro servizi. Individuati questi rischi dovranno presentare delle soluzioni per mitigarne l’impatto, come l’uso di algoritmi che raccomandino certi contenuti piuttosto che altri o la modifica di termini e condizioni.

Per verificare che le aziende facciano il possibile potranno essere sottoposte ad audit esterni delle autorità o ricercatori.

  • Algoritmi, pubblicità e dark pattern. Le aziende saranno tenute a spiegare su quali parametri lavorano gli algoritmi di raccomandazione dei contenuti. L’utente potrà decidere, inoltre, di vedere i post nel modo in cui l’algoritmo li propone, quindi in modo personalizzato, oppure in modo cronologico, con la possibilità di essere meno soggetti ad influenze esterne.

Per limitare l’influenza delle pubblicità online questa non potrà avvalersi di informazioni che riguardano dati sensibili come ad esempio la religione, salute, orientamento sessuale, come non potrà utilizzare dati dei minori per proporre loro pubblicità personalizzata.

Le aziende dovranno tener traccia degli investitori pubblicitari conservando, per ogni post pubblicitario, le informazioni riguardo chi lo ha pubblicizzato e chi ha pagato la sponsorizzazione, per quanto tempo è stato mostrato e a quale gruppo di persone (età, sesso, interessi, localizzazione).

Saranno poi vietati i dark pattern, metodi che servono a indirizzare gli utenti verso scelte precise (come ad esempio il pulsante “accetta” nei banner dei cookie solitamente colorato in modo diverso rispetto agli altri).

Come hanno risposto le aziende

La piattaforma di tiktok ha presentato ad agosto i suoi aggiornamenti finali che comprendono una maggior facilità nella segnalazione dei contenuti illegali, più informazioni su come vengono moderati i contenuti e sul funzionamento del sistema di raccomandazione e una maggior tutela per i minori.

Google ha ricordato che molte delle richieste contenute nel DSA sono in atto già da tempo e ha migliorato il suo Transparency center, l’elenco di tutti gli investitori pubblicitari che mostrano i loro ads sui servizi di Google.

Amazon e Zalando, invece, hanno contestato alla corte di giustizia dell’Unione Europea di rientrare tra le VLOP.

Per ora i cambiamenti riguardano solo gli utenti europei ma non si esclude il fatto che le nuove tutele possano estendersi a livello globale. Anche gli Stati Uniti da qualche anno stanno discutendo di aggiornare le norme in tal senso considerando che la loro legge di riferimento risale al 1996, quando Google e social network non esistevano ancora.

In Cina, invece, dove molte delle aziende nominate non sono presenti, è già in vigore da tempo una norma volta a regolare l’uso degli algoritmi da parte delle piattaforme nella promozione di certi contenuti.

Da febbraio 2024 il DSA diventerà vincolante anche per tutte le piattaforme con meno di 45 milioni di utenti mensili. Molti paesi, tra cui l’Italia, però, non hanno ancora designato l’autorità nazionale che si occuperà di garantire il rispetto delle norme.

Passkey: la novità che potrebbe sostituire le password

Le password sono il modo attraverso il quale cerchiamo di impedire l’accesso e l’utilizzo ai nostri dati e risorse informatiche a soggetti non autorizzati. In molti casi però risultano deboli e facilmente individuabili. Questo è dato dal fatto che esistono numerosissimi account che richiedono l’utilizzo di una password così gli utenti preferiscono utilizzare codici alfanumerici facili da ricordare e, spesso, ricadono sulla scelta di utilizzare la stessa combinazione per diversi account, uno dei comportamenti più sconsigliati quando si parla di sicurezza informatica.

Una soluzione che ci permette di ricordare tutte le password dei nostri account, inserendole per noi quando necessario, è l’archiviazione online. Questo però non ci protegge da possibili fughe: se il servizio di password manager (come ad esempio icloud keychain) al quale ci affidiamo viene violato lo saranno anche le password di tutti gli utenti che ne fanno uso.

Molto più efficace risulta essere l’identificazione a due fattori nel quale si inserisce una password e poi un codice otp (one-time password, una password che potremmo definire usa e getta) inviata per sms o mail. Il problema di questo tipo di identificazione è la scomodità della procedura, che viene resa molto più macchinosa, e il persistere del rischio di esposizione ad attacchi di tipo phishing (truffe attraverso le quali un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale).

Le passkey

Negli ultimi anni alcune ricerche in campo informatico si sono concentrate nel trovare un’alternativa valida all’utilizzo delle password, lavorando alla progettazione di nuovi sistemi di accesso, autenticazione o gestione delle password.

Il 5 maggio 2022, in concomitanza con la giornata mondiale delle password – iniziativa avviata dall’azienda intel nel 2013 per promuovere maggiore consapevolezza sul tema della sicurezza informatica – Apple, insieme a Google e Microsoft, hanno annunciato l’impegno ad accelerare il lavoro per implementare e rendere disponibile sui dispositivi uno standard di autenticazione senza password chiamato FIDO. Ad un anno da questo annuncio vediamo questo sistema farsi spazio.

Il nome deriva da Fast Identity Online Alliance, l’associazione internazionale di aziende che hanno lavorato allo sviluppo dello standard nel corso degli ultimi anni e che ha introdotto un protocollo di autenticazione in grado di sostituire le password come forma di identificazione dominante su internet, chiamato passkey.

Le passkey sono composte da una coppia di chiavi, una pubblica, registrata nel sito web o nell’app alla quale vogliamo accedere e condivisa tra i dispositivi che dispongono delle proprie chiavi private, e una privata, presente soltanto sul nostro dispositivo.

La chiave pubblica non ha nessun valore senza quella privata e non è accessibile a nessuno, neanche all’utente, che quindi non può condividerla.

Questo garantisce che seppure in caso di compromissione del server chi lo attacca non avrà a disposizione entrambe le chiavi per ottenere l’accesso agli account.

In un certo senso non si allontana molto dal metodo di identificazione a due fattori nominato poco fa.

Con il sistema delle passkey, quando accediamo a un servizio online, non sarà quindi più necessario digitare il nome utente e la password, ad autorizzare l’accesso ai diversi account saranno i meccanismi di sblocco presenti sui dispositivi di proprietà dell’utente, in particolare dello smartphone, basati per lo più sul riconoscimento biometrico di caratteristiche individuali come l’impronta digitale, la fisionomia del volto o il pin, trasformando lo stesso smatphone in dispositivo di autenticazione.

Il servizio comunque non è limitato al dispositivo, si possono utilizzare le passkey anche su pc e tablet, e apparecchi terzi grazie ai codici QR da scansionare con il nostro smartphone.

Tra le caratteristiche delle passkey possiamo evidenziare:

  • Una protezione efficace;
  • Non devono essere create, salvate o ricordate. Il salvataggio avviene automaticamente sul portachiavi icloud per i dispositivi apple (e automaticamente disponibili su tutti i dispositivi che hanno l’accesso con lo stesso idapple) e su google password manager per android e chrome;
  • Sono protette dalla crittografia end-to-end;

Iniziare ad utilizzare le passkey

Per iniziare ad utilizzare questo nuovo sistema di accesso dobbiamo assicurarci che il sito web o l’app abbia già implementato le passkey come modalità di accesso alternativa alla password.

Alcuni siti ci permetteranno in automatico l’accesso tramite le passkey, per altri dovremmo abilitare il sistema tramite le impostazioni.

Una volta abilitata una passkey questa sarà visualizzata nella compilazione automatica quando accederemo a quell’app o sito.