Perché una legge europea potrebbe rendere meno sicuro WhatsApp
Lo scorso 24 marzo l'Unione Europea ha trovato un accordo su una delle più grandi regolamentazioni mai pensate per le grandi aziende tecnologiche presenti anche in Europa, chiamata Digital Markets Act (DMA). Tra le misure presenti in questo nuovo regolamento, ce n'è una in particolare che sta facendo discutere gli esperti: ogni azienda con una capitalizzazione maggiore di 75 miliardi di dollari e una base d'utenza superiore a 45 milioni di account dovrà creare o aggiornare i propri prodotti in modo da renderli compatibili con piattaforme più piccole. Un approccio che, nel caso di applicazioni di messaggistica come WhatsApp, costringerebbe a fare un passo indietro nella crittografia dei dati.
Prendendo proprio come esempio WhatsApp, rendere l'app compatibile con il sistema degli SMS significherebbe trovare un modo per integrare la crittografia end-to-end con un protocollo meno sicuro, come appunto quello dei normali messaggi di testo. Un elemento che, secondo gli esperti di sicurezza, metterebbe a rischio i molti passi in avanti ottenuti dalla crittografia dei messaggi nel corso degli ultimi anni. Insomma, se davvero dovesse entrare in vigore, la normativa renderebbe meno sicuri quei servizi che oggi utilizzano la crittografia end-to-end.
L'obbiettivo principale del DMA è un gruppo di aziende tecnologiche definite "gatekeeper" che, a causa delle loro dimensioni, rendono quasi impossibile la concorrenza nel loro settore. Attraverso queste nuove regole l'UE spera di limitare la portata di alcuni dei loro servizi consentendo a realtà più piccole di competere nel mercato. Qualche esempio: consentire l'installazione di applicazioni sull'iPhone da una fonte che non sia l'App Store, posizionare i venditori esterni che operano su Amazon più in alto rispetto ai prodotti dell'azienda nei risultati di ricerca e, appunto, chiedere alle app di messaggistica di inviare i messaggi su protocolli differenti.
Il problema di questo approccio è che nel caso di servizi protetti da crittografia end-to-end risulterebbe difficile mantenere il livello di sicurezza attuale. Senza contare che le regole colpirebbero solamente alcuni dei servizi: WhatsApp, per esempio, sarebbe coinvolta proprio a causa delle sue dimensioni, mentre Signal non lo sarebbe. "Cercare di far conciliare due architetture crittografiche non può essere fatto, un lato o l'altro deve attuare cambiamenti radicali" ha spiegato Steven Bellovin, ricercatore di sicurezza informatica. "Un design che lavora solo quando entrambe le parti sono online è profondamente diverso da uno che lavora con messaggi salvati, come puoi far lavorare insieme questi due sistemi?". Una delle possibili soluzioni proposte dal DMA, ma comunque criticate dagli esperti, sarebbe quella di decrittare e crittografare nuovamente i messaggi quando questi passano da un servizio all'altro, operazione che però creerebbe un punto vulnerabile all'interno del processo.