Perché una legge europea potrebbe rendere WhatsApp meno sicuro

Una delle nuove regole contenute nell’European Digital Markets Act obbligherebbe WhatsApp a riprogettare il proprio sistema di crittografia end-to-end.

Il 24 marzo l’Unione Europea ha raggiunto un accordo su una delle più importanti normative mai progettate per le grandi aziende tecnologiche presenti anche in Europa, denominata Digital Markets Act (DMA). Tra le misure di questo nuovo regolamento, ce n’è una in particolare che sta facendo discutere gli esperti: qualsiasi azienda con una capitalizzazione superiore a 75 miliardi di dollari e una base utenti superiore a 45 milioni di account dovrà creare o aggiornare i propri prodotti per renderli compatibili con piattaforme più piccole. Un approccio che, nel caso di applicazioni di messaggistica come WhatsApp, richiederebbe un passo indietro nella crittografia dei dati.

Prendendo ad esempio WhatsApp, rendere l’app compatibile con il sistema SMS significherebbe trovare il modo di integrare la crittografia end-to-end con un protocollo meno sicuro, come quello dei normali messaggi di testo. Un elemento che, secondo gli esperti di sicurezza, metterebbe a repentaglio i numerosi progressi compiuti nella crittografia dei messaggi negli ultimi anni. In breve, se dovesse davvero entrare in vigore, la legge renderebbe meno sicuri i servizi che ora utilizzano la crittografia end-to-end.

L’obiettivo principale di DMA è un gruppo di società tecnologiche chiamate “gatekeeper” che, a causa delle loro dimensioni, rendono quasi impossibile competere nel loro settore. Con queste nuove regole, l’UE spera di limitare la portata di alcuni dei suoi servizi consentendo alle entità più piccole di competere sul mercato. Alcuni esempi: consentire l’installazione di app sull’iPhone da una fonte diversa dall’App Store, inserire nei risultati di ricerca venditori esterni che operano su Amazon a un livello superiore rispetto ai prodotti dell’azienda e, in effetti, istruire l’app di messaggistica a inviare messaggi su protocolli diversi.

Il problema di questo approccio è che nel caso di servizi protetti dalla crittografia end-to-end, sarebbe difficile mantenere l’attuale livello di sicurezza. Senza contare che le regole riguarderebbero solo una parte dei servizi: WhatsApp, ad esempio, verrebbe coinvolta proprio per le sue dimensioni, mentre Signal no.

Una delle possibili soluzioni proposte dalla DMA, ma ancora denigrata dagli esperti, sarebbe quella di decifrare e ricriptare i messaggi man mano che passano da un servizio all’altro, operazione che creerebbe però un punto di vulnerabilità nel processo.