Nella seduta plenaria del 15 dicembre 2021 il Parlamento Europeo ha approvato il Digital Markets Act (DMA), che promette di essere un passo assai importante per contrastare i monopòli di fatto che le grandi corporazioni multinazionali del digitale (comunemente dette big tech) hanno costruito nei loro settori. L’elemento fondamentale ha introdotto è il requisito di interoperabilità tra i servizi, cioè la capacità di sistemi o applicazioni realizzate da fornitori differenti di interagire. Questo era l’approccio più diffuso, nel mondo digitale, fino a circa una ventina di anni fa. Il caso della posta elettronica è l’esempio migliore. Chiunque sia il fornitore del mio indirizzo di posta elettronica e qualunque sia l’applicazione che uso per scrivere e leggere i relativi messaggi, sono comunque in grado di comunicare con qualunque altro utente cha abbia un indirizzo di posta elettronica. Ciò è possibile proprio perché il servizio di posta elettronica è interoperabile.
Nel caso della tecnologia digitale, quando non vi sono ostacoli fisici all’interoperabilità (come può accadere – ad esempio – nel caso di un accessorio che deve essere fisicamente connesso ad un dispositivo) il tutto passa attraverso ciò che il software può fare o consentire di fare. Questo consente un enorme flessibilità, dato che nel mondo digitale è possibile simulare o emulare qualunque cosa, anche quando questo non sia stato originariamente previsto. Pertanto, anche se, ad esempio, il fabbricante della mia stampante laser inserisce nella stampante stessa un programma che esamina la cartuccia di inchiostro inserita per verificare che sia solo del modello consentito, io posso comunque realizzare cartucce compatibili dotandole di un opportuno programma che inganna quello sulla stampante facendogli credere di essere una cartuccia abilitata. Si tratta, in questo caso, di una situazione di “interoperabilità competitiva” (chiamata adversarial interoperability in inglese) ovvero di un caso in cui l’interoperabilità viene ottenuta competendo con un avversario che non vorrebbe che fosse realizzata. L’unico modo di opporsi a questi tentativi è quello di procedere per via legale. Strada che nel corso dell’ultimo decennio le big tech hanno ampiamente percorso dopo aver invece utilizzato l’interoperabilità per aumentare il numero dei loro utenti: ad esempio, Facebook agli inizi ha consentito ai propri utenti di interagire con quelli di MySpace (una piattaforma social che è stata la più usata al mondo tra il 2005 e il 2009) sfruttando tale meccanismo per crescere a scapito di quest’ultima, mentre adesso si oppone, a suon di cause legali, a qualunque tentativo in questa direzione.
Il Digital Service Act e l’interoperabilità obbligatoria
L’interoperabilità obbligatoria è la strada che è stata appunto intrapresa nell’Unione Europea col DMA. Nella versione approvata dal Parlamento Europeo, il “considerando” 52-a (non presente nella proposta iniziale della Commissione Europea) recita, testualmente: «La mancanza di possibilità di interconnessione tra i servizi di intermediazione può influenzare in modo significativo la scelta degli utenti e la possibilità per l’utente di cambiare <fornitore di servizi, NdA>, a causa della difficoltà per l’utente finale di ricostruire le reti e le relazioni sociali precedentemente possedute». In conseguenza di ciò, prosegue il considerando ed è ribadito dalla parte dispositiva, deve essere consentito a qualunque fornitore di interconnettersi, a richiesta e senza costi, con gli equivalenti servizi di comunicazione personale o di relazioni sociali di altri fornitori, con le stesse condizioni e qualità di servizio e mantenendo un elevato livello di sicurezza e di protezione dei dati personali. Per i servizi legati ad un numero, tipo la telefonia o la messaggistica, ciò implica l’accesso e l’interconnessione di servizi di testo, voce, immagini e video, mentre per quelli legati alle relazioni sociali, ciò implica l’accesso e l’interconnessione a servizi di base quali i post, i commenti ed i like. In aggiunta, fra le varie disposizioni vi è una clausola, anch’essa introdotta dal Parlamento, che proibisce esplicitamente «ogni comportamento che scoraggi l’interoperabilità attraverso l’uso di misure di protezione tecnica, di termini di servizio discriminatori, l’assoggettamento delle interfacce di programmazione applicativa al copyright, la fornitura di informazioni fuorvianti».
