Il Digital Markets Act rappresenta una delle più ambiziose riforme europee in materia di concorrenza digitale. Ma dietro la promessa di un mercato più aperto e competitivo si nasconde un rischio che riguarda la sicurezza dei nostri smartphone. Secondo un nuovo studio del Center for Cybersecurity Policy and Law, le regole imposte a giganti come Apple e Google potrebbero rendere i dispositivi mobili più vulnerabili agli attacchi informatici e ai furti di dati.
Come il Digital Markets Act può indebolire la sicurezza mobile
Il principio alla base del Digital Markets Act è l’interoperabilità. Le grandi piattaforme dovranno permettere agli sviluppatori di accedere a funzioni e componenti finora riservate. Questa apertura, pensata per favorire la concorrenza e ridurre il potere dei gatekeeper, comporta però un effetto collaterale inatteso. Più aree sensibili del sistema operativo diventano accessibili, maggiore è la possibilità che un errore di progettazione o un’app malevola sfrutti nuove falle. Gli esperti sottolineano che molti elementi interni di iOS e Android non sono stati concepiti per essere aperti. Consentire a terze parti di interagire con questi livelli profondi può alterare gli equilibri di sicurezza su cui si basa l’intero ecosistema mobile.
Il report cita casi in cui l’uso improprio di interfacce nascoste ha permesso a spyware sofisticati di infiltrarsi nei sistemi. Piccole debolezze strutturali possono trasformarsi in accessi completi, soprattutto se vengono coinvolte aree che gestiscono memoria, connessioni o autorizzazioni di sistema. Per questo, l’obbligo di interoperabilità rischia di generare più punti di ingresso per attori malevoli.
Privacy e stabilità dei sistemi sotto pressione
Oltre ai rischi di intrusione, il documento mette in guardia contro l’indebolimento dei confini tra le app e i dati personali. Gli sviluppatori che chiedono accesso alle funzioni interne potrebbero, anche in buona fede, ottenere informazioni sensibili come cronologie di rete, notifiche o contenuti di messaggi. È quanto accadde in passato con l’abuso delle funzioni di accessibilità di Android, usate da app malevole per leggere password e testi privati.
Un altro fronte critico riguarda la stabilità complessiva delle piattaforme. I sistemi mobili sono costruiti per garantire coerenza e prevedibilità nel comportamento delle app. Quando nuovi soggetti intervengono nei livelli più profondi del software, aumenta il rischio di errori e crash. L’esempio del blackout globale causato nel 2024 da un aggiornamento errato di un software di sicurezza dimostra quanto sia sottile il confine tra apertura e caos. Quell’evento non colpì i dispositivi mobili proprio perché i sistemi erano protetti da controlli rigidi: il timore è che il DMA possa erodere proprio quelle barriere.
Un equilibrio difficile tra regole e protezione
La complessità non si ferma alla tecnica. L’armonizzazione delle regole tra diversi sistemi operativi comporta sfide normative e operative. Android e iOS implementano la sicurezza in modi differenti e un’unica norma europea rischia di imporre adattamenti che riducono l’efficacia dei loro meccanismi interni. In parallelo, l’apertura del codice espone anche la catena di fornitura a nuovi pericoli: componenti esterni non verificati possono compromettere aggiornamenti e integrità del software.
Il tema tocca anche l’autenticazione e la fiducia digitale. I dispositivi si basano su credenziali hardware che proteggono azioni sensibili come pagamenti, backup e accessi aziendali. Se le piattaforme dovranno condividere questi token con soggetti terzi, l’intero modello di sicurezza rischia di perdere solidità.
Verso un modello di interoperabilità controllata
Per evitare conseguenze indesiderate, i ricercatori propongono un approccio più misurato. Il documento invita la Commissione Europea a definire l’interoperabilità in base ai risultati, non come accesso indiscriminato alle funzioni di sistema. L’idea è permettere ai terzi di utilizzare interfacce controllate e sicure, evitando l’esposizione diretta di elementi critici. Il paper suggerisce inoltre un modello a più livelli. Le funzioni a basso rischio accessibili a tutti gli sviluppatori registrati, mentre quelle più sensibili dovrebbero richiedere autorizzazioni specifiche, test di sicurezza e verifiche d’impatto obbligatorie prima della pubblicazione.
La proposta include anche una maggiore cooperazione con ENISA, l’Agenzia europea per la cybersicurezza, che potrebbe valutare le richieste di accesso in base al rischio tecnico e al contesto normativo. Questa sinergia permetterebbe di evitare sovrapposizioni con altre norme europee in materia di protezione dei dati e sicurezza informatica.
L’Europa davanti a una scelta
La corsa alla regolamentazione digitale ha reso il continente un laboratorio di sperimentazione normativa. Ma ogni nuova regola impone un bilanciamento tra apertura e protezione. Il Digital Markets Act intende ridurre i monopoli, ma deve farlo senza compromettere la fiducia degli utenti nei dispositivi che usano ogni giorno. Come osservano gli analisti, la sicurezza non è un ostacolo alla concorrenza: è il presupposto per farla funzionare. Se il mercato diventa più accessibile ma meno sicuro, le imprese rischiano di perdere più di quanto guadagnano in libertà tecnica.
