Hanno solo un anno le big tech per adeguarsi. Entro marzo 2024, in Europa, tutte le app di messaggistica istantanea e di media real time dovranno poter comunicare l’una con l’altra. Quando questa imposizione è comparsa nel Digital Markets Act (DMA) dell’UE, a molti è sembrata surreale. Eppure, essendo stata definitivamente approvata, va trasformata in realtà.
L’interoperabilità dilata la superficie di sicurezza
A mostrare in modo documentato e approfondito, l’entità della sfida, è stata l’Università di Cambridge, nel documento preprint intitolato, “One Protocol to Rule Them All? On Securing Interoperable Messaging“. Ben lungi dall’essere commissionato dai gatekeeper, questo studio illustra le difficoltà e i dubbi nel doversi adeguare a questa scelta comunitaria.
Le sue implicazioni sono a dir poco “ingombranti” per i soggetti coinvolti che, nei prossimi mesi, dovranno progettare un sistema in grado di criptare e decriptare in modo sicuro i messaggi, e i dati associati, tra diversi fornitori di servizi. Una vera sfida, anche per delle big, e un percorso che molto probabilmente sarà costellato di compromessi pratici di implementazione. Sarà necessario individuare protocolli e processi ex novo che risultino al contempo sicuri e utilizzabili.
Lo studio di Cambridge non fa altro che evidenziare quanto sia articolato il concetto di interoperabilità. Non significa solo cooptare i protocolli crittografici esistenti in modo che i provider si “scambino” messaggi a un altro. Vanno infatti considerate le varie funzionalità e i protocolli di supporto che costituiscono le applicazioni E2EE contemporanee.
Ciò che aspetta le big tech è quindi un lavoro consistente, da portare avanti senza compromettere il livello di sicurezza. Il numero di soggetti coinvolti non aiuta. Per esempio, uno degli aspetti più spinosi sarà quello legato ai meccanismi di deposito a garanzia delle chiavi: possono mettere a rischio la crittografia anche se le chiavi di deposito sono mantenute perfettamente sicure.
Oltre a questo tipo di problemi, vanno affrontati anche quello meno tecnici, ma ugualmente pericolosi. Sarà infatti necessario capire anche come i servizi potranno cooperare tra loro, per affrontare lo spam e gli abusi, per esempio, o per gestire le vulnerabilità e le interruzioni.
Sintetizzando il documento, si può quindi affermare che l’interoperabilità chiesta dall’UE si traduce in una drastica espansione della superficie di sicurezza per gli utenti della messaggistica. In futuro, dovranno badare molto di più alle pratiche e alle policy dei gatekeeper.
La strada delle API non evita i problemi sociali
Mirando a ottenere la massima sicurezza possibile, anche dopo il 2024, gli autori dello studio offrono due “vie d’uscita” possibili. Per affrontare l’interoperabilità delle piattaforme di messaggistica si potrebbe mettere in campo un protocollo comune, oppure API aperte basate sulla piattaforma per la connettività di terze parti.
La prima soluzione è complessa da attuare. In lizza per diventare il protocollo comune ufficiale ci sarebbero Matrix, Signal e MLS dell’IETF, ma esistono molte (troppe) variazioni nell’implementazione: la standardizzazione sarebbe una sfida nella sfida.
Resta l’opzione basata sulle API bridge. In questo caso, le piattaforme, mantenendo i propri protocolli E2EE, sarebbero chiamate a offrire un’interfaccia lato client agli altri servizi di messaggistica, per connettersi attraverso “un ponte”. Anche in questo caso, non è banale procedere: ciascun gatekeeper dovrebbe creare ponti diversi per ogni provider di messaggi. Oltre all’effort, emergerebbero consistenti problemi di sicurezza. Va anche precisato che le API non potranno essere completamente aperte ma, allo stesso tempo, dovranno lasciare un margine di manovra per negare le richieste di accesso. Sarebbe essenziale per far sì che le piattaforme possano continuare a difendersi dallo scraping e dall’estrazione dei dati da parte di malintenzionati, “nonostante l’interoperabilità” imposta dall’UE.
Oltre alle innumerevoli complessità IT, nello studio gli autori hanno reputato doveroso anche citare quelle sociali. Non tutti gli utenti, infatti, saranno felici di vivere in un mondo con chat interoperabili. Soprattutto, si immagina, coloro che hanno scelto di abbandonarne alcune, sentendosi poco sicuri, anche a costo di risultare più isolati.