Ecco i servizi fondamentali di piattaforma (= Core Platform Services – CPS) soggetti alla regolamentazione del DMA: servizi di intermediazione, motori di ricerca, sistemi operativi, reti sociali, condivisione di video, sistemi di messaggistica, cloud computing, pubblicità online, browser web, assistenti virtuali, tv connesse (gli ultimi tre aggiunti dal Parlamento). Questo accade indipendentemente dal fatto che siano forniti tramite dispositivi personali, dispositivi IoT (Internet of Things = Internet delle Cose, l’estensione della comunicazione via Internet a qualunque oggetto) o immersi in altri dispositivi tecnologici (p.es., in un’automobile).
Ci sono due ulteriori elementi di particolare valore per la protezione degli utenti finali. Il primo è il divieto per gli intermediari di utilizzare i dati personali per presentare pubblicità mirate, a meno che ci sia un «chiaro, esplicito e rinnovato consenso informato» da parte degli utenti stessi, in linea con quanto previsto dal GDPR, e con la proibizione di raccolta dati sui minori a scopo commerciale. Il secondo, la possibilità per l’utente di cambiare le impostazioni predefinite per un CPS sul proprio dispositivo, potendo scegliere uno dei servizi equivalenti di altri fornitori, fin dal primo utilizzo ed in qualunque momento, tranne il caso si tratti di un servizio essenziale per il funzionamento del dispositivo stesso, che non può essere fornito in modo tecnicamente indipendente.
Non solo GAFAM: anche Oracle, Salesforce, Bookings, Paypal, Yahoo e Vivendi
Gli intermediari a cui si applicano queste norme sono quelli che hanno un fatturato annuale negli ultimi 3 anni nell’Area Economica Europea di almeno 8 miliardi di euro e erogano almeno un CPS in almeno 3 paesi europei con almeno 45 milioni di utenti finali attivi al mese ed almeno 10.000 utenti professionali attivi all’anno. La definizione di questi criteri dimensionali cerca di trovare un equilibrio tra l’individuazione degli attori che hanno un’effettiva posizione di predominio nel mercato e l’evitare di sovraccaricare sia chi non costituisce una minaccia di monopolio sia le autorità preposte al rispetto della normativa. Secondo un’analisi del centro studi europeo Bruegel, in base al testo approvato dal Parlamento, oltre alle GAFAM sarebbero soggette al DMA anche altre sette aziende: SAP, Oracle, Salesforce, Bookings, Paypal, Yahoo e Vivendi.
Nella versione approvata dal Parlamento è stata prevista anche l’istituzione di un Gruppo Europeo di Alto Livello di Regolatori Digitali, costituito da rappresentanti ed esperti degli Stati nazionali – inclusi i rappresentanti delle Autorità nazionali di sorveglianza sulla concorrenza, per assistere la Commissione nell’applicazione e monitoraggio del DMA, favorendo lo scambio di informazioni e migliori pratiche ed eventualmente segnalando alla Commissione la necessità di investigare comportamenti potenzialmente scorretti. Per quest’ultimo caso viene esplicitamente riconosciuto e protetto il ruolo di eventuali informatori interni (i cosiddetti whistleblowers, in inglese).
Nel caso di intermediari che in modo sistematico violino le disposizioni del DMA (cioè, abbiano commesso almeno due violazioni nei dieci anni precedenti) la Commissione potrà imporre «rimedi strutturali o comportamentali», proibendo anche, se necessario, acquisizioni che possano causare «ulteriore danno alla contendibilità ed equità del mercato interno», le cosiddette “acquisizioni killer”, cioè effettuate per eliminare dal mercato un concorrente che si reputa pericoloso per il proprio giro d’affari. Le multe che la Commissione può imporre agli intermediari che violano le norme vanno da almeno il 4% a non più del 20% del fatturato totale mondiale dell’anno fiscale precedente.
Bisognerà certo aspettare di avere la versione finale che uscirà dalle discussioni tra Parlamento, Commissione e Consiglio, attesa comunque nel primo semestre 2022, e poi capire come gli Stati nazionali e la Commissione la applicheranno.
In ogni caso, il primo passo importante è stato fatto.
(I lettori interessati potranno dialogare con l’autore, a partire dal terzo giorno successivo alla pubblicazione, su questo blog interdisciplinare.)